GDPR

欧盟数据合规说明

1. 欧盟个人数据保护立法概览

欧盟于2016年颁布了《通用数据保护条例》（GDPR），并于2018年生效。GDPR旨在保护所有在欧盟境内个人的隐私权与数据保护权。GDPR适用于所有处理个人数据的企业和组织，无论其地理位置如何，只要其数据处理活动涉及到欧盟公民的个人数据。

（一）相关定义

1. 数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定。

2. 数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。

3、个人数据是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。GDPR 拓宽了个人数据的范围。按照 GDPR 界定的范围，个人数据也包括数字指纹（例如 IP 地址和 Cookie）。除此之外，基因或生物识别数据也包含在“敏感数据”的范畴之内。

4、GDPR 明确提到个人敏感数据应受到高度保护，这些数据包含：个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。

1. 主要内容

（一）企业在实现GDPR合规时需要遵循以下几个步骤：

（1）数据审计：对现有的数据处理活动进行审计，确保了解个人数据的来源、使用目的及存储期限。

（2）隐私政策更新：更新隐私政策，确保其内容符合GDPR要求，明确告知用户其数据的处理方式。

（3）建立合规机制：建立数据保护管理体系，确保所有数据处理活动遵循GDPR的原则。

（4）员工培训：对员工进行GDPR及数据保护相关知识的培训，提高其合规意识。

监测与审查：定期监测数据处理活动，确保持续符合GDPR的要求。

2. 个人数据处理何时处理个人数据合法

按照 GDPR 第6条的规定，处理个人数据须遵守以下六项法律依据：

（1）数据主体同意他或她的个人数据为一个或多个特定目而处理；

（2） 处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；

（3）处理是为履行控制者所服从的法律义务之必要；

（4）处理是为了保护数据主体或另一个自然人的切身利益之必要；

（5）处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；

（6）处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。（注：此项不适用于政府当局在履行其职责时进行的处理）

事先取得同意是企业合法处理欧盟公民个人数据的最重要前提条件。例如，当面临 GDPR 的合规性时，Facebook 应设法取得同意，而非遵守数据最小化原则。

取得同意必须是可证实的，须与其它事项明确区分开来，且可撤回。值得注意的是，处理敏感数据须取得明确的同意。模糊或“一揽子同意”均被视为无效。企业须向数据主体呈现通俗易懂的语言表述，供其选择是否同意对方处理个人数据。鉴于此，至少从理论上讲，模糊不清、满篇术语及长期性同意的请求将不复存在。

此外，沉默、预先勾选或不积极，均不构成有效的同意。当用户需要勾选或通过电话同意时，这就属于明确的选择。

16周岁以下的未成年人不具有合法的同意权，但欧盟成员国可以将此年龄限制放宽到13周岁。

（二）个人数据跨境传输

1、欧盟内部转移

在欧盟内部传输个人数据的情况下，GDPR不会对GDPR的直接适用性施加任何其他要求。但是，当控制器聘请处理器时，数据控制器与数据处理器之间的关系需要通过协议来控制，并且要遵守在这些情况下GDPR规定的最低标准。处理者与处理者之间的协议（GDPR第28条）规定了处理的主题和持续时间，处理的性质和目的，个人数据的类型和数据主体的类别以及控制者的义务和权利。

2、非欧盟数据传输：遵从GDPR的步骤

对于非欧盟数据传输，GDPR预见了可以进行此类传输的特定情况。尤其是，从事非欧盟个人数据传输的组织将需要验证。

欧盟委员会是否有充分的决定，如果没有，则通过合同协议提供额外的保证。

（1）欧盟委员会可以发布有关非欧盟国家/地区数据保护级别的决定（例如，欧盟-美国隐私保护盾）。这些决定基于对第三国是否具有与欧盟等同的适当数据保护法律保障的全面评估。充分性决定的结果是消除了从欧盟（以及挪威，列支敦士登和冰岛）到该第三国的数据传输的任何障碍，而无需任何进一步的数据保护要求。

（2）转移必须遵守适当的保障措施

如果第三国不属于适当性决定的范围，则欧盟组织应考虑以下替代方法之一：

1） 标准合同条款 。 欧盟委员会还可以采用标准合同条款，以方便欧盟控制者在将个人数据传输到非欧盟控制者或处理者时提供足够的数据保护保护措施。到目前为止，欧盟委员会已经发布了两套标准合同条款：数据从欧盟控制方转移到非欧盟或EEA控制方，而欧盟控制方转移到非欧盟或EEA处理方。数据保护机构也可以采用示范条款。但是，这些条款需要得到委员会的批准。最后但并非最不重要的一点是，跨境转移也可以根据数据导出者和数据导入者之间商定的临时合同条款进行，这些条款必须得到主管DPA的批准。

**2）具有约束力的公司规则（BCR）。**如果将个人数据从一个公司实体转移到另一个公司实体（不考虑地区），则数据的传输将根据具有约束力的公司规则（BRC）进行。具有约束力的公司规则是经主管监管机构批准的具有法律约束力的规则，该规则规范从事联合经济活动的企业集团或企业集团的成员及其雇员（包括位于欧盟以外的企业）内部的个人数据的传输和处理领土。与标准合同条款相比，BCR的优势在于，一旦获得了数据保护机构的批准，便可以在不考虑地区的情况下进行所有将来的集团内部转移，而无需任何其他要求。

附加保障措施除了上述选择之外，GDPR还为数据传输引入了两种替代性充分性工具：批准的认证机制和批准的行为准则。两种机制都允许数据传输，前提是数据导入者做出有约束力的和可强制执行的承诺，以为数据保护应用适当的保护措施。

（3） 数据传输豁免

在许多情况下，在没有上述传输机制的情况下可以进行个人数据传输。这些情况有限，包括以下情况：

1）数据主体明确同意；

2）转让对于订立或履行合同是必要的；

3）有公共利益的重要原因；

4）有必要建立，行使或捍卫法律主张；

5）对于数据主体或其他人的切身利益是必要的；

6）它涉及公共登记数据；

此外，GDPR对涉及数量有限的数据主体的非重复传输引入了新的限制，即减损。在没有其他合法依据的情况下，当出于强制数据出口者的合法利益的目的而没有被数据主体的合法利益以及出口者为转移的数据提供足够的保障的情况下允许转移。在这种情况下，出口商必须将有关转移的情况告知相关的数据保护局和数据主体。