王融

中國(guó)信息通信研究院互聯(lián)網(wǎng)法律中心，北京 100191

摘要：《歐盟數(shù)據(jù)保護(hù)通用條例》于2018年5月25日正式生效。為踏上數(shù)字時(shí)代新秩序的起跑線，全球企業(yè)都在積極準(zhǔn)備合規(guī)工作。全面梳理其帶來(lái)的重大變化，既為企業(yè)提供參考，也為我國(guó)政府考慮大數(shù)據(jù)背景下的數(shù)據(jù)保護(hù)規(guī)則提供新視角。

關(guān)鍵詞：數(shù)據(jù)保護(hù)通用條例；變化；合規(guī)

中圖分類(lèi)號(hào)：D93???????文獻(xiàn)標(biāo)識(shí)碼：A

doi: 10.11959/j.issn.2096-0271.2016045

論文引用格式：王融.?《歐盟數(shù)據(jù)保護(hù)通用條例》詳解[J]. 大數(shù)據(jù), 2016, 2(4): 93-101.

WANG R.?Deconstructing the EU General Data Protection Regulation[J]. Big Data Research,?2016, 2(4): 93-101.

Deconstructing the EU General Data Protection Regulation

WANG Rong

Internet Law Center of China Academy of Information and Communication Technology, Beijing 100191, China

Abstract: The EU General Data Protection Regulation (GDPR) has taken effect on May 25, 2018. In order to catch up with the new trend of digital era, companies from all over the world are actively preparing for the related compliance work. The major changes of this new regulation were demonstrated comprehensively. It will provide a reference for companies and new prospective for China’s data protection policy making in big data era.

Key words: General Data Protection Regulation (GDPR), change, compliance

1 ?引言

????2012年，歐盟啟動(dòng)對(duì)1995年《數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱(chēng)《指令》）的修訂工作。在歷經(jīng)4年多的立法協(xié)商之后，《歐盟數(shù)據(jù)保護(hù)通用條例》（General Data ProtectionRegulation，GDPR）（以下簡(jiǎn)稱(chēng)《條例》）已正式通過(guò)，并將于2018年5月25日全面實(shí)施。以下詳細(xì)介紹《條例》帶來(lái)的10個(gè)方面的主要變化。

2 變化1：適用范圍極大擴(kuò)展

法律的適用范圍從過(guò)去的屬地主義向?qū)偃酥髁x擴(kuò)展。1995年的《指令》的適用范圍取決于屬地因素，要么機(jī)構(gòu)的成立地在歐盟，要么利用歐盟境內(nèi)的設(shè)備進(jìn)行個(gè)人數(shù)據(jù)的處理活動(dòng)（僅僅是傳輸通道除外）。新《條例》不僅考慮屬地因素，還增加了屬人因素。簡(jiǎn)言之如下。

● 對(duì)于成立地在歐盟的機(jī)構(gòu)來(lái)說(shuō)，法律的適用范圍并沒(méi)有發(fā)生大的變化，但強(qiáng)調(diào)了無(wú)論數(shù)據(jù)處理的活動(dòng)是否發(fā)生在歐盟境內(nèi)，都統(tǒng)一遵循《條例》。

● 對(duì)于成立地在歐盟以外的機(jī)構(gòu)來(lái)說(shuō)，則適用屬人因素。只要其在提供產(chǎn)品或者服務(wù)的過(guò)程中（不論是否收費(fèi)）處理了歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)，將同樣適用于《條例》。此類(lèi)情形還包括對(duì)歐盟境內(nèi)個(gè)人活動(dòng)的監(jiān)控行為。根據(jù)《條例》說(shuō)明部分的解釋，監(jiān)控行為包括了利用cookie等互聯(lián)網(wǎng)技術(shù)工具對(duì)個(gè)人網(wǎng)絡(luò)活動(dòng)的跟蹤分析（第3條）。

也就是說(shuō)任何網(wǎng)站甚至App只要能夠被歐盟境內(nèi)的個(gè)人訪問(wèn)和使用、產(chǎn)品或服務(wù)使用的語(yǔ)言是英語(yǔ)或者特定的歐盟成員國(guó)語(yǔ)言、產(chǎn)品標(biāo)識(shí)的價(jià)格為歐元，都可以被理解為該產(chǎn)品、服務(wù)的目標(biāo)用戶包括歐盟境內(nèi)用戶，從而需要適用《條例》。這也是緣何《條例》在全球引起極大震動(dòng)的核心原因之一。不論是銀行、保險(xiǎn)、航空等傳統(tǒng)行業(yè)，還是電子商務(wù)、社交網(wǎng)絡(luò)等新興領(lǐng)域，只要涉及向歐盟境內(nèi)個(gè)人提供服務(wù)并處理個(gè)人數(shù)據(jù)，都將落入《條例》適用范圍，除非放棄歐盟5億發(fā)達(dá)人口市場(chǎng)。

3 變化2：統(tǒng)一的法律規(guī)則之下仍有一些例外

此次立法主旨之一是結(jié)束1995年《指令》以來(lái)各成員國(guó)之間的數(shù)據(jù)保護(hù)法律制度差異問(wèn)題，《條例》的統(tǒng)一規(guī)定將直接適用于各成員國(guó)。但值得注意的是，《條例》仍然為各成員國(guó)預(yù)留了一定自主空間，如下所示。

● 《條例》對(duì)于兒童個(gè)人數(shù)據(jù)做出了特殊保護(hù)規(guī)定，但允許成員國(guó)對(duì)于兒童的年齡標(biāo)準(zhǔn)在13~16歲做出調(diào)整（第8條）。

● 在處罰方面，《條例》規(guī)定了實(shí)施行政罰款的一般性條件，但同時(shí)也授權(quán)成員國(guó)規(guī)定其他處罰類(lèi)型的規(guī)則，這些處罰適用于違反了《條例》但并不符合行政罰款條件的違法行為（第84條）。

