深度整理歐盟《一般數(shù)據(jù)保護(hù)法案》(GDPR)核心要點(diǎn)

1、深度整理歐盟一般數(shù)據(jù)保護(hù)法案（GDPR）核心要點(diǎn)刖百：整理本文的原因有三：網(wǎng)上很多關(guān)于GDPR的文章并不全面，甚至有誤以此機(jī)會(huì)在公司內(nèi)部開展關(guān)于GDPR的專項(xiàng)培訓(xùn)青蓮云的部分客戶業(yè)務(wù)在未來會(huì)受到GDPR的影響之后，我們計(jì)劃編寫一系列相關(guān)文章，更多的是站在企業(yè)角度來思考法案對(duì)物聯(lián)網(wǎng)行業(yè)的影響以及應(yīng)對(duì)措施，一來希望與同行企業(yè)可以就GDPR進(jìn)行更多的互動(dòng)討論；二來也是希望傳播國際法案對(duì)于安全和隱私的態(tài)度，共同提高物聯(lián)網(wǎng)安全意識(shí)。以下您將了解到：1什么是GDPR（重要）GDPR的發(fā)展歷程GDPR的關(guān)鍵術(shù)語定義（重要）GDPR會(huì)影響哪些企業(yè)（重要）GDPR不適用于哪些情況GDPR約束了哪些數(shù)據(jù)（重要）G

2、DPR中數(shù)據(jù)主體的權(quán)利（重要）GDPR中處理個(gè)人數(shù)據(jù)的基本原則（重要）GDPR中對(duì)合法處理數(shù)據(jù)的定義GDPR中針對(duì)兒童數(shù)據(jù)的處理規(guī)定GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)（重要）GDPR中針對(duì)特別類型個(gè)人數(shù)據(jù)的處理規(guī)定GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）GDPR中關(guān)于個(gè)人數(shù)據(jù)泄露通知的規(guī)定（重要）GDPR中關(guān)于設(shè)立數(shù)據(jù)保護(hù)官的規(guī)定GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）總結(jié)什么是GDPR2016年4月14日，歐洲議會(huì)投票通過了商討四年的一般數(shù)據(jù)保護(hù)法案GeneralDataProtectionRegulation（GDPR）,新法案由11章共

3、99條組成，該法案將于2018年5月25日正式生效，將取代現(xiàn)有的數(shù)據(jù)保護(hù)指示（DataProtectionDirective95/46/EC），統(tǒng)一歐盟成員國關(guān)于數(shù)據(jù)保護(hù)的法律法規(guī)。此外，GDPR新規(guī)是在28個(gè)歐盟成員國統(tǒng)一實(shí)施生效的，這將使28個(gè)歐盟及歐洲經(jīng)濟(jì)共同體成員國的隱私保護(hù)法更具有一致性和現(xiàn)代性。GDPR作為一套用來保護(hù)歐盟公民個(gè)人隱私和數(shù)據(jù)的新法規(guī)，其頒布意味著歐盟對(duì)個(gè)人信息的保護(hù)及監(jiān)管達(dá)到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案GDPR的發(fā)展歷程大事件記20仃年2月1013年5月20121月2016年4月20帕年8月議止對(duì)主導(dǎo)監(jiān)GDPR將于2016歐洲議發(fā)提出改芟必盟歐洲議

4、去通過K通用個(gè)盟網(wǎng)紹與信息管機(jī)構(gòu)指南提年明25日全面數(shù)據(jù)保護(hù)法或數(shù)據(jù)煤護(hù)條例3安全指令主效出意見施行201512月SOW年5月201612月120174月歐洲諫妄一致同厲有關(guān)在執(zhí)注過翟中歟信微軟預(yù)實(shí)施最變揩南制定新的歐盟數(shù)公民享有數(shù)據(jù)保護(hù)(Microsoft)進(jìn)行評(píng)估.認(rèn)證搖保護(hù)注規(guī)枚的歐盟指令生對(duì)WindowlO效，GDPR啟用+歐收集的個(gè)人散（圖片來自網(wǎng)絡(luò)）GDPR的關(guān)鍵術(shù)語定義個(gè)人數(shù)據(jù)：是指任何指向一個(gè)已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）的信息。該可識(shí)別的自然人能夠被直接或間接地識(shí)別，尤其是通過參照諸如姓名、身份證號(hào)、定位數(shù)據(jù)、在線身份識(shí)別這列標(biāo)識(shí)，或者是通過參照針對(duì)該自然人一個(gè)或多個(gè)如物

5、理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的要素。處理：是指針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的任何一個(gè)或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲(chǔ)、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否釆用自動(dòng)化手段。匿名化：是一種使個(gè)人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體對(duì)待個(gè)人數(shù)據(jù)的處理方式。該處理方式將個(gè)人數(shù)據(jù)與其他額外信息分別存儲(chǔ)，并且使個(gè)人數(shù)據(jù)因技術(shù)和組織手段而無法指向一個(gè)可識(shí)別和已識(shí)別的自然人。數(shù)據(jù)控制者：能單獨(dú)或聯(lián)合決定個(gè)人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。數(shù)據(jù)處理者：是指為數(shù)據(jù)控制者處理個(gè)人

