欧盟《通用数据保护条例》GDPR-精排版

GDPR欧洲通用数据保护条例GDPR（欧洲通用数据保护条例）：保护人们的个人数据在当前信息时代，个人数据的保护问题引起了越来越多的关注。

为了保护欧洲公民的隐私权和数据安全，欧洲通用数据保护条例（General Data Protection Regulation，简称GDPR）于2018年5月25日生效。

GDPR的实施标志着欧洲对数据保护的迈出了重要的一步，影响了各个行业。

第一部分：GDPR的背景和目标GDPR的诞生源于对个人数据保护的日益重视。

在过去的几十年里，互联网技术的快速发展使得个人数据的采集、存储和处理变得异常容易。

然而，这也给个人隐私和数据安全带来了巨大的挑战。

GDPR的目标是通过一系列规定，确保个人数据的合法、公正和透明处理，维护公民的隐私权益。

第二部分：GDPR对企业的影响GDPR的实施对各个行业都产生了深远的影响。

首先，企业需要合规，加强对个人数据的保护。

GDPR要求企业必须获得明确的、可撤销的同意才能处理个人数据，且只能按照约定用途使用数据。

这意味着企业需要在收集和使用个人数据时更加审慎，加强数据风险评估和隐私保护措施。

另外，企业还需要向数据主体提供更多的透明度和信息。

根据GDPR，企业必须向数据主体提供详细的数据处理说明，包括数据处理的目的、数据传输的方式以及数据存储的期限等内容。

此外，数据主体还有权要求企业提供对个人数据的访问、更正、删除和限制处理等操作。

第三部分：各行业对GDPR的应对和挑战不同行业对GDPR的应对和挑战也存在差异。

在金融行业，银行和保险公司需要加强对客户个人信息的保护，确保数据安全，并建立合规的数据处理流程。

而在医疗行业，医院和药企需要加强对患者个人健康数据的保护，防止个人数据泄露和滥用。

在互联网行业，社交媒体和电子商务平台需要加强用户个人数据的安全管理，保护用户的隐私权益。

同时，互联网企业还需要加强对第三方数据处理和合作伙伴的监管，确保数据安全链不断。

欧盟《通用数据保护条例》(GDPR)2018.5.25第一章一般条款 (5)第1条主要事项与目标 (5)第2条适用范围 (5)第3条地域范围 (5)第4条定义 (6)第二章原则 (9)第5条个人数据处理原则 (9)第6条处理的合法性 (9)第7条同意的条件 (10)第8条信息社会服务中适用儿童同意的条件 (11)第9条对特殊类型个人数据的处理 (11)第10条处理涉及犯罪定罪与违法的个人数据 (12)第11条不需要识别的处理 (12)第三章数据主体的权利 (13)第一部分透明性与模式 (13)第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13)第二部分信息与对个人数据的访问 (14)第13条收集数据主体个人数据时应当提供的信息 (14)第14条未获得数据主体个人数据的情形下，应当提供的信息 (15)第15条数据主体的访问权 (16)第三部分更正与擦除 (17)第16条更正权 (17)第17条擦除权（“被遗忘权”） (17)第18条限制处理权 (18)第19条关于更正或擦除或限制处理中的通知责任 (18)第20条数据携带权 (19)第四部分反对的权利和自动化的个人决策 (19)第21条反对权 (19)第22条自动化的个人决策，包括用户画像 (20)第五部分限制 (20)第23条限制 (20)第四章控制者和处理者 (21)第一部分一般性责任 (21)第24条控制者的责任 (21)第25条通过设计的数据保护和默认的数据保护 (21)第26条共同控制者 (22)第27条不在欧盟所设立的控制者或处理者的代表 (22)第28条处理者 (23)第29条代表控制者或处理者进行的处理 (24)第30条处理活动的记录 (24)第31条和监管机构的合作 (25)第二部分个人数据的安全 (25)第33条向监管机构报告对个人数据的泄露 (26)第34条向数据主体传达个人数据泄露 (26)第三部分数据保护影响评估与提前咨询 (27)第35条数据保护影响评估 (27)第36条提前咨询 (28)第四部分数据保护官(DPO) (29)第37条数据保护官的委任 (29)第38条数据保护官的职位 (30)第39条数据保护官的任务 (30)第五部分行为准则与认证 (31)第40条行为准则 (31)第41条对已生效行为准则的监控 (32)第42条认证 (33)第43条认证机构 (34)第44条转移的一般性原则 (35)第45条基于认定具有充足保护的转移 (35)第46条转移所需要的适当安全保障 (37)第47条有约束力的公司规则 (37)第48条未经欧盟法授权的转移或披露 (39)第49条特殊情形下的克减 (39)第50条为保护个人数据的国际合作 (40)第六章独立监管机构 (41)第一部分独立性地位 (41)第51条监管机构 (41)第52条独立性 (41)第53条监管机构成员的一般性要求 (41)第54条设立监管机构的规则 (42)第二部分职权、任务与权力 (42)第55条职权 (42)第56条领导性监管机构的职权 (43)第57条任务 (43)第58条权力 (45)第59条活动报告 (46)第七章合作与一致性 (46)第一部分合作 (46)第60条领导性监管机构和其他相关监管机构的合作 (46)第61条互相协助 (47)第62条监管机构的联合行动 (48)第二部分一致性 (49)第63条一致性机制 (49)第64条欧盟数据保护委员会的意见 (49)第65条欧盟数据保护委员会的纠纷解决 (50)第66条紧急程序 (51)第三部分欧盟数据保护委员会(EDPB) (52)第68条欧盟数据保护委员会 (52)第69条独立性 (52)第70条欧盟数据保护委员会的任务 (53)第71条报告 (55)第72条程序 (55)第73条主席 (55)第74条主席的任务 (55)第75条秘书 (55)第76条机密性 (56)第77条向监管机构提起申诉的权利 (56)第78条针对监管机构的有效司法救济权 (56)第79条针对控制者或处理者的有效司法救济权 (57)第80条对数据主体的代表 (57)第81条法律诉讼的中止 (57)第82条获取赔偿的权利与责任 (58)第83条行政罚款的一般条件 (58)第84条惩罚 (60)第九章和特定处理情形相关的条款 (60)第85条处理、表达自由与信息 (60)第86条处理与公众对官方文件的访问 (61)第87条对全国性身份识别号码的处理 (61)第88条雇佣语境下的处理 (61)第89条为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 . 61第90条保密责任 (62)第91条现有的的对教会和宗教协会的数据保护规则 (62)第十章授权法案与实施性法案 (62)第92条对授权的行使 (62)第93条委员会程序 (63)第十一章最后条款 (63)第94条 95/46/EC指令的废止 (63)第95条与2002/58/EC的关系 (63)第96条和之前已经达成的协议的关系 (63)第97条委员会报告 (63)第98条对欧盟其他数据保护法案的审查 (64)第99条生效与适用 (64)经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。

