GDPR 與個資保護

Vibe Prompt

「幫我檢查這個應用是否違反 GDPR:收集使用者 Email、IP、瀏覽記錄,沒有取得明確同意。」

GDPR 七原則

| 原則 | 說明 | |------|------| | 合法性、公平性、透明性 | 告知使用者並取得同意 | | 目的限制 | 只收集特定目的所需的資料 | | 資料極小化 | 收集最少的必要資料 | | 正確性 | 資料必須正確且即時更新 | | 儲存限制 | 不超過必要時間 | | 完整性與機密性 | 適當的安全措施 | | 問責性 | 能證明合規 |

罰則

| 違規類型 | 最高罰款 | |---------|---------| | 一般違規 | 1000 萬歐元或年營收 2% | | 嚴重違規 | 2000 萬歐元或年營收 4% |

實作檢查清單

  • [ ] Cookie Consent Banner
  • [ ] 隱私權政策
  • [ ] 資料處理記錄
  • [ ] 使用者資料匯出功能
  • [ ] 使用者刪除資料功能
  • [ ] 資料外洩通知流程
  • [ ] DPA(資料處理協議)

合規 API

// 使用者要求匯出資料
app.post('/api/export-data', async (req, res) => {
  const user = await getUser(req.userId);
  const data = {
    profile: user,
    orders: await getOrders(user.id),
    activity: await getActivityLogs(user.id),
  };
  // 產生 JSON 檔案供下載
  res.json(data);
});

// 使用者要求刪除資料
app.post('/api/delete-account', async (req, res) => {
  await deleteUserData(req.userId);
  await deleteAuthUser(req.userId);
  res.json({ message: '帳號已完全刪除' });
});

課程總結

資安法規課程完成!

  • ✅ GDPR 原則
  • ✅ ISO 27001
  • ✅ PCI DSS
  • ✅ 合規檢查清單
  • ✅ 實作合規 API

會員專屬免費教學

本章節為註冊會員專屬的免費開放內容!請先登入或註冊會員,即可立即解鎖閱讀。

立即登入 / 註冊