6、數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。數(shù)據(jù)接受者：只是接收到被傳遞的個(gè)人數(shù)據(jù)的主體，無論其是否是第三方的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。政府因在歐盟或其成員國法律框架內(nèi)特定調(diào)查接收到的個(gè)人數(shù)據(jù)，不得視為數(shù)據(jù)接受者”。個(gè)人數(shù)據(jù)外泄：是指個(gè)人數(shù)據(jù)在傳輸、存儲(chǔ)或進(jìn)行其他處理時(shí)的由安全問題引發(fā)的個(gè)人數(shù)據(jù)被意外或非法破壞、損失、變更、未經(jīng)授權(quán)披露或訪問。GDPR會(huì)影響哪些企業(yè)歐盟GDPR法案具有域外效應(yīng)。也就是說，GDPR賦予了歐盟在個(gè)人信息安全方面的域外管轄權(quán)。主要受影響的企業(yè)為以下四類:設(shè)立在歐盟境內(nèi)的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但向歐盟境內(nèi)的數(shù)據(jù)主體

7、（自然人）提供產(chǎn)品和服務(wù)的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體（自然人）行為的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但在歐洲成員國法律適用的地方設(shè)立的企業(yè)（控制者、處理者）總結(jié)來說，GDPR不僅適用于位于歐盟境內(nèi)的企業(yè)組織機(jī)構(gòu)，也適用于位于歐盟以外的企業(yè)組織機(jī)構(gòu)，無論機(jī)構(gòu)所在地位于哪里，只要其向歐盟數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或者監(jiān)控相關(guān)行為，或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，都將受到GDPR法案的監(jiān)管。GDPR法案同樣適用于“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”。如果是數(shù)據(jù)處理者涉案，數(shù)據(jù)控制者也無法免除責(zé)任，GDPR規(guī)定控制者需要承擔(dān)更多的責(zé)任，以確保和數(shù)據(jù)

8、處理者之間的合同能夠嚴(yán)格遵守GDPR的規(guī)定。GDPR不適用于哪些情況GDPR更多的是監(jiān)管企業(yè)對(duì)數(shù)據(jù)的使用行為。以下4個(gè)方面的數(shù)據(jù)使用情況不適用于GDPR:為了預(yù)防、調(diào)查、偵查或起訴刑事犯罪，主管當(dāng)局為執(zhí)行刑事處罰目的而產(chǎn)生的數(shù)據(jù)處理行為基于國家安全目的而產(chǎn)生的數(shù)據(jù)處理行為自然人在純粹的個(gè)人或家庭活動(dòng)中產(chǎn)生的數(shù)據(jù)處理行為自然人在純粹的個(gè)人或家庭活動(dòng)中產(chǎn)生的數(shù)據(jù)處理行為歐盟法律規(guī)定范圍之外的活動(dòng)過程中產(chǎn)生的數(shù)據(jù)處理行為GDPR約束了哪些數(shù)據(jù)個(gè)人數(shù)據(jù)：可以通過某個(gè)標(biāo)識(shí)直接或間接識(shí)別某一自然人的信息。不管是釆用自動(dòng)化手段還是人工進(jìn)行歸類的數(shù)據(jù)，包括按時(shí)間順序排列的包含個(gè)人數(shù)據(jù)的記錄集合。已經(jīng)被匿名化的

9、個(gè)人數(shù)據(jù)，取決于用已有標(biāo)識(shí)來識(shí)別特定個(gè)體的困難程度。敏感個(gè)人數(shù)據(jù)：也被稱為“特殊種類的個(gè)人數(shù)據(jù)”。包括揭示種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的個(gè)人數(shù)據(jù)。包括遺傳數(shù)據(jù)和經(jīng)過處理可以唯一識(shí)別個(gè)體的生物特征數(shù)據(jù)。不包括涉及刑事定罪和罪行的個(gè)人數(shù)據(jù)，但該類數(shù)據(jù)的處理和保存有特殊要求。GDPR中數(shù)據(jù)主體的權(quán)利（第三章）知情權(quán)訪問權(quán)反對(duì)權(quán)可攜帶權(quán)糾正權(quán)刪除權(quán)/被遺忘權(quán)限制處理權(quán)免受數(shù)據(jù)畫像影響GDPR中處理個(gè)人數(shù)據(jù)的基本原則丨合法、正當(dāng)、透明處理數(shù)據(jù)的目的是有限的僅處理為達(dá)到目的的最少數(shù)據(jù)確保數(shù)據(jù)準(zhǔn)確、及時(shí)更新存儲(chǔ)數(shù)據(jù)的期限不得長于為達(dá)到目的所需要的時(shí)間釆取技術(shù)和管理措施以保護(hù)數(shù)據(jù)的安全數(shù)

