2018《通用数据保护条例》实战精编.pdf

GDPR-通用数据保护条例实战精编 （ 2018） i General Data Protection Regulation（ GDPR） 通用数据保护条例 实战 精编 （ 2018） GDPR-通用数据保护条例实战精编 (2018) ii 目录 一 GDPR 概述 . 1 1.1 GDPR 产生背景 . 1 1.1.1 单一市场需要更加统一的法律 . 1 1.1.2 个人数据 应用和保护环境 的 变化 . 1 1.1.3 个人数据保护认知 的 变化 . 2 1.2 GDPR 发展历程 . 2 1.2.1 以公约为主要表现形式 的发展阶段 . 3 1.2.2 以指令为主要表现形式的发展阶段 . 4 1.2.3 以条例和指令为共同表现形式的发展阶段 . 5 二 GDPR 详解 . 7 2.1 地域适用范围 . 7 2.2 “ 同意 ” 概念 . 8 2.3 个人敏感数据 . 9 2.3.1 敏感数据的定义 . 9 2.3.2 特殊情况下敏感数据的处理 . 9 2.4 数据主体的权利 -知情权 . 11 2.5 数据主体的权利 -访问权、更正权和可携权 . 13 2.5.1 访问权 . 13 2.5.2 更正权 . 14 2.5.3 数据可携权 . 14 2.6 数据主体的权利 -删除权、限制处理权、反对权 . 15 2.6.1 删除权 . 15 2.6.2 限制处理权 . 16 2.6.3 反对权 . 17 2.7 数据泄露和通知 . 18 2.7.1 数据泄露的通知内容 . 18 2.7.2 通知主体数据 泄露的例外情形 . 19 2.8 数据保护官 -DPO . 19 2.8.1 DPO 设立条件 . 19 2.8.2 DPO 的职责 . 20 2.8.3 什么人可以做 DPO . 21 2.8.4 如何设置 DPO . 22 三 GDPR 影响 . 23 3.1 对金融业的影响 . 23 3.1.1 对金融行业经营活动的潜在影响 . 23 3.1.2 金融企业合规成本短期内将显著上升 . 23 3.1.3 欧盟外国家或地区跨境金融业务经营成本增加 . 23 3.1.4 处理好与其他金融监管法律之间的关系与平衡 . 24 3.2 对前沿产业的影响 . 24 3.2.1 大数据 . 24 3.2.2 人工智能 . 25 3.2.3 区块链 . 25 四 GDPR 应对 . 27 4.1 应对措施 . 27 4.1.1 判断自身是否适用 GDPR . 27 4.1.2 三层次落实 GDPR 合规策略 . 27 4.2 整改建议 . 29 GDPR-通用数据保护条例实战精编 (2018) iii 4.2.1 隐私政策更新 . 29 4.2.2 保证数据主体权利有效实现 . 29 4.2.3 设置数据保护官 . 29 4.3 合规响应 . 30 4.3.1 华为 . 30 4.3.2 小米 . 32 4.3.3 美的 . 33 4.3.4 海南航空 . 34 4.3.5 数字联盟 . 34 4.3.6 优栈网 . 35 4.3.7 墨刀 . 37 4.3.8 Microsoft. 38 4.3.9 AveryDennison . 40 4.3.10 Profoto . 41 4.3.11 Flow . 42 4.3.12 Ledvance. 42 4.3.13 DOLCE GABBANA . 43 4.3.14 Australia . 44 4.3.15 CongniFit . 44 4.3.16 GoDaddy CN . 45 五 GDPR 问答 . 46 5.1 GDPR 到底 是什么？ . 46 5.2 GDPR 将影响哪些企业？ . 46 5.3 GDPR 对企业有什么影响？ . 47 5.4 GDPR 哪些 要求会影响我的企业？ . 48 5.5 GDPR 会影响我个人吗？ . 48 5.6 GDPR 赋予用户哪些权利？ . 49 5.7 GDPR 保护哪些类型的数据？ . 50 5.8 GDPR 会替 代 DPA 吗？ . 50 5.9 GDPR 会影响 B2B 吗？ . 50 5.10 GDPR 对营销意味着什么？ . 