SlideShare una empresa de Scribd logo

[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

Jazz Yao-Tsung Wang
Jazz Yao-Tsung Wang

本文內容摘錄自「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」並加入中文翻譯 https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/

Internet
1 de 10
以下內容摘錄⾃ 「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」 https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/ • Regulation (法規)、Articles (條款,條⽂)、Recital (釋義) • Directive (⾏政命令?) • ePrivacy 是針對電⼦通訊相關的隱私資料保護, o ePrivacy Directive (officially known as the Privacy and Electronic Communications Directive, 2002/58/EC) o ePrivacy Regulation 還在⽴法過程中 GDPR Chapter 1 • 認識 GDPR 的三種角⾊ ! o DATA SUBJECT - 網站/廣告受眾 o DATA CONTROLLER - 網站主 o DATA PROCESSOR - 廣告平台 

Chapter 2 • GDPR 與 ePrivacy 的四⼤領域 • 從技術角度說明這兩個新法規對 AdTech 有何意義 
 2.1: 四⼤領域 (1) 個資 Personal Data 
 • 原本 AdTech / MarTech 廠商的隱私條款建⽴在「沒有蒐集並處理個資」(因為多數瀏覽 ⾏為都是匿名的狀態) • 個資 Personal Data • 匿名資料 Anonymous Data o 無法⽤來識別「⾃然⼈(natural person)」的資料 o 不受 GDPR 規範 (Recital 26 GDPR) • 化名資料 Pseudonymous Data o 透過雜湊(Hash)或加密⽅式處理過的資料 o Article 4 (5) GDPR • 敏感資料 Sensitive Data o 宗教信仰、種族、政治⽴場、交易會員、健康資訊、性⽣活、性取向 o 需要額外的保護 型態 個資 匿名資料 化名資料 裝置資 訊 IDFA 識別碼 Apple iPhone 7 hash(IDFA 識別碼) 電⼦郵 件 gdpr@example.com example.com hash(gdpr@example.com) 瀏覽⾏ 為 來源 IP 到訪數 500 次 hash(造訪歷 史,URL1,URL2,URL3) 地址 台北市XXX區XXX路 XXX號XX樓 郵遞區號 200 台北市 年齡 ⽣⽇ 1971-11-24 年齡區間 45-54 出⽣年 1971
• 數位廣告投放會踩到 GDPR 的個資 o Cookie IDs (visitor identifiers stored in cookies) o 位址 IP addresses o 裝置廣告識別碼 Device IDs o 裝置指紋 Device fingerprints • 蒐集以上個資必須採取「去識別化、化名」或「加密」的動作 
 2.2: 四⼤領域 (2) ⽤⼾同意與⽤⼾權益 User Consent and User Rights 
 — 2.2.1: ⽤⼾同意 User Consent 
 • ⽤⼾同意 User Consent o 網站主與廣告平台都需要載明「資料蒐集的⽬的、資料處理的流程、資料分享的 對象、資料保存的期限」 o 網站主在偵測到擋廣告軟體時,阻⽌訪客繼續讀取的做法是否違反,⽬前還狀況 不明。
 • 在 2018-05-25 ⽣效前,需要做的事情 o 對網站主來說:
 根據 GDPR Recital 171 ,過去⽤⼾同意的隱私權聲明,不能視為同意 GDPR 隱私 聲明,因此網站主(如電商平台)必須透過 e-mail (GDPR 認可的⽅式) 要求重新 同意使⽤歷史資料。 o 對廣告平台來說:
 因為是間接取得訪客個資(如 cookie matching),所以相對難解 GDPR 這個難 題,做法從⼤量刪除歷史資料到完全不做處理,後者可能會造成財務上的損失。 
 TODO 1 — [ ] 廣告平台必須盤點 DMP, DSP, SSP 資料庫中蒐集到的 Cookie, IP
• 對 網站主 (Publisher) 來說,取得⽤⼾同意的建議⽅式 o 使⽤Popup 對話框來詢問是否同意蒐集 ! o 依照 GDPR 的規範,徵求同意的內容必須包含以下幾項: ▪ (1) 網站主名稱 將與哪些 廣告平台名稱 共享資料 ▪ (2) 蒐集資料的⽬的 ▪ (3) 資料保存的期限 ▪ (4) 諮詢窗⼜與隱私聲明連結 ▪ (5) 不同意 或 (6) 同意 o 可能會有以下三種狀況 ▪ 取得「同意」 ▪ 取得「不同意」 ▪ 沒有取得回應(No answer given)→ 不可視為「同意」
! • 根據⽬前 ePrivacy 的草案,未來將不能再使⽤ Cookie wall 或 Cookie Banner 的⽅式
 「假定」使⽤者同意蒐集資料。 !
—— 2.2.1.1: 對程序化購買⽣態圈⽽⾔,取得⽤⼾同意是⼀個難題 User Consent via Browser Settings 
 • 對 網站主(Publisher) ⽽⾔,埋越多程式碼,因為不可能逐⼀詢問使⽤者的同意,因此 很容易違反隱私條款,所以他們最好跟 AdTech Partner 簽署「Data Processing Agreement (DPA)」。 • 網站主可能埋很多不同的追蹤碼,包括廣告 Ad、分析 Analytics、隱私 Privacy、追蹤 Tracker、Widget
 