10、據(jù)控制者有責(zé)任并應(yīng)能夠證明做到了以上幾點(diǎn)GDPR中對(duì)合法處理數(shù)據(jù)的定義至少滿足一下中的某一項(xiàng)，處理數(shù)據(jù)才是合法的數(shù)據(jù)主體同意為了特定目的處理其數(shù)據(jù)處理數(shù)據(jù)是為了簽訂或履行合同的需要處理數(shù)據(jù)是為了遵守法定義務(wù)的需要處理數(shù)據(jù)是為了保護(hù)數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益處理數(shù)據(jù)是為了公共利益或形式政府授受的權(quán)力處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益，但不得損害數(shù)據(jù)主體的利益GDPR中針對(duì)兒童數(shù)據(jù)的處理規(guī)定處理16歲以下兒童的個(gè)人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國可以對(duì)上述年齡進(jìn)行調(diào)整，但是不得低于13歲GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)設(shè)置DPO（數(shù)據(jù)保護(hù)官）文檔化管理數(shù)據(jù)

11、保護(hù)影響評(píng)估事先咨詢機(jī)制數(shù)據(jù)泄露報(bào)告機(jī)制安全保障措施遵守?cái)?shù)據(jù)跨境轉(zhuǎn)移規(guī)則GDPR中針對(duì)特別類型個(gè)人數(shù)據(jù)的處理規(guī)定禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教和哲學(xué)信仰、是否是工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、或涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù)，如已獲得個(gè)人的明示同意，或數(shù)據(jù)控制者因處理勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要并在法律允許的范圍內(nèi)且已釆取了適當(dāng)?shù)谋Ｗo(hù)手段等。GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）當(dāng)個(gè)人數(shù)據(jù)已和收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當(dāng)理由保存該數(shù)據(jù)時(shí)，數(shù)據(jù)主體可以隨時(shí)要求收集其數(shù)據(jù)的企業(yè)或個(gè)

12、人刪除其個(gè)人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給了任何第三方（或第三方網(wǎng)站），數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)。GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù)，也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)移至另一個(gè)數(shù)據(jù)控制者。GDPR中關(guān)于個(gè)人數(shù)據(jù)泄露通知的規(guī)定（重要）數(shù)據(jù)控制者應(yīng)在72小時(shí)之內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)的泄露情況。當(dāng)數(shù)據(jù)泄露可能會(huì)給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者必須毫不延誤的通知數(shù)據(jù)主體，以便數(shù)據(jù)主體及時(shí)釆取措施。GDPR中關(guān)于設(shè)立數(shù)據(jù)保護(hù)官的規(guī)定為確保數(shù)據(jù)保護(hù)合規(guī)并處理數(shù)據(jù)保護(hù)相關(guān)事務(wù)，數(shù)據(jù)控制者和數(shù)據(jù)處理者需設(shè)置數(shù)據(jù)保護(hù)官DPO）?？刂普吆吞幚碚邞?yīng)當(dāng)對(duì)數(shù)據(jù)保護(hù)官不下

13、達(dá)任何指令，DPO不能因?yàn)閳?zhí)行任務(wù)的原因被解雇或者受到刑事處罰。數(shù)據(jù)保護(hù)官直接向最高管理者報(bào)告工作。根據(jù)聯(lián)盟法律或者成員國法律規(guī)定，數(shù)據(jù)保護(hù)官應(yīng)當(dāng)對(duì)其執(zhí)行任務(wù)的內(nèi)容進(jìn)行保密。數(shù)據(jù)保護(hù)官也可以執(zhí)行其他任務(wù)，履行其他職責(zé)。GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）不遵守信的數(shù)據(jù)隱私法規(guī)的后果就是會(huì)受到嚴(yán)厲的制裁和巨額的罰款。GDPR的處罰并不是像網(wǎng)上傳的那樣直接就罰全球營收的4%。而是有兩個(gè)等級(jí)的征收行政性罰款的規(guī)定：對(duì)于一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的2%（兩者中取數(shù)額大者）；2%（兩者中取數(shù)額大者）對(duì)于嚴(yán)重的違法，罰款上限是200

14、0萬歐元，或者在承諾的情況下，最高為上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的4%（兩者中取數(shù)額大者）；判罰的嚴(yán)重程度是基于以下因素：l違規(guī)的性質(zhì)、嚴(yán)重程度和違規(guī)的持續(xù)時(shí)間違規(guī)是故意的還是因疏忽造成的對(duì)個(gè)人身份信息的責(zé)任心和控制程度違規(guī)是單個(gè)事件還是重復(fù)事件受到影響的個(gè)人資料的種類范圍數(shù)據(jù)主體遭遇的損害程度為了減輕損害而釆取的行動(dòng)由違規(guī)產(chǎn)生的財(cái)務(wù)預(yù)期或收益GDPR核心旨在保護(hù)隱私數(shù)據(jù)，并通過法案約束來建立企業(yè)和公民之間的信任關(guān)系，違反GDPR的代價(jià)遠(yuǎn)不止財(cái)務(wù)層面，還將給企業(yè)聲譽(yù)造成極大破壞，并且導(dǎo)致企業(yè)和消費(fèi)者之間產(chǎn)生信任危機(jī)總結(jié)由于青蓮云所在的物聯(lián)網(wǎng)行業(yè)也處于GDPR法案的約束之中，故此整理出法案中的重點(diǎn)思想與業(yè)界分享。GDPR此次改革以保護(hù)公民的基本權(quán)利