《歐盟數(shù)據(jù)保護(hù)通用條例》詳解

王融

中國信息通信研究院互聯(lián)網(wǎng)法律中心，北京 100191

《歐盟數(shù)據(jù)保護(hù)通用條例》詳解

王融

中國信息通信研究院互聯(lián)網(wǎng)法律中心，北京 100191

《歐盟數(shù)據(jù)保護(hù)通用條例》于2018年5月25日正式生效。為踏上數(shù)字時代新秩序的起跑線，全球企業(yè)都在積極準(zhǔn)備合規(guī)工作。全面梳理其帶來的重大變化，既為企業(yè)提供參考，也為我國政府考慮大數(shù)據(jù)背景下的數(shù)據(jù)保護(hù)規(guī)則提供新視角。

數(shù)據(jù)保護(hù)通用條例；變化；合規(guī)

1 引言

2012年，歐盟啟動對1995年《數(shù)據(jù)保護(hù)指令》①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data（以下簡稱《指令》）的修訂工作。在歷經(jīng)4年多的立法協(xié)商之后，《歐盟數(shù)據(jù)保護(hù)通用條例》（General Data Protection Regulation，GDPR）②REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC (General Data Protection Regulation) (Text with EEA relevance) THE EUROPEAN，4.5.2016 L 119/1 Official Journal of the European Union（以下簡稱《條例》）已正式通過，并將于2018年5月25日全面實(shí)施。以下詳細(xì)介紹《條例》帶來的10個方面的主要變化。

2 變化1：適用范圍極大擴(kuò)展

法律的適用范圍從過去的屬地主義向?qū)偃酥髁x擴(kuò)展。1995年的《指令》的適用范圍取決于屬地因素，要么機(jī)構(gòu)的成立地在歐盟，要么利用歐盟境內(nèi)的設(shè)備進(jìn)行個人數(shù)據(jù)的處理活動（僅僅是傳輸通道除外）。新《條例》不僅考慮屬地因素，還增加了屬人因素。簡言之如下。

· 對于成立地在歐盟的機(jī)構(gòu)來說，法律的適用范圍并沒有發(fā)生大的變化，但強(qiáng)調(diào)了無論數(shù)據(jù)處理的活動是否發(fā)生在歐盟境內(nèi)，都統(tǒng)一遵循《條例》。

· 對于成立地在歐盟以外的機(jī)構(gòu)來說，則適用屬人因素。只要其在提供產(chǎn)品或者服務(wù)的過程中（不論是否收費(fèi)）處理了歐盟境內(nèi)個體的個人數(shù)據(jù)，將同樣適用于《條例》。此類情形還包括對歐盟境內(nèi)個人活動的監(jiān)控行為。根據(jù)《條例》說明部分的解釋，監(jiān)控行為包括了利用cookie等互聯(lián)網(wǎng)技術(shù)工具對個人網(wǎng)絡(luò)活動的跟蹤分析（第3條）。

也就是說任何網(wǎng)站甚至App只要能夠被歐盟境內(nèi)的個人訪問和使用、產(chǎn)品或服務(wù)使用的語言是英語或者特定的歐盟成員國語言、產(chǎn)品標(biāo)識的價格為歐元，都可以被理解為該產(chǎn)品、服務(wù)的目標(biāo)用戶包括歐盟境內(nèi)用戶，從而需要適用《條例》。這也是緣何《條例》在全球引起極大震動的核心原因之一。不論是銀行、保險(xiǎn)、航空等傳統(tǒng)行業(yè)，還是電子商務(wù)、社交網(wǎng)絡(luò)等新興領(lǐng)域，只要涉及向歐盟境內(nèi)個人提供服務(wù)并處理個人數(shù)據(jù)，都將落入《條例》適用范圍，除非放棄歐盟5億發(fā)達(dá)人口市場。

3 變化2：統(tǒng)一的法律規(guī)則之下仍有一些例外

此次立法主旨之一是結(jié)束1995年《指令》以來各成員國之間的數(shù)據(jù)保護(hù)法律制度差異問題，《條例》的統(tǒng)一規(guī)定將直接適用于各成員國。但值得注意的是，《條例》仍然為各成員國預(yù)留了一定自主空間，如下所示。

· 《條例》對于兒童個人數(shù)據(jù)做出了特殊保護(hù)規(guī)定，但允許成員國對于兒童的年齡標(biāo)準(zhǔn)在13～16歲做出調(diào)整（第8條）。

· 在處罰方面，《條例》規(guī)定了實(shí)施行政罰款的一般性條件，但同時也授權(quán)成員國規(guī)定其他處罰類型的規(guī)則，這些處罰適用于違反了《條例》但并不符合行政罰款條件的違法行為（第84條）。

· DPO（data protection officer，數(shù)據(jù)保護(hù)官）的設(shè)立。除了《條例》規(guī)定的必須設(shè)立DPO的情形，《條例》還授權(quán)成員國可以擴(kuò)展必須設(shè)立DPO的其他情形（第37條）。

· 成員國可以在未來針對基因、生物識別以及健康數(shù)據(jù)的保護(hù)做進(jìn)一步規(guī)定（第9條）。

· 成員國可以依據(jù)《條例》的基本原則，針對雇傭領(lǐng)域的數(shù)據(jù)保護(hù)，做出進(jìn)一步的規(guī)定（第88條）。

除以上列舉之外，在《條例》中此類授權(quán)成員國可作出進(jìn)一步具體規(guī)定的條款還有很多。因此，盡管統(tǒng)一的《條例》為企業(yè)大大降低了合規(guī)的復(fù)雜性，但仍需注意到統(tǒng)一之外的差異性③http://www. gtlaw.com/ News-Events/ Publications/ Alerts/194155/ EU-General-Data-Protection-Regulation-What-Impactfor-Businesses-Established-Outside-the-EU。

