筆記差異

GDPR (General Data Protection Regulation)

  • 歐盟推動,2018年5月25日正式實施
  • 史上最嚴格個資法的「一般資料保護規則」(General Data Protection Regulation,GDPR)
  • 管轄較廣泛,包含所有蒐集與處理歐盟居民或公民資料的營利事業
  • 主管機關 : 由歐盟各國資料保護主管機關負責相關業務,並具有調查的權力
  • 定義個人資料(personal data)為「指能夠識別(直接或間接)或者足以識別自然人〔或資料主體(data subject)〕個人資料的任何相關資訊」,例如
    • 身分證字號、定位資料
    • 或任何涉及自然人個別的生理、心理、精神、遺傳基因、社會文化認同、政治思想、經濟地位等不同形式的資料

CCPA (California Consumer Privacy Act)

  • CCPA是美國加州推動,2020年1月1日生效

  • 管轄「以營利目的處理個人資料的企業」,具體的管轄條件為

    • 處理加州居民個人資料的實體
    • 該實體以營利為目的並滿足以下一個或多個條件:
      1. 年度總收入超過2,500萬美元
      2. 每年獨自或與他人聯合,為商業目的購買、出售、分享 50,000筆 以上消費者、家庭或設備的個人資料;
      3. 高於50%的年收入來自於出售消費者個人資料。

  • 主管機關 : 加州總檢察長負責啟動調查與起訴

  • 個資定義為「識別、關聯、敘述、能夠合理與特定消費者或家庭直接或間接關聯的資訊」,例如

    • 真實姓名、別名、郵寄地址
    • 特殊個人辨識字(unique personal identifier)、IP位址、電子郵件、帳戶名稱、社會安全號碼(Social Security number)、駕照號碼、護照號碼,或其他類似的識別號碼
    • 特別的是 “帳戶名稱”

  • CCPA的定義較為廣泛,納入了家庭

  • CCPA的定義中,公開資訊並不被視為個人資訊

GDPR/CCPA 共同點 : 兩個法案最大的共通點則是,皆只保護自然人,不包含法人

PCI-DSS

  • Payment Card Industry Data Security Standards,(簡稱PCI DSS)
  • 支付卡行業 (PCI) 資料安全標準 (DSS) 是一個全球資訊安全性標準,旨在透過進一步控制信用卡資料來防止詐欺行為
  • 五大信用卡品牌 (Visa、MasterCard、American Express、Discover 及 Japan Credit Bureau (JCB)) 的付款卡時,都必須遵循 PCI DSS 標準
  • PCI DSS 適用於任何接受、傳輸或儲存持卡人資料的公司,無論規模或交易次數
  • 保障持卡人的資料: 例如出生日期、母親的姓氏、社會安全號碼、電話號碼、電子郵件

參考