五月婷婷视频在线,日日夜夜免费精品,国产情趣视频在线观看,72pao成人国产永久免费视频,日韩福利在线观看,欧美日韩精品一二区,伊人91视频

         2018年5月25日 《歐盟數(shù)據(jù)保護(hù)通用條例》 (General Data Protection Regulation ，簡(jiǎn)稱“ GDPR ” ) 正式生效。對(duì)于該條例，盡管有不少中國(guó)企業(yè)提前進(jìn)行了研究和布局，然而，規(guī)則生效帶來(lái)的沖擊依然是巨大的。為了給予中國(guó)企業(yè)必要的指導(dǎo)， 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡(jiǎn)稱“信標(biāo)委”）于GDPR生效當(dāng)日發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—?dú)W盟GDPR關(guān)注點(diǎn)》（簡(jiǎn)稱“《實(shí)踐指南》”）。雖然該《實(shí)踐指南》是中國(guó)相關(guān)機(jī)構(gòu)對(duì) GDPR 的理解，但對(duì)于實(shí)踐依然具有積極的指導(dǎo)意義。本文擬結(jié)合 《實(shí)踐指南》對(duì) GDPR 相關(guān)問(wèn)題作出分析，以期對(duì)企業(yè)的實(shí)務(wù)工作具有借鑒意義。

一、   《實(shí)踐指南》出臺(tái)的背景及目的

《歐盟數(shù)據(jù)保護(hù)通用條例》(General Data Protection Regulation，簡(jiǎn)稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會(huì)（The European Parliament ）早在兩年前（即2016年4月14日）就審議通過(guò)并正式公告了GDPR，被冠以 “最嚴(yán)數(shù)據(jù)隱私條例”，GDPR的正式生效還是給很多跨國(guó)企業(yè)造成不小沖擊。比如，GDPR生效的第一天，隱私權(quán)倡導(dǎo)組織Noyb.eu就代表數(shù)據(jù)主體向歐洲監(jiān)管機(jī)構(gòu)提起了針對(duì)Facebook、Android、WhatsApp、Instagram違反GDPR規(guī)定的訴訟。同時(shí)，《紐約每日新聞》、《洛杉磯時(shí)報(bào)》、《邁阿密先驅(qū)報(bào)》等一些美國(guó)新聞網(wǎng)站在歐洲暫時(shí)關(guān)閉，《時(shí)代》和《華盛頓郵報(bào)》則重新修改了專門(mén)針對(duì)歐盟用戶同意的隱私與服務(wù)條款。中國(guó)的互聯(lián)網(wǎng)科技企業(yè)也不例外，騰訊微信團(tuán)隊(duì)于5月28日發(fā)布了《關(guān)于歐盟數(shù)據(jù)保護(hù)通用條例的通知》，當(dāng)歐盟用戶撤銷(xiāo)授權(quán)公眾號(hào)獲取其個(gè)人信息時(shí)，會(huì)以郵件形式告知公眾號(hào)的注冊(cè)郵箱刪除歐盟用戶的信息；騰訊在GDPR生效前一個(gè)月發(fā)布了自5月20日起停止為歐洲用戶服務(wù)的消息；小米生態(tài)鏈企業(yè)Yeelight則宣布，由于無(wú)法滿足GDPR要求，將不再向歐洲用戶提供服務(wù)……

GDPR關(guān)于個(gè)人數(shù)據(jù)保護(hù)的條款內(nèi)容十分豐富，鑒于部分共計(jì)173條，正文部分共計(jì)99條（分為十一章），包含適用范圍、地域范圍、數(shù)據(jù)主體同意的要件、特殊類型的個(gè)人信息處理、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者的義務(wù)、個(gè)人數(shù)據(jù)向第三國(guó)或國(guó)際組織的傳輸、數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)職權(quán)、數(shù)據(jù)主體權(quán)利被侵犯后的救濟(jì)途徑和處罰措施等等，體現(xiàn)了全面的個(gè)人數(shù)據(jù)保護(hù)和促進(jìn)個(gè)人信息合法自由流動(dòng)的雙重立法理念。同時(shí)，在個(gè)人信息的定義與范圍、個(gè)人信息處理的原則、“同意”的形式和內(nèi)容等方面，國(guó)內(nèi)的《個(gè)人信息安全規(guī)范》與GDPR存在諸多相通之處。