欧盟通用数据保护法案（GDPR）于2018年5月25日正式生效，对全球范围内处理个人数据的组织产生了深远的影响。

GDPR的实施旨在保护欧盟公民的个人数据，并规范数据处理的合规性。

对于涉及欧盟公民数据的组织而言，遵守GDPR是一项重要的法律责任，而不仅仅是一种建议性的合规性要求。

在实施GDPR的过程中，组织需要采取一系列措施来确保其数据处理活动符合GDPR的相关规定。

本白皮书将介绍欧盟通用数据保护法案GDPR合规的20个重要步骤，以帮助相关组织更好地理解和遵守GDPR的要求。

1. 确定组织的角色在GDPR中，数据的处理涉及到“数据控制者”和“数据处理者”两个角色。

数据控制者是指决定个人数据处理目的和方式的组织，而数据处理者是根据数据控制者的委托进行个人数据处理的实体。

组织需要确定自身在数据处理中所处的角色，并相应地履行GDPR规定的责任和义务。

2. 明确数据处理的合法基础根据GDPR的规定，数据处理的合法性基础包括数据主体的同意、合同履行、法律义务、保护数据主体的重要利益、公共利益、以及合法利益等。

组织需要明确其个人数据处理的合法基础，并确保数据处理活动符合其规定。

3. 识别和分类个人数据组织需要对其处理的个人数据进行识别和分类，包括个人身份信息、健康信息、金融信息、地理位置信息等不同类别的个人数据。

通过对个人数据的识别和分类，组织可以更好地了解其数据处理活动所涉及的数据种类和范围，有针对性地进行合规性管理和保护。

4. 明确数据保护官（DPO）的职责根据GDPR的要求，一些处理大量个人数据的组织需要指定数据保护官（DPO），并明确其在数据保护工作中的职责和权利。

组织需要确保其DPO具备相关的专业知识和经验，能够有效地履行数据保护监督和指导的职责。

5. 更新数据处理规范和流程组织需要审查和更新其数据处理规范和流程，确保其符合GDPR的相关要求。

特别是在个人数据处理的目的、方式、范围、存储、安全等方面，组织需要进行全面的审查和调整，确保其数据处理活动合规性和安全性。

GDPR常见问题《通用数据保护条例》（GDPR）会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。

此条例旨在为公司收集的数据提供保护，让生活在欧盟的人拥有其个人信息处理方式的知情权。

通过下文所列问题，您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解：GDPR是什么？GDPR即为《通用数据保护条例》，这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题，并保护数据主体的个人数据。

该法规于2018年5月25日生效，取代可追溯到1996年的旧法令。

此条例适用于哪些人？该法规重点保护与个人数据处理和传送相关的数据主体。

该主体必须为生活在欧盟境内的自然人，不一定取得欧盟公民身份。

该主体不包括公司。

个人数据包含哪些内容？个人数据包括与可识别的自然人相关的任何信息，比如姓名、电话号码（商业或个人）、电子邮件地址（商业或个人）、身份证号码、定位数据、信用卡号码、在线身份识别，或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。

该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息（PII）的内容。

GDPR赋予数据主体哪些权利？此条例赋予数据主体：•获取自身数据的权利•修改自身数据的权利•删除自身数据的权利•限制处理自身数据的权利•数据可携权•反对权伊士曼可以收集并处理个人数据的法律依据是什么？•经由数据主体同意•数据主体基于合同履行同意•用于伊士曼履行欧盟或成员国法律所规定的法律义务•为了保护自然人的切身利益•为了执行欧盟或成员国法律中规定的符合公众利益的任务•用于保护伊士曼或第三方的合法权益GDPR会影响到哪些人？与生活在欧盟的员工、承包商、供应商和客户打交道的任何人。

根据GDPR，伊士曼要承担哪些责任？伊士曼必须确保以合法、公平且透明的方式处理个人数据。

任何个人数据的收集都必须出于具体、明确且合法的理由。

个人数据的收集应仅限于必要的范围内。

为了满足此要求，伊士曼需要了解•哪些个人数据正被收集•个人数据存储在何处•个人数据的存储期限（或决定该存储期限的标准）•处理（使用）个人数据的目的•处理个人数据的合法依据•谁有权查阅个人数据（包括第三方）•如何保护个人数据。

欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论，被成为史上最严数据保护法案的欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于将在2018年5月25日生效。

通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：(a)欧盟法管辖之外的活动中所进行的个人数据处理；(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；(d)）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。

根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条地域范围1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

科技管理TECHNOLOGY欧盟《通用数据保护条例》（GDPR）要求下的数据应用实践中国银行(卢森堡)信息科技部 魏来欧盟《通用数据保护条例》或称《一般数据保护条例》（以下简称“GDPR”）已于2018年5月25日正式实施。

GDPR的正式实施，对于欧盟国家个人数据的收集管理、数据的可见性以及使用限制，即个人数据的保护制定了原则和规范。

同时，GDPR合规性不受自然地理的限制，只要存储和处理了欧盟数据主题的数据，都必须遵守该条例。

以此为基础，当前包括金融机构在内，尤其是置身于欧盟国家的B2B、B2C等各类中外资机构和企业，都制定了相应的数据安全管理办法和数据使用操作流程以符合相应的监管要求。

此外，大数据时代背景下的数字化转型、社会数字化迅速发展，这些存储和处理了包括个人数据在内的金融机构或企业在改善业务决策、总部集团并表、内部精细化管理、外部监管报送、经营业绩分析并可视化、建立客户单一视图和客户画像等方面都有各类基于数据沉淀、深入分析和充分挖掘的数据应用需求。

本文并不针对GDPR条例进行政策解读和深入分析，仅基于GDPR的合规要求，针对企业内部并非高数据量和高并发的通用需求场景，结合目前主流应用体系架构，充分利用企业现有资源提升效率、安全可控、优化流程，以实现轻量级企业数据结果集定时自动生成、并通过企业内部邮件系统，向数据使用的提出方定向完成数据的主动推送功能，提出一种可行性解决方案。

