一、前言

1、以GDPR为代表的监管条例

GDPR（《通用数据保护条例》）于2018年5月25日生效，取代了欧盟的《数据保护指令》(DPD，95指令，1995年颁布)，对欧盟所有成员国发生直接、统一、首要的效力。

除GDPR之外，其他法规对欧盟制度下的企业也很重要。如，适用于电子通信行业中个人数据处理的《电子隐私条例》（e-Privacy Regulation），又如适用于刑事执法机关出于执法目的而处理个人数据的《数据保护执法指令》（Law Enforcement Directive）。

二、要点

几个角色：数据主体、数据控制者、数据处理者、数据联合处理者、监管，要点围绕几个角色来展开。

1、范围

1）欧盟覆盖的国家和区域

GDPR覆盖欧盟的28个成员国（包括奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国），和 直接管辖区域（冰岛、挪威、列支敦士登）。

这些国家构成了欧洲经济区（EEA），在这个区域内的组织都需要遵守GDPR的规定。

2）管辖范围（属地+属人）

只要在欧盟成员国境内设立的公司，必须保护欧盟成员国居民的个人隐私信息，此为属地原则。

此外，即使公司不在欧盟境内设立，但有涉及接触欧盟成员国居民的个人隐私信息，也必须遵守GDPR，此为属人原则。

Q：中国境内的欧盟个人数据管不管？
A：GDPR 不适用于欧盟国家公民在欧盟范围外接受服务时提供自己的个人信息的情况，只要这些信息的采集和处理过程均是在欧盟境外完成。在下面的案例中，服务提供者并不需要将 GDPR 作为其处理欧盟国家境外持有者的个人信息的准则，而只需要遵守服务提供地的法律。
例如，一个推销北京餐厅的中文版手机 APP，可以让身处北京的法国人通过其预定餐厅或者获得优惠，无需遵守 GDPR 的要求收集、使用或处理该法国人的数据。
值得注意的是，如果存储了中国境内的欧盟个人数据是企业通过提供面向欧盟的服务而在线收集而来，则 GDPR 对其适用。例如，该 App 有法语版本、支持欧盟相关区域的支付，并在法国宣传其可为法国游客在中国旅行提供服务，则该法国用户的数据受 GDPR 管辖。

2、原则

• “合法、公正和透明”
• “目的限制”
• “ 数据最小化”
• “准确性”
• “限期存储”
• “数据完备和保密”
• “可问责性”

作为原则性条款，几乎涵盖了GDPR其他条款中的细化规定。

3、数据处理角色

数据控制者：能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者：是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者：只是接收到被传递的个人数据的主体，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据，不得视为“数据接受者”。

区分和《个人信息保护法》中的数据处理角色的异同。

4、数据处理者的职责

1）组织建设

• 欧盟境内设立代理人角色（企业注册地不在欧盟但处理欧盟境内人员信息的场景）；
• DPO，设立数据保护官角色

2）PBD 理念，“数据保护设计与默认”

GDPR在第25条中明确提到了“数据保护设计与默认”（Data Protection by Design and by Default），这一要求与“Privacy by Design”的理念紧密相关。GDPR规定，数据控制者应在设计数据处理活动时，采取适当的技术和组织措施，确保数据保护原则在整个数据处理过程中得到落实。

3）DPIA风险评估

当数据处理可能对个人权利和自由带来高风险时，数据控制者必须进行数据保护影响评估（DPIA），以识别和减轻这些风险。

• 评估的必要性

DPIA是强制性的，特别是在处理可能导致高风险的个人数据时。例如，大规模处理敏感数据、系统化的监控、或使用新技术进行处理等情况下，DPIA是必要的。

• 内容要求

处理活动的描述：DPIA应包括对处理活动的详细描述，包括处理的性质、范围、上下文和目的。

风险评估：评估该处理对个人数据的隐私风险，包括对数据主体权利和自由的潜在影响。

风险管理措施：详细说明为应对这些风险所采取的安全措施和控制措施，以确保数据保护和合规性。

4）数据跨境（传输到第三国和国际组织）

欧盟国家之间的数据传播，不算数据跨境，各成员国间遵循GDPR要求（如：合法性原则、数据最小化、透明性和告知义务、数据安全保护措施、数据主体权利等）。

1. 充分性决定（Adequacy Decisions）又称“GDPR白名单”

欧盟委员会会评估数据接收国是否提供足够的数据保护水平。如果一个国家（白名单中的国家和区域）被认为的数据保护措施与欧盟标准相当，就会被授予“充分性决定”。

举个例子：
如果你要将个人数据传输到一个被欧盟认可的国家，比如日本，那么你不需要采取额外的保护措施，因为该国的数据保护水平已经被认可。

GDPR白名单：
安道尔、阿根廷、加拿大（限于商业组织）、法罗群岛、以色列、日本、新西兰、瑞士、乌拉圭、韩国、英国（在英国脱欧后，欧盟仍然给予了英国充分性决定）、美国（限于“隐私盾框架”，但请注意这一框架已被欧洲法院于2020年7月宣布无效，目前新的框架讨论中）

