歐盟通用數據保護法規解析

劉雨晨?謝宗曉

摘要：論文分析了GDPR中重要的詞匯，個人數據和處理；介紹了GDPR的主要內容；給出了遵守GDPR的實施步驟指南。

關鍵詞： 數據安全 個人信息保護 GDPR

Analysis of EU General Data Protection Regulation

Liu Yuchen ， Xie Zongxiao

（ China Financial Certification Authority ）

Abstract： This paper analyzes the important vocabulary， personal data and processing in GDPR， and introduces the main content of GDPR， and gives a guide to the implementation steps of compliance with GDPR.

Key words： data security， personal information security， GDPR

歐盟通用數據保護法規（EU General Data Protection Regulation，下文中簡稱GDRP）在2018年5月25日正式實施。事實上，該法令在2016年4月27日就已經通過，用以替代現行的Directive 95/46 / EC1），GDRP被認為是歐盟在隱私保護方面近20年來的最重要的變革之一。

1 個人數據

從正文來看，GDRP討論的是個人數據（personal data）保護問題，在條款4 定義中，一共定義了26個詞匯，其中第一個就是personal data，但是并沒有general data定義，可見，general一詞可能不是用來修飾data的，盡量不要將其翻譯為“一般數據”。

個人數據是與特定的或可識別的自然人相關的任何信息。

可識別的自然人是指可以被直接或間接識別，尤其是通過姓名、身份證號、位置數據、在線標識符，或者一項或多項該自然人的身體、生理、遺傳、精神、經濟、文化或社會身份有關的因素來標識。

這個定義與GB/T 35273—2017《信息安全技術 個人信息安全規范》基本是一致的。個人數據的示例如表1。

2 處理

處理（process）是GDPR中的一個重要的概念，覆蓋了針對個人數據的各類操作，例如，收集、記錄、組織、建構、存儲、適應或修改、檢索、咨詢、使用、披露、傳播或以其他方式應用，排列或組合、限制、抹除或銷毀等。用于數據處理的技術是中性的，可以是手工的，也可以是自動的。

數據處理的示例如表2。

3 主要內容

3.1 法律文書的變化

《通用數據保護法規》的前身為《數據保護指令》，出臺于1995年。20世紀90年代個人數據的跨境傳輸還未成為常態，信息系統的架構和規模也無法和今天相提并論。

歐盟指令為Directive，指令是一種應用較為寬泛的法律形式，頒布后對歐共體的公民并不具有直接的約束力，一般會給與成員國一定的期限，成員方自行以國家法律法規的形式將歐盟指令落實到其本國法律體系。歐盟法規為Regulation，發布后一段時期內直接對歐盟全體公民生效，不需要歐盟成員國通過國內法再進行轉化，直接在所有成員國統一生效落地，從而解決成員國之間因對《數據保護指令》解讀不同、法律和文化體系不同而造成歐盟各國在制定和實施數據保護法律時存在差異的問題。

在通用數據保護法規的立法過程中，一些代表團曾表示他們更傾向于采取指令的形式而不是法規，因為在需要的時候可以提供更大的靈活性。但更多的代表團則傾向于按照委員會的建議選擇法規。

3.2 法律適用范圍增大

《法規》不僅是對《指令》的提升，更是對《指令》適用范圍的全面增加。GDPR不僅適用于處理歐盟居民個人數據的歐盟組織，也同樣適用于不在歐盟的組織。正如第三條所述，它“適用于處理非聯盟內設立的控制人或處理人在聯盟內的數據主體的個人數據”。GPDR適用范圍不僅采取了屬地化管理，還采取了“屬人化”管理。成立地點位于歐盟境內的機構，必然需要遵守GDPR。而對成立于歐盟之外的機構，只要在其提供的產品或者服務的過程中（不論是否發生實際交易）處理了歐盟境內公民的個人數據，則同樣需要遵守GPDR。

3.3 觸犯法規將導致高額罰金

企業若在指定日期2018年5月25日之前不能達到GDPR的規定，則將面臨高額罰金。罰金分為兩檔：（1）處以一千萬歐元或者上一年度全年收入的2%，兩者取其高者；針對的違法行為主要包括作為數據控制者和處理者沒有實施充分的IT技術措施和保障措施、沒有提供完備的隱私政策、沒有簽署數據處理合同等；（2）處以兩千萬歐元或者上一年度全年收入的4%，兩者取其高者；針對的違法行為主要包括無法證明如何征得客戶的同意，侵犯數據主體的權利、個人數據轉移過程不合規、拒不服從監管機構的警告等。