一、基本的数据使用和处理流程为符合GDPR的合规要求，一般情况下，企业内部的数据使用和处理流程主要包括以下几个方面：首先，前提是数据主体同意在有限的范围和周期内保存数据信息；其次，对于数据使用的提出方，必须明确数据使用用途和时间范围，并承诺数据使用完毕后及时删除，在62FINANCIAL COMPUTER OF CHINA632019 . 04 中国金融电脑科技管理Technology Management得到预先制定的审批流程和指定的数据保护官批准后，数据管理方再进行生产数据向测试环境的迁移拷贝，按照数据使用提出方的要求生成数据信息，然后通过加密邮件的方式发送给具体的数据需求提出者，并通过电话方式告知加密文件的密码；最后，数据使用提出方在使用完毕后，及时删除数据，数据管理方释放测试环境，抹掉迁移拷贝的生产数据。

通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织精品文档，你值得期待第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。

第一章一般条款第1条主要事项与目标1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：(a)欧盟法管辖之外的活动中所进行的个人数据处理；(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；(d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。

根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条地域范围1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

欧盟《一般数据保护条例》来源：公众号“数据法律资讯”（ID：DATA_AND_LAW；Email：dataprotection@）译作者：丁晓东（中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。

中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后）文档制作：公众号“顶象业务安全”（ID：dingxiang-tech）第一章一般条款第1条主要事项与目标1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：(a)欧盟法管辖之外的活动中所进行的个人数据处理；(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；(d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。

根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条地域范围1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或(b)对发生在欧洲范围内的数据主体的活动进行监控。

GDPR–欧洲数据保护法规GDPR（General Data Protection Regulation），即《通用数据保护条例》，是欧洲联盟最新一项关于数据保护和隐私权的法规。

该法规于2018年5月25日生效，并适用于所有在欧洲联盟范围内经营的公司，不论其所在地是否为欧盟成员国。

GDPR的实施旨在增强个人对其个人数据的控制权，提高数据处理方的透明度和责任，并加强对个人数据的保护。

本文将首先介绍GDPR的背景和目标，然后探讨其主要原则、适用范围以及对组织的影响。

接着，将分析GDPR中涉及的主要义务和责任，包括数据处理者和数据受托人之间的关系、敏感数据处理、数据保护官的角色和职责等。

最后，将总结GDPR对组织的重要意义，并提出一些建议来帮助组织顺利遵守GDPR。

1. 背景和目标GDPR的出台是为了回应数字时代对数据保护和隐私的新挑战。

随着大数据和云计算的兴起，个人数据的规模和敏感性不断增加，而传统的数据保护法律已经无法满足这些新问题。

因此，GDPR旨在创造一个统一的、强大的数据保护框架，以保障个人信息的安全和隐私。

2. 主要原则GDPR建立在一系列基本原则之上，包括合法性、公正性和透明性、目的限制、数据最小化、准确性、存储限制、完整性和机密性、责任和问责制。

这些原则要求数据处理者对个人数据进行合法、透明和安全的处理，并仅在明确的目的下使用数据。

3. 适用范围GDPR适用于欧洲联盟成员国内及其境外的组织，只要该组织处理与欧洲联盟居民相关的个人数据。

不论组织是否位于欧盟内，只要其处理活动涉及欧盟居民的个人数据，均需要遵守GDPR的规定。

4. 对组织的影响GDPR对组织的影响非常深远。

首先，组织需要进行数据保护风险评估，识别和解决可能存在的数据安全风险。

其次，组织需要与数据处理者和数据受托人签署合同，确保数据处理过程合法且符合GDPR的要求。

此外，GDPR还规定了数据处理者和数据受托人之间的责任和义务，包括对数据泄露和违规处理的及时通知和报告。

欧盟《通用数据保护条例》对我国个人信息保护的启示作者：丹永来源：《财讯》2019年第01期2015年12月15日，欧盟执委会（European Commission）通过了《通用数据保护条例》（GeneralData ProtectionRegulation，简称GDPR），以欧盟法规的形式确定了对个人数据的保护原则和监管方式，由此代替1995年的《个人数据保护指令》。

