1、通用数据保护条例第一章 一般条款第二章 原则第三章 数据主体的权利第四章 控制者和处理者第五章 将个人数据转移到第三国或国际组织第六章 独立监管机构第七章 合作与一致性第八章 救济、责任与惩罚第九章 和特定处理情形相关的条款第十章 授权法案与实施性法案第十一章 最后条款经过欧盟议会长达四年的讨论,欧盟通用数据保护条例(General Data Protection Regulation,简称 GDPR)终于在 2018 年 5 月 25 日生效。第一章 一般条款第 1 条 主要事项与目标1本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。2本条例保护自然人的基本权
2、利与自由,特 别是自然人享有的个人数据保护的权利。3不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。第 2 条 适用范围1本条例适用于全自动个人数据处理、半自 动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。2本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国 为履行欧盟基本条约(TEU )第 2 章第 5 款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部 门为预防、调查、侦查、起 诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个
3、人数据处理。3欧盟机构、实体、 办事处和规制机构所进行的个人数据 处理,适用(EC)第45/2001 条例。根据本条例第 98 条, (EC)第 45/2001 条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。4本条例不影响 2000/31/EC 指令的适用,特别是 2000/31/EC 指令第 12 至 15 条所规定的中间服务商的责任规则的适用。第 3 条 地域范围1本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。2本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧
4、盟内的数据主体提供商品或服务不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范 围内的数据主体的活动进行监控。3本条例适用于在欧盟之外设立,但基于国 际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第 4 条 定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人( “数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而 识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所
5、 进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、 检索、咨询、使用、通过传输而公开、散布或其他方式 对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。(4)“用户画像”指的是为了评估自然人的某些条件而 对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、 经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。(5)“匿名化”指的是在采取某种方式对个人数据进行 处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并
6、且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。(6)“档案系统”指的是根据某种特定标准不论这 种标准是去中心化的、分散的、功能性的或是基于地理而设置的而可以访问的个人数据的结构化集合。(7)“控制者”指的是那些决定不论是单独决定还 是共同决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。(9)“接收者”指的是接收数据的自然人、法人、公共机构、
7、 规制机构或另一实体,不论其是否为第三方。然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。(11)数据主体的 “同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。(12)“个人数据泄露”是指由于违反安全政策而导致 传输、储存、处理中的个人数据被意外或非法损毁、丢失、更
8、改或未经同意而被公开或访问。(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据, 这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行 为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、 显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。(16)“主要营业机构”指的是:(a)如果控制者在不止一个成员国内有多处营业机构,那么其在
9、欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在 这种情况下,做出此类决定的机构应当被认为是主要营业机构;(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心,那么在处理者需要遵守本条例所规定的特殊责任的前提下,其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。(17)“代表”指的是控制者或处理者根据第 27 条在欧盟 书面委任,代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。(18)“经济主体”的含义是采用任意法律形式的进行 经济
10、活动的自然人或法人,包括经常进行经济活动的合伙企业或协会;(19)“企业集团”的含义是控股企业和被控股企业;(20)“有约束力的公司规则”指的是在某成员国内设 立的控制者或处理者,为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者,所遵循的个人数据保护政策。(21)“监管机构”指的是成员国根据第 51 条而设立的独立性公共机构。(22)(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的;(b)数据处理对 居住在某监管机构所在地成员国的数据主体具有实质性影响;或者(c)该监管机构已经收到一项申诉;(23)“跨境处理”指的是
