欧盟一般数据保护条例

《一般数据保护条例》（General Data Protection Regulation，简称GDPR）

欧盟；2018年5月25日生效

一般数据保护条例

第一章一般条款

第二章原则

第三章数据主体的权利

第四章控制者和处理者

第五章将个人数据转移到第三国或国际组织

第六章独立监管机构

第七章合作与一致性

第八章救济、责任与惩罚

第九章和特定处理情形相关的条款

第十章授权法案与实施性法案

第一章一般条款

第1条主要事项与目标

1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围

1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：

(a)欧盟法管辖之外的活动中所进行的个人数据处理；

(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；

(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；

(d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条地域范围

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第4条定义

就本条例而言：

(1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。

(3)“限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。

(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。

(5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。

(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体；如果此类处理的方式是由欧盟或成员国的法律决定的，那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。

(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。

(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否为第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。

(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。

(11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。

(12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。

(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些数据可以提供自然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。

(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。

(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据，包括和卫生保健服务相关的服务。

(16)“主要营业机构”指的是：

(a)如果控制者在不止一个成员国内有多处营业机构，那么其在欧盟的管理中心所在地是主要营业机构，除非个人数据处理的目的与方式是由控制者的另一个机构决定的，并且这一机构有权实施此决定，在这种情况下，做出此类决定的机构应当被认为是主要营业机构；

(b)如果处理者在不止一个成员国内具有多处机构，那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心，那么在处理者需要遵守本条例所规定的特殊责任的前提下，其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。

(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任，代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。

(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人，包括经常进行经济活动的合伙企业或协会；

(19)“企业集团”的含义是控股企业和被控股企业；

(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者，为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者，所遵循的个人数据保护政策。

(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。

(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构：

(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的；

(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响；或者

(c)该监管机构已经收到一项申诉；

(23)“跨境处理”指的是：

(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者

(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主体具有实质性影响。

(24)“相关和合理的异议”指的是对是否存在违反本条例的情形，或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明，这种初步设想的决定会对数据主体的基本权利和自由，以及在某些情形下对欧盟的个人数据的自由流通会带来风险。

(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第1（1）条（b）点所定义的服务。

(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第二章原则

第5条个人数据处理原则

1．对于个人数据，应遵循下列规定：

(a)对涉及到数据主体的个人数据，应当以合法的、合理的和透明的方式来进行处理（“合法性、合理性和透明性”）；

(b)个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。根据第89（1）条，因为公共利益、科学或历史研究或统计目的而进一步处理数据，不视为违反初始目的（“目的限制”）；

(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的（“数据最小化”）；

(d)个人数据应当是准确的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人数据，即违反初始目的的个人数据，及时得到擦除或更正（“准确性”）；

(e)对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间；超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施。（“限期储存”）；

(f) 处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失（“数据的完整性与保密性”）。

2．控制者有责任遵守以上第1段，并且有责任对此提供证明。（“可问责性”）。

第6条处理的合法性

1．只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理：

(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理；

(b)处理对于完成某项数据主体所参与的契约是必要的，或者在签订契约前基于数据主体的请求而进行的处理；

(c) 处理是控制商履行其法定义务所必需的；

(d)处理对于保护数据主体或另一个自然人的核心利益所必要的；

(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的；

(f)处理对于控制者或第三方所追求的正当利益是必要的，这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由，特别是儿童的优先性利益或基本权利与自由。

第1段（f）点不适用公共机构在履行其任务时的处理。

2．对于第1段（c）和（e）所规定的处理，成员国可以维持或新制定更多具体条款，以适应本条例规则的适用，成员国为了确保合法与合理处理，可以制定更为明确的规定，包括第9章所规定的其他特定的处理情形。

3．第1段（c）和（e）所规定的处理的基准应当通过如下法律进行规定：

(a)欧盟法；或者

(b)控制者所属的成员国的法律。

处理的目的应当在此法律基准上进行确定，而对于第1段（e）所规定的处理，处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款，以适应对本条例规则的适用：对控制者处理的合法性进行监控的一般条件；可以被处理的数据类型；相关数据主体；个人数据公开的目的，以及其可能被公开给的对象；目的限定；储存期限；包括第9章所规定

