GDPR 與個資保護

Vibe Prompt

「幫我檢查這個應用是否違反 GDPR:收集使用者 Email、IP、瀏覽記錄,沒有取得明確同意。」

GDPR 七原則

| 原則 | 說明 | |------|------| | 合法性、公平性、透明性 | 告知使用者並取得同意 | | 目的限制 | 只收集特定目的所需的資料 | | 資料極小化 | 收集最少的必要資料 | | 正確性 | 資料必須正確且即時更新 | | 儲存限制 | 不超過必要時間 | | 完整性與機密性 | 適當的安全措施 | | 問責性 | 能證明合規 |

罰則

| 違規類型 | 最高罰款 | |---------|---------| | 一般違規 | 1000 萬歐元或年營收 2% | | 嚴重違規 | 2000 萬歐元或年營收 4% |

實作檢查清單

  • [ ] Cookie Consent Banner
  • [ ] 隱私權政策
  • [ ] 資料處理記錄
  • [ ] 使用者資料匯出功能
  • [ ] 使用者刪除資料功能
  • [ ] 資料外洩通知流程
  • [ ] DPA(資料處理協議)

合規 API

// 使用者要求匯出資料
app.post('/api/export-data', async (req, res) => {
  const user = await getUser(req.userId);
  const data = {
    profile: user,
    orders: await getOrders(user.id),
    activity: await getActivityLogs(user.id),
  };
  // 產生 JSON 檔案供下載
  res.json(data);
});

// 使用者要求刪除資料
app.post('/api/delete-account', async (req, res) => {
  await deleteUserData(req.userId);
  await deleteAuthUser(req.userId);
  res.json({ message: '帳號已完全刪除' });
});

課程總結

資安法規課程完成!

  • ✅ GDPR 原則
  • ✅ ISO 27001
  • ✅ PCI DSS
  • ✅ 合規檢查清單
  • ✅ 實作合規 API

關鍵要點

GDPR 七大核心原則

| 原則 | 說明 | 實作方式 | |------|------|---------| | 合法性、公平性、透明性 | 必須有合法依據才能處理個資 | Cookie Consent Banner + 隱私權政策 | | 目的限制 | 只能為特定、明確的目的蒐集資料 | 在隱私權政策中明確列出用途 | | 資料最小化 | 只蒐集必要的資料 | 不要蒐集不需要的欄位 | | 正確性 | 資料必須正確且即時更新 | 提供使用者編輯個人資料的功能 | | 儲存限制 | 資料保留時間不得超過必要期限 | 設定資料自動刪除排程 | | 完整性與機密性 | 必須保護資料安全 | TLS + 加密 + 存取控制 | | 問責性 | 需證明遵守 GDPR | 保留資料處理紀錄 (DPA, ROPA) |

罰則

違反 GDPR 的最高罰款為 全球年營業額的 4% 或 2000 萬歐元(取其高者)。

實作檢查清單

  • [ ] 加入 Cookie Consent Banner
  • [ ] 撰寫隱私權政策
  • [ ] 建立資料刪除 API
  • [ ] 建立資料匯出 API
  • [ ] 與 Supabase/AWS 簽署 DPA
  • [ ] 資料外洩通報 SOP

為什麼 GDPR 跟你有關——即使你在台灣

很多人以為 GDPR 只跟歐洲公司有關。但 GDPR 具有域外效力——如果你的網站服務歐盟居民,或者你的網站可以從歐盟訪問,你就可能被 GDPR 管到。

違反 GDPR 的代價

  • 最高罰款:全球年營業額的 4% 或 2000 萬歐元(取其高者)
  • Meta 在 2023 年因違反 GDPR 被罰了 12 億歐元
  • Amazon 在 2021 年被罰了 7.46 億歐元

但罰款不是唯一的風險——集體訴訟聲譽損害往往更致命。

在台灣如何符合 GDPR?

| 要求 | 台灣做法 | |:----:|---------| | Cookie Consent | 加入 Cookie 橫幅,只在使用者同意後才載入第三方追蹤腳本 | | 隱私權政策 | 清晰說明蒐集哪些資料、做什麼用、保留多久 | | 資料刪除 API | 建立 DELETE /api/user/data 端點,讓使用者可以要求刪除資料 | | 資料匯出 API | 建立 GET /api/user/data/export 端點,讓使用者下載自己的資料(JSON/CSV)| | DPA (Data Processing Agreement) | 如果你用 Supabase/AWS/GCP 等第三方服務,需要簽署 DPA | | 資料外洩通報 | 建立 Incident Response SOP,72 小時內通報 |

下一章預告:從 GDPR 到 ISO 27001

GDPR 是法規遵循的起點——它告訴你需要做什麼。下一章的 ISO 27001 則告訴你怎麼做——它是一套完整的資訊安全管理系統 (ISMS) 框架,讓你從「符合法規」進階到「建立制度」。

會員專屬免費教學

本章節為註冊會員專屬的免費開放內容!請先登入或註冊會員,即可立即解鎖閱讀。

立即登入 / 註冊