● DPO（data protection officer，數(shù)據(jù)保護(hù)官）的設(shè)立。除了《條例》規(guī)定的必須設(shè)立DPO的情形，《條例》還授權(quán)成員國(guó)可以擴(kuò)展必須設(shè)立DPO的其他情形（第37條）。

● 成員國(guó)可以在未來(lái)針對(duì)基因、生物識(shí)別以及健康數(shù)據(jù)的保護(hù)做進(jìn)一步規(guī)定（第9條）。

● 成員國(guó)可以依據(jù)《條例》的基本原則，針對(duì)雇傭領(lǐng)域的數(shù)據(jù)保護(hù)，做出進(jìn)一步的規(guī)定（第88條）。除以上列舉之外，在《條例》中此類(lèi)授權(quán)成員國(guó)可作出進(jìn)一步具體規(guī)定的條款還有很多。因此，盡管統(tǒng)一的《條例》為企業(yè)大大降低了合規(guī)的復(fù)雜性，但仍需注意到統(tǒng)一之外的差異性。

?

4 變化3：一站式監(jiān)管

對(duì)于向歐盟不同國(guó)家提供業(yè)務(wù)的企業(yè)或者在不同國(guó)家都有設(shè)立地的企業(yè)來(lái)說(shuō)，新《條例》會(huì)極大減輕合規(guī)成本。企業(yè)不再需要與多個(gè)不同成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)打交道。根據(jù)新的一站式監(jiān)管機(jī)制（one stop shop），企業(yè)主成立地所在國(guó)家的監(jiān)管機(jī)構(gòu)將作為主導(dǎo)監(jiān)管機(jī)構(gòu)（leadsupervisory authority），對(duì)企業(yè)的所有數(shù)據(jù)活動(dòng)負(fù)有監(jiān)管權(quán)力，其效力輻射全歐。當(dāng)然，為保證監(jiān)管的協(xié)調(diào)統(tǒng)一性，《條例》為此精心設(shè)計(jì)了一套復(fù)雜的咨詢機(jī)制。主導(dǎo)監(jiān)管機(jī)構(gòu)的監(jiān)管決定要最大程度上反映其他成員國(guó)監(jiān)管機(jī)構(gòu)的意見(jiàn)。如果不能達(dá)成一致意見(jiàn)，則交由歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，EDPB）處理（第56、60、61條等）。

5 變化4：處理數(shù)據(jù)須有合法理由

處理個(gè)人數(shù)據(jù)必須要有合法理由，包括：數(shù)據(jù)主體的同意、履行合同需要、履行法定義務(wù)的需要以及數(shù)據(jù)控制者的合法利益等。以下對(duì)數(shù)據(jù)主體的同意、數(shù)據(jù)控制者的合法利益以及敏感數(shù)據(jù)的處理等重點(diǎn)條款作進(jìn)一步的解釋。

????（1）關(guān)于數(shù)據(jù)主體的同意

《條例》對(duì)于數(shù)據(jù)主體的同意的有效標(biāo)準(zhǔn)相比《指令》嚴(yán)格很多。“同意”必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。如果數(shù)據(jù)控制者希望獲得的同意的事項(xiàng)區(qū)別于此前已取得同意的事項(xiàng)范圍，則需要向用戶做出單獨(dú)明確的說(shuō)明；如果將同意數(shù)據(jù)處理作為簽訂合同的前提條件，而這種數(shù)據(jù)處理事實(shí)上超出了提供服務(wù)所必需的范圍，將違反有關(guān)“同意應(yīng)當(dāng)是自由做出”的規(guī)定（第7條）。

在這種高標(biāo)準(zhǔn)下，雖然《條例》并沒(méi)有明確禁止“推定同意”模式（敏感數(shù)據(jù)處理、數(shù)據(jù)畫(huà)像活動(dòng)除外），但在實(shí)踐中通過(guò)推定方式獲得用戶同意將很難被認(rèn)為是有效合法的。也就是說(shuō)，當(dāng)前實(shí)踐中普遍存在的通過(guò)冗長(zhǎng)晦澀的隱私政策來(lái)獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時(shí)通過(guò)“打鉤”方式作出一攬子授權(quán)的方式將失去合法性。業(yè)界普遍認(rèn)為，《條例》關(guān)于有效合法同意的嚴(yán)格規(guī)定，使得用戶的同意不會(huì)像現(xiàn)在這樣被輕易獲得。

更重要的是，《條例》賦予了數(shù)據(jù)主體可以隨時(shí)撤回同意的權(quán)利。數(shù)據(jù)控制者應(yīng)當(dāng)明確告知用戶現(xiàn)有該權(quán)利，并為用戶方便地行使該權(quán)利提供便利。

在處理兒童個(gè)人數(shù)據(jù)時(shí)，必須獲得其父母或者其他監(jiān)護(hù)人的同意。并且該舉證責(zé)任在于數(shù)據(jù)控制者，數(shù)據(jù)控制者必須能夠證明其從監(jiān)護(hù)人那里獲得了“同意”（第8條）。

????（2）關(guān)于數(shù)據(jù)控制者的合法利益

1995年版的《指令》和《條例》都規(guī)定了除了獲得“同意”以外的其他數(shù)據(jù)處理的合法理由。其中包括符合數(shù)據(jù)控制者的合法利益。一般認(rèn)為，數(shù)據(jù)控制者出于營(yíng)銷(xiāo)目的對(duì)個(gè)人數(shù)據(jù)的使用要符合個(gè)人的合法利益，但同時(shí)《條例》賦予了數(shù)據(jù)主體對(duì)于營(yíng)銷(xiāo)活動(dòng)的絕對(duì)反對(duì)權(quán)。換言之，數(shù)據(jù)控制者可以以營(yíng)銷(xiāo)為目的使用用戶個(gè)人數(shù)據(jù)，但用戶隨時(shí)可以提出反對(duì)，數(shù)據(jù)控制者必須立即停止使用。除此之外，將數(shù)據(jù)控制者的合法利益作為數(shù)據(jù)處理的合法理由的情形在實(shí)踐中非常有限。數(shù)據(jù)控制者必須能夠證明，其合法的利益顯著高于數(shù)據(jù)主體的個(gè)人權(quán)利和自由（第6條）。

