欧盟GDPR精要：5千字读懂GDPR说了啥

曹建峰  腾讯研究院高级研究员

5月25日，在两年过渡期后，GDPR如约生效。炒作GDPR似乎成为了一种时髦。里面究竟有多少真的成分，多少假的成分，公众恐怕难以辨识。两年前，GDPR通过之时，笔者曾怀着仰慕之心对GDPR核心内容进行了尽可能忠实于原文的摘录。希望能为相关人士提供参考，以便更理性地看待GDPR及其影响。

1

GDPR适用范围

1.保护对象：

GDPR保护的仅是“个人数据”（personal data），不涉及个人数据以外的其他数据。

根据GDPR第4条的规定，个人数据是指，与一个已被识别（identified）或者可被识别（identifiable）的自然人相关的任何信息。

可被识别的自然人是指，其可以被直接或者间接识别，尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识，或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。

这里所指的个人数据仅限于有生命的自然人的个人数据，不包括死者、胎儿等。同时，个人数据的保护不涉及匿名信息，或者经过匿名化处理以至于不再具有可识别性的个人数据。

对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据（个人敏感数据），GDPR从收集、使用等角度作出了特殊规定。

就个人数据的保护而言，GDPR主要适用于电脑（自动化）处理个人数据的行为，不涉及其他类型的处理行为。GDPR第4条规定，对个人数据的自动化处理包括：

1. 收集，记录，整理，组织，存储；

2. 改编，调整，检索，查阅，利用；

3. 通过传输或者传播予以披露、提供；

4. 匹配，组合；

5. 限制，删除，摧毁。

GDPR对个人数据的保护并不绝对，其“序言”部分要求，应当平衡新闻自由、表达自由、商业自由等权利，符合比例原则、法益平衡原则等法律的基本原则。

2.管辖范围：

GDPR第3条规定，GDPR适用于以下三种情形：

1. 数据控制者、数据处理者在欧盟有营业场所的，不论数据处理行为发生在欧盟还是境外；

2. 数据控制者、数据处理者未在欧盟设立营业场所，但向欧盟的数据主体提供商品或者服务，或者被追踪的网络行为发生在欧盟的；

3. 虽然数据控制者、数据处理者未在欧盟设立营业场所，但是根据国际公法应当适用欧盟成员国法律的。

3.权利主体：

在GDPR中，享有数据权利的主体被称为数据主体（data subject）,个人数据所指向之自然人为数据主体。数据主体须为欧盟居民，一般要求具有成员国国籍。

4.义务主体：

GDPR主要针对两类义务主体，即数据控制者（controller）和数据处理者（processor）。

控制者是指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者，处理个人数据的自然人、法人或者其他组织。

2

GDPR基本原则

对于个人数据的处理，GDPR规定了七个基本原则。

原则之一：合法、公平、透明原则；

原则之二：目的限定原则，出于特定、明确、合法的目的收集个人数据，进一步处理不得有悖于前述目的，除非符合公共利益、科学研究等正当目的；

原则之三：数据最小化原则，所收集、处理的个人数据之于其处理目的，应当准确、相关、必要；

原则之四：准确原则，确保个人数据准确、时新；

原则之五：有限留存原则，除非符合公共利益、科学研究等正当目的，否则对个人数据的留存期限不能超过其处理目的；

原则之六：完整、机密原则，用技术手段确保个人数据安全，不被非法处理、窃取、损毁等。

原则之七：责任原则，控制者应当遵守前述六项原则并承担责任。

3

个人数据的收集、处理规则

1.一般规则：

GDPR第6条规定，只有符合以下条件之一，收集、处理个人数据的行为才是合法的：

1. 用户为了一个或者多个明确目的，同意处理其个人数据；

2. 为了履行用户与企业之间的合同必须处理其个人数据，或者为了基于用户请求而签订合同必须处理其个人数据；

3. 处理行为对于企业遵守其所负担的法律义务是必要的；

4. 处理个人数据是为了保护该用户或者其他自然人的重大利益；

5. 处理个人数据是为了公共利益；

6. 处理行为对于企业或者第三方所追求的合法利益目的是必要的，除非该利益屈从于需要保护其个人数据的自然人的利益或者基本权利和自由，尤其是当其是儿童时。

此外，对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据（个人敏感数据），除非获得用户明确同意，或者具有其他正当理由，否则禁止收集、处理上述个人数据。