 例如: https://trackermap.evidon.com/?token=9PIUW1 ! TMZ.com 埋了 425 個 Tag,有兩個回應速度⾼於 500ms
• 根據 PageFair 在 2017 年九⽉做的調查「what percentage will consent to tracking for advertising?」,如果網站主彈出以下視窗,有 79% 的調查受訪者認為訪客會選「不同 意」!! ! 
 —— 2.2.1.2: 基於瀏覽器設定來取得⽤⼾同意 User Consent via Browser Settings 
 • ⽬前 ePrivacy 法令草案第 20 條釋義 (Recital 20) 建議從「瀏覽器設定」著⼿,以便於解 決 網站主(Publisher) 蒐集使⽤者同意的技術困難點。然⽽,還沒有辦法確保各⼤瀏覽 器有辦法遵循此釋義。 

—— 2.2.1.3: 正當理由 Legitimate Interests 
 • 在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接⾏銷⽬的 (direct-marketing purposes)」,可構成正當理由 ( Legitimate Interests , 合法利益 ) ! • 因此線上廣告可視為「基於正當理由,在不徵求使⽤者同意的狀況下,蒐集並處理個資 (Ex. cookie,IP)」。但是不代表根據⽤⼾⾏為的「再⾏銷 (Retargeting)」是否同時適⽤此 釋義。
 • 此外,ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制⼀定要徵求使⽤者同意,舉 凡 cookie, IP 位址, GPS 座標,甚至 device fingerprint 等不正當追蹤使⽤者⾏為的技術, 都被視為嚴重侵犯使⽤者隱私權。 • 雖然許多廣告與⾏銷遊說團體希望能將正當理由放進 ePrivacy 法案,但⽬前來說在不徵 求同意的情形下,還是有蠻⾼的風險。 
 — 2.2.2: 使⽤者權益 User Right 
 • 依照 GDPR 第 59 條釋義,使⽤者有權要求公司在⼀個⽉內⾏使以下權益: o 被告知的權益 - The right to be informed o 諮詢的權利 - The right to be informed (現⾏個資法已包含) o 修正的權利 - The right to rectification o 刪除的權利 (被遺忘權) - The right to erasure = right to be forgotten o 限制資料處理的權利 - The right to restrict processing o 調閱的權利 - The right to data portability ( 結構化、通⽤、可供機器讀取的格式 ) o 反對的權利 - The right to object 

