一、法规背景
GDPR(General Data Protection Regulation,通用数据保护条例),法规编号(EU)2016/679,是欧盟于2016年4月27日通过、2018年5月25日正式施行的个人数据保护基础性法规。该条例取代了此前施行逾20年的《数据保护指令》(Directive 95/46/EC),统一了欧盟各成员国的数据保护标准。
GDPR的立法目标包含两个维度:保护自然人的基本权利与自由,特别是个人数据保护权;促进个人数据在欧盟内部的自由流动,消除各成员国之间因数据保护标准差异形成的贸易壁垒。
二、适用范围
GDPR采用"属地+属人"的双重管辖原则,其适用范围不限于在欧盟境内设立的企业。
| 管辖原则 | 适用情形 | 法规依据 |
|---|---|---|
| 设立地原则 | 在欧盟境内设有机构,且数据处理发生在该机构活动范围内 | 第3(1)条 |
| 目标指向原则 | 不在欧盟设立,但面向欧盟数据主体提供商品或服务(无论是否收费) | 第3(2)(a)条 |
| 监控行为原则 | 不在欧盟设立,但对发生在欧盟境内的数据主体行为进行远程监控 | 第3(2)(b)条 |
说明:即使企业在欧盟境外运营,若面向欧盟数据主体提供服务或收集其行为数据(如网站分析、行为画像),同样受GDPR管辖。这一设计使GDPR成为具有事实性域外效力的法规。
三、核心概念
3.1 个人数据的分类
根据GDPR第4(1)条,个人数据是指与已识别或可识别的自然人(数据主体)相关的任何信息。可识别的自然人是指可以通过姓名、身份证号、位置数据、在线标识符等直接或间接识别身份的个体。
| 数据类别 | 定义 | 法规依据 | 处理原则 |
|---|---|---|---|
| 一般个人数据 | 姓名、地址、邮箱、IP地址、Cookie标识等 | 第4(1)条 | 满足第6条任一法律依据即可处理 |
| 特殊类别数据 | 种族、宗教信仰、基因数据、生物识别数据、健康数据、性生活/性取向数据 | 第9条 | 原则上禁止处理,仅限特定豁免情形 |
| 刑事定罪数据 | 与刑事定罪和犯罪相关的个人数据 | 第10条 | 仅官方机构或受权机构可处理 |
特殊类别数据的豁免情形包括:数据主体明示同意、保护数据主体或他人重大利益、数据主体已使其数据公开、出于重大公共利益等(第9(2)条)。
3.2 数据处理的六项法律依据
GDPR第6条规定了数据处理合法性的六项依据,任何处理活动须至少满足其中一项:
| 编号 | 法律依据 | 典型适用场景 | 限制条件 |
|---|---|---|---|
| a | 数据主体同意 | 营销邮件订阅、Cookie追踪 | 同意须自由作出、具体、明确、可撤回 |
| b | 合同履行必需 | 订单配送需处理收货地址 | 限于合同必需范围 |
| c | 法定义务 | 雇主依法代扣税款 | 须依据欧盟或成员国法律 |
| d | 保护重大利益 | 紧急救护中处理健康数据 | 限于数据主体无法表示同意时 |
| e | 公共利益 | 政府统计部门人口普查 | 须有法律基础并遵循比例原则 |
| f | 正当利益 | 企业内部网络安全防护 | 须经必要性测试,不损害数据主体权利 |
四、数据主体权利
GDPR赋予数据主体八项核心权利,构成数据保护的主体框架。以下对照法规条款梳理各项权利的内容与响应要求。
| 权利名称 | 核心内容 | 响应时限 | 法规依据 |
|---|---|---|---|
| 知情权 | 数据收集时获知处理目的、依据、保存期限等信息 | 收集时 | 第13–14条 |
| 访问权 | 确认其数据是否被处理,并获取数据副本 | 1个月内 | 第15条 |
| 更正权 | 要求更正不准确的个人数据 | 1个月内 | 第16条 |
| 删除权(被遗忘权) | 要求删除其个人数据 | 1个月内 | 第17条 |
| 限制处理权 | 在特定情形下限制数据处理活动 | 1个月内 | 第18条 |
| 数据可携带权 | 以结构化通用格式获取数据并转移至其他控制者 | 1个月内 | 第20条 |
| 反对权 | 反对基于正当利益或直接营销的数据处理 | 收到后停止处理 | 第21条 |