在欧盟个人信息保护的立法过程中，欧洲征信协会一直代表行业与欧洲立法机构沟通游说，为欧洲征信业争取有利的外部环境。

从“指令”到“条例”的转变，不仅仅是内容的更新和修正，而是在数字时代新秩序下对个人数据保护的重大制度改革，更是对欧洲征信行业的规范运营起到了深刻作用。

一、欧盟数据保护立法发展在欧洲国家，其数据保护历史可追溯到上世纪九十年代。

1995年欧盟通过了《数据保护指令》（即“95指令”，全名为PROPOSAL FOR A COUNCILDIRECTIVECONCI：RNING TO：PROTECTION OFINDIVIDUALS IN RELATION TO THE PROCESSIN（;OFPERSONAL DATA），由此该指令成为欧盟成员国立法保护个人数据设立了最低标准。

《95指令》制定时，互联网尚未被大众广泛使用，个人数据的收集及处理仅限定在用户名、住址、IP地址及相对简单的金融信息等。

但随着互联网和社交应用的飞速发展，人们的日常生活乃至地理轨迹信息都在一瞬间暴露。

指令中包含的访向权（即为确保信息的正确性，用户有权访问他们的信息并且修改不当的地方）已经远远不能满足用户的日常需求，转而寻求对个人数据的控制权。

互联网新技术的发展和用户控制需求的变化，使该指令为代表的传统数据保护框架亟待重大更新。

指令的第一次修正起始于2002年。

欧盟在当年的7月12日发布了《隐私与电子通讯指令》（Directive on privacy andelectronic communications，Directive 2002/58/EC）中，規定了通信和互联网服务商需要采取恰当的措施，以保证其安全性;禁止在未得到用户同意的情况下存储和使用用户的数据;服务提供商应该保障用户的知情权等。

欧盟通用数据保护条例（GDPR）解读随着数字时代的到来，人们对于个人数据保护的意识日益增强。

在这种情况下，欧盟通用数据保护条例（GDPR）应运而生。

GDPR于2018年5月25日正式生效，规定了企业如何处理欧洲公民的个人数据，并以此来保护公民的权利和隐私。

在该条例的全面实施之后，影响在全球范围内不断扩大。

GDPR的主要目标是保护欧盟公民的个人数据，这些数据包括酒店预订、在线购物、社交媒体、医疗记录等。

其中GDPR明确了数据处理基本原则，企业需要在数据使用中遵守六个核心准则：1. 合法性、公平性和透明度：获得数据需要明确目的，并提供足够的信息。

2. 限制处理目的：处理数据需要有特定、明确和合法的目的，并在该目的范围内进行。

3. 数据最小化原则：只收集需要的个人数据，不得多余或不必要地收集。

4. 数据准确性：确保个人数据准确、完整，加强更新和纠正措施。

5. 存储期限限制：个人数据仅在必要时存储，并在达到目的之后删除。

6. 个人数据安全：确保个人数据的秘密和保密性，以防止未经授权的访问、修改、泄露和破坏。

在GDPR的全面实施中，企业要遵守一系列严格的规定并保证资讯与安全。

GDPR明确要求企业必须与监管机构保持良好的沟通和协作，以保证企业符合条例要求。

此外，GDPR还强调了企业的责任与义务，包括报告数据泄露事件、将个人数据保护作为企业战略一部分、并采取必要的安全措施等。

需要注意的是，GDPR不仅适用于位于欧洲的企业，还适用于从欧洲获取数据或处理欧洲公民数据的跨国企业。

因此，全球范围内的企业都要了解GDPR条例的内容，以确保自己的数据处理行为符合GDPR的要求。

总之，GDPR的实施是保护公民个人数据隐私权利的一项重要举措。

尽管在过去的几年中出现了一些数据泄露和隐私问题，但GDPR的出现和实施一定程度上缓解了这些问题。

在数字时代，GDPR条例和对应的执行机构起到了重要的监管作用，并保护了公民个人隐私。

为何选择SGS如何应对GDPR 相关服务GDPR 介绍与欧盟国家做生意的我们应该如何准备?共创卓越管理GDPR介绍《通用数据保护条例》（GDPR）于2016年4月27日在欧盟官方刊物上发表。