2.3: 四⼤領域 (3) 個資外洩 Data Breaches 
 • 定義:個資被不具授權的第三者讀取、複製或使⽤。 — GDRP 第 4 條 (12) 
 • 由於個資外洩已被視為無法避免,因此 GDPR 第 33 條規定必須在 72 ⼩時內通報
 「主管機關」(Supervisory Authority),也就是 principal EU regulator • 備註:GDPR 提到不需要告知使⽤者,如果已經對資料進⾏加密。 On a more positive note, the GDPR states that companies aren't required to inform data subjects about a breach if the appropriate technical and organizational protection measures, such as encryption, have been put in place and applied to the data. 
 2.4: 四⼤領域 (4) 個資保護 Data Protection by Design and by Default 
 1. 去識別化並對資料做加密 2. data minimization - 只存必要資訊 3. 不要蒐集不必要的裝置資訊 4. 定義 Data Protection Impact Assessment (DPIA) 
 Chapter 3 
 Tier 1 
 • 罰 Max( ⼀千萬歐元 , 2% 全球年營業額 ) 如果違反以下條款: o GDPR 第 8 條 - 跟兒童取得同意使⽤其資料 o GDPR 第 11 條 - 不正當對資料進⾏處理 o GDPR 第 39 條 - 沒設⽴資料保護長 (data-protection officer, DPO) o GDPR 第 41, 42, 43 條 o GDPR 第 25 條 - 沒做資料保護 ( Data protection by design and by default ) 

Tier 2 
 • 罰 Max( ⼆千萬歐元 , 4% 全球年營業額 ) 如果違反以下條款: o GDPR 第 7 條 - 違反使⽤者同意的條件 o GDPR 第 9 條 - 處理敏感個資 o GDPR 第 12~22 條 - 違反使⽤者權益 o GDPR 第 44~49 條 - 將資料轉予第三國


Recomendados

十分钟解读GDPR
十分钟解读GDPR十分钟解读GDPR
十分钟解读GDPR
Joshua(Fanghua) Yu
 
機密圖檔與敏感資料庫資料防洩漏方案
機密圖檔與敏感資料庫資料防洩漏方案機密圖檔與敏感資料庫資料防洩漏方案
機密圖檔與敏感資料庫資料防洩漏方案
道成資訊股份有限公司
 
Digital identitymgmt 1704132309
Digital identitymgmt 1704132309Digital identitymgmt 1704132309
Digital identitymgmt 1704132309
Chang Yie
 
GDPR (General Data Protection Regulation)
GDPR (General Data Protection Regulation)GDPR (General Data Protection Regulation)
GDPR (General Data Protection Regulation)
Collaborator
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
Yi-Feng Tzeng
 
數位身份識別發展建議與工研院實務經驗分享
數位身份識別發展建議與工研院實務經驗分享數位身份識別發展建議與工研院實務經驗分享
數位身份識別發展建議與工研院實務經驗分享
legislative yuan
 
20120818 final
20120818 final20120818 final
20120818 final
Florence T.M. Ko
 
電腦倫理與社會
電腦倫理與社會電腦倫理與社會
電腦倫理與社會
bucheng
 

Recomendados

十分钟解读GDPR
十分钟解读GDPR十分钟解读GDPR
十分钟解读GDPR
Joshua(Fanghua) Yu
 
機密圖檔與敏感資料庫資料防洩漏方案
機密圖檔與敏感資料庫資料防洩漏方案機密圖檔與敏感資料庫資料防洩漏方案
機密圖檔與敏感資料庫資料防洩漏方案
道成資訊股份有限公司
 
Digital identitymgmt 1704132309
Digital identitymgmt 1704132309Digital identitymgmt 1704132309
Digital identitymgmt 1704132309
Chang Yie
 
GDPR (General Data Protection Regulation)
GDPR (General Data Protection Regulation)GDPR (General Data Protection Regulation)
GDPR (General Data Protection Regulation)
Collaborator
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
Yi-Feng Tzeng
 
數位身份識別發展建議與工研院實務經驗分享
數位身份識別發展建議與工研院實務經驗分享數位身份識別發展建議與工研院實務經驗分享
數位身份識別發展建議與工研院實務經驗分享
legislative yuan
 
20120818 final
20120818 final20120818 final
20120818 final
Florence T.M. Ko
 
電腦倫理與社會
電腦倫理與社會電腦倫理與社會
電腦倫理與社會
bucheng
 
電腦倫理與社會
電腦倫理與社會電腦倫理與社會
電腦倫理與社會
bucheng
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
Wales Chen
 
Fiddler使用技巧
Fiddler使用技巧Fiddler使用技巧
Fiddler使用技巧
明 李
 
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
Yi-Feng Tzeng
 
P3P隱私權與第三方權限
P3P隱私權與第三方權限P3P隱私權與第三方權限
P3P隱私權與第三方權限
Fay Chen
 
Cloud ecosystem and compliance requirement
Cloud ecosystem and compliance requirementCloud ecosystem and compliance requirement
Cloud ecosystem and compliance requirement
EmilyWang166
 
数据库加密实现数据安全
数据库加密实现数据安全数据库加密实现数据安全
数据库加密实现数据安全
wensheng wei
 
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
August Lin
 

Más contenido relacionado

Similar a [筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

電腦倫理與社會
電腦倫理與社會電腦倫理與社會
電腦倫理與社會
bucheng
 
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
Yi-Feng Tzeng
 
数据库加密实现数据安全
数据库加密实现数据安全数据库加密实现数据安全
数据库加密实现数据安全
wensheng wei
 

Similar a [筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響 (8)

電腦倫理與社會
電腦倫理與社會電腦倫理與社會
電腦倫理與社會
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
 
Fiddler使用技巧
Fiddler使用技巧Fiddler使用技巧
Fiddler使用技巧
 
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
[BizLePro] 主題講座 #7:商業利用怎麼行? - 從開源授權十個常見 FAQ 來了解
 
P3P隱私權與第三方權限
P3P隱私權與第三方權限P3P隱私權與第三方權限
P3P隱私權與第三方權限
 
Cloud ecosystem and compliance requirement
Cloud ecosystem and compliance requirementCloud ecosystem and compliance requirement
Cloud ecosystem and compliance requirement
 
数据库加密实现数据安全
数据库加密实现数据安全数据库加密实现数据安全
数据库加密实现数据安全
 
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
 

[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

  • 1. 以下內容摘錄⾃ 「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」 https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/ • Regulation (法規)、Articles (條款,條⽂)、Recital (釋義) • Directive (⾏政命令?) • ePrivacy 是針對電⼦通訊相關的隱私資料保護, o ePrivacy Directive (officially known as the Privacy and Electronic Communications Directive, 2002/58/EC) o ePrivacy Regulation 還在⽴法過程中 GDPR Chapter 1 • 認識 GDPR 的三種角⾊ ! o DATA SUBJECT - 網站/廣告受眾 o DATA CONTROLLER - 網站主 o DATA PROCESSOR - 廣告平台 

