通用資料保護規則 (GDPR)

 

■ 何謂GDPR?


「通用資料保護規則」(General Data Protection Regulation,簡稱GDPR)為歐洲聯盟(European Union,簡稱EU)於2016年制定,並於2018年5月正式之法規,其目的在於保護歐盟境內自然人(即為資料主體)的個人資料,強化個資當事人之權利。

 

GDPR將「個人可識別資訊」(Personally Identifiable Information,簡稱PII)的範圍擴大,凡可直接或間接識別任何與資料主體相關的資料,像是姓名、身分字號、地址乃至生理、心理、經濟情況、文化或社會地位等資料,皆屬GDPR所認定個資保護範圍。

同時,GDPR的適用範圍擴大,凡符合以下條件的機構,皆適用GDPR規範:
1. 設立於歐盟境內者;
2. 非設立於歐盟境內,但對歐盟境內資料主體提供商品或服務,或進行行為監控者;
3. 非設立於歐盟境內,但根據成員國法律適用國際公法之資料控制者。

除了以上個資範圍以及適用範圍外,GDPR還有以下重點:
1. 企業應置資料保護長,並負擔法律責任;
2. 個資的蒐集、處理、利用應徵求當事人同意;
3. 當個資外洩時,應於72小時內通報資料保護主管機關;
4. 個資保護系統應納入隱私保護機制;
5. 當事人得反對被自動化剖析之權利;
6. 企業應落實資料保護影響評估;
7. 罰則金額提高。

 

■ GDPR對ICANN的影響/關係


GDPR之所以讓ICANN及其社群如此緊張,乃至在短時間內批准「臨時規範 」的原因,即是因為WHOIS公開資料庫義務與GDPR相牴觸:依GDPR之規定,註冊人資料應維持完整與保密,防止第三方未經授權或非法處理;然ICANN要求WHOIS上的註冊人資料應完整公開。

為解決WHOIS公開資料庫建置義務與GDPR施行之衝突問題,ICANN董事會於2018年5月17日批准「臨時規範」,並在同年6月17日「通用名稱支援組織」(Generic Names Supporting Organization,簡稱GNSO)理事會徵求志願者組成團隊​​,啟動「gTLD註冊資料臨時條款快速政策制定流程」(Expedited Policy Development Process on the Temporary Specification for gTLD Registration Data,簡稱「EPDP」),制定新的WHOIS註冊資料管理政策以取代臨時政策。目前EPDP團隊已經進行三階段的政策制定流程,分別為Phase 1Phase 2以及Phase 2A,詳細整體EPDP進行歷程如下: