欧盟数据保护制度的变革及启示

S p e c i a l窑专题.网络空间主权

欧盟数据保护制度的

变革及启示

闫晓丽

(赛迪智库网络空间研究所北京100846)

【摘要】2016年4月14曰，欧洲议会通过了新的个人数据保护法一(〈_般数据保护条例》(以下简称“《条 例》”）,并于5月4曰正式公布，标志着自2012年以来的数据保护制度改革圆满划上句号。《条例》致力于建立 数字时代欧盟统一的数据保护规则,将替代《1995年个人数据保护指令》，给予公民更多对个人数据的控制 权,并要求企业承担更多数据保护责任。《条例》在诸多方面做出了重大变革，如赋予个人数据删除权和携带 权、限制数据分析(Profiling)活动等，这不仅将对我国企业在欧盟开展在线服务产生影响，也对大数据时代我 国个人信息保护具有诸多启示。

【关键词】欧盟;数据保护;制度变革;启示

The Key Changes of EU Data Protection Rules and the Enlightenmentto China

Yan X iao-li

(T h e Institute o f Cyberspace in C C ID Beijing 100846)

【Abstract 】On Apr 14th, 2016, the European parliament approved the new data protection law, i.e. General Data Protection Regulation, and published it on May 4. This marks the EU data protection reform since 2012 a successful end. The GDPR aims to establish a consolidated EU data protection rules for digital age, and will replace the personal data protection directive of 1995. It gives citizens more control of his/her personal data and demands enterprise to undertake more data protection responsibility. Compare to directive of 1995, the GDPR makes major changes in many aspects, such as giving the right to delete personal data and the right to carry, limited automatic profiling. The GDPR and its major changes will not only have impact on Chinese enterprises who provide online service to the European citizen, but also have a lot of enlightenment to the personal information protection of China in the era of big data.

【Keywords 】eu;dataprotection;majorchanges;enlightenmenttochina

i引言

近年来，随着世界各国对数据的依赖快速上升，国际竞争焦点从对资本、土地、资源的争夺转向 对大数据的争夺，维护数据主权成为国家主权的重要内容。

2016年5月4日，欧盟公布了新的个人数据保 护法一《一般数据保护条例》，在诸多方面作出了重 大变革，如赋予个人更多数据权利、限制数据分析活 动、完善跨境数据流动规则等。这些变革旨在一方面 加强个人数据保护，有效维护各国的数据主权，另

窑22窑2017年2-3月-网络空间安全

欧盟《通用数据保护条例》GDPR-精排版

欧盟《通用数据保护条例》(GDPR) 2018.5.25

第一章一般条款 (5) 第1条主要事项与目标 (5) 第2条适用范围 (5) 第3条地域范围 (5) 第4条定义 (6) 第二章原则 (8) 第5条个人数据处理原则 (8) 第6条处理的合法性 (9) 第7条同意的条件 (10) 第8条信息社会服务中适用儿童同意的条件 (11) 第9条对特殊类型个人数据的处理 (11) 第10条处理涉及犯罪定罪与违法的个人数据 (12) 第11条不需要识别的处理 (12) 第三章数据主体的权利 (13) 第一部分透明性与模式 (13) 第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13) 第二部分信息与对个人数据的访问 (14) 第13条收集数据主体个人数据时应当提供的信息 (14) 第14条未获得数据主体个人数据的情形下，应当提供的信息 (15) 第15条数据主体的访问权 (16) 第三部分更正与擦除 (17) 第16条更正权 (17) 第17条擦除权（“被遗忘权”） (17) 第18条限制处理权 (18) 第19条关于更正或擦除或限制处理中的通知责任 (18) 第20条数据携带权 (18) 第四部分反对的权利和自动化的个人决策 (19) 第21条反对权 (19) 第22条自动化的个人决策，包括用户画像 (19) 第五部分限制 (20) 第23条限制 (20) 第四章控制者和处理者 (21) 第一部分一般性责任 (21) 第24条控制者的责任 (21) 第25条通过设计的数据保护和默认的数据保护 (21) 第26条共同控制者 (21) 第27条不在欧盟所设立的控制者或处理者的代表 (22) 第28条处理者 (22) 第29条代表控制者或处理者进行的处理 (24) 第30条处理活动的记录 (24) 第31条和监管机构的合作 (25) 第二部分个人数据的安全 (25)

GDPR常见问题通用数据保护条例GDPR会对欧盟公民以及伊士...

