搜索
一般数据保护法(GeneralDataProtectionRegulation)全文译文译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰国家金融IC卡安全检测中心信息安全实验室北京交通大学金融信息安全研究所上海交通大学网络空间安全学院2018年3月30日《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第1页共67页《一般数据保护法案》GeneralDataProtectionRegulationREGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016第一章.总则第1条主题与目标1该法规制定了在处理个人资料方面保护自然人的规则,及与个人资料自由流动有关的规则。2本法规保护自然人的基本权利和自由,尤其是自然人保护其个人资料的权利。3不得以保护与个人数据处理相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。第2条适用范围1本法规完全或部分适用于以自动方式对个人数据的处理,除了以自动方式处理构成或拟构成档案系统一部分的个人资料。2本法不适用于以下个人数据的处理:a)在一项不属于欧盟法律范围活动的过程中;b)成员国在开展属于“欧盟条约(TEU,theTreatyonEuropeanUnion)”第五卷第2章范围内的活动时;c)自然人在纯粹的个人或家庭活动中;d)由主管当局以预防、调查、侦查或起诉刑事犯罪为目的;或执行的刑事处罚,包括防范和防止对公共安全的威胁。3欧盟各机构、机关、办事处和专门行政部门(代理机构)处理个人数据,适用第45/2001号法规。第45/2001号法规和其他适用于处理个人资料的欧盟法律应根据本法规第98条的规定对其进行调整。4本法规不影响第2000/31/EC指令的适用,特别是该指令第12条至第15《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第2页共67页条对中间服务提供商的责任规则。第3条地域范围1本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。2本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:a)发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付费用;或b)是对数据主体发生在欧盟内行为的监控。3本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。第4条定义为了达到本法规目的:1“个人资料”是指与一个确定的或可识别的自然人相关的任何信息(数据对象)。可识别的自然人指可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号码、位置数据、在线身份识别等标识符,或参考与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。2“处理”是指针对个人数据或个人数据集合的单一操作或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或以其他方式应用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。3“限制处理”是指对储存的个人资料作标记,以限制日后的处理。4“特征分析”是指任何对个人数据进行的自动处理,包括利用个人数据对自然人的某些个人方面的评估,特别是对自然人在工作、经济状况、健康、个人喜好、兴趣、可靠性、行为、地点或流动性等方面的分析或预测。5“匿名化”是一种处理个人资料的方式,即不使用额外信息便不能将个人资料归于某一特定资料主题,该处理方式需将额外信息分开存储,并施加技术和组织措施,以确保个人资料不属于已识别或可识别的自然人。《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第3页共67页6“整理汇集系统”是一种依照特定标准,无论集中、分散(基于功能或地理基础上的分散)都可访问的任意结构化个人数据。7“控制者”是能单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理目的和方式,以及控制者或控制者提名资格的具体标准由欧盟或其成员国的法律予以规定。8“处理者”是指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。9“接收者”是指被披露个人数据的接收者,无论其是否是第三方自然人、法人、公共机构、行政机关或其他非法人组织。政府当局在欧盟或其成员国法律框架内的特定调查接收到个人数据时,不得被视为“接收者”;政府处理这些数据应当根据数据处理的目的,遵循可适用的数据保护规则。10“第三方”是指自然人或法人、政府当局、机构或除了数据主体的机构、控制者、处理者,以及在控制者或处理者直接授权下有权处理个人数据的人。