4 變化3：一站式監(jiān)管

對于向歐盟不同國家提供業(yè)務(wù)的企業(yè)或者在不同國家都有設(shè)立地的企業(yè)來說，新《條例》會極大減輕合規(guī)成本。企業(yè)不再需要與多個不同成員國的數(shù)據(jù)監(jiān)管機(jī)構(gòu)打交道。根據(jù)新的一站式監(jiān)管機(jī)制（one stop shop），企業(yè)主成立地所在國家的監(jiān)管機(jī)構(gòu)將作為主導(dǎo)監(jiān)管機(jī)構(gòu)（lead supervisory authority），對企業(yè)的所有數(shù)據(jù)活動負(fù)有監(jiān)管權(quán)力，其效力輻射全歐。

當(dāng)然，為保證監(jiān)管的協(xié)調(diào)統(tǒng)一性，《條例》為此精心設(shè)計(jì)了一套復(fù)雜的咨詢機(jī)制。主導(dǎo)監(jiān)管機(jī)構(gòu)的監(jiān)管決定要最大程度上反映其他成員國監(jiān)管機(jī)構(gòu)的意見。如果不能達(dá)成一致意見，則交由歐盟數(shù)據(jù)保護(hù)委員會（European Data Protection Board，EDPB）處理（第56、60、61條等）。

5 變化4：處理數(shù)據(jù)須有合法理由

處理個人數(shù)據(jù)必須要有合法理由，包括：數(shù)據(jù)主體的同意、履行合同需要、履行法定義務(wù)的需要以及數(shù)據(jù)控制者的合法利益等。以下對數(shù)據(jù)主體的同意、數(shù)據(jù)控制者的合法利益以及敏感數(shù)據(jù)的處理等重點(diǎn)條款作進(jìn)一步的解釋。

（1）關(guān)于數(shù)據(jù)主體的同意

《條例》對于數(shù)據(jù)主體的同意的有效標(biāo)準(zhǔn)相比《指令》嚴(yán)格很多。“同意”必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。如果數(shù)據(jù)控制者希望獲得的同意的事項(xiàng)區(qū)別于此前已取得同意的事項(xiàng)范圍，則需要向用戶做出單獨(dú)明確的說明；如果將同意數(shù)據(jù)處理作為簽訂合同的前提條件，而這種數(shù)據(jù)處理事實(shí)上超出了提供服務(wù)所必需的范圍，將違反有關(guān)“同意應(yīng)當(dāng)是自由做出”的規(guī)定（第7條）。

在這種高標(biāo)準(zhǔn)下，雖然《條例》并沒有明確禁止“推定同意”模式（敏感數(shù)據(jù)處理、數(shù)據(jù)畫像活動除外），但在實(shí)踐中通過推定方式獲得用戶同意將很難被認(rèn)為是有效合法的。也就是說，當(dāng)前實(shí)踐中普遍存在的通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時通過“打鉤”方式作出一攬子授權(quán)的方式將失去合法性。業(yè)界普遍認(rèn)為，《條例》關(guān)于有效合法同意的嚴(yán)格規(guī)定，使得用戶的同意不會像現(xiàn)在這樣被輕易獲得④http://www. hoganlovells. com/en/ publications/ futureproofingprivacy-aguide-topreparing-forthe-eu-dataprotectionregulation。

更重要的是，《條例》賦予了數(shù)據(jù)主體可以隨時撤回同意的權(quán)利。數(shù)據(jù)控制者應(yīng)當(dāng)明確告知用戶現(xiàn)有該權(quán)利，并為用戶方便地行使該權(quán)利提供便利。

在處理兒童個人數(shù)據(jù)時，必須獲得其父母或者其他監(jiān)護(hù)人的同意。并且該舉證責(zé)任在于數(shù)據(jù)控制者，數(shù)據(jù)控制者必須能夠證明其從監(jiān)護(hù)人那里獲得了“同意”（第8條）。

（2）關(guān)于數(shù)據(jù)控制者的合法利益

1995年版的《指令》和《條例》都規(guī)定了除了獲得“同意”以外的其他數(shù)據(jù)處理的合法理由。其中包括符合數(shù)據(jù)控制者的合法利益。一般認(rèn)為，數(shù)據(jù)控制者出于營銷目的對個人數(shù)據(jù)的使用要符合個人的合法利益，但同時《條例》賦予了數(shù)據(jù)主體對于營銷活動的絕對反對權(quán)。換言之，數(shù)據(jù)控制者可以以營銷為目的使用用戶個人數(shù)據(jù)，但用戶隨時可以提出反對，數(shù)據(jù)控制者必須立即停止使用。除此之外，將數(shù)據(jù)控制者的合法利益作為數(shù)據(jù)處理的合法理由的情形在實(shí)踐中非常有限。數(shù)據(jù)控制者必須能夠證明，其合法的利益顯著高于數(shù)據(jù)主體的個人權(quán)利和自由（第6條）。

