欧盟《通用数据保护条例》合规指南

欧盟《通用数据保护条例》合规指南

E安全

E安全5月29日讯欧盟《通用数据保护条列》（简称GDPR）于2018年5月25日正式生效。英国一份政府调研显示，只有38%的英国公司在GDPR 生效前100天才开始关注该条例，许多美国公司也一样。

按照GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1.28亿元）或企业全球年收入的4%的罚款（取两者中最高的）。除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚，例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制。因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。

满足GDPR 的要求，企业到底需要重点了解哪些信息？

不少组织发现保障合规性远比预期的要复杂。市场调查公司Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。不过，只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会"宽大处理"。不过，尽管如此，仍免不了高额罚款。因此，满足GDPR 的合规性可谓任重道远。

一、数据控制者&数字处理者

按照GDPR 第4条的第（7）点和第（8）点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。

谷歌的复杂身份特例：

当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时，谷歌就是一个数据控制者；当涉及使用Google

Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消费者时，谷歌则是数据处理者；对于使用谷歌广告产品的广告发布商而言，谷歌仍是其收集数据的共同控制者，但是这些发布商收集数据必须征得用户同意。

二、个人数据及数据保护原则

根据GDPR 的定义，是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。GDPR 拓宽了个人数据的范围。按照GDPR 界定的范围，个人数据也包括数字指纹（例如IP 地址和Cookie）。除此之外，基因或生物识别数据也包含在“敏感数据”的范畴之内。

GDPR 明确提到个人敏感数据应受到高度保护，这些数据包含：个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。

按照GDPR 第5条（Art. 5）的规定，个人数据必须：

（a）以合法、公正、透明的方式处理与数据主体有关的（“合法性、公平性和透明性”）；（b）为特定的、明确的、合法的目的收集，并且不符合以上目的不得以一定的方式进行进一步的处理；为公共利益、科学，或历史研究目的，或统计目的而进一步处理，按照第89条第（1）款，不应被视为不符合初始目的（“目的限制”）；（c）充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据最小化”）；（d）准确，必要，及时；为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不精确的（“精度”）；（e）在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别

的形式保存；为了保护数据主体的权利和自由，依据第89条（1）予以实施本法所要求的适度的技术和组织措施，只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理，个人数据能被长时间存储（“存储限制”）；（f）以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。

三、何时处理个人数据合法？

按照GDPR 第6条的规定，处理个人数据须遵守以下六项法律依据：

1、数据主体同意他或她的个人数据为一个或多个特定目而处理；

2、处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；

3、处理是为履行控制者所服从的法律义务之必要；

4、处理是为了保护数据主体或另一个自然人的切身利益之必要；

5、处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；

6、处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。（注：此项不适用于政府当局在履行其职责时进行的处理）

事先取得同意是企业合法处理欧盟公民个人数据的最重要前提条件。例如，当面临GDPR 的合规性时，Facebook 应设法取得同意，而非遵守数据最小化原则。

取得同意必须是可证实的，须与其它事项明确区分开来，且可撤回。值得注意的是，处理敏感数据须取得明确的同意。模糊或“一揽子同意”均被视为无效。企业

须向数据主体呈现通俗易懂的语言表述，供其选择是否同意对方处理个人数据。鉴于此，至少从理论上讲，模糊不清、满篇术语及长期性同意的请求将不复存在。

此外，沉默、预先勾选或不积极，均不构成有效的同意。当用户需要勾选或通过

电话同意时，这就属于明确的选择。

16周岁以下的未成年人不具有合法的同意权，但欧盟成员国可以将此年龄限制放宽到13周岁。

四、用户控制权和用户权利

GDPR 的其中一个目标是让消费者掌控自己的数据，这项目标仍是一项重大挑战。数据控制者须向数据主体通知其具有的如下权利：

主体访问权

数据主体有权要求数据收集者或企业提供相关信息，包括使用的方法、数据内容以及谁有权访问数据等信息。除非该请求存在特别的困难之处，否则数据收集者或企业需在30天内提供相关信息，可能包括绩效评估、奖惩记录、电脑访问日志、求职面试、通话记录和录像片段。但是，所提供的信息不得包含任何其它员工的个人信息。

注意：这条规则涉及的数据不包括医疗记录、与刑事司法和税收相关的个人数据、与律师之间的保密通信、暴露当前管理问题的文件以及商业机密。此外，该项程

序免费开展，但数据控制者仍有权收取费用或拒绝执行过多及毫无根据的请求。反对权