《一般數據保護條例》GDPR的個人理解

最近一個月因工作需要，學習了一下GDPR的內容。把全文大致瀏覽了一遍。

個人理解，稍作記錄，如有雷同或錯誤請告知。

如果文章對您產生了誤導，請多諒解，隨便看看。

原文：鏈接: https://pan.baidu.com/s/1dHcZRMD 密碼: 6jfn

推薦閱讀：

1、王融 ，《歐盟數據保護通用條例詳解詳解》，FORUM論壇，2016年6月20日

百度到文章地址：http://www.doc88.com/p-9075228453653.html

（持續補充）

—— —— —— —— —— —— —— —— —— ——

目錄：

1.背景介紹

2.概括性描述

2.1GDPR實施範圍

2.2GDPR保護範圍

2.3GDPR名詞定義

2.4GDPR的一、二章節

2.5GDPR規定的數據主體權益

2.6GDPR規定的管理者責任

2.7GDPR規定的監管機構責任

2.8其他章節說明

3.原文章節個人理解（待定）

—— —— —— —— —— —— —— —— —— ——

1. 背景介紹

《一般數據保護條例》（以下簡稱GDPR）將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），在歐盟成員國統一實施生效，統一歐盟成員國關於數據保護的法律法規。它是歐盟發布的針對數據保護的法律規範，是有史以來最嚴格的條例，將在2018年5月25日開始實施，違規企業將被處罰以1000萬歐元或全球營收入的2%（兩者取其高），嚴重者處罰以2000萬歐元或全球營收入的4%（兩者取其高）。在通讀GDPR各章節後，基本可以確認，絕大多數以互聯網作為業務開展基礎的公司都會在某些環節受到GDPR的影響，都需要對照GDPR條例內容進行相應的整改。

2. 概括性描述

2.1GDPR的實施範圍

任何法規條例都有其適用範圍，GDPR也不例外。根據GDPR原文描述：

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

1、本條例適用於在歐盟中設立一個管理者或一個處理者的活動中處理個人數據，而不論處理過程是否在歐盟中進行。（控制者或者處理者是歐盟的，但處理行為發生或不發生在歐盟）

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

2、本條例適用於在歐盟中未經歐盟處理的管理者或處理者處理數據資料的個人數據：（數據主體是歐盟的，管理者、處理者不在歐盟）

（a）向歐盟的數據主體提供貨物或服務，不論是否需要支付數據科目；或

（b）就數據主體在歐盟內部的行為進行監測。

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

3、本條例適用於未在歐盟中設立管理者的個人數據處理行為，但適用於會員國根據國際公法所適用的法律。

可以總結為四類：

1. 管理者或者數據處理者屬於歐盟，不論數據處理活動是否發生在歐盟；

2. 數據主體（用戶）是歐盟的，管理者或數據處理者不屬於歐盟，但處理活動與貨物或服務有關；

3. 數據主體（用戶）是歐盟的，管理者或數據處理者不屬於歐盟，但處理活動是在監控數據主體在歐盟的行為；

4. 管理者或數據處理者不屬於歐盟，但適用於成員國法律的。

2.2GDPR的保護範圍

1. 基本的身份信息，如姓名、地址和身份證號碼等；

2. 網路數據，如位置、IP地址、Cookie數據和RFID標籤等；

3. 醫療保健和遺傳數據；

4. 生物識別數據，如指紋、虹膜等；

5. 種族或民族數據；

6. 政治觀點；

7. 性取向。

2.3GDPR的名詞定義

GDPR中的角色定義：

(1) personal data 個人數據：識別或可識別的自然人（「資料主體」）有關的任何信息，如姓名，識別號碼，位置數據，在線識別符等；

(2) processing處理：對個人數據的（一系列）操作，例如收集，記錄，組織，構建，存儲，修改或更改，檢索，諮詢，使用，透露，傳播或以其他方式提供，對齊或組合，限制，刪除或銷毀;

(3) restriction of processing 處理限制：對存儲的個人數據進行標記，以便於限制未來的處理（processing）；

(4) profiling分析：對個人數據進行自動處理的任何形式，包括使用個人數據來評估與自然人有關的某些個人方面；

(5) pseudonymisation ：一種理個人資料的方式，使個人資料在不使用額外信息佐證的情況下，不能判斷其歸屬於哪個數據主體；

(6) filing system 「檔案系統」是指任何結構化的個人數據集；

(7) controller管理者：單獨或者與他人共同確定處理個人信息的目的和方式的自然人、法人、公共權力機構或者其他機構；

(8) processor處理者：代表管理者處理個人數據的自然人、法人、公共當局、機構或其他機構;

