相信有在關注網路生態及局勢變化的人都已經知道。歐盟即將在今年的5月25日正式實施「通用資料保護規範(General Data Protection Regulation)」，也就是GDPR，隨著科技不斷進步，大數據(海量數據)或各式各樣的數據分析不斷在各領域被應用，固然促進了社會的發展，卻也產生新的隱憂，個資不斷地在當事人不知情的情況下被使用甚至濫用，GDPR的誕生就是為了防止這種情況。在這裡我們簡單整理出8個關於GDPR的重點。

1. 於2012年被提出，在2016年4月27日經歐洲議會通過並決議於2018年5月25日實施。

2. 要求全世界企業須保護所有歐盟民眾的個人資料與隱私，也就是不管企業位在哪裡，只要你有歐洲客戶，就必須遵守GDPR。

3. 對於個體識別資訊（Personally Identifiable Information，PII）的定義比以往任何的個資相關法令都要來得嚴格，除了大家認知的姓名、住址或就醫資料之外，網路cookie和IP位址紀錄甚至基因紀錄或其他生物特徵等也被規範在其中。

4. 核心業務涉及歐盟民眾的企業，不論規模大小，均應設立資料保護長（Data Protection Officer，DPO）職位。

5. 歐盟民眾享有更方便的資料攜帶權與抹除權，民眾應以自身意志決定個資的移動以及存留與否。

6. 民眾有權拒絕自己的個資被拿來做數據分析或其他科技分析。

7. 一旦發生個資外流事件，需在72小時內通報主管機關。

8. 若違反規定，罰款最高可達2,000萬歐元或企業營業額的4%(擇較高者)。

或許在很多媒體上都寫著「GDPR為史上最嚴格的個資規範」，但我們其實不需過度擔心以後無法順利執行歐洲業務或是害怕跟歐洲客戶來往，這反而是個好好審視企業經營流程的契機，畢竟資料外流影響的不會只有客戶，同樣也會重重打擊企業名聲，只要花點心思了解GDPR，其實沒有這麼可怕。

圖片來源:pixabay