  • 2. Chapter 2 • GDPR 與 ePrivacy 的四⼤領域 • 從技術角度說明這兩個新法規對 AdTech 有何意義 
 2.1: 四⼤領域 (1) 個資 Personal Data 
 • 原本 AdTech / MarTech 廠商的隱私條款建⽴在「沒有蒐集並處理個資」(因為多數瀏覽 ⾏為都是匿名的狀態) • 個資 Personal Data • 匿名資料 Anonymous Data o 無法⽤來識別「⾃然⼈(natural person)」的資料 o 不受 GDPR 規範 (Recital 26 GDPR) • 化名資料 Pseudonymous Data o 透過雜湊(Hash)或加密⽅式處理過的資料 o Article 4 (5) GDPR • 敏感資料 Sensitive Data o 宗教信仰、種族、政治⽴場、交易會員、健康資訊、性⽣活、性取向 o 需要額外的保護 型態 個資 匿名資料 化名資料 裝置資 訊 IDFA 識別碼 Apple iPhone 7 hash(IDFA 識別碼) 電⼦郵 件 gdpr@example.com example.com hash(gdpr@example.com) 瀏覽⾏ 為 來源 IP 到訪數 500 次 hash(造訪歷 史,URL1,URL2,URL3) 地址 台北市XXX區XXX路 XXX號XX樓 郵遞區號 200 台北市 年齡 ⽣⽇ 1971-11-24 年齡區間 45-54 出⽣年 1971
  • 3. • 數位廣告投放會踩到 GDPR 的個資 o Cookie IDs (visitor identifiers stored in cookies) o 位址 IP addresses o 裝置廣告識別碼 Device IDs o 裝置指紋 Device fingerprints • 蒐集以上個資必須採取「去識別化、化名」或「加密」的動作 
 2.2: 四⼤領域 (2) ⽤⼾同意與⽤⼾權益 User Consent and User Rights 
 — 2.2.1: ⽤⼾同意 User Consent 
 • ⽤⼾同意 User Consent o 網站主與廣告平台都需要載明「資料蒐集的⽬的、資料處理的流程、資料分享的 對象、資料保存的期限」 o 網站主在偵測到擋廣告軟體時,阻⽌訪客繼續讀取的做法是否違反,⽬前還狀況 不明。
 • 在 2018-05-25 ⽣效前,需要做的事情 o 對網站主來說:
 根據 GDPR Recital 171 ,過去⽤⼾同意的隱私權聲明,不能視為同意 GDPR 隱私 聲明,因此網站主(如電商平台)必須透過 e-mail (GDPR 認可的⽅式) 要求重新 同意使⽤歷史資料。 o 對廣告平台來說:
 因為是間接取得訪客個資(如 cookie matching),所以相對難解 GDPR 這個難 題,做法從⼤量刪除歷史資料到完全不做處理,後者可能會造成財務上的損失。 
 TODO 1 — [ ] 廣告平台必須盤點 DMP, DSP, SSP 資料庫中蒐集到的 Cookie, IP
  • 4. • 對 網站主 (Publisher) 來說,取得⽤⼾同意的建議⽅式 o 使⽤Popup 對話框來詢問是否同意蒐集 ! o 依照 GDPR 的規範,徵求同意的內容必須包含以下幾項: ▪ (1) 網站主名稱 將與哪些 廣告平台名稱 共享資料 ▪ (2) 蒐集資料的⽬的 ▪ (3) 資料保存的期限 ▪ (4) 諮詢窗⼜與隱私聲明連結 ▪ (5) 不同意 或 (6) 同意 o 可能會有以下三種狀況 ▪ 取得「同意」 ▪ 取得「不同意」 ▪ 沒有取得回應(No answer given)→ 不可視為「同意」
  • 5. ! • 根據⽬前 ePrivacy 的草案,未來將不能再使⽤ Cookie wall 或 Cookie Banner 的⽅式
 「假定」使⽤者同意蒐集資料。 !
  • 6. —— 2.2.1.1: 對程序化購買⽣態圈⽽⾔,取得⽤⼾同意是⼀個難題 User Consent via Browser Settings 
 • 對 網站主(Publisher) ⽽⾔,埋越多程式碼,因為不可能逐⼀詢問使⽤者的同意,因此 很容易違反隱私條款,所以他們最好跟 AdTech Partner 簽署「Data Processing Agreement (DPA)」。 • 網站主可能埋很多不同的追蹤碼,包括廣告 Ad、分析 Analytics、隱私 Privacy、追蹤 Tracker、Widget
 
