跳至主要內容
>_ITDITD網站資安平台

名詞解釋

什麼是 GDPR——歐盟的資料保護規則,以及外洩時的通知義務

GDPR(歐盟一般資料保護規則)是保護歐盟境內人們個人資料的全面性法律。本文說明它適用於誰、要求什麼——資料最小化、同意、外洩通知、高額罰款——以及防禦的基本功:只蒐集並持有你真正需要的個人資料。

發布於 2026-07-04 更新於 2026-07-04 閱讀時間 1 分鐘

如果你服務歐盟使用者,GDPR 就是該留意的個人資料法律。以下以技術/維運的措辭,整理它的要點與防禦的基本功——不談攻擊手法。

它要求什麼

比起法律的細節,請掌握真正能作為防禦運作的維運支柱。

1

別蒐集、別持有(資料最小化)

只蒐集並保留你的目的所需的最少個人資料。你不持有的資料無從外洩——這是最強的防禦。不再需要時就刪除它。

2

加以保護(加密、存取控制)

加密個人資料,並透過授權把它縮小到「只有可以碰的人」。讓機密遠離公開面(→ 別把機密放進公開目錄)。

3

偵測與通報(72 小時規則)

快速偵測外洩,並保留能追查其影響的紀錄。準備好在約 72 小時內通知主管機關。沒有偵測,你就無法履行這項義務。

「與我無關」不是個安全的假設

只要業者向歐盟境內的人們提供商品/服務或監控其行為,GDPR 就可能不論業者位於何處都適用。如果你服務歐盟使用者、或處理他們的個人資料,「我們不是歐盟公司」並不會讓它變得與你無關。務實的起點,是盤點你持有哪些個人資料、以及為什麼持有。

本站觀點:合規與防禦指向同一個方向

GDPR 的要求,與本站所倡導的防禦指向同一個方向最小化個人資料、加密它、以授權縮小範圍、並能夠偵測與記錄外洩。這不只是為了法律——它就是減少事故的基本做法。把法規當成「對你防禦的再確認」而非「額外負擔」,才是小規模營運務實的態度。

接下來閱讀

出處

FAQ

QGDPR 適用於歐盟以外的業者嗎?
A

可能適用。只要業者向歐盟境內的人們提供商品或服務,或監控他們的行為,GDPR 就可能不論業者位於何處都適用。如果你服務歐盟使用者、或處理他們的個人資料,你可能就在適用範圍內——「我們不是歐盟公司」不會自動代表「與我無關」。

QGDPR 在技術上要掌握的重點是什麼?
A

大致上:(1) 取得合法依據(如同意)並說明明確目的;(2) 只蒐集並持有所需的最少資料(資料最小化);(3) 以加密與存取控制保護個人資料;(4) 能夠回應存取/刪除的請求;(5) 能夠快速偵測外洩,並原則上在 72 小時內通知主管機關。

Q如果發生外洩,我該怎麼辦?
A

在 GDPR 之下,你在得知個人資料外洩後,原則上須在 72 小時內通知監督機關(有時也須通知受影響的當事人)。這正是為什麼你需要能夠快速偵測事故、並有紀錄能追查其範圍。沒有偵測與紀錄,你連通知義務都無法履行。