11、:(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者(b)个人数据处 理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。(24)“相关和合理的异议”指的是对是否存在违反本条例的情形,或者某项和控制者或处理者相关的初步设想是否符合本条例的异议已有证据表明,这种初步设想的决定会对数据主体的基本权利和自由,以及在某些情形下对欧盟的个人数据的自由流通会带来风险。(25)“信息社会服务”指的是欧洲议会和欧盟理事会的 (EU) 2015/1535 指令在第1(1)条(b)点所定义的服务。(26)“国际组织”指的是依照国际公法、或根据
12、两个或多个国家 协议所设立的组织及其下属机构。1本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。2本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范 围内的数据主体的活动进行监控。3本条例适用于在欧盟之外设立,但基于国 际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第二章 原则第 5 条 个人数据处理原则1对于个人数据,应遵循下列规定:(a)对涉及到数据主体的个人数据, 应当以合法的、合理的和透明的
13、方式来 进行处理(“合法性、合理性和透明性”);(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。根据第 89(1)条,因 为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制 ”);(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化 ”);(d)个人数据应 当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及 时得到擦除或更正(“ 准确性”);(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限
14、的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的, 为了保障数据主体的权利和自由,并采取了本条例第 89(1)条所规定的合理技术与组织措施。(“ 限期储存”);(f) 处 理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“ 数据的完整性与保密性” )。2控制者有责任遵守以上第 1 段,并且有 责任对此提供证明。( “可问责性”)。第 6 条 处理的合法性1只有满足至少如下一项条件时, 处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而
15、对其个人数据进行处理;(b)处理对于完成某 项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;(c) 处理是控制商履行其法定义务所必需的;(d)处理对于保 护数据主体或另一个自然人的核心利益所必要的;(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;(f)处 理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。第 1 段(f)点不适用公共机构在履行其任务时的处理。2对于第 1 段(c)和(e)所规定的处理,成员国可以维持或新制定更多具体条
16、款,以适应本条例规则的适用,成员国为了确保合法与合理处理,可以制定更为明确的规定,包括第 9 章所规定的其他特定的处理情形。3第 1 段(c )和(e)所规定的处理的基准应当通过如下法律进行规定:(a)欧盟法;或者(b)控制者所属的成员国的法律。处理的目的应当在此法律基准上进行确定,而对于第 1 段(e )所规定的处理,处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款,以适应对本条例规则的适用:对控制者处理的合法性进行监控的一般条件;可以被处理的数据类型;相关数据主体;个人数据公开的目的,以及其可能被公开给的对象;目的限定;储存期限;包括第 9 章
17、所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标,且应当与实现正当目的成比例。4若处理是出于收集个人数据以外的其他目的,如果该目的未经数据主体同意或并非是基于联盟或成员国的法律(在一个民主社会中,若要实现第 23(1)条中的目的,法律是必要且合适的),那么为确保该目的与初始目相容,控制商 应当考虑以下因素,但不限于以下因素:(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性;(b)个人数据收集时的语境,特别是数据主体与控制者之间的关系;(c)个人数据的性质,特别是某些特定类型的个人数据是否符合第 9 条的规定,或者与刑事定罪和刑事违法相
18、关的个人数据是否符合第 10 条的规定;(d) 数据主体 计划进一步处理可能造成的结果;(e)是否具有加密与匿名化措施等恰当保护措施;第 7 条 同意的条件1当处理是建立在同意基础上的,控制者需要能 证明,数据主体已 经同意对其个人数据进行处理。2如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的,请求获得同意应当完全区别于其他事项,并且应当以一种容易理解的形式,使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。3数据主体应当有权随时撤回其同意。在撤回之前, 对于基于同意的处理,其合法性不受影响。在数据主体表达同意之前,数据主体应当被告知这点。撤回同意应当和表达同意一样简单。
19、4分析同意是否是自由做出的,应当最大限度地考虑一点是:对契约的履行包括履行条款所规定的服务是否要求同意履行契约所不必要的个人数据处理。第 8 条 信息社会服务中适用儿童同意的条件1在第 6(1)条(a)适用的情形下,对于为儿童直接提供信息社会服务的请求,当儿童年满 16 周岁,对儿童个人数据的处理是合法的。当儿童不满 16 周岁,只有当对儿童具有父母监护责任的主体同意或授权,此类处理才是合法的。2对于年满 13 周岁的情形,成员国的法律可以降低年龄要求。3控制者应当采取合理的努力,结合技术可行性,确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。第 1 段不应影响成员国的一般合同法,例如关于儿童的合同有效性、形成与效力的规则。第 9 条 对特殊类型个人数据的处理