 例如: https://trackermap.evidon.com/?token=9PIUW1 ! TMZ.com 埋了 425 個 Tag,有兩個回應速度⾼於 500ms
  • 7. • 根據 PageFair 在 2017 年九⽉做的調查「what percentage will consent to tracking for advertising?」,如果網站主彈出以下視窗,有 79% 的調查受訪者認為訪客會選「不同 意」!! ! 
 —— 2.2.1.2: 基於瀏覽器設定來取得⽤⼾同意 User Consent via Browser Settings 
 • ⽬前 ePrivacy 法令草案第 20 條釋義 (Recital 20) 建議從「瀏覽器設定」著⼿,以便於解 決 網站主(Publisher) 蒐集使⽤者同意的技術困難點。然⽽,還沒有辦法確保各⼤瀏覽 器有辦法遵循此釋義。 

  • 8. —— 2.2.1.3: 正當理由 Legitimate Interests 
 • 在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接⾏銷⽬的 (direct-marketing purposes)」,可構成正當理由 ( Legitimate Interests , 合法利益 ) ! • 因此線上廣告可視為「基於正當理由,在不徵求使⽤者同意的狀況下,蒐集並處理個資 (Ex. cookie,IP)」。但是不代表根據⽤⼾⾏為的「再⾏銷 (Retargeting)」是否同時適⽤此 釋義。
 • 此外,ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制⼀定要徵求使⽤者同意,舉 凡 cookie, IP 位址, GPS 座標,甚至 device fingerprint 等不正當追蹤使⽤者⾏為的技術, 都被視為嚴重侵犯使⽤者隱私權。 • 雖然許多廣告與⾏銷遊說團體希望能將正當理由放進 ePrivacy 法案,但⽬前來說在不徵 求同意的情形下,還是有蠻⾼的風險。 
 — 2.2.2: 使⽤者權益 User Right 
 • 依照 GDPR 第 59 條釋義,使⽤者有權要求公司在⼀個⽉內⾏使以下權益: o 被告知的權益 - The right to be informed o 諮詢的權利 - The right to be informed (現⾏個資法已包含) o 修正的權利 - The right to rectification o 刪除的權利 (被遺忘權) - The right to erasure = right to be forgotten o 限制資料處理的權利 - The right to restrict processing o 調閱的權利 - The right to data portability ( 結構化、通⽤、可供機器讀取的格式 ) o 反對的權利 - The right to object 

  • 9. 2.3: 四⼤領域 (3) 個資外洩 Data Breaches 
 • 定義:個資被不具授權的第三者讀取、複製或使⽤。 — GDRP 第 4 條 (12) 
 • 由於個資外洩已被視為無法避免,因此 GDPR 第 33 條規定必須在 72 ⼩時內通報
 「主管機關」(Supervisory Authority),也就是 principal EU regulator • 備註:GDPR 提到不需要告知使⽤者,如果已經對資料進⾏加密。 On a more positive note, the GDPR states that companies aren't required to inform data subjects about a breach if the appropriate technical and organizational protection measures, such as encryption, have been put in place and applied to the data. 
 2.4: 四⼤領域 (4) 個資保護 Data Protection by Design and by Default 
 1. 去識別化並對資料做加密 2. data minimization - 只存必要資訊 3. 不要蒐集不必要的裝置資訊 4. 定義 Data Protection Impact Assessment (DPIA) 
 Chapter 3 
 Tier 1 
 • 罰 Max( ⼀千萬歐元 , 2% 全球年營業額 ) 如果違反以下條款: o GDPR 第 8 條 - 跟兒童取得同意使⽤其資料 o GDPR 第 11 條 - 不正當對資料進⾏處理 o GDPR 第 39 條 - 沒設⽴資料保護長 (data-protection officer, DPO) o GDPR 第 41, 42, 43 條 o GDPR 第 25 條 - 沒做資料保護 ( Data protection by design and by default ) 

  • 10. Tier 2 
 • 罰 Max( ⼆千萬歐元 , 4% 全球年營業額 ) 如果違反以下條款: o GDPR 第 7 條 - 違反使⽤者同意的條件 o GDPR 第 9 條 - 處理敏感個資 o GDPR 第 12~22 條 - 違反使⽤者權益 o GDPR 第 44~49 條 - 將資料轉予第三國