對(duì)于企業(yè)而言， GDPR規(guī)定了數(shù)據(jù)主體的哪些權(quán)利、國(guó)內(nèi)企業(yè)與歐盟企業(yè)合作時(shí)是否必然適用GDPR、在歐盟設(shè)立的下屬企業(yè)如何應(yīng)對(duì)GDPR、如何完善自身隱私政策條款內(nèi)容、如何快速應(yīng)對(duì)GDPR所產(chǎn)生的影響等等實(shí)務(wù)問(wèn)題，更具有現(xiàn)實(shí)意義。筆者關(guān)注到，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡(jiǎn)稱“信標(biāo)委”）于GDPR生效當(dāng)日即發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—歐盟GDPR關(guān)注點(diǎn)》（簡(jiǎn)稱“《實(shí)踐指南》”），簡(jiǎn)要介紹了GDPR適用的場(chǎng)景、核心內(nèi)容和關(guān)注點(diǎn)，并結(jié)合案例說(shuō)明了如何理解GDPR的核心條款，并提示了組織采取何種應(yīng)對(duì)措施以符合GDPR的規(guī)定，屬于官方機(jī)構(gòu)對(duì)GDPR的權(quán)威解讀。然則，在與GDPR有關(guān)的文章“鋪天蓋地”的主流趨勢(shì)下，《個(gè)人信息安全規(guī)范》的歸口部門(mén)信標(biāo)委出臺(tái)的《實(shí)踐指南》被淹沒(méi)在了GDPR的“洪流”中。

本文即以《實(shí)踐指南》提及的關(guān)注點(diǎn)為線索，對(duì)企業(yè)如何解決適用GDPR過(guò)程中遇到的實(shí)務(wù)合規(guī)問(wèn)題予以研究。

二、   《實(shí)踐指南》關(guān)注點(diǎn)一：適用 GDPR的場(chǎng)景

GDPR條款

關(guān)注點(diǎn)

案例

組織應(yīng)對(duì)措施

GDPR第3條

一是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)設(shè)有分支機(jī)構(gòu)（establishment）。

在歐盟本地運(yùn)營(yíng)的A國(guó)（A國(guó)指某一非歐盟成員國(guó)）連鎖酒店，直接將其收集的住客個(gè)人數(shù)據(jù)傳輸至A國(guó)總部進(jìn)行處理，則需要履行GDPR中相關(guān)責(zé)任和義務(wù)。

組織[1]涉及海外業(yè)務(wù)、全球化經(jīng)營(yíng)或業(yè)務(wù)合作等場(chǎng)景時(shí)，應(yīng)注意其是否適用GDPR。

二是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)不設(shè)分支機(jī)構(gòu)（establishment）的情形。

A國(guó)企業(yè)開(kāi)發(fā)的軟件或系統(tǒng)被嵌入某款設(shè)備，該設(shè)備向歐盟地區(qū)銷(xiāo)售，該設(shè)備的制造商在歐盟境內(nèi)設(shè)立了銷(xiāo)售代表處，相關(guān)軟件或系統(tǒng)收集個(gè)人數(shù)據(jù)的過(guò)程需要適用GDPR等。

三是GDPR主要適用歐盟境內(nèi)發(fā)生的個(gè)人數(shù)據(jù)處理行為，其保護(hù)對(duì)象為歐盟境內(nèi)的數(shù)據(jù)主體。

當(dāng)歐盟公民抵達(dá)A國(guó)，例如進(jìn)入A國(guó)大學(xué)學(xué)習(xí)，在A國(guó)商場(chǎng)購(gòu)物等，且歐盟公民返回歐盟境內(nèi)后，大學(xué)、商場(chǎng)不再對(duì)其行為進(jìn)行跟蹤或分析，則大學(xué)、商場(chǎng)無(wú)需適用GDPR。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