的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标，且应当与实现正当目的成比例。

4．若处理是出于收集个人数据以外的其他目的，如果该目的未经数据主体同意或并非是基于联盟或成员国的法律（在一个民主社会中，若要实现第23（1）条中的目的，法律是必要且合适的），那么为确保该目的与初始目相容，控制商应当考虑以下因素，但不限于以下因素：

(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性；

(b)个人数据收集时的语境，特别是数据主体与控制者之间的关系；

(c)个人数据的性质，特别是某些特定类型的个人数据是否符合第9条的规定，或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定；

(d) 数据主体计划进一步处理可能造成的结果；

(e)是否具有加密与匿名化措施等恰当保护措施；

第7条同意的条件

1．当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。

2．如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的，请求获得同意应当完全区别于其他事项，并且应当以一种容易理解的形式，使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。

3．数据主体应当有权随时撤回其同意。在撤回之前，对于基于同意的处理，其合法性不受影响。在数据主体表达同意之前，数据主体应当被告知这点。撤回同意应当和表达同意一样简单。

4．分析同意是否是自由做出的，应当最大限度地考虑一点是：对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。

第8条信息社会服务中适用儿童同意的条件

1．在第6（1）条（a）适用的情形下，对于为儿童直接提供信息社会服务的请求，当儿童年满16周岁，对儿童个人数据的处理是合法的。当儿童不满16周岁，只有当对儿童具有父母监护责任的主体同意或授权，此类处理才是合法的。

2．对于年满13周岁的情形，成员国的法律可以降低年龄要求。

3．控制者应当采取合理的努力，结合技术可行性，确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。

第1段不应影响成员国的一般合同法，例如关于儿童的合同有效性、形成与效力的规则。

第9条对特殊类型个人数据的处理

1．对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理。

2．如果具有如下条件之一，第1段将不适用：

(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据，但依照欧盟或成员国的法律规定，数据主体无权解除第1段中所规定的禁令的除外；

(b)处理对于控制者履行责任以及行使其特定权利是必要的，或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的；

(c)数据主体因为身体原因或法律原因而无法表达同意，但处理对于保护数据主体或另一自然人的核心利益却是必要的；

(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理，并且已经采取了恰当的保护措施；或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关，并且个人数据在未经数据主体同意前不对实体外的人公开；

(e)对数据主体已经明显公开的相关个人数据的处理；

(f)当处理对于提起、行使或辩护法律性主张必要时，或者法院在其所有的司法活动中所进行的处理；

(g)处理对实现实质性的公共利益必要的，建立在欧盟或成员国的法律基准之上、对实现目标是相称的，尊重数据保护权的核心要素，并且为数据主体的基本权利和利益提供合适和特定的保护措施；

(h)处理对于预防性医学或临床医学目的是必要的，或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律，或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的；

(i)在公共健康领域，处理是为了实现公共利益所必要的，例如，在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上，处理对于预防严重的跨境健康威胁是必要的，或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的；或者

(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的，处理采取了与其期望目的所相称的处理，尊重数据保护权的核心要素，并且对数据主体的基本权利与利益采取了合适与特定的措施。

3．根据欧盟或成员国的有权机构所制定的法律或规则而具有保守职业性秘密责任的职业主体，或者根据欧盟或成员国的有权机构所制定的法律或规则而具有保守秘密责任的自然人，可以为了第2段（h）点所规定的目的而处理第1段所规定的个人数据。

4．对于基因数据、生物性识别数据或健康相关数据的处理，成员国可以维持原有规定，或者作出新的规定，包括对处理基因数据、生物性识别数据或健康相关数据进行限定。

第10条处理涉及犯罪定罪与违法的个人数据

处理和犯罪定罪与违法相关的个人数据，或处理第6（1）条规定的与安全措施相关的个人数据，只有如下情形才能被允许：当个人数据处理为官方机构控制，或者当欧盟或成员国的法律授权进行处理，并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪定罪的全面性登记只能由官方机构进行。

第11条不需要识别的处理

1．如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别，控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。

2．对于第1段所规定的情形，如果控制者能够证明其不适合识别数据主体，如有可能，数据控制者应当告知数据主体。在此类情形下，除非数据主体为了行使第15至20条所规定的权利，需要提供额外信息而使得对其识别变得可能，第15至20条将不应适用。

