GDPR (全稱: General Data Protection Regulation),即《通用數據保護條例》,是壹項新法律,規定了企業如何收集,使用和處理歐盟公民的個人數據。該條例在2012年1月份就已經起草,經過4年的探討與協商,歐盟於2016年4月正式通過這壹條例並宣布試行,到2018年5月25日正式全面施行。
GDPR適用範圍1.保護對象:
GDPR保護的僅是“個人數據”(personal data),不涉及個人數據以外的其他數據。
根據GDPR第4條的規定,個人數據是指,與壹個已被識別(identified)或者可被識別(identifiable)的自然人相關的任何信息;可被識別的自然人是指,其可以被直接或者間接識別,尤其是借助姓名、身份證號碼、地理位置、在線標識等身份標識,或者通過與其身體、生理、基因、心理、經濟或者社會身份相掛鉤的壹個或者多個因素。這裏所指的個人數據僅限於有生命的自然人的個人數據,不包括死者、胎兒等。
同時,個人數據的保護不涉及匿名信息,或者經過匿名化處理以致於不再具有可識別性的個人數據。對於表征人種或者種族起源、政治意見、宗教或者哲學信仰、商會會員、基因、生物特征、健康狀況、性生活等事項的特殊類別的個人數據(個人敏感數據),GDPR從收集、使用等角度作出了特殊規定。就個人數據的保護而言,GDPR主要適用於電腦(自動化)處理個人數據的行為,不涉及其他類型的處理行為。
GDPR第4條規定,對個人數據的自動化處理包括:
(1)收集,記錄,整理,組織,存儲;
(2)改編,調整,檢索,查閱,利用;
(3)通過傳輸或者傳播予以披露、提供;
(4)匹配,組合;
(5)限制,刪除,摧毀。
GDPR對個人數據的保護並不絕對,其“序言”部分要求,應當平衡新聞自由、表達自由、商業自由等權利,符合比例原則、法益平衡原則等法律的基本原則。
2.管轄範圍:
GDPR第3條規定,GDPR適用於以下三種情形:
(1)數據控制者、數據處理者在歐盟有營業場所的,不論數據處理行為發生在歐盟還是境外;(2)數據控制者、數據處理者未在歐盟設立營業場所,但向歐盟的數據主體提供商品或者服務,或者被追蹤的網絡行為發生在歐盟的;
(3)雖然數據控制者、數據處理者未在歐盟設立營業場所,但是根據國際公法應當適用歐盟成員國法律的。第二種情形是典型的域外管轄,主要針對美國的互聯網企業。
3.數據主體:
在GDPR中,享有數據權利的主體被稱為數據主體(data subject),個人數據所指向之自然人為數據主體。數據主體須為歐盟居民,壹般要求具有成員國國籍。
4.義務主體:
GDPR主要針對兩類義務主體,即數據控制者(controller)和數據處理者(processor)。控制者是指單獨或者與他人壹起,決定個人數據處理之目的和方式的自然人、法人或者其他組織。處理者是指代表控制者,處理個人數據的自然人、法人或者其他組織。
GDPR七個基本原則合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理;
數據收集應當有明確的目的:個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據;
數據收集的最小化原則:個人數據收集應當僅僅限於壹切與數據處理目的相關的必要的數據;
準確性:個人數據應當準確,如果需要盡可能保持最新的數據;
存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(“完整性和機密性”);
問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。
數據主體的權利數據主體指,用戶、客戶、員工等
信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道妳在收集那些數據,為什麽收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制;
數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據;
糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式;
被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果;
限制處理權:數據主體有權限制數據主體處理其個人數據;
關於糾正或刪除個人數據或限制處理的通知義務:除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。如果數據主體請求,控制者應當通知數據主體這些接收者;
反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理;
拒絕權和自主決定權;
自主化的個人決策分析。
數據控制者或數據處理者的義務數據控制者和數據處理者,壹般指保存和處理用戶數據的公司
控制者應該在確定處理手段和在處理的同時,實施適當的技術和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的方式,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利;
控制者應該實施適當的技術和組織措施以確保,在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量,數據處理的程度,數據的存儲期限和數據的可及性。特別是,這些措施應確保在沒有個人對無限數量自然人的幹預下,個人數據在默認情況是不可訪問的;
在歐盟成員國的範圍內指派歐盟代表,可以為合作夥伴,客戶或第三方中介等;
數據處理者應當以數據控制者名義處理數據;
數據處理活動應當有記錄;
和監督機構合作和配合,應當積極配合監管機構的調查;
處理過程的安全性:
(a)個人數據的匿名化和加密;
(b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力;
(c)在發生自然事故或者技術事故發的情況下,存儲有用信息以及及時獲取個人信息的能力;
(d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性;
數據泄露72小時報告義務:在個人數據泄露的情況下,控制者不能不當延誤,而且至少應當在知道之時起72 小時以內,根據第55條向監管機構進行通知,除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於72 小時,需要對遲延原因進行解釋;
與數據主體進行交流:個人數據泄露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據泄露的主體進行交流;
數據保護影響評估以及事先咨詢;
超過250人公司或處理海量數據的公司必須設置首席數據保護官。
###################################################
數字化風控咨詢專家
深入耕耘風控、內控、合規領域的數字化咨詢
提供GDPR合規的咨詢及系統的控制體系