11对数据主体的“同意”是指任何自由、具体、知情和毫不含糊地表示数据主体意愿的行为,通过声明或明确的肯定行动表示同意处理与其有关的个人数据。12“个人数据外泄”是指引起了意外或非法毁坏、遗失、更改、未经授权披露或访问传输、存储或正在处理的个人数据的安全破坏行为。13“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息,并且上述数据往往来自于对该自然人生物样本的分析结果。14“生物识别数据”是通过对自然人的物理、生物或行为特征进行特定技术处理后得到的个人数据。这类数据生成了该自然人的唯一标识,比如人脸图像或指纹识别数据。15“有关健康的数据”是指与自然人身体或精神健康有关的个人数据,包括能揭示关于其健康状况的健康保健服务所提供的数据。16“主营业地”意味着:《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第4页共67页a)对于营业机构在多个成员国的控制者,除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式,否则其在欧盟内的主要管理者所在地被视为主营业地。b)对于营业机构在多个成员国的处理者,其在欧盟内的主要管理者所在地,在本法规下承担特定义务;如果处理者在欧盟内没有主要管理者,在处理者的营业机构的营业范围内进行主要处理行为的营业场所,在本法规下承担特定义务。17“代表”指由控制者和处理者依照第27条书面指定的,代表控制者和处理者分别履行本法规定义务的欧盟内的自然人、法人。18“企业”是指参与经济活动的自然人或法人,无论其为何种组织形式,可以包括合伙或经常参与经济活动的协会。19“企业团体”是指一个管控性的企业以及受其管控的企业群。20“具有约束力的公司规则”是指在成员国领土上设立的控制者或处理者遵守的个人数据保护政策,以便将个人数据转让给企业集团内一个或多个第三国的控制者或处理者,或从事联合经济活动的企业集团。21“监督机构”是指一个独立的,由成员国依据第51条设立的独立公共权利机构。22“有关监督机构”指与个人数据处理有关的监督机构,因为:a)控制者或处理者是设立在监督机构所在的成员国领土上的;b)居住在监督机构所在成员国的数据主体被或可能被处理行为严重影响;或c)一个由监督机构提交的申诉。23“跨境处理”是指以下情形之一:a)个人数据处理发生在设立在欧盟中的多个成员国内的控制者或处理者在多个成员国内的营业机构的活动中。b)个人数据处理发生在一个欧盟内的控制者或处理者唯一营业机构的活动中,但是这种处理可能或会严重影响多个成员国的数据主体。24“相关且合理异议”是指一种关于是否存在违反本法情况,或控制者、处《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第5页共67页理者是否存在遵守本法预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成风险的重要影响,同时此种异议也适用于欧盟内个人数据的自由流动。25“信息社会服务”是指欧洲议会和理事会的指令(欧盟)2015/1535的第一条(1)款的(b)项中定义的服务。26“国际组织”是指依照国际公法设立的组织及其下属机构,或以两个或更多国家之间达成的协议为基础建立的其他机构。第二章.原则第5条与个人数据处理相关的原则1个人数据应:a)以与数据主体有关的,合法、公正、透明的方式处理(“合法性、公平性和透明性”);b)为特定的、明确的、合法的目的收集,且不得以不符合以上目的的方式进行进一步处理;为公共利益、科学、历史研究或统计目的而进一步处理的,按照第89条第1款,不应被视为不符合初始目的(“目的限制”);c)充分、相关以及以该个人数据处理目的必要性为限度进行处理(“数据最小化”);d)准确,并在必要时保持最新;考虑到处理个人数据的目的,必须采取一切合理的措施,毫不拖延地删除或纠正不准确的个人资料(“准确性”);e)个人数据需以容许资料主题被识别的形式,在不超过处理个人资料所需的时间内保存;个人数据可以储存更长时间,只要个人数据按照第89条第(1)款规定,仅为公众利益、科学、历史研究或统计目的而进行处理,但须执行本法规所要求的适当技术和组织措施,以保障数据主体的权利和自由(“储存限制”);f)以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来避免未经授权、非法处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。《一般数据保护法》(“GeneralDataProtectionRegulation”REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016)国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰等第6页共67页2控制者应该负责,并能够证明符合第一项(“问责制”)。第6条处理的合法性1只有在适用以下至少一条的情况下,处理才被视为合法:a)数据主体同意其个人数据为一个或多个特定目的而处理;b)处理是为履行数据主体参与合同的必要行为,或处理是因数据主体在签订合同前的请求而