????（3）關(guān)于敏感數(shù)據(jù)的處理

敏感的個(gè)人數(shù)據(jù)包括：能夠揭示個(gè)人的種族、政治傾向、宗教和哲學(xué)信仰、商業(yè)團(tuán)體資格以及關(guān)于個(gè)人健康或者性生活的數(shù)據(jù)，在敏感數(shù)據(jù)類(lèi)型中，《條例》還明確加入了基因數(shù)據(jù)和生物數(shù)據(jù)，這類(lèi)數(shù)據(jù)的處理能夠唯一地識(shí)別出特定個(gè)人（第9條）。

敏感個(gè)人數(shù)據(jù)的特殊性在于，作為一般法則，禁止處理敏感數(shù)據(jù)，除非特定的例外條件能夠滿足。這些例外條件包括：數(shù)據(jù)主體的同意，或者數(shù)據(jù)主體已經(jīng)將上述信息公開(kāi)；為了建立、履行或者保護(hù)合法的訴求必須處理上述敏感信息；為了公共利益的需要或者與公共利益相關(guān)的歸檔、科學(xué)、歷史或者統(tǒng)計(jì)。但總體的原則是，這些對(duì)于敏感數(shù)據(jù)處理的例外情況的解釋將會(huì)非常狹窄。

6 變化5：堅(jiān)實(shí)強(qiáng)大的數(shù)據(jù)主體權(quán)利

相比于1995年版《指令》，《條例》對(duì)數(shù)據(jù)主體的權(quán)利規(guī)定細(xì)致入微，為個(gè)人有效行使權(quán)利提供了堅(jiān)實(shí)的法律保障。

????（1）知情權(quán)

《條例》規(guī)定數(shù)據(jù)控制者必須以清楚、簡(jiǎn)單、明了的方式向個(gè)人說(shuō)明其個(gè)人數(shù)據(jù)是如何被收集處理的?？梢韵胍?jiàn)的是，當(dāng)前企業(yè)普遍應(yīng)用的隱私政策必須進(jìn)行大幅改革，才能滿足合規(guī)要求?！稐l例》規(guī)定了應(yīng)當(dāng)告知用戶的信息包括以下內(nèi)容（第12、13條）。

● 數(shù)據(jù)控制者的身份和聯(lián)系方式、數(shù)據(jù)控制者指定的代表信息、DPO的相關(guān)信息、數(shù)據(jù)的接收者或數(shù)據(jù)接收者的類(lèi)型。

● 數(shù)據(jù)處理的目的和合法基礎(chǔ)。如果合法基礎(chǔ)是用戶的“同意”，則要告知用戶享有撤回“同意”的權(quán)利，并且該撤回不得影響先前的數(shù)據(jù)處理中用戶的合法利益。該信息應(yīng)當(dāng)以單獨(dú)、顯著方式顯示。

● 如果涉及自動(dòng)化的數(shù)據(jù)處理，包括數(shù)據(jù)畫(huà)像活動(dòng)，則需要提供基本的算法邏輯以及針對(duì)個(gè)人的運(yùn)算結(jié)果。

● 個(gè)人數(shù)據(jù)的保留周期以及采取該周期的理由。

● 依據(jù)法律，數(shù)據(jù)主體享有權(quán)利、投訴權(quán)以及相關(guān)的監(jiān)管機(jī)構(gòu)。

● 如果數(shù)據(jù)傳輸?shù)降谌龂?guó)，則需要告知用戶該第三國(guó)是否通過(guò)歐盟的充分性決定，如果沒(méi)有通過(guò)，則需要告知數(shù)據(jù)控制者采取了何種保障措施。

● 如果數(shù)據(jù)不是從數(shù)據(jù)主體處直接收集而來(lái)，則需要告知其數(shù)據(jù)的來(lái)源和類(lèi)型。

（2）訪問(wèn)權(quán)

數(shù)據(jù)控制者應(yīng)當(dāng)為用戶實(shí)現(xiàn)該權(quán)利提供相應(yīng)的流程，如果該請(qǐng)求是以電子形式提出的，則也應(yīng)當(dāng)以電子形式將數(shù)據(jù)提供給個(gè)人?？刂普卟荒芑谔峁┰摲?wù)而收費(fèi)，除非數(shù)據(jù)主體的請(qǐng)求明顯過(guò)量，超過(guò)負(fù)擔(dān)（第15條）。

(3) 反對(duì)權(quán)

對(duì)于兩種情形，數(shù)據(jù)主體享有絕對(duì)的拒絕權(quán)：始終有權(quán)隨時(shí)拒絕數(shù)據(jù)控制者基于其合法利益處理個(gè)人數(shù)據(jù)；始終有權(quán)拒絕基于個(gè)人數(shù)據(jù)的市場(chǎng)營(yíng)銷(xiāo)行為?！稐l例》還引入了限制處理的權(quán)利。例如，當(dāng)數(shù)據(jù)主體提出投訴（如針對(duì)數(shù)據(jù)的準(zhǔn)確性）時(shí)，數(shù)據(jù)主體并不要求刪除該數(shù)據(jù)，但可以限制數(shù)據(jù)控制者不再對(duì)該數(shù)據(jù)繼續(xù)處理（第21條）。

除了以上權(quán)利之外，《條例》還全面引入了新型的權(quán)利類(lèi)型，其中最引入注目的是“數(shù)據(jù)可攜權(quán)”（第20條）、“被遺忘權(quán)”（第17條）。

