当前位置：文档库 › 欧盟《通用数据保护条例》GDPR-高质量译文(全)

欧盟《通用数据保护条例》GDPR-高质量译文(全)

通用数据保护条例

第一章一般条款

第二章原则

第三章数据主体的权利

第四章控制者和处理者

第五章将个人数据转移到第三国或国际组织精品文档，你值得期待

第六章独立监管机构

第七章合作与一致性

第八章救济、责任与惩罚

第九章和特定处理情形相关的条款

第十章授权法案与实施性法案

第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。

第一章一般条款

第1条主要事项与目标

1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第2条适用范围

1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：

(a)欧盟法管辖之外的活动中所进行的个人数据处理；

(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；

(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；

(d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条地域范围

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第4条定义

就本条例而言：

(1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、

检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。

(3)“限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。

(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。

(5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。

(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体；如果此类处理的方式是由欧盟或成员国的法律决定的，那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。

(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。

(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否为第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。

(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。

(11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。

(12)“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。

(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些数据可以提供自然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。

(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。

(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据，包括和卫生保健服务相关的服务。

(16)“主要营业机构”指的是：

(a)如果控制者在不止一个成员国内有多处营业机构，那么其在欧盟的管理中心所在地是主要营业机构，除非个人数据处理的目的与方式是由控制者的另一个机构决定的，并且这一机构有权实施此决定，在这种情况下，做出此类决定的机构应当被认为是主要营业机构；

(b)如果处理者在不止一个成员国内具有多处机构，那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心，那么在处理者需要遵守

本条例所规定的特殊责任的前提下，其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。

(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任，代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。

(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人，包括经常进行经济活动的合伙企业或协会；

(19)“企业集团”的含义是控股企业和被控股企业；

(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者，为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者，所遵循的个人数据保护政策。

(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。

(22)

(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的；

(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响；或者

(c)该监管机构已经收到一项申诉；

(23)“跨境处理”指的是：

(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者

(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主体具有实质性影响。

(24)“相关和合理的异议”指的是对是否存在违反本条例的情形，或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明，这种初步设想的决定会对数据主体的基本权利和自由，以及在某些情形下对欧盟的个人数据的自由流通会带来风险。

(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第1（1）条（b）点所定义的服务。

(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第二章原则

第5条个人数据处理原则

1．对于个人数据，应遵循下列规定：

(a)对涉及到数据主体的个人数据，应当以合法的、合理的和透明的方式来进行处理（“合法性、合理性和透明性”）；

(b)个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。根据第89（1）条，因为公共利益、科学或历史研究或统计目的而进一步处理数据，不视为违反初始目的（“目的限制”）；

(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的（“数据最小化”）；

(d)个人数据应当是准确的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人数据，即违反初始目的的个人数据，及时得到擦除或更正（“准确性”）；

(e)对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间；超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施。（“限期储存”）；

(f) 处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失（“数据的完整性与保密性”）。

2．控制者有责任遵守以上第1段，并且有责任对此提供证明。（“可问责性”）。第6条处理的合法性

1．只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理：

(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理；

(b)处理对于完成某项数据主体所参与的契约是必要的，或者在签订契约前基于数据主体的请求而进行的处理；

(d)处理对于保护数据主体或另一个自然人的核心利益所必要的；

(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的；

(f)处理对于控制者或第三方所追求的正当利益是必要的，这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由，特别是儿童的优先性利益或基本权利与自由。

第1段（f）点不适用公共机构在履行其任务时的处理。

2．对于第1段（c）和（e）所规定的处理，成员国可以维持或新制定更多具体条款，以适应本条例规则的适用，成员国为了确保合法与合理处理，可以制定更为明确的规定，包括第9章所规定的其他特定的处理情形。

3．第1段（c）和（e）所规定的处理的基准应当通过如下法律进行规定：

(a)欧盟法；或者

(b)控制者所属的成员国的法律。

处理的目的应当在此法律基准上进行确定，而对于第1段（e）所规定的处理，处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款，以适应对本条例规则的适用：对控制者处理的合法性进行监控的一般条件；可以被处理的数据类型；相关数据主体；个人数据公开的目的，以及其可能被公开给的对象；目的限定；储存期限；包括第9章所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标，且应当与实现正当目的成比例。

4．若处理是出于收集个人数据以外的其他目的，如果该目的未经数据主体同意或并非是基于联盟或成员国的法律（在一个民主社会中，若要实现第23（1）条

中的目的，法律是必要且合适的），那么为确保该目的与初始目相容，控制商应当考虑以下因素，但不限于以下因素：

(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性；

(b)个人数据收集时的语境，特别是数据主体与控制者之间的关系；

(c)个人数据的性质，特别是某些特定类型的个人数据是否符合第9条的规定，或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定；

(d) 数据主体计划进一步处理可能造成的结果；

(e)是否具有加密与匿名化措施等恰当保护措施；

第7条同意的条件

1．当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。

2．如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的，请求获得同意应当完全区别于其他事项，并且应当以一种容易理解的形式，使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。

3．数据主体应当有权随时撤回其同意。在撤回之前，对于基于同意的处理，其合法性不受影响。在数据主体表达同意之前，数据主体应当被告知这点。撤回同意应当和表达同意一样简单。

4．分析同意是否是自由做出的，应当最大限度地考虑一点是：对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。

第8条信息社会服务中适用儿童同意的条件

1．在第6（1）条（a）适用的情形下，对于为儿童直接提供信息社会服务的请求，当儿童年满16周岁，对儿童个人数据的处理是合法的。当儿童不满16周岁，只有当对儿童具有父母监护责任的主体同意或授权，此类处理才是合法的。2．对于年满13周岁的情形，成员国的法律可以降低年龄要求。

3．控制者应当采取合理的努力，结合技术可行性，确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。

第1段不应影响成员国的一般合同法，例如关于儿童的合同有效性、形成与效力的规则。

第9条对特殊类型个人数据的处理

1．对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理。

2．如果具有如下条件之一，第1段将不适用：

(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据，但依照欧盟或成员国的法律规定，数据主体无权解除第1段中所规定的禁令的除外；

(b)处理对于控制者履行责任以及行使其特定权利是必要的，或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的；

(c)数据主体因为身体原因或法律原因而无法表达同意，但处理对于保护数据主体或另一自然人的核心利益却是必要的；

(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理，并且已经采取了恰当的保护措施；或者处理目的仅仅和机

构成员、之前成员或具有经常联系的人相关，并且个人数据在未经数据主体同意前不对实体外的人公开；

(e)对数据主体已经明显公开的相关个人数据的处理；

(f)当处理对于提起、行使或辩护法律性主张必要时，或者法院在其所有的司法活动中所进行的处理；

(g)处理对实现实质性的公共利益必要的，建立在欧盟或成员国的法律基准之上、对实现目标是相称的，尊重数据保护权的核心要素，并且为数据主体的基本权利和利益提供合适和特定的保护措施；

(h)处理对于预防性医学或临床医学目的是必要的，或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律，或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的；