（3）關(guān)于敏感數(shù)據(jù)的處理

敏感的個人數(shù)據(jù)包括：能夠揭示個人的種族、政治傾向、宗教和哲學(xué)信仰、商業(yè)團(tuán)體資格以及關(guān)于個人健康或者性生活的數(shù)據(jù)，在敏感數(shù)據(jù)類型中，《條例》還明確加入了基因數(shù)據(jù)和生物數(shù)據(jù)，這類數(shù)據(jù)的處理能夠唯一地識別出特定個人（第9條）。

敏感個人數(shù)據(jù)的特殊性在于，作為一般法則，禁止處理敏感數(shù)據(jù)，除非特定的例外條件能夠滿足。這些例外條件包括：數(shù)據(jù)主體的同意，或者數(shù)據(jù)主體已經(jīng)將上述信息公開；為了建立、履行或者保護(hù)合法的訴求必須處理上述敏感信息；為了公共利益的需要或者與公共利益相關(guān)的歸檔、科學(xué)、歷史或者統(tǒng)計(jì)。但總體的原則是，這些對于敏感數(shù)據(jù)處理的例外情況的解釋將會非常狹窄。

6 變化5：堅(jiān)實(shí)強(qiáng)大的數(shù)據(jù)主體權(quán)利

相比于1995年版《指令》，《條例》對數(shù)據(jù)主體的權(quán)利規(guī)定細(xì)致入微，為個人有效行使權(quán)利提供了堅(jiān)實(shí)的法律保障。

（1）知情權(quán)

《條例》規(guī)定數(shù)據(jù)控制者必須以清楚、簡單、明了的方式向個人說明其個人數(shù)據(jù)是如何被收集處理的?？梢韵胍姷氖?，當(dāng)前企業(yè)普遍應(yīng)用的隱私政策必須進(jìn)行大幅改革，才能滿足合規(guī)要求。《條例》規(guī)定了應(yīng)當(dāng)告知用戶的信息包括以下內(nèi)容（第12、13條）。

· 數(shù)據(jù)控制者的身份和聯(lián)系方式、數(shù)據(jù)控制者指定的代表信息、DPO的相關(guān)信息、數(shù)據(jù)的接收者或數(shù)據(jù)接收者的類型。

· 數(shù)據(jù)處理的目的和合法基礎(chǔ)。如果合法基礎(chǔ)是用戶的“同意”，則要告知用戶享有撤回“同意”的權(quán)利，并且該撤回不得影響先前的數(shù)據(jù)處理中用戶的合法利益。該信息應(yīng)當(dāng)以單獨(dú)、顯著方式顯示。

· 如果涉及自動化的數(shù)據(jù)處理，包括數(shù)據(jù)畫像活動，則需要提供基本的算法邏輯以及針對個人的運(yùn)算結(jié)果。

· 個人數(shù)據(jù)的保留周期以及采取該周期的理由。

· 依據(jù)法律，數(shù)據(jù)主體享有權(quán)利、投訴權(quán)以及相關(guān)的監(jiān)管機(jī)構(gòu)。

· 如果數(shù)據(jù)傳輸?shù)降谌龂?，則需要告知用戶該第三國是否通過歐盟的充分性決定，如果沒有通過，則需要告知數(shù)據(jù)控制者采取了何種保障措施。

· 如果數(shù)據(jù)不是從數(shù)據(jù)主體處直接收集而來，則需要告知其數(shù)據(jù)的來源和類型。

（2）訪問權(quán)

數(shù)據(jù)控制者應(yīng)當(dāng)為用戶實(shí)現(xiàn)該權(quán)利提供相應(yīng)的流程，如果該請求是以電子形式提出的，則也應(yīng)當(dāng)以電子形式將數(shù)據(jù)提供給個人。控制者不能基于提供該服務(wù)而收費(fèi)，除非數(shù)據(jù)主體的請求明顯過量，超過負(fù)擔(dān)（第15條）。

（3）反對權(quán)

對于兩種情形，數(shù)據(jù)主體享有絕對的拒絕權(quán)：始終有權(quán)隨時拒絕數(shù)據(jù)控制者基于其合法利益處理個人數(shù)據(jù)；始終有權(quán)拒絕基于個人數(shù)據(jù)的市場營銷行為?！稐l例》還引入了限制處理的權(quán)利。例如，當(dāng)數(shù)據(jù)主體提出投訴（如針對數(shù)據(jù)的準(zhǔn)確性）時，數(shù)據(jù)主體并不要求刪除該數(shù)據(jù)，但可以限制數(shù)據(jù)控制者不再對該數(shù)據(jù)繼續(xù)處理（第21條）。

除了以上權(quán)利之外，《條例》還全面引入了新型的權(quán)利類型，其中最引入注目的是“數(shù)據(jù)可攜權(quán)”（第20條）、“被遺忘權(quán)”（第17條）。

“個人數(shù)據(jù)可攜權(quán)”，是指用戶可以無障礙地將其個人數(shù)據(jù)從一個信息服務(wù)提供者處轉(zhuǎn)移至另一個信息服務(wù)提供者。例如，F(xiàn)acebook的用戶可以將其賬號中的照片以及其他資料轉(zhuǎn)移至其他社交網(wǎng)絡(luò)服務(wù)提供商。當(dāng)然，該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù)，還包括云計(jì)算、網(wǎng)絡(luò)服務(wù)以及手機(jī)應(yīng)用等自動數(shù)據(jù)處理系統(tǒng)。信息控制者不僅無權(quán)干涉信息主體的此項(xiàng)權(quán)利，還需要配合用戶提供數(shù)據(jù)文本。從目前第20條規(guī)定來看，數(shù)據(jù)可攜權(quán)適用于數(shù)據(jù)主體提供給數(shù)據(jù)控制者的數(shù)據(jù)，因此個人的網(wǎng)絡(luò)行為軌跡是否屬于該范疇，還有待于歐盟數(shù)據(jù)保護(hù)委員會做出解釋。

