欧盟《通用数据保护条例》解读

【一】GDPR源起
《通用数据保护条例》(General Data Protection Regulation,简称GDPR),其前身是欧盟在1995年制定的《计算机数据保护法》。
2012 年 1 月:GDPR 初稿发布。
2014 年 3 月:欧洲议会表决支持 GDPR。
2015 年 12 月:“三方会谈”(欧盟委员会、欧洲议会和欧盟部长理事会)就 GDPR 达成一致。
2016年4月14日欧盟议会通过《通用数据保护条例(General Data Protection Regulations)》(“GDPR”)。
2018年5月25日在欧盟成员国内正式生效实施。
【二】适用范围
 
GDPR 适用的地域范围非常广,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息;
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
即它不仅适用于设立在欧盟境内的数据控制者和数据处理者对个人数据的处理,而且,即使数据控制者和数据处理者并不设立于欧盟境内,但只要其处理活动涉及向欧盟境内的数据主体提供商品或服务,或监控这些数据主体的行为,GDPR亦同样适用。事实上,只要其商品或服务的目标群包括欧盟境内的个人,位于欧盟以外的任何企业都有可能受到 GDPR 的监管。
【三】定位
该条例一度被国内媒体称为“史上最严数据保护条例”。条例旨在强化个体对个人数据的权利,以令数据保护措施匹配数字化时代。
GDPR赋予了多的自个体用户对于自身数据更主权和选择权;另一方面,GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则,有力地推进欧盟数字单一市场的建立。
【四】原则
(1)合法性、合理性和透明性:对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理;
(2)目的限制:个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的;
(3)数据最小化:个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的;
(4)准确性:个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正;
(5)限期储存:对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由;
(6)数据的完整性与保密性:处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失;
(7)可问责性:控制者有责任遵守以上原则,并且有责任对此提供证明。
【五】内容解读
(1)GDPR 的主要要求
GDPR 构建于广泛接受的既定隐私原则之上,例如目的限制、合法性、透明度、完整性和机密性。这加强了现有的隐私和安全要求,包括通知和准许、技术与操作安全措施以及跨境数据传输的相关要求。
为了适应新的数字化、全球化和数据驱动型经济,GDPR 还正式制定了新的隐私原则,例如问责制和数据最小化。其中包括以下要求:
  1. 数据安全性:企业需要实施适当级别的安全控制,包括采用技术和组织安全控制措施来防止数据丢失、信息泄漏或其他未经授权的数据处理操作。GDPR 鼓励企业将加密、事件管理以及网络和系统完整性、可用性和弹性要求纳入到其安全计划中;
  2. 扩展个人权限:个人对其数据拥有更高的控制权,并最终拥有更高的所有权。他们还拥有一系列扩展的数据保护权限,包括数据可移植性和被遗忘权;
  3. 数据泄露通知:在意识到发生数据泄露之后,企业需要立即通知其监管机构和/或受影响的个人;
  4. 安全审计:公司应当记录并维护其安全实践记录,审计其安全计划的有效性,并适时采取纠正措施。
(2)数据主体权利
  1. 信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制;
  2. 数据访问权,控制者应当保证数据主体可以随时访问自己的数据;
  3. 纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式;
  4. 被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果;
  5. 限制处理权:数据主体有权限制数据主体处理其个人数据;
  6. 关于纠正或删除个人数据或限制处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者;
  7. 反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理;
  8. 拒绝权和自主决定权;
  9. 自主化的个人决策分析。
 
(3)GDPR 个人数据定义
“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
其中,GDPR对儿童数据与特殊类别的个人数据的处理提出了强化要求。GDPR将儿童的设定年龄交给了成员国,各成员国可适当放低合法年龄,但不低于13周岁,GDPR 要求各成员国处理低于16周岁儿童的个人数据时,须征得其监护人同意。
GDPR 将敏感个人数据称为“特殊类别的个人数据”,包括揭示种族或民族信息、政治观点、宗教、哲学信仰、工会成员信息、健康、自然人性生活或性取向的个人数据,这些敏感数据需要更为严格的保护与更为严格要求的处理,因为对这些数据的处理会增加个人权益的风险。
(4)控制者或数据处理者的义务
  1. 控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利;
  2. 控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的;
  3. 在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等;
  4. 数据处理者应当以数据控制者名义处理数据;
  5. 数据处理活动应当有记录;
  6. 和监督机构合作和配合,应当积极配合监管机构的调查;
  7. 处理过程的安全性:
    (a)个人数据的匿名化和加密;
    (b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;
    (c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;
    (d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性;
  8. 数据泄露72小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72 小时以内,根据第 55 条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时,需要对迟延原因进行解释;
  9. 与数据主体进行交流:个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流;
  10. 数据保护影响评估以及事先咨询;
  11. 超过250人公司或处理海量数据的公司必须设置首席数据保护官。
(5)转移个人数据(欧盟)到第三国或国际组织
  1. 数据转移到第三国或国际组织,第三国或国际组织应当对用户数据隐私和安全提供足够的保护;
  2. 欧盟数据委员会会在官网及欧洲联盟公报上公布第三国或国际组织是否能够对个人数据提供足够的保护;
  3. 数据处理者或控制者拟向第三国或国际组织转移数据,而第三国或国际组织没有列入符合欧盟个人数据保护要求的,通过提供适当的安全措施,以及在可强制执行的数据主体权利和对数据主题的有效法律补救措施时就绪的条件下,一个控制者或处理者可以将个人数据转移到第三个国家或国际组织;
  4. 转移数据通过如下方式传输,无需取得任何欧盟当局批准和授权:
    a) 政府当局或公共机构之间具有法律约束力的、可执行的工具;
    b) 依照第 47 条制定的具有约束力的公司规则;
    c) 欧洲委员会根据第 93 条第2 款所述审查程序通过的标准数据保护条款;
    d) 监察机构根据第93 条第 2 款所述审查程序通过的标准数据保护条款;
    e) 根据第40 条的规定批准的行为准则,以及第三国控制者或处理者的具有约束力的、可执行的,用以采用适当保障措施约定,包括关于数据主体权利的;
    f) 根据第 42 条获得批准的认证机构,以及第三国控制者或处理者的具有约束力的、可执行的,用以采用适当保障措施约定,包括关于数据主体权利的。
(6)评估措施,数据安全与数据泄露通知义务
  1. GDPR要求所有公司或组织实施最广泛的措施降低违反GDPR的风险,并保证合规处理数据;
  2. 这包括可评估的措施比如数据隐私影响评估,审计,政策检查,活动记录,任命数据官等一些列可衡量的措施;
  3. 公司或组织需要部署人员和财力来准备合规工作;
  4. Privacy Impact Assessments (PIAs) 开展隐私影响评估工作,需要形成书面文档;
  5. 记录数据处理工作,形成工作文档备查。

(7)数据泄露通知义务

  1. 数据控制者和处理者应履行数据泄露通知义务;
  2. 数据处理者必须把数据泄露通知给数据控制者;
  3. 数据控制者必须把数据泄露通知给监管当局;
  4. 数据泄露必须72小时通知监管当局,并根据情况通知到数据泄露的用户;
  5. 必须确保有现成的数据泄露发现,调查,内部报告机制(内部要有规范性文档,流程等)。
 
 
参考文献:

  1. 什么是《通用数据保护条例》(GDPR)?—甲骨文中国

  2. GDPR法律条款解读及应对指南(全面版)—Sabato法律频道

  3. 《通用数据保护条例》中译版—译者:丁晓东 腾讯研究院