暂缓期为二年，于2018年5月25日正式生效。

GDPR不同于其前身《数据保护指令95/46 / EC》,它不是一个指令而是一个法规。

这意味着它将直接生效并且应用到欧盟所有的成员国，因此可缩短实施时间并确保实现一致性。

如果您的公司无法符合GDPR, 就可能面临高达全球营业额的4%或2000万欧元的行政处罚（取两者之一更高）。

GDPR旨在:• 确立个人数据的保护是人权• 定义个人数据保护的原则和规章• 加强产品或服务提供者与他们所服务的人之间的信任个人的7个数据权利GDPR的核心内容是确立在处理个人资料的七项个人权利。

任何正在处理这些数据的组织都需要确保这些权利得到保护。

处理在GDPR中被定义为任何自动或手动操作，如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。

GDPR包含以下内容:• 组织的需求(欧盟代表处，数据保护主任，同意记录之存档，合同要求,等等)。

• 个人的7个数据权利• 认证方案• 成员国监督• 建立欧盟数据保护委员会• 其他法律程序数据权利描述例子访问权允许个人索取本人资料的副本银行客户有权请求个人数据记录的副本，包括地址,电话等。

纠正权允许个人更改本人信息宽带客户有权要求ISP提供持有的信息，以更新他的联系电话。

删除权允许个人删除本人信息一位美容店的顾客有权要求他的信息被删除，因为他不再是商店的会员或者顾客，因此他不会被要求进行新的促销活动限用权除非法律相关需求，允许个人禁止本人信息被使用建筑师有权要求他的前任雇主在投标时不使用他的简历，但可保留他的名字在旧记录上，以记录法律责任。

可携权允许个人将本人信息从一个机构带到另一个机构保险客户有权要求将其个人资料转移到另一家保险公司。

SHANGYE FAZHI黄 璞—L随着社会经济发展，个人信息安全面临新的挑战。

美国诺德网络公司数字化信息专家Daniel Markuson 年初发表的一篇文章披露S 2018年有10亿多网民数据泄露。

本文对欧盟《通用 数据保护条例》（以下简称“GDPR ”）作初步的一些解读， 并提出借鉴建议。

一、 GDPR 概述（一 ）GDPR 立法概况欧盟1995年《数据保护指令》和2002年《隐私与电子通 讯指令》，确定了互联网个人数据保护的基本规定。

如通信和互联网服务商需要采取适当措施保证通信和互联网服务的安全 性，在未征得用户同意的情况下禁止存储和使用用户数据，告知用户数据进一步处理意图和用户有权不同意以保障用户的知情权等"。

随着社会经济发展，2009年开始修改《数据保护指 令》。

2012年发布了草案，2016年公布《通用数据保护条例》。

2018年5月25H , GDPR 正式生效。

（二）GDPR 的借鉴价值信息保护的几个主要问题，GDPR 都有规定。

女口： GDPR 采用明确的定义方式对信息处理的主体、行为、责任进行了阐释；确立个人信息权并细分出七项自权利；设置独立监管机 构；鼓励企业参与信息安全与合规认证体系，并且要求企业设立信息保护官。

GDPR 的上述立法成就，对我国有借鉴意义。

二、 GDPR 中的几个定义与主体责任（一）GDPR 中的几个定义GDPR 对信息保护领域可能涉及到的各类名词定义作了明确规定。

此处首先就其中的个人信息定义、处理行为及行为主体三方面作一些介绍。

个人信息：任何已识别或可识别的自然人（“数据主ce ls HANGYEQIYE S02O19年第4期总第226期SHANGYE FAZHI I体”）相关的信息。

并将其细分为基因数据、生物性识别数据以及和健康相关的数据。

信息处理行为：针对单一个人数据或系列个人数据所进行的操作行为。

包含收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。

欧盟《一般数据保护条例》（GDPR）中文版（下）经过欧洲议会长达四年的讨论，被媒体称为“欧盟最严数据保护条例”的欧盟《一般数据保护条例》（General Data Protection Regulation，简称“GDPR”，又译“通用数据保护条例”）已于2018年5月25日生效。

GDPR的实施是现代社会保护个人数据与安全迈出的重要一步，对互联网企业有着重大影响，为此，知产力国际特转载由中国人民大学法学院丁晓东副教授翻译的该条例中文译文，供读者参考。

由于篇幅较长，译文分上下两篇推送，本文为下篇。

丁晓东译者简介中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。

中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后。

转载请注明译者和出处。

由于译者精力、时间和水平所限，本译稿的疏漏之处在所难免，欢迎对本译稿提出批评和意见，联系邮箱：***************--------接上篇--------第五章将个人数据转移到第三国或国际组织第44条转移的一般性原则对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织，控制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进行转移。