“被遺忘權(quán)”，《條例》第17條刪除權(quán)（“被遺忘權(quán)”）共計(jì)3款。其中，第1款的核心仍然是傳統(tǒng)個人信息保護(hù)法中已經(jīng)確立的刪除權(quán)：當(dāng)用戶依法撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時，用戶有權(quán)要求刪除數(shù)據(jù)。關(guān)于“被遺忘”的精神更多體現(xiàn)在第17條第2款：如果數(shù)據(jù)控制者將符合第1款條件的個人數(shù)據(jù)進(jìn)行了公開傳播，應(yīng)該采取所有合理的方式予以刪除（包括采取可用的技術(shù)手段和投入合理成本），數(shù)據(jù)控制者有責(zé)任通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體主張的個人數(shù)據(jù)鏈接、復(fù)制件。也就是說，數(shù)據(jù)控制者不僅要刪除自己所控制的數(shù)據(jù)，還要求數(shù)據(jù)控制者負(fù)責(zé)對其公開傳播的數(shù)據(jù)，要通知其他第三方停止利用并刪除。這是對傳統(tǒng)“刪除權(quán)”的擴(kuò)張。

總體看來，《條例》對于數(shù)據(jù)主體權(quán)利的補(bǔ)充完善，不僅極大增強(qiáng)了數(shù)據(jù)主體對于個人數(shù)據(jù)的控制能力，也對企業(yè)如何保障實(shí)現(xiàn)數(shù)據(jù)主體的權(quán)利提出了具體的要求，對企業(yè)的制度建設(shè)、措施配置、業(yè)務(wù)流程乃至IT系統(tǒng)設(shè)計(jì)產(chǎn)生直接影響。

7 變化6：嚴(yán)格問責(zé)—— 數(shù)據(jù)控制者

《條例》大大簡化了企業(yè)日常的合規(guī)負(fù)擔(dān)，特別是廢除了目前各成員國關(guān)于數(shù)據(jù)處理及境外轉(zhuǎn)移的許可或者備案程序。但是取而代之的是要求企業(yè)在內(nèi)部建立完善的問責(zé)機(jī)制，以實(shí)現(xiàn)《條例》規(guī)定的真正落地⑤需要說明的是，盡管1995年版《指令》中提出了數(shù)據(jù)控制者、數(shù)據(jù)處理者兩個主體概念，但絕大部分法律要求是面向數(shù)據(jù)控制者提出的。新的《條例》繼承了這兩個主體概念，但是將數(shù)據(jù)處理者也直接納入了規(guī)范的范疇。因此，本部分中關(guān)于數(shù)據(jù)控制者的問責(zé)機(jī)制同樣適用于數(shù)據(jù)處理者。另，按照新《條例》，控制者是指單獨(dú)或聯(lián)合其他方?jīng)Q定了數(shù)據(jù)處理目的和方法的主體，包括自然人、法人，公共機(jī)構(gòu)等，機(jī)構(gòu)或者其他實(shí)體。處理者是指代表數(shù)據(jù)控制者進(jìn)行數(shù)據(jù)處理的主體，包括自然人、法人、公共機(jī)構(gòu)等機(jī)構(gòu)或者其他實(shí)體（第4（7）、4（8）條）。特別是，《條例》旨在對個人數(shù)據(jù)處理中的個人權(quán)利和自由提供充分的尊重和保障，因此，對于數(shù)據(jù)控制者和處理者的約束規(guī)范十分嚴(yán)格。歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)第29條工作組已經(jīng)將制定相關(guān)細(xì)則列為了工作優(yōu)先項(xiàng)⑥http://ec.europa. eu/justice/dataprotection/ article-29/ documentation/ opinionrecommendation/ files/2016/ wp236_en.pdf。

7.1 DPO

對于設(shè)立地在歐盟的機(jī)構(gòu)來說，以下是必須設(shè)立DPO的法定情形：

· 政府部門及公共機(jī)構(gòu)作為數(shù)據(jù)控制者的；

· 機(jī)構(gòu)核心業(yè)務(wù)涉及以下大規(guī)?；顒樱喝粘５匾约跋到y(tǒng)性地監(jiān)控?cái)?shù)據(jù)主體、處理特殊類型的個人數(shù)據(jù)，或者數(shù)據(jù)處理活動與刑事定罪相關(guān)。

DPO必須具備數(shù)據(jù)保護(hù)專業(yè)知識和技能，有能力且能獨(dú)立地履行職責(zé)。DPO的聯(lián)系方式必須予以公布，且向監(jiān)管機(jī)構(gòu)報(bào)備。集團(tuán)公司可以指定一位DPO，但前提是DPO能夠方便地介入公司其他運(yùn)營地，處理相關(guān)事務(wù)。此外需要注意的是，《條例》允許成員國通過國內(nèi)立法擴(kuò)展必須指定DPO的其他情形（第37條）。

對適用于《條例》，但設(shè)立地在國外的機(jī)構(gòu)而言，其必須在歐盟境內(nèi)指定一個代表（機(jī)構(gòu)）⑦代表可以是機(jī)構(gòu)，也可以是個人，但應(yīng)當(dāng)具有處理個人數(shù)據(jù)保護(hù)事宜的專業(yè)能力，以作為該機(jī)構(gòu)與數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)之間的聯(lián)系點(diǎn)（第27條）。

