欧盟通用数据保护法规解析

刘雨晨?谢宗晓

摘要：论文分析了GDPR中重要的词汇，个人数据和处理；介绍了GDPR的主要内容；给出了遵守GDPR的实施步骤指南。

关键词： 数据安全 个人信息保护 GDPR

Analysis of EU General Data Protection Regulation

Liu Yuchen ， Xie Zongxiao

（ China Financial Certification Authority ）

Abstract： This paper analyzes the important vocabulary， personal data and processing in GDPR， and introduces the main content of GDPR， and gives a guide to the implementation steps of compliance with GDPR.

Key words： data security， personal information security， GDPR

歐盟通用数据保护法规（EU General Data Protection Regulation，下文中简称GDRP）在2018年5月25日正式实施。事实上，该法令在2016年4月27日就已经通过，用以替代现行的Directive 95/46 / EC1），GDRP被认为是欧盟在隐私保护方面近20年来的最重要的变革之一。

1 个人数据

从正文来看，GDRP讨论的是个人数据（personal data）保护问题，在条款4 定义中，一共定义了26个词汇，其中第一个就是personal data，但是并没有general data定义，可见，general一词可能不是用来修饰data的，尽量不要将其翻译为“一般数据”。

个人数据是与特定的或可识别的自然人相关的任何信息。

可识别的自然人是指可以被直接或间接识别，尤其是通过姓名、身份证号、位置数据、在线标识符，或者一项或多项该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的因素来标识。

这个定义与GB/T 35273—2017《信息安全技术 个人信息安全规范》基本是一致的。个人数据的示例如表1。

2 处理

处理（process）是GDPR中的一个重要的概念，覆盖了针对个人数据的各类操作，例如，收集、记录、组织、建构、存储、适应或修改、检索、咨询、使用、披露、传播或以其他方式应用，排列或组合、限制、抹除或销毁等。用于数据处理的技术是中性的，可以是手工的，也可以是自动的。

数据处理的示例如表2。

3 主要内容

3.1 法律文书的变化

《通用数据保护法规》的前身为《数据保护指令》，出台于1995年。20世纪90年代个人数据的跨境传输还未成为常态，信息系统的架构和规模也无法和今天相提并论。

欧盟指令为Directive，指令是一种应用较为宽泛的法律形式，颁布后对欧共体的公民并不具有直接的约束力，一般会给与成员国一定的期限，成员方自行以国家法律法规的形式将欧盟指令落实到其本国法律体系。欧盟法规为Regulation，发布后一段时期内直接对欧盟全体公民生效，不需要欧盟成员国通过国内法再进行转化，直接在所有成员国统一生效落地，从而解决成员国之间因对《数据保护指令》解读不同、法律和文化体系不同而造成欧盟各国在制定和实施数据保护法律时存在差异的问题。

在通用数据保护法规的立法过程中，一些代表团曾表示他们更倾向于采取指令的形式而不是法规，因为在需要的时候可以提供更大的灵活性。但更多的代表团则倾向于按照委员会的建议选择法规。

3.2 法律适用范围增大

《法规》不仅是对《指令》的提升，更是对《指令》适用范围的全面增加。GDPR不仅适用于处理欧盟居民个人数据的欧盟组织，也同样适用于不在欧盟的组织。正如第三条所述，它“适用于处理非联盟内设立的控制人或处理人在联盟内的数据主体的个人数据”。GPDR适用范围不仅采取了属地化管理，还采取了“属人化”管理。成立地点位于欧盟境内的机构，必然需要遵守GDPR。而对成立于欧盟之外的机构，只要在其提供的产品或者服务的过程中（不论是否发生实际交易）处理了欧盟境内公民的个人数据，则同样需要遵守GPDR。

3.3 触犯法规将导致高额罚金

企业若在指定日期2018年5月25日之前不能达到GDPR的规定，则将面临高额罚金。罚金分为两档：（1）处以一千万欧元或者上一年度全年收入的2%，两者取其高者；针对的违法行为主要包括作为数据控制者和处理者没有实施充分的IT技术措施和保障措施、没有提供完备的隐私政策、没有签署数据处理合同等；（2）处以两千万欧元或者上一年度全年收入的4%，两者取其高者；针对的违法行为主要包括无法证明如何征得客户的同意，侵犯数据主体的权利、个人数据转移过程不合规、拒不服从监管机构的警告等。

