歐盟《通用數據保護條例》(GDPR)解讀

王 翔

杭州天翼智慧城市科技有限公司，浙江 杭州 310012

一、出臺背景

《通用數據保護條例(General Data Protection Regulations)》(“GDPR”)由歐盟議會于2016年4月14日通過，2018年5月25日正式生效實施。

為規范數據收集使用行為，維護自然人個人數據保護的基本權利，GDPR在適用范圍、數據使用、數據主體權利、數據控制者和處理者責任義務、數據監管，以及法律責任等方面作了詳細的規定。

二、主要內容

(一)GDPR適用范圍廣

1.GDPR擴大了“個人數據”的范圍，即與確定的或可識別的自然人相關的任何信息。

2.在歐盟內設立的控制者或處理者對個人數據的處理，無論其處理行為是否發生在歐盟內，適用GDPR。

3.對歐盟內數據主體的個人數據處理，即使控制者和處理者沒有設立在歐盟內，也適用GDPR。

4.設立在歐盟外，但依據國際公法可適用歐盟成員國法律的，同樣適用GDPR。

(二)嚴格界定數據處理合法理由

GDPR規定了6條處理數據的合法理由，如獲得數據主體同意、為履行數據主體參與的合同必要、為控制者或者第三方追求合法利益必要等。

(三)賦予數據主體更多權利

數據主體享有知情權、數據訪問權、糾正權、被遺忘權、限制處理權等諸多權利。

(四)嚴格規范控制者義務

GDPR嚴格規范控制者數據處理行為，要求控制者：

1.具備數據保障措施，防范安全風險。如：進行個人數據匿名化和加密措施等。

2.記錄處理活動，做到有據可查。GDPR要求控制者全面記載處理活動，記錄內容要求包含數據處理目的、數據主體類別、個人數據的分類描述、數據接收者類別等內容。

3.對于高風險的數據處理活動，前置數據保護影響評估及事先咨詢。GDPR對應當事前評估的數據類別、評估內容，以及對控制者和監管機構的要求等進行了規定。

4.符合法定情形的，必須設立數據保護專員(Data Protection Officer，簡稱DPO)。GDPR詳細規定了DPO的設立、地位和職責。

5.數據泄露應及時通知。控制者不得不當延誤報告，至少應當在知道時起72小時內通知監管機構，并對通知應當包含的內容進行了規定。

(五)嚴格規范處理者義務

GDPR大大增加了處理者的義務，除了遵守與控制者簽訂的數據處理協議內容外，同樣要求處理者具備數據保障措施、記錄處理活動、承擔數據泄露相應義務等。同時，GDPR還規范了數據處理協議的內容，禁止處理者擅自分包業務等。

(六)特別規制數據畫像行為

數據畫像，較多體現在利用個人數據的大數據分析活動，如市場營銷活動。當數據畫像活動對數據主體產生法律效果或者類似重大影響時，僅僅在符合以下條件之一時才是合法的：1.數據主體明確同意；2.按照歐盟或成員國法律規定；3.數據主體和數據控制者之間簽訂履行合同必要。

三、對中國企業的影響

GDPR適用范圍極廣，不受地域的限制。即使中國企業沒有在歐盟設立分支機構，但是歐盟用戶上這個中國企業的網站注冊購買商品或服務，此時如果這個企業不當收集了該用戶的信息，就可能被歐盟監管部門處以巨額罰款。相較于我國現行的《網絡安全法》、《信息安全技術-個人信息安全規范》等個人信息保護領域的法律法規及國家標準，在適用GDPR時要注意以下幾個方面：

(一)關于樹立個人信息保護意識

大數據運營方要確保企業管理層、業務部門、安全保障部門等及時知曉GDPR的生效及其帶來的主要變化，可通過培訓、講座等多種形式，樹立起個人信息保護意識。若屬于GDPR規定的必須設立數據保護官的情形，應按照要求設置數據保護官。

(二)關于獲得用戶的同意

《網絡安全法》要求數據采集需要得到用戶同意，但未規定“同意”的標準；《信息安全技術-個人信息安全規范》(以下簡稱“《規范》”)則專門界定了“明示同意”，并賦予用戶撤回同意的權利。相較之下，GDPR對用戶“同意”的規范更為細致。

(三)關于用戶的知情權

在履行用戶知情權方面，我國《網絡安全法》和《規范》與GDPR規定類似，若適用GDPR，要注意以下幾點：

1.數據采集要公開透明，要以明確、易懂的方式向用戶公開數據采集、存儲以及使用的目的、方式、范圍。

2.大數據運營方可以按照《規范》中對隱私政策的涵蓋內容、發布規范，以及《規范》附錄中提供的隱私政策模板及填寫說明，完善各自的隱私政策。

3.對于間接采集數據，即不是直接向用戶采集數據，GDPR特別規定了在4種情形下可以不必向用戶履行告知義務。比如，用戶已經知道告知內容的情形。