为了保证本条例对于自然人的保护程度不会被削弱，本章的所有条款都应当被遵守。

第45条基于认定具有充足保护的转移1．当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护，可以将个人数据转移到第三国或国际组织。

此类转移不需要特定的授权。

2．当评估保护程度的充足性时，欧盟委员会应当特别考虑如下因素：(a)法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法，以及此类立法的实施、数据保护规则、职业规则和安全措施，包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济；(b)在国际组织是主体的情形中，第三国内存在一个或多个有效运作的独立监管机构，保证数据保护规则的实施，包括具有充分的执行权力，在数据主体行使其权利时和与成员国的监管机构合作时提供帮助和建议；(c)第三国或国际组织已经许下的国际性承诺，或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任，以及参加多边或地区性的体系，特别是和数据保护相关的体系所引起的其它责任。

欧盟《通用数据保护条例》合规指南E安全E安全5月29日讯欧盟《通用数据保护条列》（简称GDPR）于2018年5月25日正式生效。

英国一份政府调研显示，只有38%的英国公司在GDPR 生效前100天才开始关注该条例，许多美国公司也一样。

按照GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1。

28亿元）或企业全球年收入的4%的罚款(取两者中最高的）。

除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚,例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制.因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。

满足GDPR 的要求，企业到底需要重点了解哪些信息？不少组织发现保障合规性远比预期的要复杂。

市场调查公司Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。

不过，只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会”宽大处理”。

不过，尽管如此，仍免不了高额罚款。

因此，满足GDPR 的合规性可谓任重道远。

一、数据控制者&数字处理者按照GDPR 第4条的第（7）点和第(8)点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式,不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织.但是，有时难以确定某个实体到底属于数据控制者还是处理者。

谷歌的复杂身份特例：当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时，谷歌就是一个数据控制者;当涉及使用Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消费者时，谷歌则是数据处理者；对于使用谷歌广告产品的广告发布商而言,谷歌仍是其收集数据的共同控制者，但是这些发布商收集数据必须征得用户同意.二、个人数据及数据保护原则根据GDPR 的定义，是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。

GDPR欧洲通用数据保护条例GDPR（General Data Protection Regulation）是欧洲通用数据保护条例的英文缩写，它于2018年5月25日正式生效。

作为欧洲最重要的数据保护法律法规，GDPR旨在确保个人数据在数字化时代得到充分保护，并提高企业在处理个人数据时的责任和透明度。

本文将对GDPR进行详细解读，从法规背景、核心原则、数据主体权利、数据处理规定、数据转移和制裁等方面进行论述。

一、法规背景在数字技术快速发展的时代，个人数据的收集和处理已经成为企业运营的日常实践。

然而，过度的数据收集和隐私侵犯事件频发，引发了人们对个人数据保护的关注。

为了解决这一问题，欧洲联盟通过了GDPR，旨在赋予个人对自己的数据行使更多的控制权。

二、核心原则GDPR的核心原则包括合法性、公平性和透明性，目的限制、数据最小化、准确性、存储限制、完整性和保密性、责任制等。

企业在处理个人数据时必须遵循这些原则，确保合法、透明和负责任的数据处理行为。

三、数据主体权利GDPR给予个人一系列的权利，以保护他们的个人数据。

包括但不限于知情权、访问权、更正权、删除权、限制处理权、数据可携带性、反对权、不受自动决策的权利等。

企业应当尊重这些权利，并提供相应的机制来满足个人的需求。

四、数据处理规定GDPR要求企业在收集和处理个人数据时，必须获得明确的、特定的目的，并依据合法根据（如个人同意、合同履行、法律义务等）进行数据处理。

同时，在确保数据安全的前提下，企业需要采取适当的技术和组织措施保护个人数据。

五、数据转移GDPR扩大了对个人数据转移控制权的范围。

根据GDPR，个人有权要求企业将他们的个人数据直接转移到另一个数据控制者，企业应当提供机制来满足这一要求。

六、制裁与处罚GDPR对违反规定的企业处以高额罚款，并要求企业承担赔偿责任。

同时，GDPR还规定了数据保护主管机关的职权和责任，以确保GDPR 的贯彻执行。

总结起来，GDPR是一部旨在保护个人数据的重要法规。