“個(gè)人數(shù)據(jù)可攜權(quán)”，是指用戶可以無(wú)障礙地將其個(gè)人數(shù)據(jù)從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另一個(gè)信息服務(wù)提供者。例如，Facebook的用戶可以將其賬號(hào)中的照片以及其他資料轉(zhuǎn)移至其他社交網(wǎng)絡(luò)服務(wù)提供商。當(dāng)然，該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù)，還包括云計(jì)算、網(wǎng)絡(luò)服務(wù)以及手機(jī)應(yīng)用等自動(dòng)數(shù)據(jù)處理系統(tǒng)。信息控制者不僅無(wú)權(quán)干涉信息主體的此項(xiàng)權(quán)利，還需要配合用戶提供數(shù)據(jù)文本。從目前第20條規(guī)定來(lái)看，數(shù)據(jù)可攜權(quán)適用于數(shù)據(jù)主體提供給數(shù)據(jù)控制者的數(shù)據(jù)，因此個(gè)人的網(wǎng)絡(luò)行為軌跡是否屬于該范疇，還有待于歐盟數(shù)據(jù)保護(hù)委員會(huì)做出解釋。

“被遺忘權(quán)”，《條例》第17條刪除權(quán)（“被遺忘權(quán)”）共計(jì)3款。其中，第1款的核心仍然是傳統(tǒng)個(gè)人信息保護(hù)法中已經(jīng)確立的刪除權(quán)：當(dāng)用戶依法撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)。關(guān)于“被遺忘”的精神更多體現(xiàn)在第17條第2款：如果數(shù)據(jù)控制者將符合第1款條件的個(gè)人數(shù)據(jù)進(jìn)行了公開(kāi)傳播，應(yīng)該采取所有合理的方式予以刪除（包括采取可用的技術(shù)手段和投入合理成本），數(shù)據(jù)控制者有責(zé)任通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體主張的個(gè)人數(shù)據(jù)鏈接、復(fù)制件。也就是說(shuō)，數(shù)據(jù)控制者不僅要?jiǎng)h除自己所控制的數(shù)據(jù)，還要求數(shù)據(jù)控制者負(fù)責(zé)對(duì)其公開(kāi)傳播的數(shù)據(jù)，要通知其他第三方停止利用并刪除。這是對(duì)傳統(tǒng)“刪除權(quán)”的擴(kuò)張。

總體看來(lái)，《條例》對(duì)于數(shù)據(jù)主體權(quán)利的補(bǔ)充完善，不僅極大增強(qiáng)了數(shù)據(jù)主體對(duì)于個(gè)人數(shù)據(jù)的控制能力，也對(duì)企業(yè)如何保障實(shí)現(xiàn)數(shù)據(jù)主體的權(quán)利提出了具體的要求，對(duì)企業(yè)的制度建設(shè)、措施配置、業(yè)務(wù)流程乃至IT系統(tǒng)設(shè)計(jì)產(chǎn)生直接影響。

7 變化6：嚴(yán)格問(wèn)責(zé)——數(shù)據(jù)控制者

《條例》大大簡(jiǎn)化了企業(yè)日常的合規(guī)負(fù)擔(dān)，特別是廢除了目前各成員國(guó)關(guān)于數(shù)據(jù)處理及境外轉(zhuǎn)移的許可或者備案程序。但是取而代之的是要求企業(yè)在內(nèi)部建立完善的問(wèn)責(zé)機(jī)制，以實(shí)現(xiàn)《條例》規(guī)定的真正落地。特別是，《條例》旨在對(duì)個(gè)人數(shù)據(jù)處理中的個(gè)人權(quán)利和自由提供充分的尊重和保障，因此，對(duì)于數(shù)據(jù)控制者和處理者的約束規(guī)范十分嚴(yán)格。歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)第29條工作組已經(jīng)將制定相關(guān)細(xì)則列為了工作優(yōu)先項(xiàng)。

7.1 DPO

對(duì)于設(shè)立地在歐盟的機(jī)構(gòu)來(lái)說(shuō)，以下是必須設(shè)立DPO的法定情形：

● 政府部門(mén)及公共機(jī)構(gòu)作為數(shù)據(jù)控制者的；

● 機(jī)構(gòu)核心業(yè)務(wù)涉及以下大規(guī)?；顒?dòng)：日常地以及系統(tǒng)性地監(jiān)控?cái)?shù)據(jù)主體、處理特殊類(lèi)型的個(gè)人數(shù)據(jù)，或者數(shù)據(jù)處理活動(dòng)與刑事定罪相關(guān)。

DPO必須具備數(shù)據(jù)保護(hù)專(zhuān)業(yè)知識(shí)和技能，有能力且能獨(dú)立地履行職責(zé)。DPO的聯(lián)系方式必須予以公布，且向監(jiān)管機(jī)構(gòu)報(bào)備。集團(tuán)公司可以指定一位DPO，但前提是DPO能夠方便地介入公司其他運(yùn)營(yíng)地，處理相關(guān)事務(wù)。此外需要注意的是，《條例》允許成員國(guó)通過(guò)國(guó)內(nèi)立法擴(kuò)展必須指定DPO的其他情形（第37條）。

對(duì)適用于《條例》，但設(shè)立地在國(guó)外的機(jī)構(gòu)而言，其必須在歐盟境內(nèi)指定一個(gè)代表（機(jī)構(gòu)），以作為該機(jī)構(gòu)與數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)之間的聯(lián)系點(diǎn)（第27條）。