GDPR常见问题 《通用数据保护条例》（GDPR）会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。此条例旨在为公司收集的数据提供保护，让生活在欧盟的人拥有其个人信息处理方式的知情权。 通过下文所列问题，您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解： GDPR是什么？ GDPR即为《通用数据保护条例》，这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题，并保护数据主体的个人数据。该法规于2018年5月25日生效，取代可追溯到1996年的旧法令。 此条例适用于哪些人？ 该法规重点保护与个人数据处理和传送相关的数据主体。该主体必须为生活在欧盟境内的自然人，不一定取得欧盟公民身份。该主体不包括公司。 个人数据包含哪些内容？ 个人数据包括与可识别的自然人相关的任何信息，比如姓名、电话号码（商业或个人）、电子邮件地址（商业或个人）、身份证号码、定位数据、信用卡号码、在线身份识别，或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息（PII）的内容。 GDPR赋予数据主体哪些权利？ 此条例赋予数据主体： ?获取自身数据的权利 ?修改自身数据的权利 ?删除自身数据的权利 ?限制处理自身数据的权利 ?数据可携权 ?反对权 伊士曼可以收集并处理个人数据的法律依据是什么？ ?经由数据主体同意 ?数据主体基于合同履行同意 ?用于伊士曼履行欧盟或成员国法律所规定的法律义务 ?为了保护自然人的切身利益 ?为了执行欧盟或成员国法律中规定的符合公众利益的任务 ?用于保护伊士曼或第三方的合法权益

欧盟《通用数据保护条例》合规指南

欧盟《通用数据保护条例》合规指南 E安全 E安全5月29日讯欧盟《通用数据保护条列》（简称GDPR）于2018年5月25日正式生效。英国一份政府调研显示，只有38%的英国公司在GDPR 生效前100天才开始关注该条例，许多美国公司也一样。 按照GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1.28亿元）或企业全球年收入的4%的罚款（取两者中最高的）。除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚，例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制。因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。 满足GDPR 的要求，企业到底需要重点了解哪些信息？ 不少组织发现保障合规性远比预期的要复杂。市场调查公司Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。不过，只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会"宽大处理"。不过，尽管如此，仍免不了高额罚款。因此，满足GDPR 的合规性可谓任重道远。 一、数据控制者&数字处理者 按照GDPR 第4条的第（7）点和第（8）点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。 谷歌的复杂身份特例： 当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时，谷歌就是一个数据控制者；当涉及使用Google

欧盟《通用数据保护条例》GDPR_高质量译文(全)

通用数据保护条例第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

《新的数据保护法案：我们的改革》报告

《新的数据保护法案：我们的改革》报告 2017年8月，英国数字、文化媒体和体育部发布了一份名为《新的数据保护法案：我们的改革》的报告（以下简称《报告》），将通过一部新的数据保护法案以更新和强化数字经济时代的个人数据保护。2017年9月，英国政府公布了法案的文本。该法案目前将进行进一步的讨论和修改，并有希望在2018年5月25日前获得英国上议院和下议院的批准，经女王御准后就会正式成为具有强制力的议会法令（Act），预计将取代实施了近二十年的《1998年数据保护法》。 技术进步和数字经济发展推动立法变革 据英国相关负责人介绍，在过去的近二十年里，原有的《1998年数据保护 法》发挥了重要的作用，但技术和社会发展都在不断变化，特别是物联网、社交媒体等技术和应用产生了越来越多的数据。与此同时，数据收集、存储、处理成本的降低以及计算能力的增强使得数据成为重要的原材料，这些伴随而来的新机会深刻影响并改变了创新、商业、消费服务等方方面面的活动，也进一步增加了数据安全威胁。因此，对个人数据的保护也应该与时俱进。 《报告》同时指出，新数据保护法案的推出也是为支持和推动英国数字经济发展的需要。根据波士顿咨询公司的数据，英国是G20国家中互联网经济渗透率最高的国家，2016年互联网经济占GDP的比重达到了12.4%，是G20国家平均值5.3%的两倍多。英国政府的目标是要将英国打造成最安全的开展在线商业 活动的国家，数字经济的发展推动个人数据不断增长，而对于个人数据保护的水平也应该同步提高。 除此之外，推出新的数据保护法案也是为了配合欧盟将于2018年5月正式实施的《通用数据保护条例》（GDPR）。虽然英国在2016年6月23日公投脱欧，但目前并未完成退欧的法定程序，英国仍然还是欧盟的成员，依法享有欧盟成员国的权利和义务。因此，制定新数据保护法案也是欧盟GDPR在英国落地的需要。 三大目标打造安全可靠的网络空间