(i)在公共健康领域，处理是为了实现公共利益所必要的，例如，在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上，处理对于预防严重的跨境健康威胁是必要的，或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的；或者

(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的，处理采取了与其期望目的所相称的处理，尊重数据保护权的核心要素，并且对数据主体的基本权利与利益采取了合适与特定的措施。

3．根据欧盟或成员国的有权机构所制定的法律或规则而具有保守职业性秘密责任的职业主体，或者根据欧盟或成员国的有权机构所制定的法律或规则而具有保守秘密责任的自然人，可以为了第2段（h）点所规定的目的而处理第1段所规定的个人数据。

4．对于基因数据、生物性识别数据或健康相关数据的处理，成员国可以维持原有规定，或者作出新的规定，包括对处理基因数据、生物性识别数据或健康相关数据进行限定。

第10条处理涉及犯罪定罪与违法的个人数据

处理和犯罪定罪与违法相关的个人数据，或处理第6（1）条规定的与安全措施相关的个人数据，只有如下情形才能被允许：当个人数据处理为官方机构控制，或者当欧盟或成员国的法律授权进行处理，并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪定罪的全面性登记只能由官方机构进行。

第11条不需要识别的处理

1．如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别，控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。

2．对于第1段所规定的情形，如果控制者能够证明其不适合识别数据主体，如有可能，数据控制者应当告知数据主体。在此类情形下，除非数据主体为了行使第15至20条所规定的权利，需要提供额外信息而使得对其识别变得可能，第15至20条将不应适用。

第三章数据主体的权利

第一部分透明性与模式

第12条信息、交流与模式的透明性——保证数据主体权利的行使

1．对于和个人信息处理相关的第13和第14条规定的所有信息、或者第15条至22条以及34条所规定的所有交流，控制者应当以一种简洁、透明、易懂和容易

获取的形式，以清晰和平白的语言来提供；对于针对儿童的所有信息，尤其应当如此。信息应当以书面形式或其他形式提供，包括在合适的情况下通过电子方式提供。若数据主体的身份可通过其他途径得到证实，那么控制者可依主体申请以口头方式提供相关信息。

2．控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第11（2）条所规定的情形，当数据主体请求其行使第15至22条的权利，控制者不应拒绝，除非控制者能够证明其并不适宜识别数据主体。

3．在数据主体根据第15至22条的规定提出请求后，控制者应当提供信息，不应无故拖延，在任何情形下应当在收到请求后一个月内提供信息。在必要的情形下，考虑到请求的复杂性和多样性，这个期限可以再延长两个月。如果有此类延长，控制者应当在收到请求的一个月内将此类延长以及延长原因告知数据主体。当数据主体以电子形式做出请求，在可行的情况下，对信息的提供也应当以电子形式提供，除非数据主体有不同请求。

4．如果控制者没有采取相应的行动对数据主体的请求做出回应，那么应当及时告知该数据主体其在收到请求后一个月内未能采取行动的具体原因，同时可向监管机构提出申诉，寻求司法救济。

5．第13和第14条所规定的信息以及第15至22条和34条所规定的所有交流与行为都应当是免费的。当数据主体的请求明显不具备正当理由或超过必要限度，特别是当请求是重复性的时候，控制者可以：

(a)结合提供信息、交流或相应行动的行政花费，收取一定的合理费用；或者

(b)拒绝对请求作出行动。

控制者有责任证明数据主体的请求明显是毫无根据的或过分的。

6．在不影响第11条的前提下，控制者可以对第15至21条中提出要求的自然人的身份有合理怀疑，要求数据主体提供必要的额外信息以确认数据主体的身份。7．根据第13条和14条提供给数据主体的信息可以和标准化的图标一起提供，以便于数据主体以一种一目了然的、易懂的和清晰的方式对计划的数据处理有全盘理解。当图标以电子化的方式提供，它们必须是机器可读的。

8．对于确定图标所提供的信息以及提供标准化图标的程序，欧盟理事会将有权根据第92条制定授权行动。

第二部分信息与对个人数据的访问

第13条收集数据主体个人数据时应当提供的信息

1．当收集和数据主体相关的个人数据时，控制者应当为数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)数据保护官的详细联系方式，如果适用的话；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)当处理是基于（f）点或第6（1）条的时候，控制者或第三方的正当利益；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实，或者，在第46或47条或者第49（1）条的第二小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息：

(a)个人数据将被储存的期限，以及确定此期限的标准；

(b)数据主体所拥有的权利：可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理的权利；数据携带权；

(c)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(d)向监管机构进行申诉的权利；

(e)提供个人数据是一项制定法还是合同法的要求，是否对于缔结一项契约是必要的，数据主体是否有责任提供个人数据，以及没有提供此类数据会造成的可能后果。

(f)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。3．若控制者进一步处理个人信息的目的与收集个人信息的目的不一致，那么，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2

段所规定的相关进一步信息。

4．在数据主体已经拥有信息的情况下，第1，2，3段不应当适用。

第14条未获得数据主体个人数据的情形下，应当提供的信息

1．当个人数据还没有从数据主体那里收集，控制者应当向数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)如果适用的话，数据保护官的详细联系方式；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)相关个人数据的类型；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定，或者，在第46或47条或者第49（1）条的第二小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息：

(a)个人数据将被储存的期限，或者如果不可能的话，用来确定此期限的标准；

(b)当处理是根据第6（1）条（f）点而进行的，控制者或第三方所追求的正当利益；

(c)数据主体存在如下权利，可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理，数据携带权；

(d)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(e)向监管机构进行申诉的权利；

(f)个人数据的来源，以及如果适用的话，其来源是否可以是公开性的资源；

(g)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。3．控制者应当按如下方式提供第1段和第2段所规定的信息：

(a)应当在获得个人数据后的一段合理期限内提供信息，如果考虑到个人数据处理的特定情形，应当至少在一个月以内；

(b)如果个人数据是被用来和数据主体进行沟通的，最晚应当在其和数据主体进行第一次沟通时提供信息；

(c)如果个人数据将被计划披露给另一个接收者，那么最晚应当在个人数据被第一次披露时提供信息。

4．当控制者因为与收集个人信息时不一致的目的进一步处理个人信息，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2段所规定的相关进一步信息。

5．在如下情形中，第1至4段不适用：

(a)数据主体已经拥有信息；

(b)此类信息的提供是不可能的，或者说需要付出某种不相称的工作，在如下情形中尤其不适用：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施；或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中，控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益，包括使得信息可以公开获取；

(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律，并且已经对保护数据主体的正当利益制定了恰当的措施；

(d)当个人数据必须保密，必须遵守欧盟或成员国法律所规定的职业秘密责任，包括制定法上的保守秘密责任。

第15条数据主体的访问权

1．数据主体应当有权从控制者那里得知，关于其的个人数据是否正在被处理，如果正在被处理的话，其应当有权访问个人数据和获知如下信息：

(a)处理的目的；

(b)相关个人数据的类型；

(c)个人数据已经被或将被披露给接收者或接收者的类型，特别是当接收者属于第三国或国际组织时；

(d)在可能的情形下，个人数据将被储存的预期期限，或者如果不可能的话，确定此期限的标准；

(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利；

(f)向监管机构进行申诉的权利；

(g)当个人数据不是从数据主体那里收集的，关于来源的任何信息；

(h)存在自动化的决策，包括第22（1）和（4）条所规定的数据分析，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。2．当个人数据被转移到第三国或一个国际组织，数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。

