《欧盟数据保护通用条例》详解.pdf

9页

0次

2024-10-05

免费下载

FORUM 论坛

《欧盟数据保护通用条例》详解

中国信息通信研究院互联网法律中心，北京 100191

摘要

关键词

doi: 10.11959/j.issn.2096-0271.2016045

Deconstructing the EU General Data

Protection Regulation

WANG Rong

Internet Law Center of China Academy of Information and Communication Technology, Beijing 100191, China

Abstract

The EU General Data Protection Regulation (GDPR) has taken effect on May 25, 2018. In order to catch up with the new

trend of digital era, companies from all over the world are actively preparing for the related compliance work. The major

changes of this new regulation were demonstrated comprehensively. It will provide a reference for companies and new

prospective for China

’

s data protection policy making in big data era.

Key words

General Data Protection Regulation (GDPR), change, compliance

2016045-1

BIG DATA RESEARCH 大数据

2016025-2

1 引言

2 0 1 2 年，欧盟启动对 1 9 9 5 年《数据

保护指令》

①

（以下简称《指令》）的修订

工作。在历经 4 年多的立法协商之后，《欧

盟数据保护通用条例》（General Data

Protection Regulation，GDPR）

②

（以下简

称《条例》）已正式通过，并将于 2 0 1 8 年 5 月

25日全面实施。以下详细介绍《条例》带来

的10个方面的主要变化。

2 变化1：适用范围极大扩展

法律的适用范围从过去的属地主义

向属人主义扩展。1 9 9 5 年的《指令》的适

用范围取决于属地因素，要么机构的成立

地在欧盟，要么利用欧盟境内的设备进行

个人数据的处理活动（仅仅是传输通道除

外）。新《条例》不仅考虑属地因素，还增

加了属人因素。简言之如下。

● 对于成立地在欧盟的机构来说，法

律的适用范围并没有发生大的变化，但强

调了无论数据处理的活动是否发生在欧盟

境内，都统一遵循《条例》。

● 对于成立地在欧盟以外的机构来说，

则适用属人因素。只要其在提供产品或者服

务的过程中（不论是否收费）处理了欧盟境

内个体的个人数据，将同样适用于《条例》。

此类情形还包括对欧盟境内个人活动的监

控行为。根据《条例》说明部分的解释，监

控行为包括了利用cookie等互联网技术工具

对个人网络活动的跟踪分析（第3条）。

也就是说任何网站甚至App只要能够

被欧盟境内的个人访问和使用、产品或服

务使用的语言是英语或者特定的欧盟成

员国语言、产品标识的价格为欧元，都可以

被理解为该产品、服务的目标用户包括欧盟

境内用户，从而需要适用《条例》。这也是缘

何《条例》在全球引起极大震动的核心原因

之一。不论是银行、保险、航空等传统行业，

还是电子商务、社交网络等新兴领域，只要

涉及向欧盟境内个人提供服务并处理个人

数据，都将落入《条例》适用范围，除非放

弃欧盟5亿发达人口市场。

3 变化2：统一的法律规则之下仍有

一些例外

此次立法主旨之一是结束1995年《指

令》以来各成员国之间的数据保护法律制度

差异问题，《条例》的统一规定将直接适用于

各成员国。但值得注意的是，《条例》仍然为

各成员国预留了一定自主空间，如下所示。

● 《条例》对于儿童个人数据做出了特

殊保护规定，但允许成员国对于儿童的年龄

标准在13～16岁做出调整（第8条）。

● 在处罚方面，《条例》规定了实施行

政罚款的一般性条件，但同时也授权成员

国规定其他处罚类型的规则，这些处罚适

用于违反了《条例》但并不符合行政罚款

条件的违法行为（第 8 4 条）。

● DPO（data protection officer，数据保

护官）的设立。除了《条例》规定的必须设立

DPO的情形，《条例》还授权成员国可以扩

展必须设立DPO的其他情形（第37条）。

● 成员国可以在未来针对基因、生物

识别以及健康数据的保护做进一步规定

（第 9 条）。

● 成员国可以依据《条例》的基本原

则，针对雇佣领域的数据保护，做出进一步

的规定（第 8 8 条）。

除以上列举之外，在《条例》中此类授

权成员国可作出进一步具体规定的条款还

有很多。因此，尽管统一的《条例》为企业

①

Directive

95/46/EC of

the European

Parliament and

of the Council of

24 October 1995

on the protection

of individuals

with regard to

the processing

of personal data

and on the free

movement of

such data

②

REGULATION

(EU) 2016/679 OF

THE EUROPEAN

PARLIAMENT

AND OF THE

COUNCIL of 27

April 2016 on

the protection of

natural persons

with regard to

the processing

of personal

data and on the

free movement

of such data,

and repealing

Directive 95/46/

EC (General

Data Protection

Regulation)