第三章数据主体的权利

第一部分透明性与模式

第12条信息、交流与模式的透明性——保证数据主体权利的行使

1．对于和个人信息处理相关的第13和第14条规定的所有信息、或者第15条至22条以及34条所规定的所有交流，控制者应当以一种简洁、透明、易懂和容易获取的形式，以清晰和平白的语言来提供；对于针对儿童的所有信息，尤其应当如此。信息应当以书面形式或其他形式提供，包括在合适的情况下通过电子方式提供。若数据主体的身份可通过其他途径得到证实，那么控制者可依主体申请以口头方式提供相关信息。

2．控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第11（2）条所规定的情形，当数据主体请求其行使第15至22条的权利，控制者不应拒绝，除非控制者能够证明其并不适宜识别数据主体。

3．在数据主体根据第15至22条的规定提出请求后，控制者应当提供信息，不应无故拖延，在任何情形下应当在收到请求后一个月内提供信息。在必要的情形下，考虑到请求的复杂性和多样性，这个期限可以再延长两个月。如果有此类延长，控制者应当在收到请求的一个月内将此类延长以及延长原因告知数据主体。当数据主体以电子形式做出请求，在可行的情况下，对信息的提供也应当以电子形式提供，除非数据主体有不同请求。

4．如果控制者没有采取相应的行动对数据主体的请求做出回应，那么应当及时告知该数据主体其在收到请求后一个月内未能采取行动的具体原因，同时可向监管机构提出申诉，寻求司法救济。

5．第13和第14条所规定的信息以及第15至22条和34条所规定的所有交流与行为都应当是免费的。当数据主体的请求明显不具备正当理由或超过必要限度，特别是当请求是重复性的时候，控制者可以：

(a)结合提供信息、交流或相应行动的行政花费，收取一定的合理费用；或者

(b)拒绝对请求作出行动。

控制者有责任证明数据主体的请求明显是毫无根据的或过分的。

6．在不影响第11条的前提下，控制者可以对第15至21条中提出要求的自然人的身份有合理怀疑，要求数据主体提供必要的额外信息以确认数据主体的身份。

7．根据第13条和14条提供给数据主体的信息可以和标准化的图标一起提供，以便于数据主体以一种一目了然的、易懂的和清晰的方式对计划的数据处理有全盘理解。当图标以电子化的方式提供，它们必须是机器可读的。

8．对于确定图标所提供的信息以及提供标准化图标的程序，欧盟理事会将有权根据第92条制定授权行动。

第二部分信息与对个人数据的访问

第13条收集数据主体个人数据时应当提供的信息

1．当收集和数据主体相关的个人数据时，控制者应当为数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)数据保护官的详细联系方式，如果适用的话；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)当处理是基于（f）点或第6（1）条的时候，控制者或第三方的正当利益；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实，或者，在第46或47条或者第49（1）条的第二小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息：

(a)个人数据将被储存的期限，以及确定此期限的标准；

(b)数据主体所拥有的权利：可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理的权利；数据携带权；

(c)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(d)向监管机构进行申诉的权利；

(e)提供个人数据是一项制定法还是合同法的要求，是否对于缔结一项契约是必要的，数据主体是否有责任提供个人数据，以及没有提供此类数据会造成的可能后果。

(f)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

3．若控制者进一步处理个人信息的目的与收集个人信息的目的不一致，那么，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2段所规定的相关进一步信息。

4．在数据主体已经拥有信息的情况下，第1，2，3段不应当适用。

第14条未获得数据主体个人数据的情形下，应当提供的信息

1．当个人数据还没有从数据主体那里收集，控制者应当向数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)如果适用的话，数据保护官的详细联系方式；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)相关个人数据的类型；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定，或者，在第46或47条或者第49（1）条的第二

