史上最严的个人数据保护条例来了!欧盟GDPR合规指引-信通院-2019.5-71页.pdf.pdf
《史上最严的个人数据保护条例来了!欧盟GDPR合规指引-信通院-2019.5-71页.pdf.pdf》由会员分享,可在线阅读,更多相关《史上最严的个人数据保护条例来了!欧盟GDPR合规指引-信通院-2019.5-71页.pdf.pdf(71页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、欧盟 GDPR 合规指引 二一九年五月欧盟 GDPR 合规指引 编写团队编写单位: 中国信息通信研究院安全研究所 对外经济贸易大学数字经济与法律创新研究中心 奋迅律师事务所 科文顿柏灵律师事务所 京东集团 北京大学法治与发展研究院 编写组成员:(姓氏笔画为序) 于智精、许可、严少敏、罗嫣、陈湉、吴薇、洪延青、胡翔、葛鑫、鲍治、魏亮 欧盟 GDPR 合规指引 版权声明本白皮书版权属于中国信息通信研究院安全所、中国信息通信研究院安全研究所、对外经济贸易大学数字经济与法律创新研究中心、奋迅律师事务所、科文顿柏灵律师事务所、 京东集团、 北京大学法治与发展研究院, 并受法律保护。转载、摘编或利用其它方
2、式使用本报告文字或者观点的,应注明“来源: 欧盟 GDPR 合规指引 ” 。违反上述声明者,将追究其相关法律责任。欧盟 GDPR 合规指引 1 序 言如何把握欧盟的通用数据保护条例 (GDPR)?如果不拘泥于具体条文的话,我总觉得答案其实就蕴含于这座烧毁断残的雕像之中。 这座雕像位于荷兰乌特勒支大学学术大厅的走廊。 保留至今为的是纪念二战期间五名荷兰学生的英雄之举。 1942 年 12 月 12 日深夜, Gijs den Besten、 Frits Lordens、Geert Lubberhuizen、Anne Maclaine Pont 和 Rutger Marthijsen 潜入这座雕像
3、背后的学生管理部,将大学当时保存的学生档案一把火全部烧毁,避免了当时占领荷兰的德国纳粹通过详尽的学生档案锁定并杀害犹太学生。 “即便在最黑暗的时刻,我们仍然知道存在着永恒的原则” (In de zwartste uren bleven wij weten, dat er eeuwige beginselen zijn) 。乌特勒支大学教授 dr. P. C. A. Geyl 这句总结,连同焦黑断裂的雕像,给每个驻足探究的人,欧盟 GDPR 合规指引 2 包括当时即将博士论文答辩的我,深深的震撼和思考。如果德国纳粹掌握了这些学生档案(其实就是学生的个人数据) ,会有多少人将因此而丧生;但当时欧洲
4、范围内又有多少人像乌特勒支大学中的犹太学生那般幸运, 能够有机会销毁自己的个人数据 二战血和泪的经历显然在欧洲人的心中刻下了一个教训: 人人都应当享有个人数据受保护这项基本人权;个人数据泄露或滥用所造成的危害,绝非财产上的损失,而是事关个人的尊严和人格,乃至生命。 就此,我们不难理解 GDPR 这样严格的个人数据处理活动法律框架,为什么会诞生于欧洲。从本质上来说,GDPR 代表了欧盟所作出的价值判断:个人数据无论是为政府还是企业所掌握,难免出错;GDPR 不仅是为了最大程度降低“重蹈覆辙”的风险,更是面对未来科技迅猛发展的基本立场人是科技的主人,科技应当在尊重人类福祉的框架中发展进步。 沿着这
5、样的脉络, 我们就能掌握 GDPR 所设立的基本原则和具体的制度设计,例如开展个人数据处理活动首先需要一个合法性基础; 对处理活动非常高的透明性和文档化要求:事先明确数据处理的目的;仅能收集目的所需的最小化的个人数据; 个人数据的存储不应超过实现目的所必需的时间;开展高风险的个人数据处理活动前应当开展影响评估; 产品或服务在开发设计阶段就应落实数据保护的要求;对违法处理活动施加高额的罚款等等。 除了“不信任”对开展个人数据处理活动的组织,GDPR 还赋予了个人在个人数据方面的前所未有权利。在经典的查询、更正、删除权利的基础上,个人还拥有更强的反对、免受系统完全自动化决定的权利,以及崭新的被遗忘
6、权、限制处理权和数据可携带权。在这些权利的“武装”之下,个人不再是被动地“受制于”控制其数据的组织,而能及时、简便、深入地参与、介入,甚至于干预组织所开展的数据处理活动。除非有法定事由等少许例外情形,组织无法将个人拒之门外。 一边给开展个人数据处理活动的组织带上了沉重的“镣铐” ,一边大幅度给个人赋权,GDPR 通过上述“双保险” ,以管控个人数据处理活动对个人合法权益可能带来的负面风险。这样的设计是欧盟国家集体作出的抉择,是欧盟价值观的逻辑展开。 反观中国,个人信息保护法的立法工作已经吹响了号角。我们与欧洲有着不同的历史和传统,处于不同的发展阶段,形成了不同的政治、社会和经济结构。欧盟 GD
7、PR 合规指引 3 显然,中国无需追随欧盟的步伐,但这并不意味着将 GDPR“掰开揉碎”搞清楚没有意义。至少,GDPR 针对普适性问题提出的解决方案,我们可以批判、借鉴,并在此基础上创新。 本着这样的根本目的,同时为满足在欧盟运营的我国企业的实际需求,一群来自于高校、政府智库、企业、律所等方面的专家在中国信息通信研究院安全研究所提供的平台上齐聚一堂,根据自己的研究和实践经验,并经过长达半年的准备、讨论、撰写、修改、审校,集体创作出这份GDPR 合规指引 。 这份指引共分四章,分别包括 GDPR 概述、合规体系、疑难点及合规建议,以及 GDPR 与我国法律的比较及冲突应对。我们希望能为有合规需求
8、的企业指明方向,更希望能为关心个人信息保护的同仁提供一份针对 GDPR 准确、客观、扎实的介绍,进而为我国开展个人信息保护工作贡献绵薄之力。GDPR 合规指引 目 录 一、GDPR 概述. 1 (一)GDPR 立法背景及进程 . 1 (二)GDPR 制度要点概述 . 1 (三)GDPR 执法行动及评估 . 5 二、GDPR 合规体系 . 11 (一)风险评估 . 11 (二)组织架构保障 . 17 (三)合规体系设立与执行 . 21 (四)合规培训及宣讲 . 29 (五)合规体系执行的监督和审计 . 31 三、GDPR 疑难点及合规建议 . 34 (一)GDPR 的域外适用 . 34 (二)个
9、人数据的范围 . 34 (三)如何理解数据处理的 6 个合法事由? . 35 (四)如何理解数据主体的几个权利?. 37 (五)数据控制者和数据处理者的区别. 38 (六)数据控制者和数据处理者的责任. 39 (七)个人数据出境的合法事由 . 42 (八)主监管机构的理解 . 42 四、GDPR 与我国法律的比较及冲突应对 . 45 (一)中国个人信息保护法律规则与 GDPRGDPR 的比较 . 45 (二)中国个人信息保护规则与 GDPR 的区别 . 50 (三)GDPR 与我国法的实质性矛盾 . 55 附件一 隐私声明政策示例 . 59 欧盟 GDPR 合规指引 1 一、一、GDPR 概述
10、概述 (一)(一)GDPR 立法背景及进程立法背景及进程 欧盟的个人信息保护起源于传统隐私保护,发展至今先后历经以1981 年个人数据保护公约 、 1995 年个人数据保护指令 (以下简称“95 指令” )以及2016 年 通用数据保护条例(英文简称 “GDPR” ) 为主要表现形式的三个阶段。在互联网和大数据崛起的新环境下,欧盟认为 95 指令不能切实保护数据主体的权利和自由,也不能对成员国之间的个人数据保护法加以协调。因此,自 2009年开始,欧盟启动个人数据保护框架的改革工作。此次数据保护改革的宗旨在于强化数据主体权利的保护,并统一欧盟各成员国的数据保护立法。经过公众意见咨询、 利益相关
11、者对话和备选政策的影响效果评估,欧盟委员会最终决定以条例形式取代 95 指令,并于 2012 年 1 月正式发布 GDPR 草案。经过长达四年的立法程序, 2016 年 4 月, 欧盟理事会和欧洲议会表决通过了 GDPR, 并随后在 2016年 5 月 4 日正式在欧盟官方公报发布。根据 GDPR 第 99 条关于生效和适用的规定,GDPR 自官方公报发布满 20 日,即 2016 年 5 月 24 日生效,并自其生效后满两年,即 2018 年 5 月 25 日直接适用于欧盟全体成员国,以“一个大陆、一部法律”实现在欧盟 28 个成员国内部建立起统一的个人信息保护和流动规则。由于 GDPR 的
12、域外适用效力,被称为史上最严数据保护法的 GDPR 在全球范围内引起广泛关注。(二)(二)GDPR 制度要点概述制度要点概述相较于 95 指令 GDPR 在地域适用范围、权利义务配置、监管体系设计等方面进行了较大调整。1、扩张域外适用效力、扩张域外适用效力 相较于 95 指令依据传统管辖权原则确认适用范围,为应对网络空间无国界的特征和数据跨境流动常态化的现状,GDPR 超越了一般以属地管辖为主、属人管辖为辅的原则, 而从更为抽象的意义上将所有涉及欧盟地区数据主体个人数据处理的行为均纳入了管辖范围。GDPR 在第 3 条中规定了“属人” 、 “属地” 、 “保护” 、 “国际公法”等多种管辖权适
13、用依据:其一,第 3 条(1)规定 GDPR 适用于数据控制者或处理者在欧盟境内的实体机构实施的个人数据处理行为,不论数据处理行为是否发生在欧盟境内。根据 GDPR 序言第 22 条,对于是否存在欧欧盟 GDPR 合规指引 2 盟境内实体机构或营业场所的判断, 只要是通过稳定的安排能够真正有效的开展活动即可,不拘泥于分支机构抑或是子公司的法律形式。同时,欧盟法院 Google 被遗忘权一案中认为明确此时数据处理活动不限于实体机构自身实施, 而只要是在实体机构“活动背景下” (in the context of the activities)实施即可。欧洲数据保护委员会 (European Da
14、ta Protection Board)认为只要实体机构与数据控制者或处理者之间存在着“无可摆脱的联系” ,则数据控制者或处理者实施的数据处理行为(无论是否发生在欧盟境内)均应受 GDPR 的拘束。其二,第 3 条(2)依据保护原则规定即便数据处理者、 控制者以及数据处理行为均不发生在欧盟境内,但为了保护欧盟及欧盟境内居住的数据主体的合法权益, 只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为,均应受到 GDPR 的拘束。其三,第 2 条(3)条规定虽然数据控制者设立在欧盟境外,但依据国际公法,其所在地区适用欧盟成员国法律时,其行为也受到 GDPR 拘束。 2、扩张数据主体权利、
15、扩张数据主体权利 GDPR 第三章专章(第 12 条-第 23 条)规定了数据主体的权利,包括透明度及模式、知情与对数据的访问、更正与删除、反对权和自动化决策、权利限制等五个部分的内容。相较于 95 指令所规定的数据主体权利,GDPR 在以数据主体“知情同意”为基本框架,保留、细化并拓展了 95 指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系,并新增了被遗忘权、限制处理权和数据可携带权。具体来看,第 12-15 条构成数据主体的知情权体系,第 12 条规定透明性原则明确数据主体有权要求数据控制者以易于获取和易于理解的形式及时提供数据处理的相关信息,构成数据主体其他逐
16、项权利行使的前提条件;第 13 条、第14 条分别列举了在个人数据直接收集和间接收集的不同场景下,数据控制者应当为信息主体提供的各项信息的具体内容,构成对第 12 条透明性原则的细化和体现。第 15 条规定了数据主体的访问权,明确数据主体有权从数据控制者处明确是否对其个人数据进行了处理, 并要求数据控制者提供正在处理的个人数据副本。第 16 条-第 20 条规定了数据主体的更正权和删除权体系。其中,第 16 条更正权是 95 指令中既已存在的权利,赋予数据主体纠正其错误个人信息的权利。第 17-第 20 条所规定的被遗忘权、限制处理权和数据可携带权,则是 GDPR 应因网络社会数据记录和处理自
17、动化的常态而新增的数据主体权利。被遗忘权(第欧盟 GDPR 合规指引 3 17 条)来源于 95 指令中的删除权,但又融入了数字时代的背景,其行使范围不限于传统删除权中数据存在错误或者欠缺法定或约定处理依据的情形, 而是可以涵盖在合法基础上进行的数据处理, 其判断标准在于数据相对于其处理目的是否为过时的、不相关的、不必要的信息,但其行使的范围受限于具体场景下与言论自由、公共利益等的利益平衡。限制处理权(第 18 条)则赋予数据主体在数据的准确性存疑需要进一步查证、 数据处理并无合法依据但数据主体并不希望删除其数据等情形时,有权限制数据控制者对其个人数据的处理,一旦数据行使该项权利, 则仅在数据
18、主体同意或者为保护其他自然人或法人的权利等特殊情形才得进一步处理个人数据。 相较于被遗忘权, 限制处理权提供了相对缓和的解决方案。可携带权(第 20 条)也旨在强化数据主体对其个人数据的控制权,其基本理念在于 “个人能够将其个人数据和资料从一个数据控制者处无障碍地转移至另一个数据控制者处” ,由于该权利大大降低了数据主体转移其个人数据的难度,也被认为能够进一步提升数据控制者之间的市场竞争程度, 从而促进数据控制者的创新发展。 第 21-22 条规定了数据主体的反对权和自动化决策相关内容。 反对权 (第 21条) 是对 95 指令针对数据商业利用的反对权的保留和延伸,相较于原有 95 指令中的规
19、定, GDPR 对于反对权的规定放宽了适用情形, 不再局限于商业利用场景,包括基于维护公共利益或数据控制者所追求合法利益所必需、 基于直接营销目的、基于科学研究或统计目的的数据处理的场景,均有反对权的适用可能。免受自动化决策权(第 22 条)明确对数据主体具有法律影响或类似重大影响的基于数据自动化处理的相关决策,数据主体有权拒绝其约束。免受自动化决策权的基本出发点在于大数据时代数据自动化处理和对数据主体进行定向分析的数据画像日益增多,但算法不透明、算法歧视、数据源错误等风险难以避免,因此有必要在其对数据主体产生重大影响时,赋予数据主体免受其限制的权利。 第 23 条则规定了数据主体权利的限制。
20、从数据主体权利与公共利益、他人合法利益等多元利益冲突格局出发,第 23 条赋予成员国在基于维护国家安全与防卫、 公共安全等公共利益情形下,在符合基本权利的自由和本质并提供了必要适当保护措施的前提下,对数据主体的权利进行限制,以协调数据主体权利与诸项公共利益。 欧盟 GDPR 合规指引 4 3、强化数据控制者、数据处理者问责、强化数据控制者、数据处理者问责 GDPR 在引入一站式监管机制降低数据控制者等企业日常合规负担的同时,也要求数据控制者、数据处理者内部建立完善的问责机制,更多地以企业内部合规性义务规定推进 GDPR 的落地。具体来说,该等规范主要体现在设置数据保护官、对数据处理活动实现文档
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 史上最严 个人 数据 保护 条例 欧盟 GDPR 合规 指引 信通院 2019.5 71 pdf
限制150内