关于问题欧盟 GDPR 合规如何改变数据保护流程的常见问题?一共有 1 位热心网友为你解答:
【1】来自网友【嘉维律师事务所】的最佳回答:
01. 背景
在介绍 GDPR 前,首先要对欧盟的立法机制进行一个初步的介绍。欧盟作为一个拥有 27 个成员国的超国家政府组织,与立法有关的机构设着主要由三个关键部分组成,分别是欧盟委员会(EU Commission),欧州议会(EU parliament)以及欧盟理事会 (EU Council)。欧盟委员会有权力起草立法草案,也是法案的实际执行机构。欧州议会则是由民选代表组成的议会,类似于下议院,其有权向欧盟委员会提出立法建议。欧盟理事会则是由各个成员国政府任选的官员组成,类似于上议院,其也有权向欧盟委员会提出立法建议。当欧盟委员会起草立法草案后,将会将草案分别提交欧盟理事会和欧盟议会审议和修改。若欧盟理事会和欧洲议会通过该草案,则草案生效为正式的法律。在这一机制下,欧盟通过的法律分为三个种类,分别是必须由各个成员国强制执行的“条例”(Regulation),可以由成员国根据自身情况进行灵活适用的“指导”(Directive),以及仅针对特定事由或对象的“决定”(Decision)。而我们要讨论的 GDPR,其全称为 General Data Protection Regulation,顾名思义这是一个必须要在全欧盟成员国内都强制执行的“条例”,具有最高的立法地位和执行效力。
欧盟曾经于 1995 年通过了 95/46/EC 号指导以规制对个人信息的保护,而生效于 2018 年的 GDPR 则完全替代了 95/46/EC 号指导,成为了迄今为止在全球范围内规定内容最广泛细致,立法技术最完善的一部个人数据保护法律文件。GDPR 不仅在欧洲,在全世界范围内都有着非常大的影响力,这既是因为其先进的立法技术正在被全世界的其他国家和地区借鉴,更是因为其强大的域外效力让大多数业务涉及欧洲市场的商业和非商业主体都不得不正视这部立法的存在并遵守之。
02. GDPR 的适用范围
根据传统而言数据保护法在历史上主要适用于地理位置位于欧盟的组织。然而,GDPR 相比之前的立法有着更广泛的适用性。该条例第 3 条实际上规定,该法律适用于在欧盟(包括欧洲经济区(EEA)的国家)对个人有数据保护后果的任何活动。在这一规定下,其所适用范围主要包含四重理解:
❐1、在欧盟境内有实体存在的个人数据控制人和个人数据处理人处理数据的行为,不论该处理行为本身是否发生在欧盟境内;
❐2、对身在欧盟的个人的个人数据进行处理的行为,不论人数据控制人和个人数据处理人是否在欧盟境内;
❐3、对向欧盟境内的个人出售货物或提供服务的,不论这些服务行为是否收费;
❐4、对在欧盟境内的个人行为进行监控和追踪活动,包括根据用户行为进行广告推荐。
另外还需要注意到,以上这四重理解中的“在欧盟境内”,不仅包含实际在欧盟领土范围内,也包括在法律上属于欧盟的领土,这就让位于非欧盟境内的成员国大使馆等也变成了 GDPR 中“在欧盟境内”的范围,因此在使领馆内的数据处理也要遵守 GDPR 的规定。
03. 对 GDPR 部分术语的理解
❐(1)个人数据
在 GDPR 下,个人数据是指与已识别或可识别的自然人有关的任何信息。可识别的自然人是“可以直接或间接地识别的人,特别是通过引用标识符来识别的人”。在这一定义下,若一个自然人有可能被识别,那么即便关于这个自然人的某些信息不能直接将这个自然人识别,这些信息也都构成个人信息。例如姓名、识别号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素皆可以构成个人数据,甚至包括位置信息,个人编好和网络 cookie。因此,个人信息的范围实际上是非常非常广泛的。
❐(2)数据处理
GDPR 第 4 条规定:“对个人资料或一组个人资料进行的任何操作或一组操作,不论是否以自动方式进行,例如:收集、记录、组织、构造、储存、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供而披露、对齐或组合、限制、删除或销毁,皆构成数据处理”。这个处理的定义非常广泛,基本上,一个组织在数据的生命周期中对数据所能做的几乎所有事情,包括最初的获取和最终的销毁,以及两者之间的存储,或对信息的任何使用,都相当于处理,因当被纳入数据保护法律制度。值得注意的是,该定义扩展到仅存储信息的计算机硬盘驱动器,服务器,CD- Rom,或任何便携式存储设备,包括 U 盘。它还包括数据匹配、数据共享、数据挖掘和数据仓库等活动。
❐(3)归档系统
类似于适用于电子处理的个人数据,GDPR 适用于包含在某些手册(纸质)记录的信息。这样的基于纸张的记录通常必须构成“归档系统”的一部分。
❐(4)数据控制人
GDPR 第 4(7)条规定:“数据控制人是指单独或与他人共同决定处理个人数据的目的和方法的自然人或法人、公共当局、机构或其他机构”。一般来说,所有的个体贸易商、自营业主、合伙企业和公司将成为控制人,包括所有线上或线下实体企业 ,如银行、保险公司、律师事务所、超市、博彩商店、眼镜商、 牙医、医疗实践、互联网搜索引擎、制药公司、 电信企业(包括互联网服务提供商(‘ ISPs ‘))、 和建筑公司等。此外,非法人协会也会成为控制人, 以及学校、地方当局、警察部队、消防部门、医院、政府部门等。需要注意的是,数据控制人还必须区别于数据处理人,后者是一个实体 ,代表控制人处理个人数据。
❐(5)数据处理人
GDPR 第 4(8)条规定:“数据处理人是代表数据控制人处理个人数据的自然人或法人、公共机关、机构或任何其他机构。” 数据控制人经常使用第三方公司来处理他们的数据,因为这样可以节省时间和成本。只要第三方仅仅执行控制人的指令,而本身不决定处理数据的目的或方法,那么它就是数据处理人,反之,那数据处理者可能就会被划为数据控制人。
❐(6)特殊类别个人数据
特殊类型的个人数据一般是一些敏感数据,根据 GDPR 第 9(1)条规定,数据控制人不能处理特殊类别数据,除非满足 GDPR 第 9(2)条的规定。特殊类别个人数据包括:1 种族或族裔来源;2 政治观点;3 宗教或哲学信仰;4 是否为工会成员; 5 遗传数据(用于确定一个独特的人); 6 生物特征数据(用于确定一个独特的人);7 关于健康的数据;8 自然人的性生活或性取向的数据。
❐(7)主要经营所在地
对于在欧盟拥有一个以上机构的组织,GDPR 引入了“主要机构”的概念(第 4(16)条)。主要机构的位置 决定了哪个国家数据保护监管机构将监管该组织。一般来讲总部的位置是一个组织的主要经营所在地,除非其决策主要出自另一个经营地。如果控制者或处理者位于欧盟以外,它必须在数据主体(提供商品或服务,或行为被监控)所在的欧盟成员国指定一名代表(在某些例外情况下可以不用),代表控制者或处理者,并与监管当局和这些数据主体打交道。
❐(8)假名化
假名化是指处理个人数据,使数据在没有使用额外的信息的情况下不能不再归因于一个特定的数据主体,这些额外的信息需要单独保存,并受技术和组织措施的约束,以确保个人不被识别或使可识别。但需要注意的是,与匿名化数据不同,被假名化的个人数据仍然是个人数据,但假名化数据所受的约束相对于普通个人数据略少。