51 5.11 GDPR 如 何改变研究规则？ . 51 5.12 GDPR 如何影响数据科学？ . 52 5.13 GDPR 对于 HR 意味着什么？ . 52 5.14 GDPR 将如何影响招聘细节？ . 53 5.15 GDPR 英国退欧后还适用么？ . 53 5.16 GDPR 如何影响美国企业？ . 53 5.17 GDPR 适用于中国企业吗 ? . 54 5.18 中国企业 应 该 如何应对 GDPR？ . 56 5.19 是否必须要指定数据保护人员遵守 GDPR？ . 58 5.20 如果没有满足 GDPR 要求将导致什么后果？ . 58 5.21 如果违反了 GDPR 一定会被罚罚金上限吗？ . 59 5.22 除了高额罚金上限外， GDPR 究竟严在哪里？ . 60 5.23 完成 GDPR 合规性要求 大概 要花费多少成本？ . 61 附录 . 62 参考资料 . 62 版权说明 . 62 关于编者 . 63 中文译本 . 64 GDPR-通用数据保护条例实战精编 （ 2018） 1 GDPR-通用数据保护条例实战精编 (2018) 一 GDPR 概述 1.1 GDPR 产生背景 1.1.1 单一市场需要更加统一的法律 在个人信息保护方面，欧盟 1995 年 通过的 关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令 （ Directive95/46/EC， 简称 1995 年 指令） 本身不具有直接法律效力，需要通过成员国立法转化为国内法律才能得到实施。虽然制定 1995 年指令的目的 就 是统一欧盟的个人数据保护规则和水平、降低个人数据保护执法摩擦，但通过各国立法转化的方式，仍然 使 各国在立法和实施上存在许多差异。差异化和不协调的法律实施机制和执法机构 ， 不仅影响到欧盟公民基本权利保护效果和个人数据在欧盟内的自由流通， 还 使企业在开拓商业市场时面临极大的法律不确定性，增加企业守法成本和合规风险。因而， 数据保护立法 的 不统一 ， 逐渐成为建立欧盟单一市场的 重要 障碍。 消除“商品、人员、服务和资本”自由流动的障碍，建立单一市场（ The Single Market） ，是伴随欧洲联盟一起成长的伟大理想。显然，制定欧盟范围内统一的数据保护条例以取代分散立法的模式 ， 已成为欧盟实施“数字单一市场”战略的重要筹码。 1.1.2 个人数据应用和保护环境 的 变化 网络的开放性和包容性使得个人数据变得更加公开化和全球化，数据收集和共享的规模也随之增长，同时个人数据滥用与隐私侵害的风险也大大增加。制定 1995 年 指令时，互联网仍然停留在信息发布和传输阶段，互联网商务应用还没有真正出现，因此 1995 年指令仍是立足于计算机自动处理个人数据背景的个人数据保护规则，而非立足于互联网GDPR-通用数据保护条例实战精编 (2018) 2 背景 以及 之后出现的大数据背景。 随着 信息和通信技术 的迭代 发展 及其在 商务活动 中的 应用加深，企业对个人数据的收集与利用能力不断强化，而个人对个人数据的把控能力则愈来愈弱。制定 通用数据保护条例（ General Data Protection Regulation， GDPR） 不仅 致力于 在形式和效力上有所改变，在内容和规则上也进行 响应 完善， 从而能够 更好地实现欧盟的既定目标。 1.1.3 个人数据保护认知 的 变化 国际社会普遍认可个人隐私是公民基本人权的一部分。联合国 1948 年发布的世界人权宣言第 12 条规定：“任何人的隐私、家庭、住宅和通信不受任意干涉，对他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击。” 1953 年欧洲人权公约第 8 条“私人和家庭生活获得尊重的权利” 也移植了第 12 条的内容。 1981 年欧洲委员会制定数据保护公约也是希望通过保护数据主体对个人数据及其处理的控制权来保护数据主体的基本人权和自由。而欧盟基本人权宪章则明确地将个人数据保护权作 为一项独立的人权加以保护 ,其在第 8 条明确规定：“人人有权保护涉及他或她的个人数据。”