(Text with EEA

relevance) THE

EUROPEAN，

4.5.2016 L 119/1

Official Journal

of the European

Union

2016016-942016045-2

BIG DATA RESEARCH 大数据

2016025-2

1 引言

2 0 1 2 年，欧盟启动对 1 9 9 5 年《数据

保护指令》

①

（以下简称《指令》）的修订

工作。在历经 4 年多的立法协商之后，《欧

盟数据保护通用条例》（General Data

Protection Regulation，GDPR）

②

（以下简

称《条例》）已正式通过，并将于 2 0 1 8 年 5 月

25日全面实施。以下详细介绍《条例》带来

的10个方面的主要变化。

2 变化1：适用范围极大扩展

法律的适用范围从过去的属地主义

向属人主义扩展。1 9 9 5 年的《指令》的适

用范围取决于属地因素，要么机构的成立

地在欧盟，要么利用欧盟境内的设备进行

个人数据的处理活动（仅仅是传输通道除

外）。新《条例》不仅考虑属地因素，还增

加了属人因素。简言之如下。

● 对于成立地在欧盟的机构来说，法

律的适用范围并没有发生大的变化，但强

调了无论数据处理的活动是否发生在欧盟

境内，都统一遵循《条例》。

● 对于成立地在欧盟以外的机构来说，

则适用属人因素。只要其在提供产品或者服

务的过程中（不论是否收费）处理了欧盟境

内个体的个人数据，将同样适用于《条例》。

此类情形还包括对欧盟境内个人活动的监

控行为。根据《条例》说明部分的解释，监

控行为包括了利用cookie等互联网技术工具

对个人网络活动的跟踪分析（第3条）。

也就是说任何网站甚至App只要能够

被欧盟境内的个人访问和使用、产品或服

务使用的语言是英语或者特定的欧盟成

员国语言、产品标识的价格为欧元，都可以

被理解为该产品、服务的目标用户包括欧盟

境内用户，从而需要适用《条例》。这也是缘

何《条例》在全球引起极大震动的核心原因

之一。不论是银行、保险、航空等传统行业，

还是电子商务、社交网络等新兴领域，只要

涉及向欧盟境内个人提供服务并处理个人

数据，都将落入《条例》适用范围，除非放

弃欧盟5亿发达人口市场。

3 变化2：统一的法律规则之下仍有

一些例外

此次立法主旨之一是结束1995年《指

令》以来各成员国之间的数据保护法律制度

差异问题，《条例》的统一规定将直接适用于

各成员国。但值得注意的是，《条例》仍然为

各成员国预留了一定自主空间，如下所示。

● 《条例》对于儿童个人数据做出了特

殊保护规定，但允许成员国对于儿童的年龄

标准在13～16岁做出调整（第8条）。

● 在处罚方面，《条例》规定了实施行

政罚款的一般性条件，但同时也授权成员

国规定其他处罚类型的规则，这些处罚适

用于违反了《条例》但并不符合行政罚款

条件的违法行为（第 8 4 条）。

● DPO（data protection officer，数据保

护官）的设立。除了《条例》规定的必须设立

DPO的情形，《条例》还授权成员国可以扩

展必须设立DPO的其他情形（第37条）。

● 成员国可以在未来针对基因、生物

识别以及健康数据的保护做进一步规定

（第 9 条）。

● 成员国可以依据《条例》的基本原

则，针对雇佣领域的数据保护，做出进一步

的规定（第 8 8 条）。

除以上列举之外，在《条例》中此类授

权成员国可作出进一步具体规定的条款还

有很多。因此，尽管统一的《条例》为企业

①

Directive

95/46/EC of

the European

Parliament and

of the Council of

24 October 1995

on the protection

of individuals

with regard to

the processing

of personal data

and on the free

movement of

such data

②

REGULATION

(EU) 2016/679 OF

THE EUROPEAN

PARLIAMENT

AND OF THE

COUNCIL of 27

April 2016 on

the protection of

natural persons

with regard to

the processing

of personal

data and on the

free movement

of such data,

and repealing

Directive 95/46/

EC (General

Data Protection

Regulation)

(Text with EEA

relevance) THE

EUROPEAN，

4.5.2016 L 119/1

Official Journal

of the European

Union

2016016-942016045-2

of 9

免费下载

gdpr

关注

评论