7.2 文檔化管理

文檔化管理（documentation）的目的是做到一舉一動(dòng)都有據(jù)可查。數(shù)據(jù)控制者必須全面記載其數(shù)據(jù)處理活動(dòng)，包括數(shù)據(jù)處理的目的、數(shù)據(jù)的類(lèi)型、數(shù)據(jù)接收者的類(lèi)別以及轉(zhuǎn)移至第三國(guó)的數(shù)據(jù)接收者、數(shù)據(jù)保存的時(shí)間、采取的安全保障措施等，保留與數(shù)據(jù)處理者的合同附件。250人雇員以下的中小企業(yè)可以豁免該要求，但是核心業(yè)務(wù)涉及大規(guī)模的處理個(gè)人數(shù)據(jù)或者敏感數(shù)據(jù)以及涉及違法定罪數(shù)據(jù)處理的不能例外。文檔化管理不僅是企業(yè)內(nèi)部的管理措施，而且是數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)履行職責(zé)的重要抓手（第30條）。

7.3 數(shù)據(jù)保護(hù)影響評(píng)估

對(duì)于高風(fēng)險(xiǎn)的數(shù)據(jù)處理活動(dòng)，要事先進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估（data protectionimpact assessment，DPIA）。《條例》并沒(méi)有對(duì)高風(fēng)險(xiǎn)進(jìn)行界定，但以下情形，應(yīng)當(dāng)事前評(píng)估：對(duì)個(gè)人特征的系統(tǒng)性評(píng)價(jià)（該評(píng)價(jià)會(huì)對(duì)數(shù)據(jù)主體產(chǎn)生法律上的影響）、對(duì)大量敏感數(shù)據(jù)的處理以及對(duì)公共領(lǐng)域大規(guī)模的系統(tǒng)性監(jiān)控（第35條）。

7.4 事先協(xié)商

如果數(shù)據(jù)保護(hù)影響評(píng)估的結(jié)果顯示是高風(fēng)險(xiǎn)，且數(shù)據(jù)控制者沒(méi)有有效降低風(fēng)險(xiǎn)的措施，數(shù)據(jù)控制者應(yīng)當(dāng)就數(shù)據(jù)處理活動(dòng)向相關(guān)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行事先協(xié)商（prior consultation）。監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)在收到協(xié)商申請(qǐng)的特定期限內(nèi)提出處理意見(jiàn)，并可以采取糾正措施。除此之外，成員國(guó)在制定涉及數(shù)據(jù)保護(hù)的立法時(shí)，也應(yīng)當(dāng)事前征求數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的意見(jiàn)（第36條）。

7.5 數(shù)據(jù)泄露報(bào)告

《條例》將數(shù)據(jù)泄露定義為導(dǎo)致偶然的或者非法的數(shù)據(jù)破壞、損失、改變、非授權(quán)的披露等（第4（12）條）。一旦發(fā)生數(shù)據(jù)泄露事故，數(shù)據(jù)控制者需要及時(shí)通知監(jiān)管機(jī)構(gòu)，如果可行，應(yīng)不超過(guò)72 h，除非該泄露不可能造成對(duì)個(gè)人權(quán)利和自由的破壞，若未在72 h內(nèi)報(bào)告監(jiān)管機(jī)構(gòu)，則后續(xù)報(bào)告應(yīng)當(dāng)說(shuō)明延遲報(bào)告的理由。對(duì)于數(shù)據(jù)處理者而言，其應(yīng)當(dāng)在意識(shí)到泄露事故及風(fēng)險(xiǎn)后及時(shí)報(bào)告數(shù)據(jù)控制者（第33條）。

數(shù)據(jù)泄露報(bào)告（data breach notification，DBN）中至少應(yīng)當(dāng)包含以下內(nèi)容：關(guān)于數(shù)據(jù)泄露事故的描述，涉及的數(shù)據(jù)主體的總量、類(lèi)型以及數(shù)據(jù)記錄的總量，企業(yè)DPO的姓名和聯(lián)系方式，泄露可能造成的結(jié)果，企業(yè)已經(jīng)采取的止損措施。數(shù)據(jù)控制者應(yīng)當(dāng)將所有的數(shù)據(jù)泄露事故予以文檔化，以便監(jiān)管機(jī)構(gòu)能夠檢查其合規(guī)工作（第33條）。

如果數(shù)據(jù)控制者采取了適當(dāng)?shù)谋Ｗo(hù)措施，特別是采取的措施（如加密）使得數(shù)據(jù)難以被一般人理解，或者其后續(xù)采取的措施能夠使威脅不會(huì)成為實(shí)際的結(jié)果，則數(shù)據(jù)控制者可以不必履行數(shù)據(jù)泄露報(bào)告義務(wù)，但這些證明責(zé)任都在數(shù)據(jù)控制者。當(dāng)然，數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以否決數(shù)據(jù)控制者做出的風(fēng)險(xiǎn)判斷，強(qiáng)制要求做出報(bào)告（第34條）。

依照《條例》規(guī)定，強(qiáng)制性的數(shù)據(jù)泄露報(bào)告是沒(méi)有門(mén)檻的，因此企業(yè)應(yīng)當(dāng)為此建立周密的制度安排，包括數(shù)據(jù)安全管理流程、泄露事故發(fā)現(xiàn)、上報(bào)預(yù)案等，以符合條例的嚴(yán)格要求。

