GDPR(General Data Protec tion Regulation,歐盟資料保護法)規定,被資安界號稱全球最嚴格的個人資料保護法,因為規定多、罰則嚴、罰款高,只要涉及該法屬實的企業恐將付出鉅額罰款,該法即將在今(2018)年5月25日開始實施。

根據資安專家指出,GDPR之所以被公認為最嚴苛的個資料保護法是因為不管是否屬於歐盟的公司,只要提供歐盟民眾可以瀏覽網站及使用,或者是搜集、處理和利用歐盟公民資料的企業或組織,都將強制遵守這個歐盟個資法的規定。

依該法規,若是有歐盟的個人資料遭到外洩,這些外洩的企業或組織,必須要在72小時內通報資料保護主管機關(Data Protection Authority),否則依照外洩個資情結輕重被處於罰款1千萬或2千萬歐元或全球營業額2%或4%作為罰款(取其金額較高者,作為罰款)。

此外,當資料外洩事故發生後,沒有及時通知個資監管機構或沒有執行隱私風險評估(DPIA)或沒有任命資料保護長或違法向第三國傳輸個資等違規行為,同樣最高可以處罰2千萬歐元(新台幣7.2億元)或是全球營業總額4%作為罰款。

因此,類似像日前FB個資外流事件,資安專家表示,只要證明FB涉及個資外洩屬實,依照相關法令,這個資安事件恐讓洩露個資的公司賠大錢。

雖然GDPR是歐盟的個人資料保護法,但資安專家表示,若國內企業和歐盟國有交往,尤其有用歐盟國家客戶資料的業者如行動應用服務、電商、航運、旅遊業等都要留意該法相關規定。

#外洩