3．控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份，控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求，且除非数据主体有其他请求，信息应当以通常使用的电子形式提供。4．获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。第三部分更正与擦除

第16条更正权

数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下，数据主体应当有权完善不充分的个人数据，包括通过提供额外声明的方式来进行完善。

第17条擦除权（“被遗忘权”）

1．数据主体有权要求控制者擦除关于其个人数据的权利，当具有如下情形之一时，控制者有责任及时擦除个人数据：

(a)个人数据对于实现其被收集或处理的相关目的不再必要；

(b)处理是根据第6（1）条（a）点，或者第9（2）条（a）点而进行的，并且没有处理的其他法律根据，数据主体撤回在此类处理中的同意；

(c)数据主体反对根据第21（1）条进行的处理，并且没有压倒性的正当理由可以进行处理，或者数据主体反对根据第21（2）条进行的处理；

(d)已经存在非法的个人数据处理；

(e)为了履行欧盟或成员国法律为控制者所设定的法律责任，个人数据需要被擦除；

(f)已经收集了第8（1）条所规定的和提供信息社会服务相关的个人人数据。2．当控制者已经公开个人数据，并且负有第1段所规定的擦除个人数据的责任，控制者应当考虑可行技术与执行成本，采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们，数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。

3．当处理对于如下目的是必要的，第1和第2段将不适用：

(a)为了行使表达自由和信息自由的权利；

(b)控制者执行或者为了执行基于公共利益的某项任务，或者基于被授予的官方权威而履行某项任务，欧盟或成员国的法律要求进行处理，以便履行其法律职责；

(c)为了实现公共健康领域符合第9（2）条（h）和（i）点以及第9（3）条的公共利益而进行的处理；

(d)如果第1段所提到权利会受严重影响，或者会彻底阻碍实现第89(1)条的公共利益目的、科学或历史研究目的或统计目的；或者

(e)为了提起、行使或辩护法律性主张。

第18条限制处理权

1．当存在如下情形之一时，数据主体有权要求控制者对处理进行限制：

(a)数据主体对个人数据的准确性有争议，并给与控制者以一定的期限以核实个人数据的准确性；

(b)处理是非法的，并且数据主体反对擦除个人数据，要求对使用其个人数据进行限制；

(c)控制者不再需要个人数据以实现其处理的目的，但数据主体为了提起、行使或辩护法律性主张而需要该个人数据；

(d)数据主体根据第21（1）条的规定而反对处理，因其需要确定控制者的正当理由是否优先于数据主体的正当理由。

2．当处理受第1段的规定所限制，除了储存的情形，此类个人数据只有在如下情形中才能进行处理：获取了数据主体的同意，或者为了提起、行使或辩护法律性主张，或者为了保护另一个自然人或法人的权利，或者为了欧盟或某个成员国的重要公共利益。

3．那些根据第1段规定已经获取了对处理进行限制的数据主体，在限制被解除前，控制者应当告知数据主体。

第19条关于更正或擦除或限制处理中的通知责任

对于所有根据第16、17（1）、18条而限制或擦除个人数据，或限制处理个人数据，控制者都应当将其告知个人数据已经被披露给的每个接收者——除非此类告知是不可能的，或者需要付出不相称的工作。如果数据主体提出要求，控制者应当将关于接收者的情形告知数据主体。

第20条数据携带权

1．当存在如下情形时，数据主体有权获得其提供给控制者的相关个人数据，且其获得个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者：

(a)处理是建立在第6（1）条（a）点或9（2）条（a）点所规定的同意，或者6（1）条所规定的合同的基础上的；

(b)处理是通过自动化方式的。

2．在行使第1段所规定的携带权时，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。

3．行使第1段所规定的权利，不能影响第17条的规定。对于控制者为了公共利益，或者为了行使其被授权的官方权威而进行的必要处理，这种权利不适用。4．第1段所规定的权利不能对他人的权利或自由产生负面影响。

第四部分反对的权利和自动化的个人决策

第21条反对权

1．对于根据第6（1）条（e）或（f）点而进行的关乎数据主体的数据处理，包括根据这些条款而进行的用户画像，数据主体应当有权随时反对。此时，控制者须立即停止针对这部分个人数据的处理行为，除非控制者证明，相比数据主体的利益、权利和自由，具有压倒性的正当理由需要进行处理，或者处理是为了提起、行使或辩护法律性主张。

2．当因为直接营销目的而处理个人数据，数据主体有权随时反对为了此类营销而处理相关个人数据，包括反对和此类直接营销相关的用户画像。

3．当数据主体反对为了直接营销目的而处理，将不能为了此类目的而处理个人数据。

4．至晚在和数据主体所进行的第一次沟通中，第1段和第2段所规定的权利应当让数据主体明确知晓，且应当与其他信息区分开来，清晰地告知数据主体。5．在适用信息社会服务的语境中，尽管存在2002/58/EC指令的规定，数据主体仍可以使用技术性条件、通过自动化方式行使反对权。

6．当个人数据是为了第89（1）条所规定的科学目的或历史研究目的或统计目的，数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理，除非处理对于实现公共利益的某项任务是必要的。

第22条自动化的个人决策，包括用户画像

1．数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。

2．当决策存在如下情形时，第1段不适用：

(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；

(b)当决策是欧盟或成员国的法律所授权的，控制者是决策的主体，并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益；或者

(c)当决策建立在数据主体的明确同意基础之上。

3．在第2段所规定的（a）和（c）点的情形中，数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益，以及数据主体对控制者进行人工干涉，以便表达其观点和对决策进行异议的基本权利。

4．第2段所规定的决策的基础不适用于第9（1）条所规定的特定类型的个人数据，除非符合第9（2）条（a）点或（g）点的规定，并且已经采取了保护数据

主体权利、自由与正当利益的措施。

第五部分限制

第23条限制

1．若控制者或处理者受欧盟法律或某成员国法律的调整，那么欧盟法律或该成员国法律可以通过立法手段限制第12至22条、34条以及第5条所赋予的责任

范围与权利范围，只要其法律条款和第12至22条所赋予的责任与权利相对应。如果此类限制尊重基本权利与自由的核心要素，并且此类限制是实现如下民主社会中的目的所必要和成比例的措施，那么此类限制应当被允许：

