GDPR 與個資保護
Vibe Prompt
「幫我檢查這個應用是否違反 GDPR:收集使用者 Email、IP、瀏覽記錄,沒有取得明確同意。」
GDPR 七原則
| 原則 | 說明 | |------|------| | 合法性、公平性、透明性 | 告知使用者並取得同意 | | 目的限制 | 只收集特定目的所需的資料 | | 資料極小化 | 收集最少的必要資料 | | 正確性 | 資料必須正確且即時更新 | | 儲存限制 | 不超過必要時間 | | 完整性與機密性 | 適當的安全措施 | | 問責性 | 能證明合規 |
罰則
| 違規類型 | 最高罰款 | |---------|---------| | 一般違規 | 1000 萬歐元或年營收 2% | | 嚴重違規 | 2000 萬歐元或年營收 4% |
實作檢查清單
- [ ] Cookie Consent Banner
- [ ] 隱私權政策
- [ ] 資料處理記錄
- [ ] 使用者資料匯出功能
- [ ] 使用者刪除資料功能
- [ ] 資料外洩通知流程
- [ ] DPA(資料處理協議)
合規 API
// 使用者要求匯出資料
app.post('/api/export-data', async (req, res) => {
const user = await getUser(req.userId);
const data = {
profile: user,
orders: await getOrders(user.id),
activity: await getActivityLogs(user.id),
};
// 產生 JSON 檔案供下載
res.json(data);
});
// 使用者要求刪除資料
app.post('/api/delete-account', async (req, res) => {
await deleteUserData(req.userId);
await deleteAuthUser(req.userId);
res.json({ message: '帳號已完全刪除' });
});
課程總結
資安法規課程完成!
- ✅ GDPR 原則
- ✅ ISO 27001
- ✅ PCI DSS
- ✅ 合規檢查清單
- ✅ 實作合規 API