資訊科技與倫理/GDPR 合規

通用資料保護條例 (GDPR)

簡介

GDPR 是世界上最全面的隱私和安全法律。它由歐盟起草並於 2018 年 5 月 25 日實施。其目標是透過對收集歐盟公民資料的任何地方的組織和義務進行強制執行來保護歐盟公民的資料。違反 GDPR 規定可能導致最高 2000 萬歐元的罰款。據《紐約時報》報道，谷歌因未向用戶妥善披露其如何在其服務（如谷歌搜尋引擎和地圖以及 YouTube 等服務）中收集資料而被罰款 5000 萬歐元。這筆罰款被認為是歐盟隱私法 (GDPR) 下的最高罰款之一。

處理歐盟公民資料的美國組織必須遵守一些 GDPR 合規性清單。

美國公司 GDPR 合規性清單

● 應該對歐盟個人資料進行資訊審計。

● 通知客戶處理其資料的理由。

● 評估資料處理活動並改進保護措施

● 資料控制者應確保與供應商之間存在資料處理協議。

● 尤其應由較大的組織任命指定的 資料保護官。

● 非歐盟組織需要在歐盟成員國之一任命一名代表。

● 應在發生資料洩露事件時瞭解職責。

● 組織應遵守跨境轉移法律。

GDPR 原則

1. 合法性

2. 公平和透明度

3. 目的限制

4. 資料最小化

5. 準確性

6. 儲存限制

7. 完整性和保密性以及問責制

迄今為止 GDPR 最高罰款

1. Meta

2022 年，Meta 因透過釋出電子郵件地址和電話號碼而違反兒童隱私而被罰款 4.05 億歐元。

2. Clearview AI Inc.

2022 年，一家名為 Clearview AI 的美國人工智慧公司因收集自拍並將其用於擴充套件其約 100 億張面孔的資料庫而被罰款 2000 萬歐元。該公司隨後將其身份驗證服務出售給包括執法部門在內的各個行業。

3. 谷歌

西班牙資料保護機構 AEDP 發現谷歌向 Lumen 專案提供了要求刪除其資料的歐盟個人資訊的訪問許可權後，對谷歌處以 1000 萬歐元的罰款。AEDP 發現谷歌的材料刪除表單（個人用來行使被遺忘權的表單）並不明確。

4. Rewe

2022 年，超市連鎖店 Rewe 因違反 GDPR 而被罰款 800 萬歐元。

參考文獻 ^{[1] [2]}

1. ↑ GDPR. (2023, January). General Data Protection Regulation. Retrieved from gdpr-info.edu: https://gdpr-info.eu/
2. ↑ McCarthy, N. (2023, January 31). The Biggest GDPR Fines of 2022. Retrieved from EQS Group: https://www.eqs.com/compliance-blog/biggest-gdpr-fines/