(a)国家安全；

(b)国防；

(c)公共安全；

(d)预防、调查、侦查、起诉刑事违法进行或者执行刑法，包括保障公共安全和预防对公共安全的威胁；

(e)其他些欧盟或某个成员国的重要一般公共利益，特别是欧盟或某个成员国的经济或金融利益，包括财政、预算、税收事项、公共健康和社会安全；

(f)司法独立和司法诉讼的保护；

(g)为了规制性职业而预防、调查、保护和起诉违反伦理的行为；

(h)和行使（a）（b）（c）（d）（e）（g）点中所规定的官方权威相联系的某项监控、调查或规制功能；

(i)保护数据主体或其他人的权利和自由；

(j)实施民事法律主张。

2．需要特别注意的是，至少在涉及到如下情形时，任何第1段所规定的立法措施都应当包含特定条款，规定：

(a)处理的目的或处理的类型；

(b)个人数据的类型；

(c)施加限制的范围；

(d)防止滥用或非法性访问或转移的措施；

(e)控制者的具体情况或控制者类型的具体情况；

(f)在考虑了处理的性质、范围和目的或处理类型之后所制定的储存期限和可适用的保障措施；

(g)数据主体的权利和自由所面临的风险；以及

(h)数据主体获知限制的权利，除非这种权利可能影响实现限制的目的。

第四章控制者和处理者

第一部分一般性责任

第24条控制者的责任

1．在考虑了处理的性质、范围、语境与目的，以及考虑了处理对自然人权利与自由所带来的不同概率和程度的风险后，控制者应当采取恰当的技术与组织措施，保证处理符合本条例规定的，并且能够证明处理符合本条例规定。必要时，这些措施应当被审查。

2．第1段所规定的措施，当和处理活动成比例时，应当包括控制者所采用的合适的数据保护政策。

3．遵守第40条所规定的已生效的行为准则，或遵守第42条规定的已生效的认证机制，这可以被用以证明控制者责任的合规性。

第25条通过设计的数据保护和默认的数据保护

1．在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者应当在决定处理方式时和决定处理时，应当采取合适的技术与组织措施，并且在处理中整合必要的保障措施，以便符合本条例的要求和保护数据主体的权利。例如，控制者可以采取匿名化，一种设计用来实施数据保护原则——比如数据最小化原则——的措施。

2．控制者有责任采取适当的技术与组织措施，以保障在默认情况下，只有某个特定处理目的所必要的个人数据被处理。这种责任适用于收集的个人数据的数量、处理的限度，储存的期限以及可访问性。尤其需要注意的是，此类措施必须确保，在默认情况下，如果没有个体介入，个人数据不能为不特定数量的自然人所访问。3．根据第42条的某种已生效的认证机制，可以被用来证明本条第1段和第2

段所规定的合规要求。

第26条共同控制者

1．当两个或更多控制者联合确定处理的目的与方法，它们就是共同控制者。它们应当以一种透明的方式确定遵守本条例责任的相应责任，尤其当其涉及到行使数据主体个人权利，以及涉及控制者为数据主体——根据他们的合约安排——提供第13条和第14条所规定的信息的相应责任，除非欧盟或成员国的法律已经对对控制者施加了相应责任。

2．第1段所规定的合约安排应当恰当地反映相对于数据主体的共同控制者的相应角色和相互关系。数据主体应当可以知晓安排的实质。

3．不论第1段所规定的合约安排的条款如何，数据主体都可以向任一控制者主张其本条例所赋予的权利。

第27条不在欧盟所设立的控制者或处理者的代表

1．在第3（2）条适用的情形下，控制者或处理者应当以书面形式在欧盟委任一名代表。

2．此项责任不应当适用于：

(a)除了第9（1）条所规定的特定类型数据的大规模处理，或者第10条所规定

的和刑事定罪或违法相关的个人数据处理之外的偶尔性处理，以及考虑到处理的性质、语境、范围和目的，不太可能对自然人的权利与自由带来风险的处理；或者

(b)公共机构或实体。

3．为数据主体提供相关商品或服务，或者监控数据主体的行为，数据主体的所在国之一应当设立代表。

4．为了确保对本条例的遵守，对于所有涉及到处理的事项，控制者或处理者应当做出强制性规定，确保其代表能在控制者或处理者之外收到信息，或者替代控制者或处理者收到信息，对于监管机构和数据主体所要求的事项尤其如此。5．控制者或处理者委任代表，不能影响控制者或处理者进行的法律行动。

第28条处理者

1．处理者代表控制者进行处理，控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。2．如果没有控制者之前的特别授权或一般书面授权，处理者不应聘用另一个处理者。在具有一般书面授权的情形下，对于涉及到补充或替换其他处理者的变动，处理者都应当告知控制者，以便使控制者有机会反对此类变化。

3．处理者的处理应当受某类合同或其他欧盟法与成员国法的约束，这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。此类合同或法律尤其应当对如下情形做出规定：

(a)只有在收到控制者的书面指示时才可以处理个人数据，在涉及到将个人数据转移到第三国或某个国际组织的事项中亦是如此，除非欧盟法或成员国法对处理者有要求；在这种情形下，处理者应当在处理之前将法律要求告知控制者，除非告知会影响重要的公共利益；

(b)对于被授权处理个人数据的人，确保其履行保密义务或法律上的适当保密责任；

(c)采取第32条所要求的所有措施；

(d)尊重第2段和第4段规定的聘用另一个处理者的条件；

(e)结合处理的性质，在可能的情形下，通过合适的技术与组织手段帮助控制者履行其责任，以便使得数据主体能够行使其第三章所规定的权利；

(f)结合处理的性质和处理者所能得到的信息，帮助控制者履行第32至36条所规定的责任；

(g)基于控制者的选择，在提供和处理相关的服务结束后，将个人数据删除或返还给控制者，并且删除已有备份，除非欧盟或成员国的法律要求储存个人数据；

(h)给控制者提供所有能够证明其已经遵循本条款规定责任的信息，以及有利于控制者或控制者委任的审计员进行审计和核查的信息。

关于第1段（h）点，如果处理者认为某项指示违反了本条例或其它欧盟或成员国的数据保护条款，其应当立即告知控制者。

4．当处理者代表控制者为了进行特定的处理活动而应聘另一处理者，第3段所规定的控制者和处理者之间的合同或其它法律条款所规定的数据保护责任应当通过合同或欧盟或成员国的法律条款而同等适用于另一处理者，尤其是应当采取充分的保障措施、恰当的技术与组织手段以满足本条例的要求。当另一个处理者无法完成其数据保护职责时，对其责任，处理者应当完全负担。

5．处理者遵守第40条所规定的已生效的行为准则，或者遵守第42条所规定的已生效的验证机制，这可以被作为证据之一，证明处理者已经采取了本条款第1段和第4段所规定的充分保障。

6．在不影响控制者和处理者之间的单独合同的前提下，第3段和第4段所规定的合同或法律条款可以全部或部分运用本条第7段和第8段所规定的格式合同条款，包括它们何时属于根据第42条和第43条规定的赋予给控制者或处理者的验证机制。