(9) recipient 接收者：披露（disclosed）個人信息的自然人或法人、公共當局、代理機構或其他機構；

(10) third party 第三方：指數據主體、管理者，處理者以及在管理者，處理者的直接授權下被授權處理個人數據的人以外的自然人、法人、公共當局、代理機構或機構;

(11) consentof the data subject ：數據主體「准許」：明確同意處理其個人數據的行為；

(12) main establishment主要建立：

（a）眾多管理者中能對處理手段和目的做決定的管理者；

（b）在歐盟沒有中央機構，承擔義務的處理者；

(13) representative代表：由管理者或處理者根據第二十七條書面指定的代表控制人或處理人；

(14) binding corporate rules 具有約束力的公司規則：管理者或處理者遵守的個人數據保護政策；

其他名詞定義不算特別重要或通俗易懂，可參考原文，這裡不再累述。

2.4GDPR的第一、第二章節

GDPR第一章有四條：主題和目標、物質範圍、地域範圍、名詞定義，可參考原文了解，不做過多解讀。

GDPR第二章節包括：

第五條——關於跟人數據處理原則：1）處理過程合法、公平、透明；2）沒有處理目的之外的額外處理操作；3）充分的處理限制；4）數據準確，必要是保持更新；5）合理的數據存儲周期；6）數據保密性；

第六條——合法處理：定義了什麼條件下處理才是合法的，原文進行了明確說明，按照第六條原文執行即可。

第七條——准許條件：此條目需要重點關注；

在「准許條件」條目下，共有4款要求；

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

1、如果處理過程是基於准許的，那麼管理者應能夠證明數據主體已同意管理者處理其個人數據。（合同、用戶協議都是可以採用的方式）

2. If the data subjects consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily

accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

2、如果數據主體的准許是在與其他事項有關的書面聲明的範圍內作出的，則同意的請求所在的事項應明顯區別於其他事項，並以易懂的形式、清楚明了的語言表述。違反本條規定的任何聲明都是沒有約束力的。（在一份對客聲明裡爭取數據主體的同意，必須把請求同意的部分內容明顯的表達出來，形式要簡單明了，違背此條款的聲明都將沒有法律效力，2017年支付寶賬單那個問題就是個不錯的違規例子）

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it.

3、數據主體應具有在任何時刻撤銷其准許的權利。准許的撤銷不能影響基於同意撤銷前的處理過程的合法性。在給出准許之前，數據主體應被告知此內容，以此保障准許的給予和撤銷同等容易。（需要協議條款+技術處理一起實現，用戶的數據沒有刪除，但不能再進行任何處理操作，有什麼好的辦法可以快速凍結資料庫中的數據？需要思考「落地方案」）

4.When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

4、在評估是否自由獲得准許時，應當最大程度地考慮包括提供服務在內的合同的履行是否以同意處理個人數據為條件，儘管條件不是履行合同所必須的。（評估准許的自由獲取時，應考慮合同的履行是否以同意數據處理為前提，儘管這種要求是非必要要求）

在「准許條件」條目的要求下，如果公司提供的是線下服務，那麼紙質合同中的條款需要按需進行更新和調整，老用戶需要補簽協議；如果公司提供的是線上服務，那麼《同意用戶協議》中的條款則需要修改並明確標註，同時針對老用戶，需要在web、客戶端開發彈出框，說明GDPR的准許要求，請用戶重新同意用戶協議，以保障用戶權益。需進行一定的開發，以應對用戶撤銷准許的情況，保障在一定時間內，撤銷行為生效（此問題還有一個前提條件，如何在所有資料庫中找全所有的用戶數據？把這個問題拋給研發吧！）。

第八條——適用於兒童同意信息社會服務的條件：處理未到法定年齡（未滿十六周歲）的兒童的數據需要徵得其父母准許；成員國可以依法為這些目的提供較低的年齡，只要這種較低的年齡不低於13歲。

第九條——處理特殊類別的個人資料：一般原則下，禁止處理顯示種族或民族血統、政治觀點、宗教、哲學信仰、、遺傳資料、為了唯一識別自然人的生物特徵數據、有關健康的數據、自然人的性生活或性取向。同時說明了多種例外情況，如數據主體明確同意、為了社會利益、科學研究等，可對照原文確定；

第十條——處理與刑事定罪有關的個人資料：多種監管限制下進行；

第十一條——不需要識別的處理：如果數據無法唯一標識數據主體，則第十五條至第二十條的數據主體權益不生效。（有一個待考慮問題，什麼程度的數據才算是無法唯一標識數據主體？）