7.6 安全保障措施

《條例》對(duì)于安全保障（security of processing）措施給予了更具體的規(guī)定，特別強(qiáng)調(diào)了以下措施：

● 對(duì)個(gè)人數(shù)據(jù)的匿名化和假名化；

● 確保提供持久的機(jī)密性、完整性、可用性和系統(tǒng)可恢復(fù)性的能力；

● 在物理或者技術(shù)事故下及時(shí)回復(fù)數(shù)據(jù)可用性、可訪問(wèn)性的能力；

● 建立定期測(cè)試、評(píng)估、評(píng)價(jià)技術(shù)和管理措施是否有效的體系（第32條）。

關(guān)于其中對(duì)于個(gè)人數(shù)據(jù)匿名和假名，《條例》明顯做出了區(qū)分。假名數(shù)據(jù)是指在缺乏其他信息的前提下（且該信息被獨(dú)立存儲(chǔ)），不能夠被識(shí)別指向特定個(gè)人的數(shù)據(jù)。假名數(shù)據(jù)仍然屬于個(gè)人數(shù)據(jù)，因此適用于個(gè)人數(shù)據(jù)的安全保障，特別是對(duì)于能夠?qū)⒓倜麛?shù)據(jù)恢復(fù)身份識(shí)別屬性的額外信息必須單獨(dú)安全存儲(chǔ)。但相比于普通個(gè)人數(shù)據(jù)，假名數(shù)據(jù)在遵循的規(guī)范方面要相對(duì)寬松。例如假名化以后，數(shù)據(jù)控制者可以將數(shù)據(jù)用于收集該數(shù)據(jù)時(shí)所確定目的之外的其他目的。

匿名數(shù)據(jù)是指已經(jīng)完全移除了個(gè)人可識(shí)別信息之后的數(shù)據(jù)，該數(shù)據(jù)不能夠再識(shí)別出特定個(gè)人。匿名數(shù)據(jù)不再屬于個(gè)人數(shù)據(jù)，不受《條例》規(guī)范。

?

8 變化7：嚴(yán)格問(wèn)責(zé)—— 數(shù)據(jù)處理者

對(duì)于數(shù)據(jù)處理者而言，《條例》帶來(lái)了重大變化。1995年版《指令》主要適用于數(shù)據(jù)控制者。數(shù)據(jù)處理者主要通過(guò)合同的方式承擔(dān)數(shù)據(jù)保護(hù)責(zé)任。然而新《條例》對(duì)于數(shù)據(jù)控制者、數(shù)據(jù)處理者在大多數(shù)情況下提出了相同的要求，例如數(shù)據(jù)處理者也承擔(dān)對(duì)數(shù)據(jù)的安全保障義務(wù)，在管理措施、技術(shù)上采取必要的措施，包括指定DPO、在發(fā)生數(shù)據(jù)泄露事故時(shí)及時(shí)報(bào)告數(shù)據(jù)控制者等。

此外，《條例》還細(xì)致規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者之間的合同應(yīng)當(dāng)至少包含哪些內(nèi)容，例如數(shù)據(jù)處理的目的、期限、個(gè)人數(shù)據(jù)的類(lèi)型、數(shù)據(jù)主體的類(lèi)別以及雙方的權(quán)利業(yè)務(wù)。

數(shù)據(jù)處理者僅能按照數(shù)據(jù)控制者書(shū)面的要求處理數(shù)據(jù)，必須確保其員工能夠遵守有關(guān)保密的要求；在數(shù)據(jù)安全、數(shù)據(jù)泄露、數(shù)據(jù)保護(hù)影響評(píng)估等方面對(duì)數(shù)據(jù)控制者提供協(xié)助。如果沒(méi)有數(shù)據(jù)控制者的同意，數(shù)據(jù)處理者不得二次分包業(yè)務(wù)；數(shù)據(jù)控制者可以對(duì)分包采取概括性授權(quán)，但如果具體的分包商發(fā)生了變化，數(shù)據(jù)處理者有義務(wù)及時(shí)告知數(shù)據(jù)控制者，后者有權(quán)提出反對(duì)。數(shù)據(jù)處理者對(duì)其分包商的數(shù)據(jù)處理活動(dòng)完全負(fù)責(zé)，有義務(wù)將數(shù)據(jù)保護(hù)的要求施加給二級(jí)分包商。在數(shù)據(jù)處理服務(wù)終止時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)刪除或者將數(shù)據(jù)全部返還給數(shù)據(jù)控制者，除非根據(jù)法律的要求必須保留這些數(shù)據(jù)。

數(shù)據(jù)處理者的違規(guī)行為同樣將受到《條例》規(guī)定的嚴(yán)格處罰，數(shù)據(jù)監(jiān)管機(jī)構(gòu)擴(kuò)展的監(jiān)管權(quán)力也同時(shí)適用于數(shù)據(jù)處理者，包括進(jìn)入數(shù)據(jù)控制者的工作場(chǎng)所、發(fā)布警告、發(fā)布數(shù)據(jù)處理禁令等。用戶個(gè)人也有權(quán)直接從數(shù)據(jù)處理者處主張賠償，當(dāng)然如果是因?yàn)閿?shù)據(jù)控制者的錯(cuò)誤指令，則數(shù)據(jù)處理者可以再向數(shù)據(jù)控制者索賠（第28條）。

新規(guī)中對(duì)數(shù)據(jù)處理者構(gòu)建的一系列規(guī)范要求，將對(duì)當(dāng)前的云計(jì)算生態(tài)體系帶來(lái)重大影響。按照新規(guī)，數(shù)據(jù)控制者和數(shù)據(jù)處理者之間的合同在很多情形下需要重新談判達(dá)成。特別是由于《條例》使數(shù)據(jù)處理者大大增加了合規(guī)風(fēng)險(xiǎn)，二者合同中關(guān)于安全保障措施、風(fēng)險(xiǎn)管理以及服務(wù)的價(jià)格都會(huì)受到影響。

?

9 變化8：完善跨境數(shù)據(jù)流動(dòng)機(jī)制??

