【2018.5】欧盟GDPR《一般数据保护法案》

中国政法大学互联网金融法律研究院翻译中国政法大学互联网金融法律研究院翻译欧盟GDPR《一般数据保护法案》中国政法大学互联网金融法律研究院翻译2第一章一般规定第1条主题与目标1.本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。2.本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。3.不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。第2条适用范围1.本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。2.本法不适用于以下个人数据的处理：(a)发生在联盟法律范围之外的活动过程中;(b)由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;(c)由自然人在纯粹的个人或家庭活动的过程中;(d)由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。3.欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。中国政法大学互联网金融法律研究院翻译3根据本法第98条，处理个人数据适用第45/2001号条例和其他联盟法律法规的，应当符合本法的原则和规则。4.本法不影响2000/31/EC指令的适用，特别是该指令第12条至第15条中的中间服务提供商的责任规则。第3条地域范围1.本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。2.本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：(a)发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或(b)是对数据主体发生在欧盟内的行为进行的监控的。3.本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。第4条定义为本法之目的：(1)“个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。（2）“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播中国政法大学互联网金融法律研究院翻译4或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。（3）“处理限制”是指对已存储的个人数据的标识，用于在将来限制他们的处理行为；（4）“剖析”是指为评估与自然人相关的某些个人情况，对个人数据进行任何自动化处理、利用的方式，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。（5）“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。（6）“整理汇集系统”是一种依照特定标准，如集中、分散或功能分布或地域基准存取个人数据的结构化集合。（7）“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式，以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。（8）“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。（9）“接收者”是指接收到被传递的个人数据的，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是，政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的，不得被视为“接收者”；政府处理这些数据应当根据数据处理的目的，遵循可适用的数据保护规则。中国政法大学互联网金融法律研究院翻译5（10）“第三方”是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自然人、法人、公共机构、行政机关或其他非法人组织。（11）数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她有关的个人数据被处理。（12）“个人数据外泄”是指个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。（13）“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息，并且上述数据往往来自于对该自然人生物样本的分析结果。(14)“生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识，比如人脸图像或指纹识别数据。（15）“有关健康的数据”是指与自然人身体或精神健康有关的个人数据，包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。（16）“主营业地”意味着：(a)对于营业机构在多个成员国的的控制者，除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式，否则其在欧盟内的主要管理者所在地被视为主营业地。(b)对于营业机构在多个成员国的处理者，其在欧盟内的主要管理者所在地，在本法下承担特定义务；如果处理者在欧盟内没有主要管理者，在处理者的营业机构的营业范围内进行主要处理行为的营业地，在本法下承担特定义务。中国政法大学互联网金融法律研究院翻译6(17)“代表”指由控制者和处理者依照第27条书面指定的，代表控制者和处理者分别履行本法规定的义务的欧盟内的自然人、法人。(18)“企业”是指参与经济活动的自然人或法人，无论其为何种组织形式，可以包括合伙或经常性参与经济活动的协会。(19)“企业团体”是指一个管控性的企业以及受其管控的企业群。