7．欧盟委员会可以对于本条第3段和第4段所规定的事项，根据第93（2）条所规定的检查程序而制定格式合同条款。

8．监管机构可以对本条第3段和第4段所规定的事项，根据第63条所规定的一致性机制而制定格式合同条款。

9．第3段和第4段所规定的合同或法律条款必须是书面的，包括以电子形式做出的书面记录。

10．在不影响第82、83、84条的情形下，如果某个处理者因为确定处理目的与方法方而违反了本条例，处理者应当在此次处理中被视为控制者。

第29条代表控制者或处理者进行的处理

对个人数据有访问权的处理者或控制者、处理者的代表人，未经控制者允许，不得处理该个人数据。欧盟法律或成员国法律另有规定的除外。

第30条处理活动的记录

1．每个控制者——以及如果有的话——每个控制者的代表，都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息：

(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式；

(b)处理的目的；

(c)对数据主体的类型以及个人数据的类型的描述；

(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型；

(e)如果适用的话，将个人数据转移到第三国或国际组织的记录，包括识别此第三国或国际组织的记录，以及在第49（1）条第二分段所提到转移的情形中，对适当保障措施的记录；

(f)如果适用的话，擦除不同种数据类型的预计期限；

(g)如果适用的话，对第32（1）条所规定的技术性与组织性安全措施的一般性描述。

2．每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录，包含如下信息：

(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官；

(b)代表每个控制者进行处理的类型；

(c)如果适用的话，将个人数据转移到第三国或国际组织的记录，包括识别此第三国或国际组织的记录，以及在第49（1）条第二分段所提到转移的情形中，对适当保障措施的记录；

(d)如果有的话，对第32（1）条所规定的技术性和组织性安全措施的一般性描述。

3．第1段和第2段所规定的记录应当是书面的，包括以电子形式作出的书面记录。

4．基于监管机构的要求，控制者或处理者以及——在有的情况下——控制者或处理者的代表，应当提供可获取的记录。

5．第1和第2段所规定的责任不适用于雇员少于250人的经济主体或组织，除非其进行的处理不是偶尔性的，而且可能会对数据主体的权利与自由带来风险，或者其处理包含了第9（1）条规定的特定种类的数据或第10条规定的和刑事犯罪和违法相关的个人数据。

第31条和监管机构的合作

在监管机构的要求下，控制者和处理者以及——在适用的情况下——它们的代表应当配合监管机构的工作。

第二部分个人数据的安全

第32条处理的安全

1．在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者和处理者应当采取包括但不限于如下的适当技术与组织措施，以便保证和风险相称的安全水平：

(a)个人数据的匿名化和加密；

(b)保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力；

(c)在遭受物理性或技术性事件的情形中，有能力恢复对个人数据的获取与访问；

(d)具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。

2．在评估合适的安全级别的时候，应当特别考虑处理所带来的风险，特别是在个人数据传输、储存或处理过程中的的意外或非法销毁、丢失、篡改、未经授权的披露或访问。

3．遵守第40条所规定的已生效的行为准则，或者遵守第42条所规定的已生效的验证机制，这可以被作为证据之一，证明已经遵守了本条款第1段的要求。4．控制者和处理者应当采取措施确保，除非接到控制者的指示，任何有权访问个人数据的处理者或任何代表控制者和处理者的自然人都不会进行处理，除非欧盟或成员国法律要求进行处理。

第33条向监管机构报告对个人数据的泄露

1．在个人数据泄露的情形中，如果可行，控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构，除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形，应当提供延迟告知的原因。

2．处理者在获知个人数据泄露后，应当及时告知控制者。

3．第1段所规定的告知应当至少包括：

(a)描述个人数据泄露的性质，在可能的情形下，描述包括相关数据主体的类型和大致数量，以及涉及到个人数据的类型与大致数量；

(b)告知数据保护官的姓名与详细联系方式，或者可以获取更多信息的其他联系方式；

(c)描述个人数据泄露的可能后果；

(d)描述控制者应对个人数据泄露已经采用或计划采用的措施，包括——如果合适的话——减少负面影响的措施。

4．在不可能同时提供信息的情形下，可以分阶段地及时提供信息。

5．控制者应当记录所有对个人数据的泄露，包括泄露个人数据相关的事实、影响与已经采取的救济行动。参照该记录，监管机构得以核实控制者是否遵守本条例的有关规定。

第34条向数据主体传达个人数据泄露

1．当个人数据泄露很可能给自然人的权利与自由带来高风险时，控制者应当及时向数据主体传达对个人数据泄露。

2．本条第1段所规定的向数据主体传达，应当以清晰和平白的语言传达个人数据泄露的性质，并且应当至少包括第33（3）条（b）（c）（d）点所提供的信息与建议。

3．当满足如下情形之一时，不要求控制者告知数据主体其个人数据被泄露的信息：

(a)控制者已经采取合适的技术与组织保证措施，并且那些措施已经应用于那些被个人数据泄露所影响的个人数据，特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施，例如加密；

(b)控制者已经采取后续措施，保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能；

(c)告知将需要付出不相称的努力。此时，应存在公告机制或类似措施来承担控制者的告知义务，并且与控制者告知相比，这种措施的告知效果应当至少有相同效果。

4．如果控制者仍然没有将个人数据泄露告知数据主体，监管机构在考虑了个人数据泄露所可能带来的高风险可能性后，可以要求其告知，或者可以认为符合第3段所规定的情形。

第三部分数据保护影响评估与提前咨询

第35条数据保护影响评估

1．当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、语境与目的后，控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类，那么此时仅对其中某一项活动进行评估即可。

2．如果控制者已经委任数据保护官，当其进行数据保护影响评估时，控制者应当向数据保护官进行咨询。

3．在如下情形中，第1段所规定的数据保护影响评估是尤其必须的：

(a)对与自然人相关的个人因素进行系统性与全面性的评价，此类评价建立在自动化处理——包括用户画像——基础上的，并且其决策对自然人产生法律影响或类似重大影响；

(b)以大规模处理的方式处理第9（1）条所规定的特定类型的数据，或者和第10条规定的定罪与违法相关的个人数据；或者

(c)以大规模的方式系统性地监控某个公众可以访问的空间。

4．监管机构应当建立并公开一个列表，列明符合第1段所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知第68条所提到欧盟数据保护委员会。

5．监管机构还可以建立一个公开性的列表，列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。6．在设置第4段与第5段所规定的列表之前，当此类列表涉及到为数据主体提供商品或服务，或者涉及到对多个成员国行为的监管，或者可能实质性地影响欧盟内部个人数据的自由流动，有职权的监管机构应当首先适用第63条所规定的一致性机制。

7．评估应当至少包括：

(a)对计划的处理操作和处理目的的系统性描述，以及——如果适用的话——对控制者所追求的正当利益的描述；

(b)对和目的相关的处理操作的必要性与相称性进行分析；

(c)对第1段所规定的给数据主体的权利与自由带来的风险的评估；

(d)结合数据主体和其他相关个人的权利与正当利益，采取的计划性风险应对措施，包括保障个人数据保护和证明遵循本条例的安全保障、安全措施和机制。8．评估相关控制者或处理者的处理操作的影响时，特别是评估数据保护影响时，应当合理考虑其对第40条所规定的已生效的行为准则的遵守。