欧盟金融业数据保护法律

Financial Privacy and Data Protection in the enlarged European Union Prof. Dr. Alfred Büllesbach, Chief Corporate Data Protection Officer

Prof. Dr. Alfred Büllesbach customer data PIN TAN credit line account balance debit balance name address telephone number account number spreading of risks Income financial obligations Places of whereabout s

Risks and Dangers ?Creation of User profiles ?Manipulation of transferred or stored data ?Unauthorised knowledge of data ?Misuse of data for purposes they were not collected for ?Unauthorised use of data ?Deletion of data by unauthorised persons Objective of Data Protection: Protection of the personal rights of those whose data is being processed Prof. Dr. Alfred Büllesbach

欧盟一般数据保护条例

《一般数据保护条例》（General Data Protection Regulation，简称GDPR） 欧盟；2018年5月25日生效 一般数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

欧盟《通用数据保护条例》(GDPR)

欧盟《通用数据保护条例》(GDPR)正式生效 经过欧盟议会长达四年的讨论，被成为史上最严数据保护法案的欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于将在2018年5月25日生效。 通用数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d)）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

欧盟数据保护制度的变革及启示

S p e c i a l窑专题.网络空间主权 欧盟数据保护制度的 变革及启示 闫晓丽 (赛迪智库网络空间研究所北京100846) 【摘要】2016年4月14曰，欧洲议会通过了新的个人数据保护法一(〈_般数据保护条例》(以下简称“《条 例》”）,并于5月4曰正式公布，标志着自2012年以来的数据保护制度改革圆满划上句号。《条例》致力于建立 数字时代欧盟统一的数据保护规则,将替代《1995年个人数据保护指令》，给予公民更多对个人数据的控制 权,并要求企业承担更多数据保护责任。《条例》在诸多方面做出了重大变革，如赋予个人数据删除权和携带 权、限制数据分析(Profiling)活动等，这不仅将对我国企业在欧盟开展在线服务产生影响，也对大数据时代我 国个人信息保护具有诸多启示。 【关键词】欧盟;数据保护;制度变革;启示 The Key Changes of EU Data Protection Rules and the Enlightenmentto China Yan X iao-li (T h e Institute o f Cyberspace in C C ID Beijing 100846) 【Abstract 】On Apr 14th, 2016, the European parliament approved the new data protection law, i.e. General Data Protection Regulation, and published it on May 4. This marks the EU data protection reform since 2012 a successful end. The GDPR aims to establish a consolidated EU data protection rules for digital age, and will replace the personal data protection directive of 1995. It gives citizens more control of his/her personal data and demands enterprise to undertake more data protection responsibility. Compare to directive of 1995, the GDPR makes major changes in many aspects, such as giving the right to delete personal data and the right to carry, limited automatic profiling. The GDPR and its major changes will not only have impact on Chinese enterprises who provide online service to the European citizen, but also have a lot of enlightenment to the personal information protection of China in the era of big data. 【Keywords 】eu;dataprotection;majorchanges;enlightenmenttochina i引言 近年来，随着世界各国对数据的依赖快速上升，国际竞争焦点从对资本、土地、资源的争夺转向 对大数据的争夺，维护数据主权成为国家主权的重要内容。 2016年5月4日，欧盟公布了新的个人数据保 护法一《一般数据保护条例》，在诸多方面作出了重 大变革，如赋予个人更多数据权利、限制数据分析活 动、完善跨境数据流动规则等。这些变革旨在一方面 加强个人数据保护，有效维护各国的数据主权，另 窑22窑2017年2-3月-网络空间安全

欧盟GDPR《一般数据保护法案》译文

译文｜欧盟GDPR《一般数据保护法案》 编者按：2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation，GDPR），该法案将于 2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监 管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR对于我国 业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚， 以及对我国与数据相关的法学研究都具重要意义。 新法案由11章共99条组成，中文译本由中国政法大学互联网金融法律 研究院（Internet financial law research institute of CUPL ,IFLRI）组织翻译。 第一章一般规定 第1条主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。 2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。 第2条适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。 2. 本法不适用于以下个人数据的处理： (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚 的目的，包括防范和阻止公共安全受到威胁。 3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