7.2 文檔化管理

文檔化管理（documentation）的目的是做到一舉一動都有據(jù)可查。數(shù)據(jù)控制者必須全面記載其數(shù)據(jù)處理活動，包括數(shù)據(jù)處理的目的、數(shù)據(jù)的類型、數(shù)據(jù)接收者的類別以及轉(zhuǎn)移至第三國的數(shù)據(jù)接收者、數(shù)據(jù)保存的時間、采取的安全保障措施等，保留與數(shù)據(jù)處理者的合同附件。250人雇員以下的中小企業(yè)可以豁免該要求，但是核心業(yè)務(wù)涉及大規(guī)模的處理個人數(shù)據(jù)或者敏感數(shù)據(jù)以及涉及違法定罪數(shù)據(jù)處理的不能例外。文檔化管理不僅是企業(yè)內(nèi)部的管理措施，而且是數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)履行職責(zé)的重要抓手（第30條）。

7.3 數(shù)據(jù)保護(hù)影響評估

對于高風(fēng)險(xiǎn)的數(shù)據(jù)處理活動，要事先進(jìn)行數(shù)據(jù)保護(hù)影響評估（data protection impact assessment，DPIA）?！稐l例》并沒有對高風(fēng)險(xiǎn)進(jìn)行界定，但以下情形，應(yīng)當(dāng)事前評估：對個人特征的系統(tǒng)性評價（該評價會對數(shù)據(jù)主體產(chǎn)生法律上的影響）、對大量敏感數(shù)據(jù)的處理以及對公共領(lǐng)域大規(guī)模的系統(tǒng)性監(jiān)控（第35條）。

7.4 事先協(xié)商

如果數(shù)據(jù)保護(hù)影響評估的結(jié)果顯示是高風(fēng)險(xiǎn)，且數(shù)據(jù)控制者沒有有效降低風(fēng)險(xiǎn)的措施，數(shù)據(jù)控制者應(yīng)當(dāng)就數(shù)據(jù)處理活動向相關(guān)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行事先協(xié)商（prior consultation）。監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)在收到協(xié)商申請的特定期限內(nèi)提出處理意見，并可以采取糾正措施。除此之外，成員國在制定涉及數(shù)據(jù)保護(hù)的立法時，也應(yīng)當(dāng)事前征求數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的意見（第36條）。

7.5 數(shù)據(jù)泄露報(bào)告

《條例》將數(shù)據(jù)泄露定義為導(dǎo)致偶然的或者非法的數(shù)據(jù)破壞、損失、改變、非授權(quán)的披露等（第4（12）條）。一旦發(fā)生數(shù)據(jù)泄露事故，數(shù)據(jù)控制者需要及時通知監(jiān)管機(jī)構(gòu)，如果可行，應(yīng)不超過72 h，除非該泄露不可能造成對個人權(quán)利和自由的破壞，若未在72 h內(nèi)報(bào)告監(jiān)管機(jī)構(gòu)，則后續(xù)報(bào)告應(yīng)當(dāng)說明延遲報(bào)告的理由。對于數(shù)據(jù)處理者而言，其應(yīng)當(dāng)在意識到泄露事故及風(fēng)險(xiǎn)后及時報(bào)告數(shù)據(jù)控制者（第33條）。

數(shù)據(jù)泄露報(bào)告（data breach notification，DBN）中至少應(yīng)當(dāng)包含以下內(nèi)容：關(guān)于數(shù)據(jù)泄露事故的描述，涉及的數(shù)據(jù)主體的總量、類型以及數(shù)據(jù)記錄的總量，企業(yè)DPO的姓名和聯(lián)系方式，泄露可能造成的結(jié)果，企業(yè)已經(jīng)采取的止損措施。數(shù)據(jù)控制者應(yīng)當(dāng)將所有的數(shù)據(jù)泄露事故予以文檔化，以便監(jiān)管機(jī)構(gòu)能夠檢查其合規(guī)工作（第33條）。

如果數(shù)據(jù)控制者采取了適當(dāng)?shù)谋Ｗo(hù)措施，特別是采取的措施（如加密）使得數(shù)據(jù)難以被一般人理解，或者其后續(xù)采取的措施能夠使威脅不會成為實(shí)際的結(jié)果，則數(shù)據(jù)控制者可以不必履行數(shù)據(jù)泄露報(bào)告義務(wù)，但這些證明責(zé)任都在數(shù)據(jù)控制者。當(dāng)然，數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以否決數(shù)據(jù)控制者做出的風(fēng)險(xiǎn)判斷，強(qiáng)制要求做出報(bào)告（第34條）。

依照《條例》規(guī)定，強(qiáng)制性的數(shù)據(jù)泄露報(bào)告是沒有門檻的，因此企業(yè)應(yīng)當(dāng)為此建立周密的制度安排，包括數(shù)據(jù)安全管理流程、泄露事故發(fā)現(xiàn)、上報(bào)預(yù)案等，以符合條例的嚴(yán)格要求。