本文開(kāi)篇提到的Facebook、Android、WhatsApp、Instagram以及國(guó)內(nèi)的小米、騰訊直接對(duì)歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或者在歐盟境內(nèi)設(shè)立了分支機(jī)構(gòu)，按照GDPR第三條以及《實(shí)踐指南》關(guān)注點(diǎn)一的解讀，前述企業(yè)遵守GDPR無(wú)疑。但是，以下案例中的B公司是否要遵守GDPR呢？

B屬于中國(guó)某運(yùn)營(yíng)商的下屬大數(shù)據(jù)分析公司，在歐盟沒(méi)有設(shè)立任何分支機(jī)構(gòu)；用戶張某使用該運(yùn)營(yíng)商的SIM卡，在去法國(guó)旅行前開(kāi)通了境外通信業(yè)務(wù)，在法國(guó)旅行期間共計(jì)通話100分鐘，共計(jì)發(fā)送了20條短信/彩信；如果B公司只對(duì)張某等中國(guó)公民在歐盟成員國(guó)旅行期間的通信情況等進(jìn)行了加工、處理、分析，最終形成了中國(guó)公民歐洲游通信情況的分析報(bào)告，根據(jù)該報(bào)告所反映的屬性趨勢(shì)情況，向同樣符合該等屬性的中國(guó)公民推送了境外游的營(yíng)銷(xiāo)廣告。那么，B公司是否有義務(wù)遵守GDPR呢？

GDPR第3條第2款將數(shù)據(jù)主體界定為“歐盟境內(nèi)的數(shù)據(jù)主體”（data subjects who are in the Union），并未明確規(guī)定為“歐盟公民”（Eu citizens），張某等中國(guó)公民的個(gè)人通信信息行為發(fā)生地在歐洲，但B公司處理了中國(guó)公民的數(shù)據(jù)信息，所以，尚不能援引GDPR第3條第2款直接判定，上述案例中的B公司是否應(yīng)遵守GDPR。

關(guān)于如何理解“歐盟境內(nèi)的數(shù)據(jù)主體”，歐盟委員會(huì)專門(mén)就數(shù)據(jù)保護(hù)的適用對(duì)象問(wèn)題（Who does the data protection law apply to?）做了如下官方案例答復(fù)， “如果您的公司是歐盟以外的服務(wù)提供商，且為歐盟成員國(guó)以外的客戶提供服務(wù)。您的客戶可以在去其他國(guó)家(包括歐盟內(nèi)部)旅行時(shí)使用公司提供的服務(wù)。如果您的公司沒(méi)有明確地針對(duì)歐盟的個(gè)人提供服務(wù)，那么，該公司不受GDPR規(guī)則的約束。” [2]根據(jù)歐盟委員會(huì)的前述官方答復(fù)，GDPR保護(hù)的對(duì)象主要為歐盟成員國(guó)的公民，而非“世界公民”。所以，上述案例中，如果B公司只對(duì)中國(guó)公民提供商品或服務(wù)，且張某未在法國(guó)長(zhǎng)期居留以至于取得了“法國(guó)公民”的資格，筆者認(rèn)為，B公司不必然遵守GDPR。

三、      《實(shí)踐指南》關(guān)注點(diǎn)二：適用的數(shù)據(jù)范圍

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第4條第（1）款

個(gè)人數(shù)據(jù)，是指與一個(gè)確定的或可識(shí)別的自然人相關(guān)的任何信息?？杀蛔R(shí)別的自然人,是指借助標(biāo)識(shí)符，例如姓名、身份標(biāo)識(shí)、位置數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)符，或借助與該個(gè)人生理、心理、基因、精神、經(jīng)濟(jì)、文化或社會(huì)身份特定相關(guān)的一個(gè)或多個(gè)因素，可被直接或間接識(shí)別出的個(gè)人。