小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息：

(a)个人数据将被储存的期限，或者如果不可能的话，用来确定此期限的标准；

(b)当处理是根据第6（1）条（f）点而进行的，控制者或第三方所追求的正当利益；

(c)数据主体存在如下权利，可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理，数据携带权；

(d)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(e)向监管机构进行申诉的权利；

(f)个人数据的来源，以及如果适用的话，其来源是否可以是公开性的资源；

(g)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

3．控制者应当按如下方式提供第1段和第2段所规定的信息：

(a)应当在获得个人数据后的一段合理期限内提供信息，如果考虑到个人数据处理的特定情形，应当至少在一个月以内；

(b)如果个人数据是被用来和数据主体进行沟通的，最晚应当在其和数据主体进行第一次沟通时提供信息；

(c)如果个人数据将被计划披露给另一个接收者，那么最晚应当在个人数据被第一次披露时提供信息。

4．当控制者因为与收集个人信息时不一致的目的进一步处理个人信息，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2段所规定的相关进一步信息。

5．在如下情形中，第1至4段不适用：

(a)数据主体已经拥有信息；

(b)此类信息的提供是不可能的，或者说需要付出某种不相称的工作，在如下情形中尤其不适用：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施；或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中，控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益，包括使得信息可以公开获取；

(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律，并且已经对保护数据主体的正当利益制定了恰当的措施；

(d)当个人数据必须保密，必须遵守欧盟或成员国法律所规定的职业秘密责任，包括制定法上的保守秘密责任。

第15条数据主体的访问权

1．数据主体应当有权从控制者那里得知，关于其的个人数据是否正在被处理，如果正在被处理的话，其应当有权访问个人数据和获知如下信息：

(a)处理的目的；

(b)相关个人数据的类型；

(c)个人数据已经被或将被披露给接收者或接收者的类型，特别是当接收者属于第三国或国际组织时；

(d)在可能的情形下，个人数据将被储存的预期期限，或者如果不可能的话，确定此期限的标准；

(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利；

(f)向监管机构进行申诉的权利；

(g)当个人数据不是从数据主体那里收集的，关于来源的任何信息；

(h)存在自动化的决策，包括第22（1）和（4）条所规定的数据分析，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

2．当个人数据被转移到第三国或一个国际组织，数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。

3．控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份，控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求，且除非数据主体有其他请求，信息应当以通常使用的电子形式提供。

4．获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。

第三部分更正与擦除

第16条更正权

数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下，数据主体应当有权完善不充分的个人数据，包括通过提供额外声明的方式来进行完善。

第17条擦除权（“被遗忘权”）

1．数据主体有权要求控制者擦除关于其个人数据的权利，当具有如下情形之一时，控制者有责任及时擦除个人数据：

(a)个人数据对于实现其被收集或处理的相关目的不再必要；

(b)处理是根据第6（1）条（a）点，或者第9（2）条（a）点而进行的，并且没有处理的其他法律根据，数据主体撤回在此类处理中的同意；

(c)数据主体反对根据第21（1）条进行的处理，并且没有压倒性的正当理由可以进行处理，或者数据主体反对根据第21（2）条进行的处理；

(d)已经存在非法的个人数据处理；

(e)为了履行欧盟或成员国法律为控制者所设定的法律责任，个人数据需要被擦除；

(f)已经收集了第8（1）条所规定的和提供信息社会服务相关的个人人数据。

2．当控制者已经公开个人数据，并且负有第1段所规定的擦除个人数据的责任，控制者应当考虑可行技术与执行成本，采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们，数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。