7.6 安全保障措施

《條例》對于安全保障（security of processing）措施給予了更具體的規(guī)定，特別強(qiáng)調(diào)了以下措施：

· 對個人數(shù)據(jù)的匿名化和假名化；

· 確保提供持久的機(jī)密性、完整性、可用性和系統(tǒng)可恢復(fù)性的能力；

· 在物理或者技術(shù)事故下及時回復(fù)數(shù)據(jù)可用性、可訪問性的能力；

· 建立定期測試、評估、評價技術(shù)和管理措施是否有效的體系（第32條）。

關(guān)于其中對于個人數(shù)據(jù)匿名和假名，《條例》明顯做出了區(qū)分。假名數(shù)據(jù)是指在缺乏其他信息的前提下（且該信息被獨(dú)立存儲），不能夠被識別指向特定個人的數(shù)據(jù)。假名數(shù)據(jù)仍然屬于個人數(shù)據(jù)，因此適用于個人數(shù)據(jù)的安全保障，特別是對于能夠?qū)⒓倜麛?shù)據(jù)恢復(fù)身份識別屬性的額外信息必須單獨(dú)安全存儲。但相比于普通個人數(shù)據(jù)，假名數(shù)據(jù)在遵循的規(guī)范方面要相對寬松。例如假名化以后，數(shù)據(jù)控制者可以將數(shù)據(jù)用于收集該數(shù)據(jù)時所確定目的之外的其他目的。

匿名數(shù)據(jù)是指已經(jīng)完全移除了個人可識別信息之后的數(shù)據(jù)，該數(shù)據(jù)不能夠再識別出特定個人。匿名數(shù)據(jù)不再屬于個人數(shù)據(jù)，不受《條例》規(guī)范。

8 變化7：嚴(yán)格問責(zé)—— 數(shù)據(jù)處理者

對于數(shù)據(jù)處理者而言，《條例》帶來了重大變化。1995年版《指令》主要適用于數(shù)據(jù)控制者。數(shù)據(jù)處理者主要通過合同的方式承擔(dān)數(shù)據(jù)保護(hù)責(zé)任。然而新《條例》對于數(shù)據(jù)控制者、數(shù)據(jù)處理者在大多數(shù)情況下提出了相同的要求，例如數(shù)據(jù)處理者也承擔(dān)對數(shù)據(jù)的安全保障義務(wù)，在管理措施、技術(shù)上采取必要的措施，包括指定DPO、在發(fā)生數(shù)據(jù)泄露事故時及時報(bào)告數(shù)據(jù)控制者等。

此外，《條例》還細(xì)致規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者之間的合同應(yīng)當(dāng)至少包含哪些內(nèi)容，例如數(shù)據(jù)處理的目的、期限、個人數(shù)據(jù)的類型、數(shù)據(jù)主體的類別以及雙方的權(quán)利業(yè)務(wù)。

數(shù)據(jù)處理者僅能按照數(shù)據(jù)控制者書面的要求處理數(shù)據(jù)，必須確保其員工能夠遵守有關(guān)保密的要求；在數(shù)據(jù)安全、數(shù)據(jù)泄露、數(shù)據(jù)保護(hù)影響評估等方面對數(shù)據(jù)控制者提供協(xié)助。如果沒有數(shù)據(jù)控制者的同意，數(shù)據(jù)處理者不得二次分包業(yè)務(wù)；數(shù)據(jù)控制者可以對分包采取概括性授權(quán)，但如果具體的分包商發(fā)生了變化，數(shù)據(jù)處理者有義務(wù)及時告知數(shù)據(jù)控制者，后者有權(quán)提出反對。數(shù)據(jù)處理者對其分包商的數(shù)據(jù)處理活動完全負(fù)責(zé)，有義務(wù)將數(shù)據(jù)保護(hù)的要求施加給二級分包商。在數(shù)據(jù)處理服務(wù)終止時，數(shù)據(jù)處理者應(yīng)當(dāng)刪除或者將數(shù)據(jù)全部返還給數(shù)據(jù)控制者，除非根據(jù)法律的要求必須保留這些數(shù)據(jù)。

數(shù)據(jù)處理者的違規(guī)行為同樣將受到《條例》規(guī)定的嚴(yán)格處罰，數(shù)據(jù)監(jiān)管機(jī)構(gòu)擴(kuò)展的監(jiān)管權(quán)力也同時適用于數(shù)據(jù)處理者，包括進(jìn)入數(shù)據(jù)控制者的工作場所、發(fā)布警告、發(fā)布數(shù)據(jù)處理禁令等。用戶個人也有權(quán)直接從數(shù)據(jù)處理者處主張賠償，當(dāng)然如果是因?yàn)閿?shù)據(jù)控制者的錯誤指令，則數(shù)據(jù)處理者可以再向數(shù)據(jù)控制者索賠（第28條）。

新規(guī)中對數(shù)據(jù)處理者構(gòu)建的一系列規(guī)范要求，將對當(dāng)前的云計(jì)算生態(tài)體系帶來重大影響。按照新規(guī)，數(shù)據(jù)控制者和數(shù)據(jù)處理者之間的合同在很多情形下需要重新談判達(dá)成。特別是由于《條例》使數(shù)據(jù)處理者大大增加了合規(guī)風(fēng)險(xiǎn)，二者合同中關(guān)于安全保障措施、風(fēng)險(xiǎn)管理以及服務(wù)的價格都會受到影響。

9 變化8：完善跨境數(shù)據(jù)流動機(jī)制

關(guān)于跨境數(shù)據(jù)流動的限制是在1995年版《指令》中提出的，歐盟公民的個人數(shù)據(jù)僅能轉(zhuǎn)移到與歐盟同等保護(hù)水平的國家。在實(shí)踐中，部分成員國針對跨境數(shù)據(jù)流動增加了事前的備案或者許可要求。新《條例》明確禁止了這種增設(shè)許可的做法，只要符合《條例》中跨境數(shù)據(jù)流動的條件，則成員國不得再予以限制。在此基礎(chǔ)上，《條例》還進(jìn)一步完善了數(shù)據(jù)轉(zhuǎn)移合法機(jī)制。