關(guān)于跨境數(shù)據(jù)流動(dòng)的限制是在1995年版《指令》中提出的，歐盟公民的個(gè)人數(shù)據(jù)僅能轉(zhuǎn)移到與歐盟同等保護(hù)水平的國(guó)家。在實(shí)踐中，部分成員國(guó)針對(duì)跨境數(shù)據(jù)流動(dòng)增加了事前的備案或者許可要求。新《條例》明確禁止了這種增設(shè)許可的做法，只要符合《條例》中跨境數(shù)據(jù)流動(dòng)的條件，則成員國(guó)不得再予以限制。在此基礎(chǔ)上，《條例》還進(jìn)一步完善了數(shù)據(jù)轉(zhuǎn)移合法機(jī)制。

????（1）充分性決定

相比于1995年版《指令》，歐盟委員會(huì)除了可以對(duì)國(guó)家作出評(píng)估外，還可以對(duì)一國(guó)內(nèi)的特定地區(qū)、行業(yè)領(lǐng)域以及國(guó)際組織的保護(hù)水平作出評(píng)估判斷。這進(jìn)一步增加了通過(guò)“充分性”決定（adequate decision）的靈活性。畢竟自1995年版《指令》實(shí)施以來(lái)，通過(guò)充分性決定的國(guó)家及地區(qū)還不超過(guò)10個(gè)?！稐l例》對(duì)歐盟委員會(huì)做出充分性決定的程序和標(biāo)準(zhǔn)也進(jìn)行了進(jìn)一步詳細(xì)規(guī)范，包括要求至少每隔4年對(duì)充分性決定進(jìn)行重新審查（第45條）。

????（2）有約束的公司規(guī)則

有約束的公司規(guī)則（binding corporaterules，BCR）最早由歐盟第29條工作組發(fā)展而來(lái)，初衷是讓跨國(guó)公司或者公司集團(tuán)能夠在公司內(nèi)部進(jìn)行跨境的數(shù)據(jù)轉(zhuǎn)移，是歐盟委員會(huì)提出的標(biāo)準(zhǔn)化格式合同的一個(gè)替代選擇。在1995年版《指令》框架下，大約有2/3的歐盟成員國(guó)認(rèn)可BCR。但是取得成員國(guó)監(jiān)管機(jī)構(gòu)對(duì)于BCR的認(rèn)可需要經(jīng)歷冗長(zhǎng)的批準(zhǔn)程序（18~24個(gè)月不等）。此次《條例》對(duì)BCR給予了正式的法律地位，并詳細(xì)規(guī)定了BCR獲得認(rèn)可的程序和內(nèi)容標(biāo)準(zhǔn)（第47條）。

????（3）標(biāo)準(zhǔn)合同條款

目前歐盟委員會(huì)通過(guò)的3個(gè)標(biāo)準(zhǔn)合同條款（standard contractual clauses）仍然有效?！稐l例》增加了成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以指定標(biāo)準(zhǔn)合同條款的渠道，但必須要經(jīng)過(guò)歐盟委員會(huì)的認(rèn)可（第63條）。

????（4）經(jīng)批準(zhǔn)的行為準(zhǔn)則

數(shù)據(jù)控制者可以成立協(xié)會(huì)并提出遵守《條例》的詳細(xì)行為準(zhǔn)則（codes of conduct）。該行為準(zhǔn)則可以由成員國(guó)監(jiān)管機(jī)構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員會(huì)批準(zhǔn)，并通過(guò)有約束力的承諾方式生效。這種情形主要針對(duì)不適用于《條例》但從歐盟接收數(shù)據(jù)的主體（第46條）。

????（5）經(jīng)批準(zhǔn)的認(rèn)證機(jī)制、封印或者標(biāo)識(shí)

經(jīng)批準(zhǔn)的認(rèn)證機(jī)制、封印或者標(biāo)識(shí)（approved certification mechanism,seal or mark）主要適用于公共機(jī)構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移活動(dòng)。行為準(zhǔn)則與認(rèn)證機(jī)制是《條例》中引入的新型合規(guī)機(jī)制，以最大化發(fā)揮第三方監(jiān)督與市場(chǎng)自律作用。

10 變化9：對(duì)數(shù)據(jù)畫(huà)像活動(dòng)的特別規(guī)制

根據(jù)《條例》界定，“ 數(shù)據(jù)畫(huà)像”（profiling）概念外延廣泛，它是指：任何通過(guò)自動(dòng)化方式處理個(gè)人數(shù)據(jù)的活動(dòng)，該活動(dòng)服務(wù)于評(píng)估個(gè)人的特定方面，或者專(zhuān)門(mén)分析及預(yù)測(cè)個(gè)人的特定方面，包括工作表現(xiàn)、經(jīng)濟(jì)狀況、位置、健康狀況、個(gè)人偏好、可信賴度或者行為表現(xiàn)等。這一概念被普遍認(rèn)為能夠覆蓋目前大多數(shù)利用個(gè)人數(shù)據(jù)的大數(shù)據(jù)分析活動(dòng)，如對(duì)個(gè)人偏好的分析，可涵蓋市場(chǎng)中最普遍的大數(shù)據(jù)分析市場(chǎng)營(yíng)銷(xiāo)活動(dòng)。

畫(huà)像活動(dòng)如果對(duì)用戶個(gè)人產(chǎn)生法律上的影響或者其他重大影響，僅僅在符合以下條件之一時(shí)才是合法的：①數(shù)據(jù)主體明確同意；②歐盟或者成員國(guó)法的明確授權(quán)；③數(shù)據(jù)主體和數(shù)據(jù)控制者之間簽訂、執(zhí)行合同所必需（第22條）?？紤]到②③僅僅是個(gè)別情形，因此，實(shí)踐中絕大部分的數(shù)據(jù)畫(huà)像的合法基礎(chǔ)是用戶明確同意。而根據(jù)《條例》對(duì)于“同意”的高標(biāo)準(zhǔn)要求，業(yè)內(nèi)專(zhuān)家認(rèn)為，獲得用戶在數(shù)據(jù)畫(huà)像方面的同意將是難以操作的，這將對(duì)大數(shù)據(jù)背景下的分析營(yíng)銷(xiāo)活動(dòng)帶來(lái)極大的負(fù)面影響。