9．在合适的情形下，如果其不影响保护商业或公共利益或处理操作的安全性，控制者应当咨询数据主体或数据主体代表对于其预期处理的观点。

10．当基于第6（1）条（c）或（e）点而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律，并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时，第1至7段不应当适用，除非成员国认为，有必要在处理活动前进行此类评估。

11．必要时，控制者应当进行核查，评估处理是否是符合数据保护影响评估，至少当处理操作所带来的风险存在变化时，应进行核查。

第36条提前咨询

1．当第35条所规定的数据保护影响评估表明，如果控制者不采取措施，处理会带来高风险，那么控制者应当在处理之前咨询监管机构。

2．当监管机构认为，第1段所规定的预期的处理将违反本条例，特别是当控制者无法识别或减小风险，监管机构应当在收到咨询请求的八个星期以内向控制者以及——在适用的情况下——处理者提供书面建议，并且可以使用第58条所规定的权力。考虑到预期处理的复杂性，这种期限可以延长六个星期。监管机构应当在收到咨询请求的一个月内向控制者以及——在适用的情况下——处理者告知延期以及延期的原因。监管机构可以延长期限，直到其获取了咨询所要求的信息。

3．当咨询第1段所规定的监管机构时，控制者应当向监管机构提供如下信息：(a)在适用的情形下，涉及到处理——特别是当处理是在一群企业内部进行的——的控制者、共同控制者和处理者的相应责任；

(b)预期处理的目的与方法；

(c)为了保障数据主体权利与自由所采取的符合本条例的方法与措施；

(d)在适用的情形下，数据保护官的详细联系方式；

(e)第35条所规定的数据保护影响评估；以及

(f)监管机构要求的所有其它信息。

4．成员国在起草相关立法草案以获得国会通过时，或者根据此类立法措施制定处理相关的规制措施时，应当咨询监管机构。

5．虽然有第1段的规定，但在和控制者履行实现公共利益任务相关的处理中，包括和社会保障与公共健康相关的处理中，成员国法律可以要求控制者在其处理相关的事项中咨询监管机构并且提前获取监管机构的授权。

第四部分数据保护官

第37条数据保护官的委任

1．在如下任一情形中，控制者和处理者应当委任数据保护官：

(a)处理是公共机构或公共实体进行操作的，法庭在履行其司法职能时除外；

(b)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控；或者

(c)控制者或处理者的核心活动包含了第9条规定的对某种特殊类型数据的大规模处理和第10条规定的对定罪和违法相关的个人数据的处理。

2．如果一组企业的每一个机构都能很容易联系数据保护官，这一组企业可以任命一个单独的数据保护官。

3．当控制者或处理者是一个公共机构或公共实体，基于它们的组织结构和规模，多个此类公共机构或实体可以共同委任一个数据保护官。

4．除了第1段所规定的情形，在欧盟或成员国法律要求的情形下，控制者或处理者，或代表某类控制者或处理者的协会和其他实体可以委任一名数据保护官。对于此类协会，或代表控制者或处理者的其他实体的活动，数据保护官有权代表它们进行活动。

5．数据保护官的委任必须基于其专业性的素质，其需要具有数据保护法律与实践的专业知识，以及完成第39条所规定的任务的能力。

6．数据保护官应当是控制者或处理者或基于服务合同而完成任务的一名职员。7．控制者或处理者应当发布数据保护官的详细联系方式，并向监管机构进行报告。

第38条数据保护官的职位

1．控制者和处理者应当确保，在所有与个人数据保护相关的事项中，数据保护官都应当以一种恰当和及时的方式介入。

2．控制者和处理者应当支持数据保护官履行第39条所规定的责任，应当提供其履行此类责任、访问个人数据、进行处理操作，以及维持其专业性知识的必要资源。

3．控制者和处理者应当确保个人数据保护官不会收到任何关于履行此类责任的指示。个人数据保护官不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告。

4．数据主体可以在所有和处理其个人数据相关的事项中，以及和行使本条例所赋予的权利相关的事项中联系数据保护官。

5．数据保护官在完成其任务时，应当遵守欧盟或成员国的法律，负有保密义务。6．数据保护官可以完成其他任务或责任。控制者或处理者应当保证任何此类任务和责任不会导致利益冲突。

第39条数据保护官的任务

1．数据保护官应当至少具有如下任务：

(a)对控制者或处理者，以及那些履行本条例和欧盟其他成员国数据保护条款所规定的处理责任的雇员进行告知，提供建议；

(b)确保遵守本条例、其他欧盟或成员国数据保护条款、和个人数据保护相关的控制者或处理者的政策，包括分配处理操作中以及相关审计中的责任、增强意识以及培训职员；

(c)根据要求，应当对数据保护影响评估以及根据第35条对其实施进行监管的事项提供建议；

(d)和监管机构进行合作；

(e)在与处理相关的事项中，包括第36条所规定的提前咨询中，以及——在适用的情况下——在其他所有相关事项的咨询中，充当监管机构的联系人。

2．数据保护官在履行其任务时，应当结合处理的性质、范围、语境与目的，合理地考虑处理操作所伴随的风险。

第五部分行为准则与认证

第40条行为准则

1．成员国、监管机构以及欧盟数据保护委员会与欧盟委员会鼓励在考虑不同处理部门的特征以及微型、小型以及中型经济主体的特定需求的基础上起草促进本条例合理适用的行为准则。

GDPR常见问题通用数据保护条例GDPR会对欧盟公民以及伊士...

GDPR常见问题《通用数据保护条例》（GDPR）会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。此条例旨在为公司收集的数据提供保护，让生活在欧盟的人拥有其个人信息处理方式的知情权。通过下文所列问题，您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解： GDPR是什么？ GDPR即为《通用数据保护条例》，这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题，并保护数据主体的个人数据。该法规于2018年5月25日生效，取代可追溯到1996年的旧法令。此条例适用于哪些人？该法规重点保护与个人数据处理和传送相关的数据主体。该主体必须为生活在欧盟境内的自然人，不一定取得欧盟公民身份。该主体不包括公司。个人数据包含哪些内容？个人数据包括与可识别的自然人相关的任何信息，比如姓名、电话号码（商业或个人）、电子邮件地址（商业或个人）、身份证号码、定位数据、信用卡号码、在线身份识别，或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息（PII）的内容。 GDPR赋予数据主体哪些权利？此条例赋予数据主体： ?获取自身数据的权利 ?修改自身数据的权利 ?删除自身数据的权利 ?限制处理自身数据的权利 ?数据可携权 ?反对权伊士曼可以收集并处理个人数据的法律依据是什么？ ?经由数据主体同意 ?数据主体基于合同履行同意 ?用于伊士曼履行欧盟或成员国法律所规定的法律义务 ?为了保护自然人的切身利益 ?为了执行欧盟或成员国法律中规定的符合公众利益的任务 ?用于保护伊士曼或第三方的合法权益

