一般資料保護規範 GDPR 在 Liferay DXP 之系統實作

現成可用的系統功能可符合 GDPR 規範

一般資料保護規範 GDPR

一般資料保護規範(General Data Protection Regulation, GDPR)是歐盟為保護居民的資訊安全制定的軟體規範，對於個人資訊的搜尋與取得，提供適當宣告與處理機制。

Liferay DXP 支援 GDPR

企業系統是否符合 GDPR 準則，取決於企業對其系統的設計，Liferay DXP 作為應用容器，對於資料輸出、資料消除以及使用者權限上則提供最大限度的靈活架構應用，並符合 EU-U.S. Privacy Shield Framework 與 Swiss-U.S. Privacy Shield Framework 等相關規範，令企業滿足自身系統需求前提的同時，毋須擔心系統未符合 GDPR 規範而可能導致的商業損失。

Liferay DXP 之系統特色

GDPR 的兩個重點核心規範：

1. 被遺忘權(Right to Be Forgotten)
   DXP 提供便利操作的介面，令管理者根據其需求的不同(如編輯、匿名或刪除等)，有效處理被遺忘權的潛在可能。
2. 資料可攜權(Right to Data Portability)
   GDPR 允許用戶根據自身需求，將平台的個人資料攜出且進行資料移轉。借助 DXP，管理員可便利完成使用者資訊的移交。

其他，如取用權(Right to Access)與隱私始於設計(Privacy by Design)的法規基礎，更將 Cookie 的取得列入了 GDPR 的規範中，明令企業不可未經授權而收集使用者的 Cookie 訊息作為己用。因應上述規範，DXP 提供以下特色以確保企業系統可符合 GDPR，如：

• 提供精細的權限設定確保資料的檢視權限。
• 提供 Elasticsearch 以利管理者進行資料查詢。
• 支援不同形式的加密方式，讓企業平台可提供安全的資料保護。
• 在訂閱元件中提供 GDPR 條款，讓企業便利獲得使用者授權資訊，進行個人資料的使用。