GDPR通用数据保护条例认证规则

编号：BMS-SC-051 GDRP通用数据保护条例认证规则版本：A 发行日期：20190528 GDPR通用数据保护条例认证规则 目录 1.标准简介 2.适用范围 3. 认证基本原则 4. 对认证人员的要求 5. 申请和合同评审程序 6．审核准备 7. 初次认证审核 8. 审核实现 9．认证决定 10. 暂停、撤销和取消 11. 受理申诉和投诉 12. 认证记录管理 附录 A 通用数据保护条例认证人天计算表 必维认证（北京）有限公司 1

编号：BMS-SC-051 GDRP通用数据保护条例认证规则版本：A 发行日期：20190528 1 标准简介 2018年5 月25日正式生效的GDRP通用数据保护条例旨在加强对个人（自然人）数据隐私的保护，并统一之前欧盟区内分散化的个人数据保护法律法规。GDPR是迄今为止覆盖面最广的全球性数据隐私保护法规，任何处理欧盟公民个人数据的组织都必须遵守该条例，无论该组织设立地是否在欧盟。新条例的通过意味着欧盟对个人信息保护及监管，达到了前所未有的高度，堪称史上最严格的数据保护条例。 2 适用范围 2.1本规则用于规范必维认证（北京）有限公司（以下简称“必维”）对申请认证和获证的各类组织按照GDRP《通用数据保护条例-要求》建立通用数据保护技术标准管理体系的认证活动。 2.2本规则是对必维从事基于通用数据保护条例建立的技术标准管理体系认证活动的基本要求，公司各部门从事该项认证活动应当遵守本规则。 3 认证基本原则 3.1公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的。 3.2 能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机制，保障的人员能力是提供可建立信心的认证审核的必要条件。 3.3 责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在此基础上做出认证决定。 3.4 开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关通用数据保护条例认证审核过程和状态的适宜、及时的信息，或提供获取上述信息的公开渠道。 3.5 保密性：公司采取措施对任何关于客户的专有信息予以保密，但对于享有 必维认证（北京）有限公司 2

欧盟《通用数据保护条例》GDPR-高质量译文(全)

通用数据保护条例 第一章一般条款 第二章原则 第三章数据主体的权利 第四章控制者和处理者 第五章将个人数据转移到第三国或国际组织精品文档，你值得期待 第六章独立监管机构 第七章合作与一致性 第八章救济、责任与惩罚 第九章和特定处理情形相关的条款 第十章授权法案与实施性法案 第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、

《信息安全等级保护管理办法》(全文)

7月24日，公安部网站发布四部门联合制定的《信息安全等级保护管理办法》，全文如下： 第一章总则 第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

欧盟 《一般数据保护条例》

欧盟《一般数据保护条例》 来源：公众号“数据法律资讯”（ID：DATA_AND_LAW；Email：dataprotection@https://www.wendangku.net/doc/af10762568.html,） 译作者：丁晓东（中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后） 文档制作：公众号“顶象业务安全”（ID：dingxiang-tech） 第一章一般条款 第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。

根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。 第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。 第4条定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。 (2) “处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 (3) “限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。 (5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