2.5GDPR規定的數據主體權益

第十二條 數據主體行使權利的透明信息，溝通和模式：

（1）給數據主體任何資料和信息通知，都必須以簡明扼要、清晰易懂的方式提供，適當情況可以提供電子版；（對於系統報表、UI提出了要求）

（2）管理者不能拒絕數據主體行使權利的請求，除非能證明收集到個人數據已經不能唯一標識數據主體；（需要向監管諮詢）

（3）管理者對數據主體的請求要一個月內作出響應，複雜情況下可以延遲二個月，但必須向數據主體說明原因；（歸口給業務處理）

（4）在司法、監管介入的情況下，必須採取行動並通知數據主體；

（5）為數據主體提供的資料和信息應該是免費的，除非其要求顯然是「毫無根據的、過度的或重複要求的」，管理者可以採取收費或者拒絕的方式回應，但必須能證明用戶的要求是「毫無根據的、過度的或重複要求的」。（歸口給業務處理）

（6）如果管理者對數據主體的身份存在質疑，可以要求其提供補充資料。（歸口給業務處理）

第十三條 從數據主體收集個人數據時需要提供的信息

（1） 在獲取個人數據這個階段，管理者應向數據主體提供以下全部信息：

1）管理者或其代表的身份和聯繫方式；2）數據保護專員（the data protection officer）的聯繫方式；3）個人數據的處理目的和處理法律依據；4）管理者或第三方所追求的合法利益；5）個人數據的接收者或接收者類別；6）依據委員會（Commission）的決定，移交數據給第三方或國際組織的事實說明；7）數據的存儲期限（無法確定的應依據官方標準）；8）數據主體從從管理者獲得權利的依據； 9）有針對在任何時候撤回准許的權利說明，不影響基於撤回准許前處理的合法性； 10）向監管當局提出申訴的權利； 11）提供個人資料是否屬於法定或合同要求，或訂立合同所需的條件，以及數據主體是否有義務提供個人資料和未能提供此類數據的可能後果； 12）關於自動決策分析的描述；（歸口業務）

（2）如果管理者需要進一步處理個人數據，超出原本向用戶說明的處理目的，必須再一次通知用戶並獲得准許；（業務設計條款，開發提供彈窗支持）

第十四條 從非數據主體獲得個人數據時需要提供的信息

（1） 從非數據主體獲取個人數據時，管理者應提供下列資料：

1）管理者或其代表的身份和聯繫方式； 2）數據保護專員（the data protection officer）的聯繫方式； 3）個人數據的處理目的和處理法律依據； 4）有關個人數據的類別； 5）個人數據的接收者或接收者類別； 6）依據委員會（Commission）的決定，移交數據給第三方或國際組織的事實說明； 7）數據的存儲期限（無法確定的應依據官方標準）； 8）數據主體合法權益由管理者或第三方保障； 9）數據主體從從管理者獲得權利的依據； 10）有針對在任何時候撤回准許的權利說明，不影響基於撤回准許前處理的合法性； 11）向監管當局提出申訴的權利； 12）個人數據來源來自何處，如果可行的話，說明是否來源於可公開查閱的資料； 13）關於自動決策分析的描述；

（2）在明確處理場景、聯繫到數據主體或if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed時提供上述信息；

（3）如果管理者需要進一步處理個人數據，超出原本向用戶說明的處理目的，必須再一次通知用戶並獲得准許；（業務設計條款，開發提供彈窗支持）

（4）如果是處於公共利益、法律監管要求的話，（1）——（3）條不適用。

第十五條 數據主體的查閱權

（1） 數據主體可以從管理者處查詢個人數據、處理目的、個人數據的類別、接收者（特別是第三國際組織）、存儲期限、自動決策的說明；

（2） 有權要求管理者糾正或刪除個人數據或限制處理有關數據主體的個人數據或反對此種處理；有權向監督當局提出申訴的權利；未從數據主體收集個人資料，就其來源提供任何現有資料；

（3） 個人資料轉移到第三方國家或國際組織時，基於與傳輸有關的第四十六條款項，數據主體有權得知所採取的適當的保障措施

（4） 管理者應提供正在處理的個人數據的副本。對於數據主體要求的其他副本，管理人可根據行政費用收取合理費用。數據主體以電子方式提出請求的，除數據主體另有要求外，應當以通用電子形式提供。