3．当处理对于如下目的是必要的，第1和第2段将不适用：

(a)为了行使表达自由和信息自由的权利；

(b)控制者执行或者为了执行基于公共利益的某项任务，或者基于被授予的官方权威而履行某项任务，欧盟或成员国的法律要求进行处理，以便履行其法律职责；

(c)为了实现公共健康领域符合第9（2）条（h）和（i）点以及第9（3）条的公共利益而进行的处理；

(d)如果第1段所提到权利会受严重影响，或者会彻底阻碍实现第89(1)条的公共利益目的、科学或历史研究目的或统计目的；或者

(e)为了提起、行使或辩护法律性主张。

第18条限制处理权

1．当存在如下情形之一时，数据主体有权要求控制者对处理进行限制：

(a)数据主体对个人数据的准确性有争议，并给与控制者以一定的期限以核实个人数据的准确性；

(b)处理是非法的，并且数据主体反对擦除个人数据，要求对使用其个人数据进行限制；

(c)控制者不再需要个人数据以实现其处理的目的，但数据主体为了提起、行使或辩护法律性主张而需要该个人数据；

(d)数据主体根据第21（1）条的规定而反对处理，因其需要确定控制者的正当理由是否优先于数据主体的正当理由。

2．当处理受第1段的规定所限制，除了储存的情形，此类个人数据只有在如下情形中才能进行处理：获取了数据主体的同意，或者为了提起、行使或辩护法律

性主张，或者为了保护另一个自然人或法人的权利，或者为了欧盟或某个成员国的重要公共利益。

3．那些根据第1段规定已经获取了对处理进行限制的数据主体，在限制被解除前，控制者应当告知数据主体。

第19条关于更正或擦除或限制处理中的通知责任

对于所有根据第16、17（1）、18条而限制或擦除个人数据，或限制处理个人数据，控制者都应当将其告知个人数据已经被披露给的每个接收者——除非此类告知是不可能的，或者需要付出不相称的工作。如果数据主体提出要求，控制者应当将关于接收者的情形告知数据主体。

第20条数据携带权

1．当存在如下情形时，数据主体有权获得其提供给控制者的相关个人数据，且其获得个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者：

(a)处理是建立在第6（1）条（a）点或9（2）条（a）点所规定的同意，或者6（1）条所规定的合同的基础上的；

(b)处理是通过自动化方式的。

2．在行使第1段所规定的携带权时，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。

3．行使第1段所规定的权利，不能影响第17条的规定。对于控制者为了公共利益，或者为了行使其被授权的官方权威而进行的必要处理，这种权利不适用。

4．第1段所规定的权利不能对他人的权利或自由产生负面影响。

第四部分反对的权利和自动化的个人决策

第21条反对权

1．对于根据第6（1）条（e）或（f）点而进行的关乎数据主体的数据处理，包括根据这些条款而进行的用户画像，数据主体应当有权随时反对。此时，控制者须立即停止针对这部分个人数据的处理行为，除非控制者证明，相比数据主体的

利益、权利和自由，具有压倒性的正当理由需要进行处理，或者处理是为了提起、行使或辩护法律性主张。

2．当因为直接营销目的而处理个人数据，数据主体有权随时反对为了此类营销而处理相关个人数据，包括反对和此类直接营销相关的用户画像。

3．当数据主体反对为了直接营销目的而处理，将不能为了此类目的而处理个人数据。

4．至晚在和数据主体所进行的第一次沟通中，第1段和第2段所规定的权利应当让数据主体明确知晓，且应当与其他信息区分开来，清晰地告知数据主体。

5．在适用信息社会服务的语境中，尽管存在2002/58/EC指令的规定，数据主体仍可以使用技术性条件、通过自动化方式行使反对权。

6．当个人数据是为了第89（1）条所规定的科学目的或历史研究目的或统计目的，数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理，除非处理对于实现公共利益的某项任务是必要的。

第22条自动化的个人决策，包括用户画像

1．数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。

2．当决策存在如下情形时，第1段不适用：

(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；

(b)当决策是欧盟或成员国的法律所授权的，控制者是决策的主体，并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益；或者

(c)当决策建立在数据主体的明确同意基础之上。

3．在第2段所规定的（a）和（c）点的情形中，数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益，以及数据主体对控制者进行人工干涉，以便表达其观点和对决策进行异议的基本权利。

4．第2段所规定的决策的基础不适用于第9（1）条所规定的特定类型的个人数据，除非符合第9（2）条（a）点或（g）点的规定，并且已经采取了保护数据主体权利、自由与正当利益的措施。

第五部分限制

第23条限制

1．若控制者或处理者受欧盟法律或某成员国法律的调整，那么欧盟法律或该成员国法律可以通过立法手段限制第12至22条、34条以及第5条所赋予的责任范围与权利范围，只要其法律条款和第12至22条所赋予的责任与权利相对应。如果此类限制尊重基本权利与自由的核心要素，并且此类限制是实现如下民主社会中的目的所必要和成比例的措施，那么此类限制应当被允许：