欧盟《通用数据保护条例》GDPR-精排版

欧盟《通用数据保护条例》(GDPR) 2018.5.25

第一章一般条款 (5) 第1条主要事项与目标 (5) 第2条适用范围 (5) 第3条地域范围 (5) 第4条定义 (6) 第二章原则 (8) 第5条个人数据处理原则 (8) 第6条处理的合法性 (9) 第7条同意的条件 (10) 第8条信息社会服务中适用儿童同意的条件 (11) 第9条对特殊类型个人数据的处理 (11) 第10条处理涉及犯罪定罪与违法的个人数据 (12) 第11条不需要识别的处理 (12) 第三章数据主体的权利 (13) 第一部分透明性与模式 (13) 第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13) 第二部分信息与对个人数据的访问 (14) 第13条收集数据主体个人数据时应当提供的信息 (14) 第14条未获得数据主体个人数据的情形下，应当提供的信息 (15) 第15条数据主体的访问权 (16) 第三部分更正与擦除 (17) 第16条更正权 (17) 第17条擦除权（“被遗忘权”） (17) 第18条限制处理权 (18) 第19条关于更正或擦除或限制处理中的通知责任 (18) 第20条数据携带权 (18) 第四部分反对的权利和自动化的个人决策 (19) 第21条反对权 (19) 第22条自动化的个人决策，包括用户画像 (19) 第五部分限制 (20) 第23条限制 (20) 第四章控制者和处理者 (21) 第一部分一般性责任 (21) 第24条控制者的责任 (21) 第25条通过设计的数据保护和默认的数据保护 (21) 第26条共同控制者 (21) 第27条不在欧盟所设立的控制者或处理者的代表 (22) 第28条处理者 (22) 第29条代表控制者或处理者进行的处理 (24) 第30条处理活动的记录 (24) 第31条和监管机构的合作 (25) 第二部分个人数据的安全 (25)

《新的数据保护法案：我们的改革》报告

《新的数据保护法案：我们的改革》报告 2017年8月，英国数字、文化媒体和体育部发布了一份名为《新的数据保护法案：我们的改革》的报告（以下简称《报告》），将通过一部新的数据保护法案以更新和强化数字经济时代的个人数据保护。2017年9月，英国政府公布了法案的文本。该法案目前将进行进一步的讨论和修改，并有希望在2018年5月25日前获得英国上议院和下议院的批准，经女王御准后就会正式成为具有强制力的议会法令（Act），预计将取代实施了近二十年的《1998年数据保护法》。技术进步和数字经济发展推动立法变革据英国相关负责人介绍，在过去的近二十年里，原有的《1998年数据保护法》发挥了重要的作用，但技术和社会发展都在不断变化，特别是物联网、社交媒体等技术和应用产生了越来越多的数据。与此同时，数据收集、存储、处理成本的降低以及计算能力的增强使得数据成为重要的原材料，这些伴随而来的新机会深刻影响并改变了创新、商业、消费服务等方方面面的活动，也进一步增加了数据安全威胁。因此，对个人数据的保护也应该与时俱进。《报告》同时指出，新数据保护法案的推出也是为支持和推动英国数字经济发展的需要。根据波士顿咨询公司的数据，英国是G20国家中互联网经济渗透率最高的国家，2016年互联网经济占GDP的比重达到了12.4%，是G20国家平均值5.3%的两倍多。英国政府的目标是要将英国打造成最安全的开展在线商业活动的国家，数字经济的发展推动个人数据不断增长，而对于个人数据保护的水平也应该同步提高。除此之外，推出新的数据保护法案也是为了配合欧盟将于2018年5月正式实施的《通用数据保护条例》（GDPR）。虽然英国在2016年6月23日公投脱欧，但目前并未完成退欧的法定程序，英国仍然还是欧盟的成员，依法享有欧盟成员国的权利和义务。因此，制定新数据保护法案也是欧盟GDPR在英国落地的需要。三大目标打造安全可靠的网络空间

欧盟《通用数据保护条例》合规指南

欧盟《通用数据保护条例》合规指南 E安全 E安全5月29日讯欧盟《通用数据保护条列》（简称GDPR）于2018年5月25日正式生效。英国一份政府调研显示，只有38%的英国公司在GDPR 生效前100天才开始关注该条例，许多美国公司也一样。按照GDPR 的规定，企业违规可能会面临高达2000万欧元（约合人民币1.28亿元）或企业全球年收入的4%的罚款（取两者中最高的）。除了高额罚款，欧盟数据保护机构（DPA）可在必要时采取纠正处罚，例如禁止处理数据，并对常见的数据处理活动实施临时/确定性限制。因此，想要在欧洲市场立足的企业除了努力满足合规外别无他法。满足GDPR 的要求，企业到底需要重点了解哪些信息？不少组织发现保障合规性远比预期的要复杂。市场调查公司Propeller Insights 的一项调查显示，52%的受访企业认为将面临违规罚款。不过，只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力，监管机构就可能会"宽大处理"。不过，尽管如此，仍免不了高额罚款。因此，满足GDPR 的合规性可谓任重道远。一、数据控制者&数字处理者按照GDPR 第4条的第（7）点和第（8）点，数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织，负责决定处理个人数据的目的和方式，不过具体标准应以欧盟或其成员国的法律予以规定；数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是，有时难以确定某个实体到底属于数据控制者还是处理者。谷歌的复杂身份特例：当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时，谷歌就是一个数据控制者；当涉及使用Google

欧盟《通用数据保护条例》GDPR_高质量译文(全)

通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第4条定义就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

欧盟《通用数据保护条例》(GDPR)

欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论，被成为史上最严数据保护法案的欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于将在2018年5月25日生效。通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d)）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

欧盟GDPR《一般数据保护法案》译文

译文｜欧盟GDPR《一般数据保护法案》编者按：2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation，GDPR），该法案将于 2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚，以及对我国与数据相关的法学研究都具重要意义。新法案由11章共99条组成，中文译本由中国政法大学互联网金融法律研究院（Internet financial law research institute of CUPL ,IFLRI）组织翻译。第一章一般规定第1条主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。 2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。第2条适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。 2. 本法不适用于以下个人数据的处理： (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。 3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

GDPR通用数据保护条例认证规则

编号：BMS-SC-051 GDRP通用数据保护条例认证规则版本：A 发行日期：20190528 GDPR通用数据保护条例认证规则目录 1.标准简介 2.适用范围 3. 认证基本原则 4. 对认证人员的要求 5. 申请和合同评审程序 6．审核准备 7. 初次认证审核 8. 审核实现 9．认证决定 10. 暂停、撤销和取消 11. 受理申诉和投诉 12. 认证记录管理附录 A 通用数据保护条例认证人天计算表必维认证（北京）有限公司 1