3.4 個人數據的收集限制

GDPR對個人數據的定義進行了延展，在傳統的個人可識別信息如姓名、地址和身份證號碼等要素之外，還納入了位置信息、IP地址、Cookie數據和RFID標簽、政治傾向、性取向等其他要素。其中兒童屬于特殊人群，只有得到監護人的授權之后才能進行處理。GDPR中還強調了特殊的個人數據，包括所屬種族或民族、政治傾向、宗教或哲學信仰、工會成員資格、自然人的生物識別數據、醫療健康數據、性取向等，原則上均為禁止處理。

當然在某些情況下其中有些數據還是能夠進行收集處理，例如協會可以對其成員的宗教信仰、會員資格進行處理，前提是采取充分的保護措施。

3.5 刪除權

數據主體可以要求刪除組織持有其的任何個人數據。GDPR要求用戶可以在軟件或者Web應用上面進行配置，通常應該提供一種方法能讓客戶刪除他們的個人數據。盡管在許多系統中，在刪除數據時并不實際刪除數據。但是這符合牛津詞典中動詞“刪除”的定義：“Remove or obliterate（written or printed matter），especially by drawing a line through it.”這意味著需要一個簡單處理功能，能夠全面刪除當前用戶上傳的所有數據，包括數據庫、文件存儲、搜索引擎、CDN、CDN的分布式鏡像以及任何緩存中。

如果客戶被標記在別人的分享內容中也同樣需要進行上述刪除操作。從自身信息系統中刪除東西是一回事，但同時也有義務通知第三方去刪除這些數據。因此，如果組織所保存的個人數據被轉載、分享或已將個人數據發送給任何云服務提供商，則應調用允許刪除個人數據的API。如果組織作為后者，“忘記我”功能應該能夠被操作。最后還必須確保個人數據不會出現在搜索引擎的搜索結果中。

3.6 個人數據泄露通知

與對數據泄露問題保持沉默的指令不同，GDPR包含“個人數據泄露”的定義，以及對監管機構和受影響數據主體的通知要求。根據GDPR的定義，“個人數據泄露”是“指由于違反安全政策而導致傳輸、儲存、處理中的個人數據被意外或非法損毀、丟失、更改或未經同意而被公開或訪問”，發生個人數據泄露事件后，需要在72小時之內通知監管機構并及時通知到數據主體。顯然，只有當組織察覺到系統已經被攻破時，才能進行相應通知，所以這里需要依靠入侵檢測及各種監控機制。

第三十三條第一款包含了通知監管機構要求的一個重要例外：如果“個人數據泄露對于自然人的權利與自由不可能會帶來風險”，則不需要通知，這一措辭會給數據保護官（DPO）和組織法務人員提供一個辯解通知必要性的機會。同樣GDPR也定義了通知數據主體的例外情況：1）控制者已“實施了適當的技術和組織保護措施”，“使數據無法被任何未授權訪問的人理解，例如對個人數據進行加密；2）控制者在個人數據泄露事件后采取行動以“確保數據主體的權利和自由的高風險”不可能實現； 或者3）向每個數據主體發出通知時“涉及不成比例的努力”，在這種情況下可以使用具有相同效果的替代通知措施。

4 實施步驟

4.1 建立意識

首先應當確保組織中的決策者和關鍵角色意識到GDPR正在生效，他們需要認識到可能產生的影響，并查明在“GDPR”下可能引起合規問題的分布區域。如果組織正在持續維護風險登記冊，可以先從中獲取相關的信息。實施GDPR可能會帶來重大的資源影響，特別是對于規模更大、更復雜的組織而言，而調動這些資源同樣需要決策者的支持。

4.2 檢查組織所收集和處理的個人數據，它們基于何種目的或基于哪些法律條款

根據GDPR，組織必須能夠解釋屬于每個人的所有數據。組織應當記錄所持有的個人數據，這些數據來自哪里，以及與誰共享。傳統的數據發現技術無助于找到個人數據，因為它不是為此設計的。為避免遺漏個人數據，可在整個組織或特定業務領域組織一次專項審計。

組織所收集、處理的個人數據最有可能來自于員工以及客戶。對于員工個人數據，組織通常會基于勞動合同以及法律條款去處理，如將員工個人數據提供給稅務部門、人力資源和社會保障局、住房公積金管理中心等機關單位。

而對于篩選過或已分組的客戶數據，組織通常會將其錄入進CRM系統進行維護，當征得客戶的同意后，組織會將定制的優惠信息或廣告發送給他們。在某些情況下并不是每次都需要得到個體的同意，很多時候客戶會希望他們的個人數據得到處理。例如一個網上商城可以處理收貨地址去投送一個客戶所關注新產品的廣告，這被稱為合法利益。但與此同時，組織必須告知這些選定的客戶其個人數據的預期用途以及相應的退出機制。

