詳細解讀 GDPR 的資料保護原則，第二部分：目的限制與資料最小化

近來您的收件匣想必出現了許多註明「我們已更新隱私權聲明」的電子郵件，可想而知，我們也必須遵守 GDPR。

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說，從現在起，全球舉凡需收集歐盟居民個人資料的公司行號，在處理這些個人資料時皆須更加謹慎，必須保障這類資訊的安全與隱私。同時，這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中，我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係，以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

在第一篇文章中，我們介紹了 GDPR 的基本概念，包括何謂 GDPR、GDPR 的重點，以及 GDPR 所影響的對象；此外，我們也探討了資料保護的第一條原則：有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題，繼續介紹第二條和第三條原則：目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則，收集個人資料時必須「秉持具體、明確且正當的目的為之，如需進一步處理，處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為，一概不得「背離其原始目的」。

簡而言之，意思是要有正當、合法的目的才能收集和處理使用者資料，再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料，可能就違反了 GDPR 規定。同理可證，倘若您為了某個特定目的而收集並處理資料，就不能為了其他不相關的目的處理該項資料。例如，依據 GDPR 的規定，若收集資料的目的是為了研究，就不能為了行銷目的而處理及出售該項資料。 

依據 GDPR 的規定，個人資料是指資料本身或合併處理者可能取得的其他資料後，能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等，全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞，Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會，在議員面前作證；這樁醜聞讓世人得知，英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料，鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準，Cambridge Analytica 和 Facebook 會面臨鉅額罰金，最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程，其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則，舉凡所收集到的個人資料，皆須「適當、相關，且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關，不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是，從收集到處理、儲存與使用，舉凡資料生命週期當中的每一個階段，皆須採行資料最小化流程及規定，才算遵守 GDPR。在這個流程當中的每一個環節，您都要捫心自問：我們真的需要這項資料嗎？如果答案是否定的，就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外，要做到資料最小化，您就需要思考打算儲存特定資料多久。例如，若需要資料的目的是用於一項將會持續七週的專案，則在專案結案後、不再需要該項資料時，您就必須刪除資料。目前業界的慣例是保留一切資料，以防不時之需。敬請注意：這種慣例違反 GDPR。

為遵守 GDPR，收集資料之前請先自問以下問題：

• 我會如何運用這項資料？
• 如果不收集這項資料，我能達成目標嗎？
• 我需要儲存這項資料多久，才能達成目標？

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料，就必須遵守一般資料保護規範 (GDPR)。有鑑於此，最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。 

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案，能夠透過許多方式協助貴公司遵守 GDPR。 

MOVEit 就是一套以表單為主的解決方案，讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業，以利追蹤資料的去向、使用者，以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期，因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能，您可以深入洞悉檔案傳輸活動的各項資訊，由始至終嚴格遵守 GDPR 的資料保護原則。 

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能，不但能與既有資安系統整合，也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源，進一步瞭解 GDPR 及其象徵含義。

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

另請觀看這部快速簡介七項資料原則的影片