2.同意的条件：

GDPR第7条规定，当处理行为是基于用户同意进行时，企业应当能够证明用户已经同意处理其个人数据。

如果用户的同意是在一个包含其他事项的书面声明中作出的，则该书面声明中的同意请求应当具有明显的辨识度以便可与其他事项区别，使用清楚、直白的语言，以容易理解且容易获取的方式呈现，否则视为无效。

用户有权随时撤回其同意，同意的撤回不具有溯及既往的效力；同意的撤回应当和同意的作出一样容易。

3.儿童的同意：

当儿童至少16岁时，其同意才可以是处理其个人数据的合法条件；如果儿童不满16岁，则只有当其监护人作出或者授权同意时，处理其个人数据才是合法的。

成员国可以规定更低的儿童同意能力年龄，但不得低于13岁。企业应当尽合理努力，采取可行的技术，核实儿童的同意是其监护人作出或者授权的。

4

数据主体的权利

权利名称	权利内容	权利限制
获取权 right to access	GDPR第15条规定，用户有权要求企业告知其个人数据是否正在被处理；如果是，有权获取其个人数据以及相关信息。	企业应当提供正在处理的个人数据的一份复制件；如果用户索要更多复制件，可以收取合理费用。 当提供个人数据的复制件侵害他人权利或者自由时，企业可以拒绝提供。
修改权 right to rectification	GDPR第16条规定，用户有权要求企业及时修改不准确的个人数据，有权要求将不完整的个人数据补充完整。
被遗忘权 right to be forgotten	GDPR第17条规定，在下列情形下，用户有权要求企业及时删除其个人数据：（1）该数据之于其收集、处理目的不再必要；（2）用户撤回其同意，并且没有其他正当理由支持继续处理该数据；（3）用户反对处理其个人数据，并且没有其他正当理由支持继续处理该数据，或者出于直接营销目的处理个人数据，遭到用户反对的；（4）非法处理个人数据的；（5）为了遵守企业在欧盟或者成员国法律之下的义务，必须删除该数据；（6）为提供信息社会服务，经其监护人同意而处理儿童个人数据的。 上述规定适用于已经公开的个人数据；此时，企业应当采取合理措施，删除个人数据的链接、复制件等。	首先，被遗忘权不是绝对的，需要符合比例原则并与新闻自由、表达自由、商业自由等进行平衡。 其次，GDPR规定了不适用被遗忘权的五个例外：（1）保护表达和信息自由；（2）履行法律义务；（3）关涉公共健康等公共利益；（4）为了档案、统计、历史和科学研究等目的；（5）其他正当理由和抗辩。
限制处理权 right to restriction of processing	GDPR第18条规定，在特定情形下，包括个人数据不准确、非法处理个人数据、处理个人数据已不符合目的等，用户有权限制企业处理其个人数据。	企业可以以保护他人权利、公共利益等正当理由进行抗辩。
数据可携权 right to data portability	GDPR第20条规定，用户有权以有序的、常用的、机器可读的方式获取其个人数据，并且有权将这些数据转移到另一个企业，原始收集、存储这些数据的企业不得干扰用户转移。在技术可行的情况下，用户有权要求原始收集、存储其个人数据的企业直接将这些数据转移到另一个企业。	数据可携权不得不利地损害他人的权利和自由。
异议权 right to object	GDPR第21条规定，基于其特殊情况，用户有权在任何时间反对处理其个人数据；一旦用户提出异议，企业就应当停止处理其个人数据。	企业可以提出正当理由进行抗辩。
	GDPR第22条规定，只有当完全基于自动化处理对用户进行画像[1]等决策对用户产生法律效果或者其他类似重大影响时，用户才有权反对。	这一规定不适用于以下三种情形：（1）对于用户与企业之间签订、履行合同是必要的；（2）欧盟或者成员国的法律允许；（3）基于用户明确同意。