(a)国家安全；

(b)国防；

(c)公共安全；

(d)预防、调查、侦查、起诉刑事违法进行或者执行刑法，包括保障公共安全和预防对公共安全的威胁；

(e)其他些欧盟或某个成员国的重要一般公共利益，特别是欧盟或某个成员国的经济或金融利益，包括财政、预算、税收事项、公共健康和社会安全；

(f)司法独立和司法诉讼的保护；

(g)为了规制性职业而预防、调查、保护和起诉违反伦理的行为；

(h)和行使（a）（b）（c）（d）（e）（g）点中所规定的官方权威相联系的某项监控、调查或规制功能；

(i)保护数据主体或其他人的权利和自由；

(j)实施民事法律主张。

2．需要特别注意的是，至少在涉及到如下情形时，任何第1段所规定的立法措施都应当包含特定条款，规定：

欧盟《通用数据保护条例》GDPR-精排版

欧盟《通用数据保护条例》(GDPR) 2018.5.25

第一章一般条款 (5) 第1条主要事项与目标 (5) 第2条适用范围 (5) 第3条地域范围 (5) 第4条定义 (6) 第二章原则 (8) 第5条个人数据处理原则 (8) 第6条处理的合法性 (9) 第7条同意的条件 (10) 第8条信息社会服务中适用儿童同意的条件 (11) 第9条对特殊类型个人数据的处理 (11) 第10条处理涉及犯罪定罪与违法的个人数据 (12) 第11条不需要识别的处理 (12) 第三章数据主体的权利 (13) 第一部分透明性与模式 (13) 第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13) 第二部分信息与对个人数据的访问 (14) 第13条收集数据主体个人数据时应当提供的信息 (14) 第14条未获得数据主体个人数据的情形下，应当提供的信息 (15) 第15条数据主体的访问权 (16) 第三部分更正与擦除 (17) 第16条更正权 (17) 第17条擦除权（“被遗忘权”） (17) 第18条限制处理权 (18) 第19条关于更正或擦除或限制处理中的通知责任 (18) 第20条数据携带权 (18) 第四部分反对的权利和自动化的个人决策 (19) 第21条反对权 (19) 第22条自动化的个人决策，包括用户画像 (19) 第五部分限制 (20) 第23条限制 (20) 第四章控制者和处理者 (21) 第一部分一般性责任 (21) 第24条控制者的责任 (21) 第25条通过设计的数据保护和默认的数据保护 (21) 第26条共同控制者 (21) 第27条不在欧盟所设立的控制者或处理者的代表 (22) 第28条处理者 (22) 第29条代表控制者或处理者进行的处理 (24) 第30条处理活动的记录 (24) 第31条和监管机构的合作 (25) 第二部分个人数据的安全 (25)

欧盟《通用数据保护条例》合规指南

欧盟《通用数据保护条例》合规指南 E安全 E安全5月29日讯欧盟《通用数据保护条列》（简称GDPR）于2018年5月25日正式生效。英国一份政府调研显示，只有38%的英国公司在GDPR 生效前100天才开始关注该条例，许多美国公司也一样。 按照GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1.28亿元）或企业全球年收入的4%的罚款（取两者中最高的）。除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚，例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制。因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。 满足GDPR 的要求，企业到底需要重点了解哪些信息？ 不少组织发现保障合规性远比预期的要复杂。市场调查公司Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。不过，只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会"宽大处理"。不过，尽管如此，仍免不了高额罚款。因此，满足GDPR 的合规性可谓任重道远。 一、数据控制者&数字处理者 按照GDPR 第4条的第（7）点和第（8）点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。 谷歌的复杂身份特例： 当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时，谷歌就是一个数据控制者；当涉及使用Google

欧盟《通用数据保护条例》GDPR_高质量译文(全)

通用数据保护条例第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

欧盟金融业数据保护法律

Financial Privacy and Data Protection in the enlarged European Union Prof. Dr. Alfred Büllesbach, Chief Corporate Data Protection Officer

Prof. Dr. Alfred Büllesbach customer data PIN TAN credit line account balance debit balance name address telephone number account number spreading of risks Income financial obligations Places of whereabout s

Risks and Dangers ?Creation of User profiles ?Manipulation of transferred or stored data ?Unauthorised knowledge of data ?Misuse of data for purposes they were not collected for ?Unauthorised use of data ?Deletion of data by unauthorised persons Objective of Data Protection: Protection of the personal rights of those whose data is being processed Prof. Dr. Alfred Büllesbach