2009 年里斯本条约的签署使得 宪章的规定具有了法律效力。这不仅体现在欧洲联盟条约第 6 条，还体现于建立欧洲联盟条约第 16 条，该条重申了个人数据保护权，为对各个领域的个人数据进行全面保护提供了坚实的法律基础。这意味着 1995 年指令的主要内容从此升级为欧盟基本法律。这进一步推动了欧盟制定普遍适用于公共领域和私人领域的统一数据保护法，以表现欧盟在保护基本人权问题上的态度和决心。 进入 21 世纪，公民对 个人数据保护 的 认知 朝着更加深化的方向 变化 。 通用数据保护条例 所要保护的对象是个人数据处理和流通过程中所涉及到的自然人的基本权利与自由，尤其保护其个人数据保护权 ， 这 也 正是制定 GDPR 的 核心 目的之一。 1.2 GDPR 发展历程 GDPR-通用数据保护条例实战精编 (2018) 3 1.2.1 以公约为主要表现形式的发展阶段 欧洲 的 个人信息保护最初起源于个人住宅等传统隐私信息的保护，属于公民所应当享有的、不可剥夺的基本人权之一。第二次世界大战后，世界各国（尤其是欧洲国家）认为有必要 进一步 保护个人隐私以避免遭受类似法西斯 式 的迫害。为此， 1948 年世界人权宣言、1966 年公民权利和政治权利国际公约均将个人的隐私权作为基本权利写入公约。 1950年欧洲人权公约第 8 条规定：“任何人享有私人、家庭生活及其住宅被尊重的权利” ，这被认为是欧洲第一代个人信息保护法。在此阶段，个人信息的收集和扩散规模都比较有限，即使发生个人信息泄露，其产生的损害也是有限的，通过传统的侵权责任法规则即可解决。 20 世纪 60 年代开始，信息技术的推广使得政府部门和企业开始通过电子方式收集和处理个人信息。信息技术和电子计算机提高了个人信息收集的 力度 和速度 ，创造了难以想象的个人信息比对、匹配、分析、使用和公开 方法 ，个人信息 所蕴含 的经济价值也日益凸显。20 世纪 70 年代，欧洲理事会的部长委员会开始通过一些决议，建立基本原则和标准化指南，在各个成员国内推动个人信息保护。其中，德国黑森州 1970 年颁布了信息保护法，英国 1984 年颁布了专门的信息保护法。 1981 年 1 月 28 日，欧共体的成员国在法国斯特拉斯堡市签订了关于自动化处理的个人信息保护公约 （简称 1981 年个人信息保护公约） ，第一次尝试在欧洲层面建立统一的个人信息保护法律制度。该公约 所 确立的个人信息保护法范围 ， 直到 2016 年改革 中 依然得到保留，即欧盟个人信息保护法的调整对象是容易引起大规模信息泄露的自动化信息处理活动，日常生活中非专业个人信息机构或自然人不当处理个人信息而发生的纠纷不适用个人信息保护法。此外，该公约对个人信息的概念、保护原则和跨国传输等做了初步规定，其面向欧共体成员国和周边非成员国开放 。 截至 2016年 ，该公约 已获得所有欧盟成员国和三个非成员国的批准。然而 ， 1989 年底 该公约却 只获得 了当时 7 个欧共体成员国的批准，意大利、荷兰、比利时、葡萄牙等国迟迟未批准该公GDPR-通用数据保护条例实战精编 (2018) 4 约，而已经批准生 效的成员国 也 均没有建立配套的国内实施法规。 1.2.2 以指令为主要表现形式的发展阶段 1981 年 个人信息保护公约签订后未取得良好的预期效果，各国的信息保护法发展仍存在较大 差异 ， 对欧洲市场的通讯设备和服务发展等构成贸易障碍， 因此 欧洲委员会决定起草一个指令以提高欧洲个人信息保护法律的统一程度。 1990 年， 欧洲委员会向欧洲理事会提交了一份关于保护共同体个人信息及信息安全的指令草案，该“指令草案”正式开始了欧洲信息保护法律制度一体化的进程 ，其结果就是后来的 1995 年指令 。 制定 1995 年指令 的 目标有两个：一是推动个人信息受到保护的基本权利在各成员国得到贯彻落实，二是保障各项信息在成员国间依法自由传输。 法规方面， 各个成员国均根据该指令颁布了各自的个人信息保护法。 机构方面， 欧盟各成员国也设立了信息保护局（ National Data Protection Authorities），属于欧盟个人信息保护法的各区域执法机构。 然而 ， 1995 年指令 作为“指令