（1）充分性決定

相比于1995年版《指令》，歐盟委員會除了可以對國家作出評估外，還可以對一國內(nèi)的特定地區(qū)、行業(yè)領(lǐng)域以及國際組織的保護(hù)水平作出評估判斷。這進(jìn)一步增加了通過“充分性”決定（adequate decision）的靈活性。畢竟自1995年版《指令》實(shí)施以來，通過充分性決定的國家及地區(qū)還不超過10個⑧加拿大于2002年、阿根廷于2003年、瑞士于2004年、安道爾共和國于2010年、以色列于2011年、新西蘭于2013年、英國馬恩島于2004年、美國新澤西州于2008年、丹麥法羅群島于2010年通過充分性決定?！稐l例》對歐盟委員會做出充分性決定的程序和標(biāo)準(zhǔn)也進(jìn)行了進(jìn)一步詳細(xì)規(guī)范，包括要求至少每隔4年對充分性決定進(jìn)行重新審查（第45條）。

（2）有約束的公司規(guī)則

有約束的公司規(guī)則（binding corporate rules，BCR）最早由歐盟第29條工作組發(fā)展而來，初衷是讓跨國公司或者公司集團(tuán)能夠在公司內(nèi)部進(jìn)行跨境的數(shù)據(jù)轉(zhuǎn)移，是歐盟委員會提出的標(biāo)準(zhǔn)化格式合同的一個替代選擇。在1995年版《指令》框架下，大約有2/3的歐盟成員國認(rèn)可BCR。但是取得成員國監(jiān)管機(jī)構(gòu)對于BCR的認(rèn)可需要經(jīng)歷冗長的批準(zhǔn)程序（18～24個月不等）。此次《條例》對BCR給予了正式的法律地位，并詳細(xì)規(guī)定了BCR獲得認(rèn)可的程序和內(nèi)容標(biāo)準(zhǔn)（第47條）。

（3）標(biāo)準(zhǔn)合同條款

目前歐盟委員會通過的3個標(biāo)準(zhǔn)合同條款（standard contractual clauses）仍然有效。《條例》增加了成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以指定標(biāo)準(zhǔn)合同條款的渠道，但必須要經(jīng)過歐盟委員會的認(rèn)可（第63條）。

（4）經(jīng)批準(zhǔn)的行為準(zhǔn)則

數(shù)據(jù)控制者可以成立協(xié)會并提出遵守《條例》的詳細(xì)行為準(zhǔn)則（codes of conduct）。該行為準(zhǔn)則可以由成員國監(jiān)管機(jī)構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員會批準(zhǔn)，并通過有約束力的承諾方式生效。這種情形主要針對不適用于《條例》但從歐盟接收數(shù)據(jù)的主體（第46條）。

（5）經(jīng)批準(zhǔn)的認(rèn)證機(jī)制、封印或者標(biāo)識

經(jīng)批準(zhǔn)的認(rèn)證機(jī)制、封印或者標(biāo)識（approved certification mechanism,seal or mark）主要適用于公共機(jī)構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移活動。行為準(zhǔn)則與認(rèn)證機(jī)制是《條例》中引入的新型合規(guī)機(jī)制，以最大化發(fā)揮第三方監(jiān)督與市場自律作用。

10 變化9：對數(shù)據(jù)畫像活動的特別規(guī)制

根據(jù)《條例》界定，“數(shù)據(jù)畫像”（profiling）概念外延廣泛，它是指：任何通過自動化方式處理個人數(shù)據(jù)的活動，該活動服務(wù)于評估個人的特定方面，或者專門分析及預(yù)測個人的特定方面，包括工作表現(xiàn)、經(jīng)濟(jì)狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現(xiàn)等。這一概念被普遍認(rèn)為能夠覆蓋目前大多數(shù)利用個人數(shù)據(jù)的大數(shù)據(jù)分析活動，如對個人偏好的分析，可涵蓋市場中最普遍的大數(shù)據(jù)分析市場營銷活動。

畫像活動如果對用戶個人產(chǎn)生法律上的影響或者其他重大影響，僅僅在符合以下條件之一時才是合法的：①數(shù)據(jù)主體明確同意；②歐盟或者成員國法的明確授權(quán)；③數(shù)據(jù)主體和數(shù)據(jù)控制者之間簽訂、執(zhí)行合同所必需（第22條）?？紤]到②③僅僅是個別情形，因此，實(shí)踐中絕大部分的數(shù)據(jù)畫像的合法基礎(chǔ)是用戶明確同意。而根據(jù)《條例》對于“同意”的高標(biāo)準(zhǔn)要求，業(yè)內(nèi)專家認(rèn)為，獲得用戶在數(shù)據(jù)畫像方面的同意將是難以操作的，這將對大數(shù)據(jù)背景下的分析營銷活動帶來極大的負(fù)面影響⑨https://www.huntonprivacyblog. com/2016/04/12/ hunton-releases-2016-eu-generaldata-protectionregulation-guide -for-in-houselawyers/。