2. 适当的保护措施（Appropriate Safeguards）

当没有充分性决定时怎么办？
如果目标国家没有被认定为“充分”，你需要采取额外的措施来保护数据。这些措施被称为“适当的保护措施”。

常见的适当保护措施包括：

• 标准合同条款（Standard Contractual Clauses, SCCs）： 这些是由欧盟委员会批准的合同条款，确保接收数据的国家也能提供足够的数据保护。
• 约束性公司规则（Binding Corporate Rules, BCRs）： 适用于跨国公司内部的数据传输，确保集团内所有子公司在数据传输时遵守相同的保护标准。
• 认证机制或代码（Codes of Conduct）： 遵守特定行业标准或获得相关认证，证明你有足够的数据保护措施。

3. 特定情况的例外（Derogations for Specific Situations）

在某些情况下，即使没有充分性决定或适当保护措施，也可以传输数据。这些例外情况包括：

• 数据主体的明确同意： 个人明确同意将数据传输到特定国家。
• 合同的需要： 为了履行与个人签订的合同，必须传输数据。
• 重要的公共利益： 传输数据是为了保护公共利益，如公共卫生或安全。
• 法律声明： 为了应对法律程序或要求。

4. 传输到国际组织

什么是国际组织？
国际组织（International Organization）通常指像联合国（UN）、欧盟（EU）、国际货币基金组织（IMF）、世界银行（World Bank）等。它们由多个国家组成，负责跨国界的政策制定、监督和协调工作。

类似于传输到第三国，必须确保数据接收方能够提供足够的数据保护。

5.转移后监管

确保数据传输后，接收方继续遵守保护措施。即使采取了适当的保护措施，数据控制者还需要监控接收方是否仍然遵守这些保护措施。

6. 数据控制者的责任

确保合规： 数据控制者（即决定如何处理数据的组织）必须确保所有跨境传输符合GDPR规定。

记录和文件： 必须记录所有数据传输活动，并保持相关的合规证明。

评估和更新： 随时评估传输目的地的法律环境，确保数据保护水平没有下降。

7. 用户的权利

告知义务： 必须向用户明确告知其数据将被传输到哪个国家，及该国的数据保护情况。

透明性： 确保用户了解他们的数据如何被保护。

5）事件披露职责（监管和数据主体）

发生数据泄露后，数据控制者需要在72H内报告EDPB、需要通知数据主体。

5、数据主体的权利

（信息采集和处理的规则对于数据主体来说）公开透明、（数据处理者）向数据主体提供信息（处理其信息时）、访问权、纠正权、删除权（被遗忘权）、限制处理权、纠正权、可移植权、拒绝权限；

• 知情权
• 访问权
• 反对权
• 可携带权：数据主体将自己的数据从一家服务商转移到另一家服务商；
• 纠正权
• 删除权/被遗忘权/擦除权：数据主体要求对个人数据的删除
• 限制处理权
• 免受数据画像影响

可携带、遗忘权 在实现时对于企业来说存在一定的实操性困难。

6、监管角色

欧盟各国家内有独立的监管机构，在面对跨境问题、跨国公司问题时，通过一致性机制来协调、共同决策。

1）监管机构

类比于国内网信办、工信部、四部委等监管机构，欧盟的机关单位有哪些呢？

• 欧盟数据保护委员会（European Data Protection Board，EDPB）：

是欧盟GDPR下的监管机构，负责监督和执行GDPR的规定，并有权对违反GDPR的组织进行罚款和其他制裁，由DPA和EDPS组成。

• 欧盟数据保护专员（European Data Protection Supervisor，EDPS）：

欧盟数据保护专员（EDPS）为EDPB常设秘书处，主要包括一名主管和助理主管，并由经验丰富的律师、IT专家和管理人员组成的办公室为其提供支持。

• 欧盟各成员国本地数据保护机构（Data Protection Authority，DPA）：

是各国设立的监管机构，负责监督和执行本国的GDPR规定，并有权对违反GDPR的组织进行罚款和其他制裁。

DPA是GDPR下最直接的执法实施机构，它们发布的指南更具地域性且更加精细化，EDPB主要是通过发布指导方针、建议和最佳操作等来协调不同DPA之间对于GDPR的一致性适用，而EDPS重点在于监督落实各欧盟机构内部对数据保护规则的适用并担任各欧盟机构的专家指导和特别顾问。

2）一站式服务机制

当数据控制者在欧盟多个成员国都设有营业机构时，应确立一个“主监督机构”担任该控制者的数据跨境处理行为的执法主体。

九、其他

1、和国内隐私App隐私合规的联动

国外似乎没有专门针对App隐私合规的制度，但有关于设备标识符的相关规定：

GDPR 在个人信息的定义中特别地包括了“在线活动识别符”这一概念，其包括与个人使用的设备、应用、工具及互联网协议等相关的信息。GDPR 序言第 30 条中对在线活动识别符进行了一个非常尽责的列举：

• 互联网协议地址（IP 地址）
• Cookie 识别符
• 射频识别（RFID）标签等其他识别符

其他可能属于个人数据的在线活动识别符包括：

• MAC 地址
• 广告 ID
• 像素标签
• 设备指纹

对于上述在线活动识别符留下的痕迹，当与服务器所接收的特殊识别符或其他信息相结合后，可以用来对个人进行画像识别。