第十六條 有權糾正

（1） 數據主體有權不經無故延誤，及時糾正不準確的個人資料。考慮到處理的目的，數據主體應有權完成不完整的個人數據，包括提供補充聲明。

第十七條 有權刪除（被遺忘權）

（1） 數據主體有權向管理者要求刪除有關個人的資料，管理者不得無故拖延。如有下列理由之一，則管理者有義務在不拖延的情況下刪除個人資料：

1）就收集或以其他方式處理數據的目的而言，不再需要個人數據；

2）數據主體根據規定撤回對處理的准許，而在處理過程中又沒有其他法律依據；

3）數據主體反對處理活動後提出刪除個人數據；

4）個人資料被非法處理；

5）個人資料必須刪除，以符合受管理者在歐盟或會員國法律中的法律義務；

6）已收集第八條涉及的兒童個人資料，沒有獲得其父母准許。

（2） 當收到刪除數據的要求後，管理者應通知那些正在處理主體請求刪除的數據的管理者；

（3） 有權刪除不適用於以下五種情況：

1）行使言論和信息自由權；2）監管規定的處理活動義務；3）出於公共衛生領域的公共利益原因；4）為了公共利益、科學或歷史研究目的或統計目的；5）為了設立、行使或辯護法律主張；

第十八條 有許可權制處理活動

（1） 在以下四種情況下，數據主體有從管理者獲得限制處理過程的權利:

1）個人數據的準確性受到數據主體的質疑時，在這段時間內，管理者可以核實個人數據的準確性；

2）處理是非法的，數據主體反對刪除個人數據，並要求限制其使用；

3）管理者因處理目的而不再需要個人數據，但這些數據被數據主體要求用於法律訴求；

4）數據主體已經反對進行中的處理活動，並且正在確認是否管理者的合法理由高於數據主體。

（2）被限制的數據，除了被存儲外只能被用於法律訴求、保護其他自然人利益、國家公共安全和利益；

（3）當處理限制被解除之前，管理者應通知數據主體。

第十九條更正或刪除個人資料或限制處理的通知義務

（1）根據第16, 17條和第18條規定，管理者應向個人數據披露的每一位收件人通報任何對個人數據的糾正或刪除或限制處理，除非這證明是不可能的或涉及不相稱的努力成本。如果數據主體要求，管理者應通知數據接收者。

第二十條 有權數據移植

（1）當處理活動是自動化進行且基於准許的，數據主體應當有權獲得有關他或她的那些提供給管理者的個人資料。在一個結構化的、常用的、機器可讀的格式下，數據主體有權發送這些數據到另一個管理者而不受到原管理者的阻撓：

（2）這種數據移植不適用於公共安全和利益的處理活動，不能對其他人的權益造成影響；

第二十一條 有權反對

（1） 數據主體有權根據其具體情況隨時反對處理的進行。管理者應不再處理個人數據，除非管理者能夠證明基於處理的強製法律依據高於數據主體的個人利益、權利和自由，或者處理是基於法魯訴求。

（2） 當個人資料被用於進行直接營銷目的的處理時，數據主體有權隨時反對其進行個人資料的處理，包括與這種直接營銷有關的個人資料。當數據主體反對以直接營銷為目的的處理後，個人資料應不再進行類似目的的處理；

（3） 最遲在首次次與數據主體通信時，（1）和（2）提到的權利應明確提請數據主體注意，應清楚表達並將其與其他任何信息分開描述。

（4） 涉及公共安全和利益、科學研究的情況下，反對權利不適用。

第二十二條 自動化個人決策，包括分析

（1） 除非合同約定、數據主體同意或法律要求，數據主體應有權不受僅基於自動化處理的決定的影響；

（2） 數據管理者應採取適當措施，保障數據主體的權利和自由和合法利益，至少保障數據主體獲得作為管理者一部分進行人為干預的權利，表達其觀點，並對該決定提出異議的權利。

第二十三條 限制

（1） 數據管理者或處理者所在的歐盟或成員國法律基於以下情況，可以通過立法措施限制部分條款的限制和權益範圍（第12至22條和第34條）；

1）國家安全、防禦； 2）公共安全； 3）預防，調查，偵查或者起訴刑事犯罪或者實施刑事處罰，包括維護和防範公安的威脅; 4）歐盟或會員國的一般公共利益的其他重要目標，特別是歐盟或會員國的重要經濟或財政利益，包括貨幣，預算和稅收事項，公共衛生和社會保障; 5）保護司法獨立和司法程序; 6）預防，調查，偵查和檢控受規管行業的違規行為; 7）保障資料當事人或他人的權利和自由; 8）執行民事訴訟。

（2） 立法措施限制處理至少包含以下具體規定：

1）處理目的或處理類別; 2）個人資料的類別; 3）引入限制的範圍; 4）防止濫用或非法獲取或轉移的保障措施; 5）管理者或管理者類別的規格; 6）儲存期和適用的保障措施，考慮到加工的性質，範圍和目的或加工類別; 7）數據主體權利和自由的風險; 8）有關數據主體知悉限制的權利，除非有損該限制的目的。

2.6GDPR規定的管理者責任（待完善）

2.7GDPR規定的監管機構責任（待完善）

2.8其他章節說明（待完善）

推薦閱讀：