GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。
1.保护对象:
GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。
根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。
同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。
GDPR第4条规定,对个人数据的自动化处理包括:
(1)收集,记录,整理,组织,存储;
(2)改编,调整,检索,查阅,利用;
(3)通过传输或者传播予以披露、提供;
(4)匹配,组合;
(5)限制,删除,摧毁。
GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。
2.管辖范围:
GDPR第3条规定,GDPR适用于以下三种情形:
(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;
(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。
3.数据主体:
在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。
4.义务主体:
GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。
合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理;
数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据;
数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据;
准确性:个人数据应当准确,如果需要尽可能保持最新的数据;
存储限制:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;
完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”);
问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。
数据主体指,用户、客户、员工等
信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制;
数据访问权,控制者应当保证数据主体可以随时访问自己的数据;
纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式;
被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果;
限制处理权:数据主体有权限制数据主体处理其个人数据;
关于纠正或删除个人数据或限制处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者;
反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理;
拒绝权和自主决定权;
自主化的个人决策分析。
数据控制者和数据处理者,一般指保存和处理用户数据的公司
控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利;
控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的;
在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等;
数据处理者应当以数据控制者名义处理数据;
数据处理活动应当有记录;
和监督机构合作和配合,应当积极配合监管机构的调查;
处理过程的安全性:
(a)个人数据的匿名化和加密;
(b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;
(c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;
(d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性;
数据泄露72小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72 小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时,需要对迟延原因进行解释;
与数据主体进行交流:个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流;
数据保护影响评估以及事先咨询;
超过250人公司或处理海量数据的公司必须设置首席数据保护官。
###################################################
数字化风控咨询专家
深入耕耘风控、内控、合规领域的数字化咨询
提供GDPR合规的咨询及系统的控制体系
通用数据保护条例(General data protection
regulation)是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。它将于2018年5月25日生效,并在欧盟实施的同时,不仅适用于欧盟的组织,也适用于在欧盟拥有客户和联系人的组织。这将对全球各地的企业产生影响。《企业如何应对GDPR》