跨域資安強化產業推動計畫網站 ACW

2018-09-26

你是否收過罐頭簡訊呢?或是因接到行銷和詐騙電話而感到不堪其擾呢?當在使用社群網站時也曾好奇個人資料是否有被任意分享或販賣給第三方嗎？
如果想知道自己分享的個人資料如何被企業處理與合理使用，那麼就一定要了解GDPR所保護的個人資料有什麼內容。同時，企業也應該對於GDPR所保護的個人資料有所了解，才能夠有效地界定個人資料範圍，以利資源的配置與個人資料保護工作的進行。

作者：資策會科法所／本計畫整理

======

首先，讓我們先來從GDPR第4條條文中了解「個人資料」如何定義：

GDPR §4(1)

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

GDPR定義的「個人資料」是指有關識別或可得識別自然人(或有稱資料當事人或資料主體）之任何資料。其中，可得識別自然人之資訊乃是指可以用來直接或間接地識別該自然人之任何資訊。

而在第9條中也指出對「特種個人資料」的使用作了嚴格規範：

GDPR §9

Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited....(後略)

「特種個人資料」包含了與種族或人種、政治意見、宗教或哲學信仰、基因資料、可用以識別自然人之生物特徵資料、與健康相關或與自然人之性生活或性傾向等有關之資料，GDPR對於此類資料之蒐集、處理、利用，採取較嚴格之規定，原則上不可以，除非有GDPR所定之各項情形資料才能被蒐集、處理與利用。

所以正如30條所述只要是任何與自然人或資料當事人有關，可用於直接或間接識別個人的資料，例如：姓名、照片、電話號碼、電子郵件地址、銀行訊息，社交網站上的發言、醫療紀錄、電腦IP位址、cookies、種族、性傾向、犯罪紀錄或其他資料等，都有可能被定義為個人資料而受到GDPR的保護。

GDPR recital §30

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

若想更了解GDPR，可至以下網站閱讀更多資訊：

 General Data Protection Regulation 2016/679

 EU GDPR Information Portal，GDPR FAQs

回上頁回首頁

GDPR「個人資料」規範，有效界定自身權益與企業責任