(20)“约束性企业规则”是指成员国领土上的控制者和处理者通过事业集团或企业集团进行的联合经济活动，而致个人数据传输或系列传输到一个或多个第三方国家的控制者或处理者时必须遵循的个人数据保护政策。(21)“监管机构”是指一个独立的，由成员国依据第51条设立的公权力机构。(22)“有关监管机构”是与人数据处理有关的监管机构，因为:(a)控制者或处理者是建立在监管机构所在的成员国领土上的；(b)居住在监管机构所在成员国的数据主体被或可能被处理行为严重影响；或(c)一个由监管机构提交的申诉；(23)“跨境处理”是指以下情形之一：(a)个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。(b)个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中，但是这种处理严重影响或可能会严重影响多个成员国的数据主体。(24)“相关与合理异议”是指一种关于是否存在违反本法情况，或是控制者或处理者是否存在遵守本法的预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成的风险的重要影响，以及此种异议也适用于欧盟内的个人数据自由流动。中国政法大学互联网金融法律研究院翻译7(25)“信息社会服务”是指欧洲议会和理事会的指令（欧盟）2015/1535的第一条（1）款的（b）项中定义的服务。(26)“国际组织”是指依照国际公法设立的组织及其下属机构，或依据或以两个或更多国家之间达成的协议为基础建立的其他机构。第二章原则第5条与个人数据处理相关的原则1.个人数据应：(a)以合法、公正、透明的方式处理与数据主体有关的（“合法性、公平性和透明性”）;(b)为特定的、明确的、合法的目的收集，并且不符合以上目的不得以一定的方式进行进一步的处理；为公共利益、科学，或历史研究目的，或统计目的而进一步处理，按照第89条第（1）款，不应被视为不符合初始目的（“目的限制”）；(c)充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据最小化”）；(d)准确，必要，及时；为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不精确的（“精度”）；(e)在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；为了保护数据主体的权利和自由，依据第89条（1）予以实施本法所要求的适度的技术和组织措施，只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理，个人数据能被长时间存储（“存储限制”）。(f)以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。中国政法大学互联网金融法律研究院翻译82.控制者应该负责，并能够证明符合第一项(“问责制”)。第6条处理的合法性1.只有在适用以下至少一条的情况下，处理视为合法：（a）数据主体同意他或她的个人数据为一个或多个特定目而处理;（b）处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；（c）处理是为履行控制者所服从的法律义务之必要；（d）处理是为了保护数据主体或另一个自然人的切身利益之必要；（e）处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；（f）处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。前第一款（f）项不适用于政府当局在履行其职责时进行的处理。2.成员国可以维持或引入更具体的规定来适应本法关于处理的条款应用，通过设定包括在第九部分中规定的其他具体处理情形，设定更准确具体的处理要求和其他措施来确保合法和公平的处理，以遵守第一款的(c)项和(e)项，3.第一款的(c)项和(e)项所指的处理的依据如下：（a）欧盟法律；或（b）控制者所属的成员国法律。处理的目的应当依据法律确定，或者根据第一款（e）项中所指之处理，即应当为了执行公共利益领域的任务或行使控制者既定的公务职权之必要。法律依据可以包括具体条款以此来适应本法条款的应用，特别是：调整控制者处理合法性的一般条件；被处理的中国政法大学互联网金融法律研究院翻译9数据类型；与数据主体相关的；个人数据可能被披露的实体和目的；目的限制；存储期限；以及处理操作和处理程序，包括确保合法和公平处理的措施，诸如那些在第九部分提及的其他具体处理情况。欧盟或成员国法律应当符合公共利益的目标以及与追求的正当目标相称。4.当处理不是为了个人数据被收集时的那个目的，并且这个目的不是基于数据主体的同意，亦非基于在民主社会构成一个必要且适当措施来保障第23条（1）款所指之目标的欧盟或成员国法律，控制者应当为了查明为其他目的进行的处理是否与个人数据最初被收集时的目的相一致而考虑，特别是：（a）任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系；（b）个人数据被收集时的情形，尤其是关于数据主体和控制者的关系的；（c）个人数据的性质，尤其不管是依据第9条被处理的特殊类别的个人数据，还是依据第10条与刑事定罪和罪行有关的个人数据；（d）预期进一步处理给数据主体可能造成的后果；（e）适当的可能包括加密或匿名化的保障措施的存在。第7条同意的要件1.如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据。2.如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分，均不具约束力。中国政法大学互联网金融法律研究院翻译103.数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前，数据主体应被告知上述权利。撤回同意应与作出同意同样容易。4.当评估同意是否是自由作出时，应尽最大可能考虑，还应考虑合同的履行，包括服务的提供是否是基于对履行合同不必要的个人数据的同意。第8条关