| 免于自动化决策权 | 不受仅基于自动化处理(含画像)的决策约束 | 视具体情况 | 第22条 |
响应时限说明:控制者收到请求后须在一个月内予以响应。必要时可延长两个月,但须在一个月内向数据主体说明延期理由。上述时限自控制者收到请求之日起计算。
五、数据控制者与处理者义务
5.1 基本义务清单
| 义务类型 | 具体要求 | 法规依据 |
|---|---|---|
| 透明度义务 | 以清晰、简明的语言提供隐私政策 | 第12条 |
| 目的限制 | 仅用于收集时声明的明确目的 | 第5(1)(b)条 |
| 数据最小化 | 仅收集实现目的所必需的最少数据 | 第5(1)©条 |
| 准确性 | 确保数据准确并及时更正 | 第5(1)(d)条 |
| 存储限制 | 设定合理的数据保存期限 | 第5(1)(e)条 |
| 安全保障 | 采取适当的技术和组织措施(如加密、 pseudonymization) | 第32条 |
| 数据泄露通知 | 知悉后72小时内向监管机构报告 | 第33条 |
| 数据保护影响评估(DPIA) | 高风险处理活动前进行评估 | 第35条 |
| 记录处理活动 | 维护处理活动记录 | 第30条 |
5.2 数据保护官(DPO)
GDPR第37条规定了须任命数据保护官(DPO,Data Protection Officer)的三类情形:
- 公共机构或机关进行大规模数据处理
- 核心活动涉及大规模定期系统化地监控数据主体
- 核心活动涉及大规模特殊类别数据或刑事定权数据处理
DPO的职责包括:向组织提供数据保护建议、监督GDPR合规、担任与监管机构联络的联系人。DPO须独立履行职责,控制者不得因履行职责而对其解雇或处罚(第38条)。
六、合规实践流程
以下流程图展示了企业GDPR合规评估的核心步骤:
数据主体权利请求的处理流程:
七、常见问题
Q1:企业在欧盟境外运营,是否受GDPR管辖?
若企业面向欧盟数据主体提供商品或服务,或对欧盟境内用户行为进行远程监控(如网站分析、行为画像),则适用GDPR第3(2)条,即使企业没有任何欧盟境内的实体机构。判断"面向欧盟"的因素包括:使用欧盟语言或货币、域名使用.eu后缀、提供向欧盟的物流等。
Q2:Cookie是否属于个人数据?
GDPR序言第30段及第4(1)条明确,在线标识符(包括Cookie标识符、IP地址、RFID标签、设备指纹等)在可关联到特定自然人的情况下,属于个人数据。Cookie的设置须获得数据主体同意(依据ePrivacy指令与GDPR第6(1)(a)条)。
Q3:数据主体行使被遗忘权时,控制者是否必须删除所有相关数据?
并非所有情形都必须删除。GDPR第17(3)条设定了豁免事由,包括:言论自由行使、法定义务履行、公共健康利益、科学或历史研究目的、法律诉求的设立、行使或抗辩等。控制者须逐案评估删除请求是否存在合法保留事由。
Q4:DPIA在什么情况下是强制性的?
GDPR第35条规定,以下高风险处理活动须进行数据保护影响评估:大规模系统性画像、处理特殊类别数据或敏感数据的大规模处理、公共场所大规模监控、处理涉及个人健康数据的遗传数据等。欧盟各成员国监管机构可公开清单列明须进行DPIA的具体处理类型。
Q5:数据泄露后必须在多长时间内报告?
GDPR第33条规定,数据控制者在知悉数据泄露后,应在72小时内向主管监管机构报告。若未在72小时内报告,须在报告中说明延迟理由。此外,若泄露可能对数据主体权利与自由造成高风险,还须在合理时间内通知数据主体(第34条)。处理者知悉泄露后,须不得无故延迟地通知控制者。
Q6:GDPR与欧盟《数据法案》(Data Act)是什么关系?
GDPR聚焦于个人数据保护,规范的是个人数据的处理活动;而《数据法案》(EU Regulation 2023/2854)于2024年1月11日生效,聚焦于非个人数据(如物联网设备生成的数据)的共享与使用。二者在适用对象上互补,企业须同时关注两套法规的合规要求。
本文依据欧盟官方公报公布的(EU)2016/679法规原文及欧盟数据保护委员会(EDPB,European Data Protection Board)公开发布的指南文件整理。相关法规如有更新,以官方发布版本为准。