5

数据控制者、处理者的义务

义务类型	义务内容
通过设计以默认方式保护数据的义务	GDPR第25条规定，企业应当在产品设计之初采取技术和组织措施，比如假名化（pseudonymisation），以默认方式保护数据。 在GDPR中，“假名化”是指，在不借助额外信息的情况下，对个人数据的处理不能再指向某个特定的自然人，条件是这些额外信息被单独保存，并且采取技术和组织措施确保个人信息不被归属到一个已被识别或者可被识别的自然人。 通过假名化，企业可以对个人数据进行一般分析。
记录处理活动的义务	GDPR第30条规定，企业应当对其处理个人数据的活动进行记录，记录应当涵盖下列信息：企业的名称和联系方式，处理目的，用户的类型和个人数据的类型，数据接收者的类型，向第三方国家转移个人数据的情况，不同类型的数据的删除时限，所采取的技术和组织安全措施。 记录义务不适用于250人以下的企业。
与监管部门合作的义务	GDPR第31条规定，一经要求，企业就应当在履行其义务的过程中，与监管部门进行合作。
确保处理安全的义务	GDPR第32条规定，为了确保个人数据安全，企业应当采取适当的技术和组织措施，包括对个人数据进行假名和加密处理。
个人数据泄露的通知义务	【通知监管部门】：GDPR第33条规定，当发生个人数据泄露事件时，企业必须于知悉该事件后的72小时内通知监管部门，除非该事件不大可能给自然人的权利和自由带来风险；倘若在72小时内未能通知监管部门，企业应当于随后通知之时附带说明延迟的理由。通知的内容包括个人数据泄露事件的性质，涉及的用户的类型和数量，泄露的个人数据的类型和数量，个人数据泄露事件可能造成的后果，将会采取的措施。 【通知受到实质性影响的用户】：GDPR第34条规定，当个人数据泄露事件可能影响自然人的权利和自由时，企业应当及时通知相关用户，通知的语言应当清楚、直白。
开展数据保护影响评估（data protection impact assessment）的义务	GDPR第35条规定，当处理个人数据采用新技术，可能影响自然人的权利和自由时，企业在开展个人数据处理之前，应当先行对新技术可能给个人数据保护带来的影响进行评估。 在下列情形中，尤其应当开展影响评估：（1）涉及基于自动化处理对用户进行画像等决策；（2）涉及处理个人敏感数据；（3）涉及处理与刑事犯罪有关的个人数据；（4）涉及对公共区域进行大规模的系统性监控。 当数据保护影响评估显示，如果不采取措施减少相关风险，数据处理行为就会产生较高风险，企业就应当在开展数据处理之前，先行咨询监管部门。
设立数据保护官（data protection officer）的义务	GDPR第37条规定，公共组织（法院除外）、核心业务涉及对用户进行经常性的大规模的系统性监控的企业、核心业务涉及处理个人敏感数据或者与刑事犯罪有关的个人数据的企业，应当任命一个数据保护官。多个相关企业可以委任一个数据保护官。 数据保护官的职责包括：通知和建议企业履行其在GDPR之下的义务；监测企业履行其义务；与监管部门合作。

6

个人数据跨境转移规则

个人数据跨境转移规则适用于将处理中的个人数据转移到第三方国家或者国际组织，或者将个人数据转移到第三方国家或者国际组织进行处理，包括从第三方国家或者国际组织再次转移到其他第三方国家或者其他国际组织，目的是确保GDPR对个人数据提供的保护不因个人数据跨境转移而遭到贬损。

1.基于充分保护决定转移：

根据GDPR第45条，当欧洲委员会认为第三方国家或者国际组织对个人数据和隐私的保护水准和欧盟相当，作出充分保护决定时，转移个人数据就不需要获得特别授权。

充分保护决定的作出，需要评估法治、对人权和基本自由的尊重、相关立法等一系列因素。充分保护决定需要接受周期性审查，每四年进行一次，必要时可以废止、修改或者暂缓充分保护决定。

2.适当的保障措施：

根据GDPR第46条，当不存在一个充分保护决定时，企业可以诉诸适当的保障措施，同时确保用户的权利可执行，有效的法律救济存在。

保障措施包括有效公司规则、数据转移合同、被认可的行为准则连带企业的有效、可执行的承诺、被认可的认证机制连带企业的有效、可执行的承诺。

3.例外：

根据GDPR第49条，在用户明确同意、履行用户与企业之间的合同所必需、涉及重大公共利益等情况下，可以跨境转移。

---

[1]在GDPR中，“画像”是指针对个人数据的任何形式的自动化处理，包括利用个人数据对一个自然人的个人情况进行评价，尤其是分析或者预测其工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或者运动。

推荐阅读：

• 《欧盟数据保护通用条例》：十个误解与争议

• 欧盟首个数据保护条例GDPR明日生效，你可能需要这份中文版的全文（丁晓东译） |上
  

• 欧盟首个数据保护条例GDPR明日生效，你可能需要这份中文版的全文（丁晓东译） |下