编号：BMS-SC-051 GDRP通用数据保护条例认证规则版本：A 发行日期：20190528 1 标准简介 2018年5 月25日正式生效的GDRP通用数据保护条例旨在加强对个人（自然人）数据隐私的保护，并统一之前欧盟区内分散化的个人数据保护法律法规。GDPR是迄今为止覆盖面最广的全球性数据隐私保护法规，任何处理欧盟公民个人数据的组织都必须遵守该条例，无论该组织设立地是否在欧盟。新条例的通过意味着欧盟对个人信息保护及监管，达到了前所未有的高度，堪称史上最严格的数据保护条例。 2 适用范围 2.1本规则用于规范必维认证（北京）有限公司（以下简称“必维”）对申请认证和获证的各类组织按照GDRP《通用数据保护条例-要求》建立通用数据保护技术标准管理体系的认证活动。 2.2本规则是对必维从事基于通用数据保护条例建立的技术标准管理体系认证活动的基本要求，公司各部门从事该项认证活动应当遵守本规则。 3 认证基本原则 3.1公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的。 3.2 能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机制，保障的人员能力是提供可建立信心的认证审核的必要条件。 3.3 责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在此基础上做出认证决定。 3.4 开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关通用数据保护条例认证审核过程和状态的适宜、及时的信息，或提供获取上述信息的公开渠道。 3.5 保密性：公司采取措施对任何关于客户的专有信息予以保密，但对于享有必维认证（北京）有限公司 2

欧盟《通用数据保护条例》GDPR-高质量译文(全)

通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织精品文档，你值得期待第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款

经过欧盟议会长达四年的讨论，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）终于在2018年5月25日生效。第一章一般条款第1条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。第2条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。第3条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第4条定义就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、

《信息安全等级保护管理办法》(全文)

7月24日，公安部网站发布四部门联合制定的《信息安全等级保护管理办法》，全文如下：第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

《通用数据保护条例》内容及实践浅析

龙源期刊网 https://www.wendangku.net/doc/cd609753.html, 《通用数据保护条例》内容及实践浅析作者：冯梦琦来源：《法制与社会》2019年第12期摘要本文以欧盟《通用数据保护条例》（GDPR）的颁布和实施为背景，对GDPR的内容和影响进行简要的分析。GDPR规定的核心内容为对互联网企业占有和使用用户数据进行限制，以保护数据主体的个人信息自主权益。这一规定对全球范围内各大互联网企业造成了较大的冲击，但是规范数据的使用，保护个体用户的数据权益是现今互联网法制建设的主题。关键词通用数据保护条例个人信息保护互联网作者简介：冯梦琦，哈尔滨商业大学法学院硕士研究生，研究方向：经济法。 2016年4月14日，欧盟议会和欧盟理事会通过了《通用数据保护条例》（以下简称“GDPR”），2018年5月25日，GDPR正式生效。自此，欧盟正式启动了史上最严格的个人信息保护规则。一方面，GDPR赋予了个体用户对于自身数据更多的自主权和选择权;另一方面，GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则。虽然GDPR作为市场监管类规则，并未解决数据作为无形资产的权利归属，但是规则明确地将数据的支配权利赋予了“数据主体”（datasubject），即产生数据的个体用户。 GDPR是在1995年欧盟议会出台的《数据保护指令》（以下简称“DPD”）的基础上重新制定而来，具体而言其变化注要体现在以下几个方面：首先，GDPR的适用范围较DPD有明显的扩大，几乎涵盖了全球所有的跨境互联网服务提供商，其不仅适用于欧盟境内与用户数据有关的所有企业，而且适用于与向欧盟境内数据主体提供服务有关或涉及监测欧盟境内数据主体的企业。其次，GDPR十分强调数据主体的权利保护，其赋予了数据主体更加广泛、更加细化且更具有可操作性的各项权利，内容包括但不限于对数据的知情权、修改权、注销权、限制处理权、可移植性决定权、拒绝处理权等。GDPR条款一旦落实，数据主体就能够基本实现随时接触、授权处理、取消授权、修改和注销自己产生的数据信息，可以很大程度避免作为数据控制者（controller）和处理者（processor）的企业在未授权的情况下形成数据主体的数据侧写并据此获利，企业也无法在未授权的情况下向数据主体进行偏好推送或差别定价。数据主体的知情权包括数据主体有权知道其个体用户的哪些类型的数据被企业收集并进行处理，具体有哪些企业对相关数据收集和处理，企业收集和处理个体用户主体的目的以及处理后信息的用途，相关数据是否会对第三方披露等。数据主体的修改权是指其认为个体用户数据有错误、发生变动或内容不完整时，有权要求数据控制者立即进行修改。数据主体的注销权亦被译被遗忘权，是指在满足一定的条件时，数据主体有权要求数据控制者和处理者立即删除自己的用户数据，且这一规定赋予了数据主体对于删除用户数据独有的决定权，只要其认为个体

欧盟及英国个人数据保护法的最新发展及对中国立法的启示

欧盟及英国个人数据保护法的最新发展及对中国立法的启示通过系统性介绍和解读欧盟《通用数据保护条例》(General Data Protection Regulation,以下称“GDPR”)和英国《2018数据保护法案》(Data Protection Act 2018,以下简称“DPA 2018”)两部立法主要内容及特点,论文为相关领域学者研究解读两部立法提供支持;通过对比分析两部立法存在的差异及潜在性问题,为我国借鉴、引用两部立法提供客观评估;通过分析我国在个人信息保护立法领域仍存在的问题,在立足我国国情基础上,总结两部法律对我国立法的启示。论文运用了比较分析法、文献研究法和实证分析法,对GDPR和DPA 2018立法本身及对国内数据保护立法的适用性进行分析和解读,对主要内容、立法特点和相关重要案件进行详细介绍。论文首先对GDPR进行解读,涵盖一般性条款、原则性条款、数据主体权利、控制者的义务、个人数据跨境转移规则等多个方面,并通过最新或典型案例进一步阐述该法案或相关重要规定在实践中的应用;在此基础上,以批判性视角分析该部法案在实践中可能带来的问题。论文接着对DPA 2018进行解读,将DPA 2018与GDPR进行比较,归纳二者的联系和区别;此外,该部分分析了“脱欧”对英国数据保护法带来的影响,并通过典型案例解析相关重要术语在司法判例中的应用。论文还对我国当前个人数据保护立法现状进行概述,通过典型案例进一步阐释我国立法在该领域取得的突破。同时,在分析前文两部立法基础上,指出我国当前个人数据保护立法仍然存在的问题,并针对性总结对我国的立法启示,提出相应解决方案。本文厘清了 GDPR部分争议点,通过将其与DPA 2018进行比较,发现GDPR在应用于欧盟成员国时带来的不足,为我国借鉴GDPR树立良好应用之典范;通过将两部法律与国内数据保护立法相比较,指明了国内立法的不足和需要改进的地方,包括“缺乏专门的个人数据保护立法”“缺乏专门的个人数据保护管理机构”“个人数据保护规则不健全,”“个人数据跨境流动问题缺乏统一规范标准”四大问题。同时,本文还重点预测并分析了“脱欧”给英国未来的数据保护法律带来的影响。本文在最后章节提出了适合我国国情的立法建议,在“引入’场景’和’风险管理’理论”“弱化’同意授权’,扩大数据处理的其他合法性基础,,”“建设完善个人数据的跨境流动制度”“如何应对《通用数据保护条例》的长臂管辖原