欧盟《通用数据保护条例》(GDPR)解读

王 翔

杭州天翼智慧城市科技有限公司，浙江 杭州 310012

一、出台背景

《通用数据保护条例(General Data Protection Regulations)》(“GDPR”)由欧盟议会于2016年4月14日通过，2018年5月25日正式生效实施。

为规范数据收集使用行为，维护自然人个人数据保护的基本权利，GDPR在适用范围、数据使用、数据主体权利、数据控制者和处理者责任义务、数据监管，以及法律责任等方面作了详细的规定。

二、主要内容

(一)GDPR适用范围广

1.GDPR扩大了“个人数据”的范围，即与确定的或可识别的自然人相关的任何信息。

2.在欧盟内设立的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内，适用GDPR。

3.对欧盟内数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，也适用GDPR。

4.设立在欧盟外，但依据国际公法可适用欧盟成员国法律的，同样适用GDPR。

(二)严格界定数据处理合法理由

GDPR规定了6条处理数据的合法理由，如获得数据主体同意、为履行数据主体参与的合同必要、为控制者或者第三方追求合法利益必要等。

(三)赋予数据主体更多权利

数据主体享有知情权、数据访问权、纠正权、被遗忘权、限制处理权等诸多权利。

(四)严格规范控制者义务

GDPR严格规范控制者数据处理行为，要求控制者：

1.具备数据保障措施，防范安全风险。如：进行个人数据匿名化和加密措施等。

2.记录处理活动，做到有据可查。GDPR要求控制者全面记载处理活动，记录内容要求包含数据处理目的、数据主体类别、个人数据的分类描述、数据接收者类别等内容。

3.对于高风险的数据处理活动，前置数据保护影响评估及事先咨询。GDPR对应当事前评估的数据类别、评估内容，以及对控制者和监管机构的要求等进行了规定。

4.符合法定情形的，必须设立数据保护专员(Data Protection Officer，简称DPO)。GDPR详细规定了DPO的设立、地位和职责。

5.数据泄露应及时通知。控制者不得不当延误报告，至少应当在知道时起72小时内通知监管机构，并对通知应当包含的内容进行了规定。

(五)严格规范处理者义务

GDPR大大增加了处理者的义务，除了遵守与控制者签订的数据处理协议内容外，同样要求处理者具备数据保障措施、记录处理活动、承担数据泄露相应义务等。同时，GDPR还规范了数据处理协议的内容，禁止处理者擅自分包业务等。

(六)特别规制数据画像行为

数据画像，较多体现在利用个人数据的大数据分析活动，如市场营销活动。当数据画像活动对数据主体产生法律效果或者类似重大影响时，仅仅在符合以下条件之一时才是合法的：1.数据主体明确同意；2.按照欧盟或成员国法律规定；3.数据主体和数据控制者之间签订履行合同必要。

三、对中国企业的影响

GDPR适用范围极广，不受地域的限制。即使中国企业没有在欧盟设立分支机构，但是欧盟用户上这个中国企业的网站注册购买商品或服务，此时如果这个企业不当收集了该用户的信息，就可能被欧盟监管部门处以巨额罚款。相较于我国现行的《网络安全法》、《信息安全技术-个人信息安全规范》等个人信息保护领域的法律法规及国家标准，在适用GDPR时要注意以下几个方面：

(一)关于树立个人信息保护意识

大数据运营方要确保企业管理层、业务部门、安全保障部门等及时知晓GDPR的生效及其带来的主要变化，可通过培训、讲座等多种形式，树立起个人信息保护意识。若属于GDPR规定的必须设立数据保护官的情形，应按照要求设置数据保护官。

(二)关于获得用户的同意

《网络安全法》要求数据采集需要得到用户同意，但未规定“同意”的标准；《信息安全技术-个人信息安全规范》(以下简称“《规范》”)则专门界定了“明示同意”，并赋予用户撤回同意的权利。相较之下，GDPR对用户“同意”的规范更为细致。

(三)关于用户的知情权

在履行用户知情权方面，我国《网络安全法》和《规范》与GDPR规定类似，若适用GDPR，要注意以下几点：

1.数据采集要公开透明，要以明确、易懂的方式向用户公开数据采集、存储以及使用的目的、方式、范围。

2.大数据运营方可以按照《规范》中对隐私政策的涵盖内容、发布规范，以及《规范》附录中提供的隐私政策模板及填写说明，完善各自的隐私政策。

3.对于间接采集数据，即不是直接向用户采集数据，GDPR特别规定了在4种情形下可以不必向用户履行告知义务。比如，用户已经知道告知内容的情形。