在數(shù)據(jù)畫(huà)像活動(dòng)中，獲得用戶合法有效的同意，首先應(yīng)當(dāng)向數(shù)據(jù)主體全面介紹數(shù)據(jù)畫(huà)像處理活動(dòng)是怎么進(jìn)行的，收集了用戶的哪些數(shù)據(jù)，算法的基本原理是什么，評(píng)估結(jié)果是否會(huì)對(duì)用戶產(chǎn)生法律上的影響。其次，應(yīng)當(dāng)明確告知用戶其享有對(duì)畫(huà)像的反對(duì)權(quán)。此類(lèi)信息應(yīng)當(dāng)明確無(wú)誤地表達(dá)，并使用足夠引起用戶注意的范式，獨(dú)立于其他信息（第13.2、21條）。

此外，基于個(gè)人敏感數(shù)據(jù)的數(shù)據(jù)畫(huà)像活動(dòng)是被禁止的，除非數(shù)據(jù)主體出于一個(gè)或者多個(gè)特定的目的，被給予了明確的同意，但是成員國(guó)可以通過(guò)立法明確規(guī)定即使在用戶同意的情況下，也禁止基于敏感數(shù)據(jù)的畫(huà)像活動(dòng)；或者該數(shù)據(jù)畫(huà)像活動(dòng)對(duì)于重大的公共利益是必需的（第22條）。

因此，對(duì)于依賴于數(shù)據(jù)畫(huà)像（包括利用cookie等跟蹤工具開(kāi)展行為精準(zhǔn)營(yíng)銷(xiāo)）的企業(yè)來(lái)說(shuō)，如何設(shè)計(jì)一套有效的機(jī)制，既能夠符合《條例》有關(guān)透明性和用戶同意的要求，同時(shí)也能使得數(shù)據(jù)分析活動(dòng)得以繼續(xù)，是當(dāng)前的一道難題。

11 變化10：監(jiān)管權(quán)力、處罰與司法救濟(jì)

《條例》增強(qiáng)了監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)，包括：通知數(shù)據(jù)控制者、處理者相關(guān)違反行為；要求違法者提供相關(guān)信息，或者向監(jiān)管機(jī)構(gòu)提供訪問(wèn)此類(lèi)信息的接口；現(xiàn)場(chǎng)調(diào)查、審計(jì)；命令修改、刪除或者銷(xiāo)毀個(gè)人數(shù)據(jù)；可以采取臨時(shí)性的或者限定性的數(shù)據(jù)處理禁令；科以罰金（第58條）。

《條例》規(guī)定了嚴(yán)苛的罰金，分為兩檔：①處以1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%的罰款，兩者取其高。針對(duì)的違法行為包括：沒(méi)有實(shí)施充分的IT安全保障措施，或者沒(méi)有提供全面的透明的隱私政策，沒(méi)有簽訂書(shū)面的、數(shù)據(jù)處理協(xié)議等；②處以2 000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%的罰款，兩者取其高。此類(lèi)處罰針對(duì)的違法行為包括：無(wú)法說(shuō)明如何獲得用戶的同意，違反數(shù)據(jù)處理的一般性原則，侵害數(shù)據(jù)主體的合法權(quán)利以及拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等（第83條）。

司法救濟(jì)。對(duì)于不服監(jiān)管機(jī)構(gòu)作出的決定或者針對(duì)監(jiān)管機(jī)構(gòu)的不作為，當(dāng)事主體可尋求司法救濟(jì)。其中，數(shù)據(jù)主體可以通過(guò)司法途徑向數(shù)據(jù)控制者、數(shù)據(jù)處理者主張因其違反《條例》而致使數(shù)據(jù)主體遭受物質(zhì)上或者非物質(zhì)上的損害。如果一個(gè)以上的數(shù)據(jù)控制者、處理者涉及侵權(quán)，則共同承擔(dān)連帶責(zé)任，除非其能證明對(duì)損害的產(chǎn)生沒(méi)有責(zé)任。上述司法救濟(jì)的權(quán)利可以由消費(fèi)者機(jī)構(gòu)代表數(shù)據(jù)主體行使（第26、80、82條）。

12 結(jié)束語(yǔ)

從1995年版《指令》的34個(gè)簡(jiǎn)單條文擴(kuò)展到99條（263頁(yè)）的詳細(xì)規(guī)范，《條例》帶來(lái)了全面制度改革，其核心目標(biāo)是將個(gè)人數(shù)據(jù)保護(hù)深度嵌入組織運(yùn)營(yíng)，真正將抽象的保護(hù)理論轉(zhuǎn)化為實(shí)實(shí)在在的行為實(shí)踐。對(duì)于企業(yè)而言，小至隱私政策、業(yè)務(wù)流程，大到IT系統(tǒng)、戰(zhàn)略布局，無(wú)一不需要重新審視規(guī)劃。當(dāng)下著手的準(zhǔn)備工作，決定了企業(yè)能否有底氣在2年之后站立在數(shù)字時(shí)代新的起跑線上。

王融（1979-），女，中國(guó)信息通信研究院互聯(lián)網(wǎng)法律中心副主任、高級(jí)工程師，主要從事電信、互聯(lián)網(wǎng)立法與監(jiān)管政策研究工作。代表著作：《電信法》《融合背景下的中歐電信管制比較研究》《個(gè)人信息保護(hù)法研究》。主要研究方向?yàn)閭€(gè)人信息保護(hù)法、網(wǎng)絡(luò)信息安全法。發(fā)表文章30余篇。負(fù)責(zé)及參與中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、工業(yè)與信息化部、中歐信息社會(huì)等委托研究項(xiàng)目，參與國(guó)家《電子商務(wù)法》《網(wǎng)絡(luò)安全法》及工業(yè)和信息化部部門(mén)規(guī)章立法工作。

總結(jié)

以上是生活随笔為你收集整理的【2016年第4期】《欧盟数据保护通用条例》详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。