欧盟一般数据保护条例

《一般数据保护条例》（General Data Protection Regulation，简称GDPR） 欧盟；2018年5月25日生效 一般数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

欧盟《通用数据保护条例》(GDPR)

欧盟《通用数据保护条例》(GDPR)正式生效 经过欧盟议会长达四年的讨论，被成为史上最严数据保护法案的欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于将在2018年5月25日生效。 通用数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d)）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

欧盟数据保护制度的变革及启示

S p e c i a l窑专题.网络空间主权 欧盟数据保护制度的 变革及启示 闫晓丽 (赛迪智库网络空间研究所北京100846) 【摘要】2016年4月14曰，欧洲议会通过了新的个人数据保护法一(〈_般数据保护条例》(以下简称“《条 例》”）,并于5月4曰正式公布，标志着自2012年以来的数据保护制度改革圆满划上句号。《条例》致力于建立 数字时代欧盟统一的数据保护规则,将替代《1995年个人数据保护指令》，给予公民更多对个人数据的控制 权,并要求企业承担更多数据保护责任。《条例》在诸多方面做出了重大变革，如赋予个人数据删除权和携带 权、限制数据分析(Profiling)活动等，这不仅将对我国企业在欧盟开展在线服务产生影响，也对大数据时代我 国个人信息保护具有诸多启示。 【关键词】欧盟;数据保护;制度变革;启示 The Key Changes of EU Data Protection Rules and the Enlightenmentto China Yan X iao-li (T h e Institute o f Cyberspace in C C ID Beijing 100846) 【Abstract 】On Apr 14th, 2016, the European parliament approved the new data protection law, i.e. General Data Protection Regulation, and published it on May 4. This marks the EU data protection reform since 2012 a successful end. The GDPR aims to establish a consolidated EU data protection rules for digital age, and will replace the personal data protection directive of 1995. It gives citizens more control of his/her personal data and demands enterprise to undertake more data protection responsibility. Compare to directive of 1995, the GDPR makes major changes in many aspects, such as giving the right to delete personal data and the right to carry, limited automatic profiling. The GDPR and its major changes will not only have impact on Chinese enterprises who provide online service to the European citizen, but also have a lot of enlightenment to the personal information protection of China in the era of big data. 【Keywords 】eu;dataprotection;majorchanges;enlightenmenttochina i引言 近年来，随着世界各国对数据的依赖快速上升，国际竞争焦点从对资本、土地、资源的争夺转向 对大数据的争夺，维护数据主权成为国家主权的重要内容。 2016年5月4日，欧盟公布了新的个人数据保 护法一《一般数据保护条例》，在诸多方面作出了重 大变革，如赋予个人更多数据权利、限制数据分析活 动、完善跨境数据流动规则等。这些变革旨在一方面 加强个人数据保护，有效维护各国的数据主权，另 窑22窑2017年2-3月-网络空间安全

欧盟GDPR《一般数据保护法案》译文

译文｜欧盟GDPR《一般数据保护法案》 编者按：2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation，GDPR），该法案将于 2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监 管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR对于我国 业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚， 以及对我国与数据相关的法学研究都具重要意义。 新法案由11章共99条组成，中文译本由中国政法大学互联网金融法律 研究院（Internet financial law research institute of CUPL ,IFLRI）组织翻译。 第一章一般规定 第1条主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。 2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。 第2条适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。 2. 本法不适用于以下个人数据的处理： (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚 的目的，包括防范和阻止公共安全受到威胁。 3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

欧盟《通用数据保护条例》GDPR-高质量译文(全)

通用数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织精品文档，你值得期待 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、

欧盟 《一般数据保护条例》

欧盟《一般数据保护条例》 来源：公众号“数据法律资讯”（ID：DATA_AND_LAW；Email：dataprotection@https://www.wendangku.net/doc/8912322362.html,） 译作者：丁晓东（中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后） 文档制作：公众号“顶象业务安全”（ID：dingxiang-tech） 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。

根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。 (2) “处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 (3) “限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。 (5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

国外个人信息保护或隐私保护法规汇总(终审稿)

国外个人信息保护或隐私保护法规汇总 文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2 该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护

2.《电子通讯隐私法》 到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是 1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。 尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。 3摘自