3.4 个人数据的收集限制

GDPR对个人数据的定义进行了延展，在传统的个人可识别信息如姓名、地址和身份证号码等要素之外，还纳入了位置信息、IP地址、Cookie数据和RFID标签、政治倾向、性取向等其他要素。其中儿童属于特殊人群，只有得到监护人的授权之后才能进行处理。GDPR中还强调了特殊的个人数据，包括所属种族或民族、政治倾向、宗教或哲学信仰、工会成员资格、自然人的生物识别数据、医疗健康数据、性取向等，原则上均为禁止处理。

当然在某些情况下其中有些数据还是能够进行收集处理，例如协会可以对其成员的宗教信仰、会员资格进行处理，前提是采取充分的保护措施。

3.5 删除权

数据主体可以要求删除组织持有其的任何个人数据。GDPR要求用户可以在软件或者Web应用上面进行配置，通常应该提供一种方法能让客户删除他们的个人数据。尽管在许多系统中，在删除数据时并不实际删除数据。但是这符合牛津词典中动词“删除”的定义：“Remove or obliterate（written or printed matter），especially by drawing a line through it.”这意味着需要一个简单处理功能，能够全面删除当前用户上传的所有数据，包括数据库、文件存储、搜索引擎、CDN、CDN的分布式镜像以及任何缓存中。

如果客户被标记在别人的分享内容中也同样需要进行上述删除操作。从自身信息系统中删除东西是一回事，但同时也有义务通知第三方去删除这些数据。因此，如果组织所保存的个人数据被转载、分享或已将个人数据发送给任何云服务提供商，则应调用允许删除个人数据的API。如果组织作为后者，“忘记我”功能应该能够被操作。最后还必须确保个人数据不会出现在搜索引擎的搜索结果中。

3.6 個人数据泄露通知

与对数据泄露问题保持沉默的指令不同，GDPR包含“个人数据泄露”的定义，以及对监管机构和受影响数据主体的通知要求。根据GDPR的定义，“个人数据泄露”是“指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问”，发生个人数据泄露事件后，需要在72小时之内通知监管机构并及时通知到数据主体。显然，只有当组织察觉到系统已经被攻破时，才能进行相应通知，所以这里需要依靠入侵检测及各种监控机制。

第三十三条第一款包含了通知监管机构要求的一个重要例外：如果“个人数据泄露对于自然人的权利与自由不可能会带来风险”，则不需要通知，这一措辞会给数据保护官（DPO）和组织法务人员提供一个辩解通知必要性的机会。同样GDPR也定义了通知数据主体的例外情况：1）控制者已“实施了适当的技术和组织保护措施”，“使数据无法被任何未授权访问的人理解，例如对个人数据进行加密；2）控制者在个人数据泄露事件后采取行动以“确保数据主体的权利和自由的高风险”不可能实现； 或者3）向每个数据主体发出通知时“涉及不成比例的努力”，在这种情况下可以使用具有相同效果的替代通知措施。

4 实施步骤

4.1 建立意识

首先应当确保组织中的决策者和关键角色意识到GDPR正在生效，他们需要认识到可能产生的影响，并查明在“GDPR”下可能引起合规问题的分布区域。如果组织正在持续维护风险登记册，可以先从中获取相关的信息。实施GDPR可能会带来重大的资源影响，特别是对于规模更大、更复杂的组织而言，而调动这些资源同样需要决策者的支持。

4.2 检查组织所收集和处理的个人数据，它们基于何种目的或基于哪些法律条款

根据GDPR，组织必须能够解释属于每个人的所有数据。组织应当记录所持有的个人数据，这些数据来自哪里，以及与谁共享。传统的数据发现技术无助于找到个人数据，因为它不是为此设计的。为避免遗漏个人数据，可在整个组织或特定业务领域组织一次专项审计。

组织所收集、处理的个人数据最有可能来自于员工以及客户。对于员工个人数据，组织通常会基于劳动合同以及法律条款去处理，如将员工个人数据提供给税务部门、人力资源和社会保障局、住房公积金管理中心等机关单位。

而对于筛选过或已分组的客户数据，组织通常会将其录入进CRM系统进行维护，当征得客户的同意后，组织会将定制的优惠信息或广告发送给他们。在某些情况下并不是每次都需要得到个体的同意，很多时候客户会希望他们的个人数据得到处理。例如一个网上商城可以处理收货地址去投送一个客户所关注新产品的广告，这被称为合法利益。但与此同时，组织必须告知这些选定的客户其个人数据的预期用途以及相应的退出机制。

