GDPR 與個資保護
Vibe Prompt
「幫我檢查這個應用是否違反 GDPR:收集使用者 Email、IP、瀏覽記錄,沒有取得明確同意。」
GDPR 七原則
| 原則 | 說明 | |------|------| | 合法性、公平性、透明性 | 告知使用者並取得同意 | | 目的限制 | 只收集特定目的所需的資料 | | 資料極小化 | 收集最少的必要資料 | | 正確性 | 資料必須正確且即時更新 | | 儲存限制 | 不超過必要時間 | | 完整性與機密性 | 適當的安全措施 | | 問責性 | 能證明合規 |
罰則
| 違規類型 | 最高罰款 | |---------|---------| | 一般違規 | 1000 萬歐元或年營收 2% | | 嚴重違規 | 2000 萬歐元或年營收 4% |
實作檢查清單
- [ ] Cookie Consent Banner
- [ ] 隱私權政策
- [ ] 資料處理記錄
- [ ] 使用者資料匯出功能
- [ ] 使用者刪除資料功能
- [ ] 資料外洩通知流程
- [ ] DPA(資料處理協議)
合規 API
// 使用者要求匯出資料
app.post('/api/export-data', async (req, res) => {
const user = await getUser(req.userId);
const data = {
profile: user,
orders: await getOrders(user.id),
activity: await getActivityLogs(user.id),
};
// 產生 JSON 檔案供下載
res.json(data);
});
// 使用者要求刪除資料
app.post('/api/delete-account', async (req, res) => {
await deleteUserData(req.userId);
await deleteAuthUser(req.userId);
res.json({ message: '帳號已完全刪除' });
});
課程總結
資安法規課程完成!
- ✅ GDPR 原則
- ✅ ISO 27001
- ✅ PCI DSS
- ✅ 合規檢查清單
- ✅ 實作合規 API
關鍵要點
GDPR 七大核心原則
| 原則 | 說明 | 實作方式 | |------|------|---------| | 合法性、公平性、透明性 | 必須有合法依據才能處理個資 | Cookie Consent Banner + 隱私權政策 | | 目的限制 | 只能為特定、明確的目的蒐集資料 | 在隱私權政策中明確列出用途 | | 資料最小化 | 只蒐集必要的資料 | 不要蒐集不需要的欄位 | | 正確性 | 資料必須正確且即時更新 | 提供使用者編輯個人資料的功能 | | 儲存限制 | 資料保留時間不得超過必要期限 | 設定資料自動刪除排程 | | 完整性與機密性 | 必須保護資料安全 | TLS + 加密 + 存取控制 | | 問責性 | 需證明遵守 GDPR | 保留資料處理紀錄 (DPA, ROPA) |
罰則
違反 GDPR 的最高罰款為 全球年營業額的 4% 或 2000 萬歐元(取其高者)。
實作檢查清單
- [ ] 加入 Cookie Consent Banner
- [ ] 撰寫隱私權政策
- [ ] 建立資料刪除 API
- [ ] 建立資料匯出 API
- [ ] 與 Supabase/AWS 簽署 DPA
- [ ] 資料外洩通報 SOP
為什麼 GDPR 跟你有關——即使你在台灣
很多人以為 GDPR 只跟歐洲公司有關。但 GDPR 具有域外效力——如果你的網站服務歐盟居民,或者你的網站可以從歐盟訪問,你就可能被 GDPR 管到。
違反 GDPR 的代價
- 最高罰款:全球年營業額的 4% 或 2000 萬歐元(取其高者)
- Meta 在 2023 年因違反 GDPR 被罰了 12 億歐元
- Amazon 在 2021 年被罰了 7.46 億歐元
但罰款不是唯一的風險——集體訴訟和聲譽損害往往更致命。
在台灣如何符合 GDPR?
| 要求 | 台灣做法 |
|:----:|---------|
| Cookie Consent | 加入 Cookie 橫幅,只在使用者同意後才載入第三方追蹤腳本 |
| 隱私權政策 | 清晰說明蒐集哪些資料、做什麼用、保留多久 |
| 資料刪除 API | 建立 DELETE /api/user/data 端點,讓使用者可以要求刪除資料 |
| 資料匯出 API | 建立 GET /api/user/data/export 端點,讓使用者下載自己的資料(JSON/CSV)|
| DPA (Data Processing Agreement) | 如果你用 Supabase/AWS/GCP 等第三方服務,需要簽署 DPA |
| 資料外洩通報 | 建立 Incident Response SOP,72 小時內通報 |
下一章預告:從 GDPR 到 ISO 27001
GDPR 是法規遵循的起點——它告訴你需要做什麼。下一章的 ISO 27001 則告訴你怎麼做——它是一套完整的資訊安全管理系統 (ISMS) 框架,讓你從「符合法規」進階到「建立制度」。