《通用数据保护条例》内容及实践浅析

龙源期刊网 https://www.wendangku.net/doc/af10762568.html, 《通用数据保护条例》内容及实践浅析 作者：冯梦琦 来源：《法制与社会》2019年第12期 摘要本文以欧盟《通用数据保护条例》（GDPR）的颁布和实施为背景，对GDPR的内容和影响进行简要的分析。GDPR规定的核心内容为对互联网企业占有和使用用户数据进行限制，以保护数据主体的个人信息自主权益。这一规定对全球范围内各大互联网企业造成了较大的冲击，但是规范数据的使用，保护个体用户的数据权益是现今互联网法制建设的主题。 关键词通用数据保护条例个人信息保护互联网作者简介：冯梦琦，哈尔滨商业大学法学院硕士研究生，研究方向：经济法。 2016年4月14日，欧盟议会和欧盟理事会通过了《通用数据保护条例》（以下简称“GDPR”），2018年5月25日，GDPR正式生效。自此，欧盟正式启动了史上最严格的个人信息保护规则。一方面，GDPR赋予了个体用户对于自身数据更多的自主权和选择权;另一方 面，GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则。虽然GDPR作为市场监管类规则，并未解决数据作为无形资产的权利归属，但是规则明确地将数据的支配权利赋予了“数据主体”（datasubject），即产生数据的个体用户。 GDPR是在1995年欧盟议会出台的《数据保护指令》（以下简称“DPD”）的基础上重新 制定而来，具体而言其变化注要体现在以下几个方面： 首先，GDPR的适用范围较DPD有明显的扩大，几乎涵盖了全球所有的跨境互联网服务提供商，其不仅适用于欧盟境内与用户数据有关的所有企业，而且适用于与向欧盟境内数据主体提供服务有关或涉及监测欧盟境内数据主体的企业。 其次，GDPR十分强调数据主体的权利保护，其赋予了数据主体更加广泛、更加细化且更具有可操作性的各项权利，内容包括但不限于对数据的知情权、修改权、注销权、限制处理权、可移植性决定权、拒绝处理权等。GDPR条款一旦落实，数据主体就能够基本实现随时接触、授权处理、取消授权、修改和注销自己产生的数据信息，可以很大程度避免作为数据控制者（controller）和处理者（processor）的企业在未授权的情况下形成数据主体的数据侧写并据此获利，企业也无法在未授权的情况下向数据主体进行偏好推送或差别定价。 数据主体的知情权包括数据主体有权知道其个体用户的哪些类型的数据被企业收集并进行处理，具体有哪些企业对相关数据收集和处理，企业收集和处理个体用户主体的目的以及处理后信息的用途，相关数据是否会对第三方披露等。数据主体的修改权是指其认为个体用户数据有错误、发生变动或内容不完整时，有权要求数据控制者立即进行修改。数据主体的注销权亦被译被遗忘权，是指在满足一定的条件时，数据主体有权要求数据控制者和处理者立即删除自己的用户数据，且这一规定赋予了数据主体对于删除用户数据独有的决定权，只要其认为个体

国外个人信息保护或隐私保护法规汇总(终审稿)

国外个人信息保护或隐私保护法规汇总 文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2 该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护

2.《电子通讯隐私法》 到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是 1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。 尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。 3摘自

欧盟及英国个人数据保护法的最新发展及对中国立法的启示

欧盟及英国个人数据保护法的最新发展及对中国立法的启示通过系统性介绍和解读欧盟《通用数据保护条例》(General Data Protection Regulation,以下称“GDPR”)和英国《2018数据保护法案》(Data Protection Act 2018,以下简称“DPA 2018”)两部立法主要内容及特点,论文为相关领域学者研究解读两部立法提供支持;通过对比分析两部立法存在的差异及潜在性问题,为我国借鉴、引用两部立法提供客观评估;通过分析我国在个人信息保护立法领域仍存在的问题,在立足我国国情基础上,总结两部法律对我国立法的启示。论文运用了比较分析法、文献研究法和实证分析法,对GDPR和DPA 2018立法本身及对国内数据保护立法的适用性进行分析和解读,对主要内容、立法特点和相关重要案件进行详细介绍。论文首先对GDPR进行解读,涵盖一般性条款、原则性条款、数据主体权利、控制者的义务、个人数据跨境转移规则等多个方面,并通过最新或典型案例进一步阐述该法案或相关重要规定在实践中的应用;在此基础上,以批判性视角分析该部法案在实践中可能带来的问题。论文接着对DPA 2018进行解读,将DPA 2018与GDPR进行比较,归纳二者的联系和区别;此外,该部分分析了“脱欧”对英国数据保护法带来的影响,并通过典型案例解析相关重要术语在司法判例中的应用。 论文还对我国当前个人数据保护立法现状进行概述,通过典型案例进一步阐释我国立法在该领域取得的突破。同时,在分析前文两部立法基础上,指出我国当前个人数据保护立法仍然存在的问题,并针对性总结对我国的立法启示,提出相应解决方案。本文厘清了 GDPR部分争议点,通过将其与DPA 2018进行比较,发现GDPR在应用于欧盟成员国时带来的不足,为我国借鉴GDPR树立良好应用之典范;通过将两部法律与国内数据保护立法相比较,指明了国内立法的不足和需要改进的地方,包括“缺乏专门的个人数据保护立法”“缺乏专门的个人数据保护管理机构”“个人数据保护规则不健全,”“个人数据跨境流动问题缺乏统一规范标准”四大问题。同时,本文还重点预测并分析了“脱欧”给英国未来的数据保护法律带来的影响。 本文在最后章节提出了适合我国国情的立法建议,在“引入’场景’和’风险管理’理论”“弱化’同意授权’,扩大数据处理的其他合法性基础,,”“建设完善个人数据的跨境流动制度”“如何应对《通用数据保护条例》的长臂管辖原