針對一份未分類的供應商或顧客清單，應基于與他們所簽署的合同進行個人數據處理，這里的合同不一定是紙質合同。

4.3 及時通知被收集個人數據的客戶、員工以及其他個體，并得到他們的同意

每個個體都必須知道處理其個人數據的目的所在，比如使用客戶的郵箱作為用戶名及認證郵箱，并在通知客戶之后開始處理其數據，這通常是通過清晰易懂的隱私通知來完成的。首先應該審查當前的隱私通知是否符合GDPR的要求，及時為實施GDPR做必要的修改，例如在通知中默認勾選同意復選框已經不再符合要求，同意必須是基于自由的選擇、條款必須是具體的。同時，隱私通知還需要包含一些其他內容，例如需要解釋處理數據的合法依據、數據保留期等。

但是，當個體已經知曉個人數據如何被使用的情況時，就無需通知他們。例如，當客戶在網上商城下了訂單，在訂單中錄入個人的收貨地址要求送貨時。

當客戶對組織存儲了哪些個人數據提出請求時，組織必須隨時告知并允許他們訪問其個人數據。保持組織所收集的個人數據井井有條，例如當員工需要某類被收集的個人數據時，組織應該便利地提供而不必經過繁瑣的流程。

4.4 關注兒童個人數據

根據涉及個人數據的范圍，應該開始考慮是否需要增加系統功能來驗證個人的年齡，以便在處理數據之前獲得兒童父母或者監護人的同意。

GDPR有史以來第一次針對兒童的個人數據提出了保護要求，特別是在商業互聯網服務（如社交網絡）的背景下。如果目前組織對不超過16歲的兒童提供在線服務（“信息社會服務”），并依靠他們的同意來收集有關他們的信息，那么還需要得到兒童父母或監護人的同意才能合法地處理他們的個人數據。

4.5 只在最短的生命周期內存儲個人數據

員工的數據只在勞動合同期內和在負有相關法律義務時才進行存儲。而針對客戶的數據則在客戶關系持續期內或基于相關的法律義務（例如，為了稅務目的）。當不再符合初衷時及時刪除組織所收集的數據。

4.6 保護正在處理的個人數據

如果組織將個人數據存儲在IT系統上，應限制對包含數據的文件的訪問控制，例如通過密碼。定期更新系統的安全設置。如果組織以紙質文件的形式儲存個人數據，則應確保未經授權的人不能查閱；將文件鎖在保險箱或文件柜內。

4.7 保護處理活動中的文檔

組織需要準備一份簡短的文檔，說明持有什么個人數據，以及出于什么原因。當監管機構提出要求時，組織可能需要提供這些文檔印證所做的工作。

處理文檔應包含的內容見表3。

4.8 確保組織的外包商遵守法規

如果組織將個人數據的處理部分外包給另一家組織，而對客戶展示為組織的唯一的服務提供商，那么必須保證外包商的處理過程符合GDPR的要求（例如安全措施）。在與外包方簽署合同之前，需檢查他們是否已經修改并調整到符合GDPR的要求，需把相應條款體現在合同內容之中。

4.9 檢查是否考慮過下列規定

為了更好地保護個人數據，組織可能需要任命一名數據保護官（DPO）。但如果處理個人數據不是業務核心功能、處理風險不高并且規模不大，那么可能不需要指定一名數據保護官。例如，組織收集個人數據僅僅為了快遞業務，那么任命DPO不是必須的。即使需要DPO，那么他也可以由組織現有其他崗位員工進行兼任，或者由外部顧問進行擔任，就像許多組織聘請外部會計師一樣。DPO的任務應該包括為同事提供建議并監督隱私的法律和政策合規性。DPO負責培訓，提高認識，開展審計，并與監管當局合作。一般情況下不需要進行數據影響評估，數據影響評估是針對那些對個人數據構成更大風險的組織。例如，他們對公眾可訪問的區域進行大規模的監視（例如視頻監視）。

隱私設計作為一個概念已經存在多年了，主要內容是關于在編寫代碼之前如何預測、管理和防止隱私問題的發生，它目前成為GDPR法律明確要求的一部分。這意味著任何新應用程序的研發都必須圍繞隱私設計，它必須與研發工作同步進行而不能滯后。當然，“隱私設計”并不排除GDPR頒布之前的軟件。它們需要進行調整才能符合要求。以上問題的考量過程也需要記錄下來，僅確保組織不違反GDPR原則是不夠的，向監管機構表明組織正在采取措施確保合規性是非常必要的。

5 小結

經過對GPPR的剖析可以得知，組織須花費時間和金錢改變他們所有的系統，還必須重新評估他們的合作伙伴。而更重要的是，組織也必須改變整個公司處理數據的方式，變化不僅僅是技術性的。盡管這種變化富有挑戰，但GDPR也是一個機會，這次機會意味著可以審查組織所持有和使用的所有系統，以審查數據流并精確定位可以改進的地方。這也是一個隱私合規的機會，因為組織有機會符合目前國際上最嚴格的隱私保護法規，并因此可以在同行業中占據一定優勢。