针对一份未分类的供应商或顾客清单，应基于与他们所签署的合同进行个人数据处理，这里的合同不一定是纸质合同。

4.3 及时通知被收集个人数据的客户、员工以及其他个体，并得到他们的同意

每个个体都必须知道处理其个人数据的目的所在，比如使用客户的邮箱作为用户名及认证邮箱，并在通知客户之后开始处理其数据，这通常是通过清晰易懂的隐私通知来完成的。首先应该审查当前的隐私通知是否符合GDPR的要求，及时为实施GDPR做必要的修改，例如在通知中默认勾选同意复选框已经不再符合要求，同意必须是基于自由的选择、条款必须是具体的。同时，隐私通知还需要包含一些其他内容，例如需要解释处理数据的合法依据、数据保留期等。

但是，当个体已经知晓个人数据如何被使用的情况时，就无需通知他们。例如，当客户在网上商城下了订单，在订单中录入个人的收货地址要求送货时。

当客户对组织存储了哪些个人数据提出请求时，组织必须随时告知并允许他们访问其个人数据。保持组织所收集的个人数据井井有条，例如当员工需要某类被收集的个人数据时，组织应该便利地提供而不必经过繁琐的流程。

4.4 关注儿童个人数据

根据涉及个人数据的范围，应该开始考虑是否需要增加系统功能来验证个人的年龄，以便在处理数据之前获得儿童父母或者监护人的同意。

GDPR有史以来第一次针对儿童的个人数据提出了保护要求，特别是在商业互联网服务（如社交网络）的背景下。如果目前组织对不超过16岁的儿童提供在线服务（“信息社会服务”），并依靠他们的同意来收集有关他们的信息，那么还需要得到儿童父母或监护人的同意才能合法地处理他们的个人数据。

4.5 只在最短的生命周期内存储个人数据

员工的数据只在劳动合同期内和在负有相关法律义务时才进行存储。而针对客户的数据则在客户关系持续期内或基于相关的法律义务（例如，为了税务目的）。当不再符合初衷时及时删除组织所收集的数据。

4.6 保护正在处理的个人数据

如果組织将个人数据存储在IT系统上，应限制对包含数据的文件的访问控制，例如通过密码。定期更新系统的安全设置。如果组织以纸质文件的形式储存个人数据，则应确保未经授权的人不能查阅；将文件锁在保险箱或文件柜内。

4.7 保护处理活动中的文档

组织需要准备一份简短的文档，说明持有什么个人数据，以及出于什么原因。当监管机构提出要求时，组织可能需要提供这些文档印证所做的工作。

处理文档应包含的内容见表3。

4.8 确保组织的外包商遵守法规

如果组织将个人数据的处理部分外包给另一家组织，而对客户展示为组织的唯一的服务提供商，那么必须保证外包商的处理过程符合GDPR的要求（例如安全措施）。在与外包方签署合同之前，需检查他们是否已经修改并调整到符合GDPR的要求，需把相应条款体现在合同内容之中。

4.9 检查是否考虑过下列规定

为了更好地保护个人数据，组织可能需要任命一名数据保护官（DPO）。但如果处理个人数据不是业务核心功能、处理风险不高并且规模不大，那么可能不需要指定一名数据保护官。例如，组织收集个人数据仅仅为了快递业务，那么任命DPO不是必须的。即使需要DPO，那么他也可以由组织现有其他岗位员工进行兼任，或者由外部顾问进行担任，就像许多组织聘请外部会计师一样。DPO的任务应该包括为同事提供建议并监督隐私的法律和政策合规性。DPO负责培训，提高认识，开展审计，并与监管当局合作。一般情况下不需要进行数据影响评估，数据影响评估是针对那些对个人数据构成更大风险的组织。例如，他们对公众可访问的区域进行大规模的监视（例如视频监视）。

隐私设计作为一个概念已经存在多年了，主要内容是关于在编写代码之前如何预测、管理和防止隐私问题的发生，它目前成为GDPR法律明确要求的一部分。这意味着任何新应用程序的研发都必须围绕隐私设计，它必须与研发工作同步进行而不能滞后。当然，“隐私设计”并不排除GDPR颁布之前的软件。它们需要进行调整才能符合要求。以上问题的考量过程也需要记录下来，仅确保组织不违反GDPR原则是不够的，向监管机构表明组织正在采取措施确保合规性是非常必要的。

5 小结

经过对GPPR的剖析可以得知，组织须花费时间和金钱改变他们所有的系统，还必须重新评估他们的合作伙伴。而更重要的是，组织也必须改变整个公司处理数据的方式，变化不仅仅是技术性的。尽管这种变化富有挑战，但GDPR也是一个机会，这次机会意味着可以审查组织所持有和使用的所有系统，以审查数据流并精确定位可以改进的地方。这也是一个隐私合规的机会，因为组织有机会符合目前国际上最严格的隐私保护法规，并因此可以在同行业中占据一定优势。