在數(shù)據(jù)畫像活動中，獲得用戶合法有效的同意，首先應(yīng)當(dāng)向數(shù)據(jù)主體全面介紹數(shù)據(jù)畫像處理活動是怎么進(jìn)行的，收集了用戶的哪些數(shù)據(jù)，算法的基本原理是什么，評估結(jié)果是否會對用戶產(chǎn)生法律上的影響。其次，應(yīng)當(dāng)明確告知用戶其享有對畫像的反對權(quán)。此類信息應(yīng)當(dāng)明確無誤地表達(dá)，并使用足夠引起用戶注意的范式，獨(dú)立于其他信息（第13.2、21條）。

此外，基于個人敏感數(shù)據(jù)的數(shù)據(jù)畫像活動是被禁止的，除非數(shù)據(jù)主體出于一個或者多個特定的目的，被給予了明確的同意，但是成員國可以通過立法明確規(guī)定即使在用戶同意的情況下，也禁止基于敏感數(shù)據(jù)的畫像活動；或者該數(shù)據(jù)畫像活動對于重大的公共利益是必需的（第22條）。

因此，對于依賴于數(shù)據(jù)畫像（包括利用cookie等跟蹤工具開展行為精準(zhǔn)營銷）的企業(yè)來說，如何設(shè)計(jì)一套有效的機(jī)制，既能夠符合《條例》有關(guān)透明性和用戶同意的要求，同時也能使得數(shù)據(jù)分析活動得以繼續(xù)，是當(dāng)前的一道難題。

11 變化10：監(jiān)管權(quán)力、處罰與司法救濟(jì)

《條例》增強(qiáng)了監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)，包括：通知數(shù)據(jù)控制者、處理者相關(guān)違反行為；要求違法者提供相關(guān)信息，或者向監(jiān)管機(jī)構(gòu)提供訪問此類信息的接口；現(xiàn)場調(diào)查、審計(jì)；命令修改、刪除或者銷毀個人數(shù)據(jù)；可以采取臨時性的或者限定性的數(shù)據(jù)處理禁令；科以罰金（第58條）。

《條例》規(guī)定了嚴(yán)苛的罰金，分為兩檔：①處以1 000萬歐元或者上一年度全球營收的2%的罰款，兩者取其高。針對的違法行為包括：沒有實(shí)施充分的IT安全保障措施，或者沒有提供全面的透明的隱私政策，沒有簽訂書面的、數(shù)據(jù)處理協(xié)議等；②處以2 000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%的罰款，兩者取其高。此類處罰針對的違法行為包括：無法說明如何獲得用戶的同意，違反數(shù)據(jù)處理的一般性原則，侵害數(shù)據(jù)主體的合法權(quán)利以及拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等（第83條）。

司法救濟(jì)。對于不服監(jiān)管機(jī)構(gòu)作出的決定或者針對監(jiān)管機(jī)構(gòu)的不作為，當(dāng)事主體可尋求司法救濟(jì)。其中，數(shù)據(jù)主體可以通過司法途徑向數(shù)據(jù)控制者、數(shù)據(jù)處理者主張因其違反《條例》而致使數(shù)據(jù)主體遭受物質(zhì)上或者非物質(zhì)上的損害。如果一個以上的數(shù)據(jù)控制者、處理者涉及侵權(quán)，則共同承擔(dān)連帶責(zé)任，除非其能證明對損害的產(chǎn)生沒有責(zé)任。上述司法救濟(jì)的權(quán)利可以由消費(fèi)者機(jī)構(gòu)代表數(shù)據(jù)主體行使（第26、80、82條）。

12 結(jié)束語

從1995年版《指令》的34個簡單條文擴(kuò)展到99條（263頁）的詳細(xì)規(guī)范，《條例》帶來了全面制度改革，其核心目標(biāo)是將個人數(shù)據(jù)保護(hù)深度嵌入組織運(yùn)營，真正將抽象的保護(hù)理論轉(zhuǎn)化為實(shí)實(shí)在在的行為實(shí)踐。對于企業(yè)而言，小至隱私政策、業(yè)務(wù)流程，大到IT系統(tǒng)、戰(zhàn)略布局，無一不需要重新審視規(guī)劃。當(dāng)下著手的準(zhǔn)備工作，決定了企業(yè)能否有底氣在2年之后站立在數(shù)字時代新的起跑線上。

Deconstructing the EU General Data Protection Regulation

WANG Rong
Internet Law Center of China Academy of Information and Communication Technology, Beijing 100191, China

The EU General Data Protection Regulation (GDPR) has taken effect on May 25, 2018. In order to catch up with the new trend of digital era, companies from all over the world are actively preparing for the related compliance work. The major changes of this new regulation were demonstrated comprehensively. It will provide a reference for companies and new prospective for China’s data protection policy making in big data era.

General Data Protection Regulation (GDPR), change, compliance

D93

A

10.11959/j.issn.2096-0271.2016045

2016-06-20

王融（1979-），女，中國信息通信研究院互聯(lián)網(wǎng)法律中心副主任、高級工程師，主要從事電信、互聯(lián)網(wǎng)立法與監(jiān)管政策研究工作。代表著作：《電信法》《融合背景下的中歐電信管制比較研究》《個人信息保護(hù)法研究》。主要研究方向?yàn)閭€人信息保護(hù)法、網(wǎng)絡(luò)信息安全法。發(fā)表文章30余篇。負(fù)責(zé)及參與中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、工業(yè)與信息化部、中歐信息社會等委托研究項(xiàng)目，參與國家《電子商務(wù)法》《網(wǎng)絡(luò)安全法》及工業(yè)和信息化部部門規(guī)章立法工作。