「英國資料保護法案」報告
這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
「1998 資料保護法案」控管英國的個人資料處理。英國在 1998 年修訂了 1984 年的「資料保護法案」,並於 2000 年 3 月 1 日生效。新法案區分個人資料和機密性個人資料,變更了個人資料的原始定義和意義,放寬了原始法案的範圍。現在,這個法案納入「取得」、「持有」及「公開」等概念。
「資料保護法案」包含 8 個「資料保護原則」:
- 個人資料的處理應該公正合法。
- 個人資料的取得必須僅限於為了達到一或多個指定的合法目的,不應以不相容於此等目的之任何方式來進一步處理這些資料。
- 個人資料關聯於其一或多個處理目的,應該適當、相關,而且不過度。
- 個人資料應該精確,必要之時,應該保持最新。
- 為了任何目的而處理的個人資料,不得保留超出此等目的所需要的時間。
- 按照這個法案,個人資料的處理應與資料主體的權利一致。
- 應該採取適當的技術和組織手段,防止未獲授權或非法處理個人資料,以及防止意外遺失、毀損或損壞個人資料。
- 個人資料不得傳給「歐洲經濟區」以外的國家或地區,除非關於個人資料的處理,該國家或地區保證資料主體的權利與自由得到適當等級的保護。
依據法律,企業必須遵守這些原則,倘若收集個人資料,企業必須通知「資訊委員」。按照這個法案,任何企業若在處理個人資訊時,違反任何「資料保護」原則,英國「資訊委員」得向企業發出強制執行通知。當公眾成員提出如此要求時,企業必須停止處理此個體的個人資訊。
在英國以外建立的網站操作員,如果利用在英國境內架設的電腦來收集個人資訊,或將 Cookie 放在英國網際網路使用者的電腦上,也必須遵守這個法案。
符合「資料保護法案」的最佳實務
向個體收集個人資訊的網站操作員必須執行下列動作:
- 確定 Web 收集表單符合「公平處理」原則,可讓使用者識別組織;說明網站收集資料的原因,以及他們要將資料送往的第三方(內部和外部)。
- 當想要使用 "Cookie" 或 Web 錯誤(引標)時,向使用者發出通知,並提供拒絕 Cookie 的機會。確定資料收集程序安全
- 公佈隱私權原則,在每個資訊收集點上提供隱私權原則鏈結
- 對於接收直接巿場行銷電子郵件提供「拒絕」機制
- 確定將有效的電子郵件位址用於直接巿場行銷目的
- 確定在收集 12 歲以下兒童的資訊時,兒童瞭解其資訊的收集及使用方式。對於 12 歲以下的兒童,必須取得父母的同意,必須有方法可驗證父母已經同意。