組織應(yīng)識(shí)別其處理個(gè)人數(shù)據(jù)或特殊類別（敏感）個(gè)人數(shù)據(jù)的具體類型。

GDPR第9條第（1）款、

GDPR第10條

特殊類別（敏感）個(gè)人數(shù)據(jù)，是指揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰以及工會(huì)成員的個(gè)人數(shù)據(jù)，以及唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)、自然人的健康、性生活或性取向數(shù)據(jù)，還包括刑事定罪和犯罪相關(guān)的個(gè)人資料等。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

企業(yè)處理特殊類別（敏感）數(shù)據(jù)比處理一般個(gè)人數(shù)據(jù)時(shí)的注意義務(wù)更嚴(yán)格，主要如下：（1）個(gè)人數(shù)據(jù)是否為特殊類別（敏感）數(shù)據(jù)是判斷合法性基礎(chǔ)（即無(wú)需數(shù)據(jù)主體的同意）的特別情形之一，即未經(jīng)數(shù)據(jù)主體同意，亦非歐盟法或成員國(guó)法律所允許的，控制者應(yīng)當(dāng)確認(rèn)前述處理活動(dòng)是否與最初收集數(shù)據(jù)的目的一致；[3]（2）無(wú)論企業(yè)的規(guī)模或人數(shù)，控制者（以及適用情況下的控制者的代理人）均應(yīng)當(dāng)依其職責(zé)保存處理活動(dòng)的記錄，處理者（以及在適用情況下的處理者的代表）均應(yīng)保存代表控制者執(zhí)行的所有處理活動(dòng)類別的記錄，而雇員少于250人的企業(yè)或組織處理特殊類別（敏感）數(shù)據(jù)以外的個(gè)人數(shù)據(jù)時(shí)，則不必然履行前述保存處理活動(dòng)記錄的義務(wù)[4]；（3）控制者和處理存在處理大規(guī)模特殊類別（敏感）個(gè)人數(shù)據(jù)情形的，必須設(shè)立數(shù)據(jù)保護(hù)官（Designation of the data protection officer）[5]。

需注意的是，我國(guó)《個(gè)人信息安全規(guī)范》(GB/T 35273—2017)規(guī)定的個(gè)人敏感信息與GDPR規(guī)定的特殊類別（敏感）個(gè)人數(shù)據(jù)都將個(gè)人的基因、健康、生物識(shí)別信息、性取向、宗教信仰、民族出身等信息囊入其中，但兩者之間具有如下主要區(qū)別之處：（1）我國(guó)規(guī)定的個(gè)人敏感信息范圍更加寬泛：除了GDPR列舉的數(shù)據(jù)種類外，我國(guó)將個(gè)人財(cái)產(chǎn)信息（如銀行賬號(hào)、房產(chǎn)信息、信貸記錄、征信信息等）、個(gè)人身份信息（如身份證、軍官證、護(hù)照、駕駛證、工作證、社?？?、居住證等）、網(wǎng)絡(luò)身份標(biāo)識(shí)信息（如系統(tǒng)賬號(hào)、郵箱地址及與前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個(gè)人數(shù)字證書(shū)等）、婚史、通信記錄和內(nèi)容、行蹤軌跡、網(wǎng)頁(yè)瀏覽記錄、住宿信息、精準(zhǔn)定位信息等。而按照GDPR規(guī)定，網(wǎng)絡(luò)身份標(biāo)識(shí)信息、身份信息則未被納入特殊類別（敏感）個(gè)人數(shù)據(jù)范圍之內(nèi)。（2）兩者的定義模式不同，GDPR對(duì)特殊類別（敏感）個(gè)人數(shù)據(jù)的定義采取列舉式，而我國(guó)采取概括和列舉并列式：除了前述列式的個(gè)人敏感信息類型外，我國(guó)規(guī)定的人敏感信息泛指“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息”。例如，李四是某證券公司的“操盤(pán)手”，手機(jī)通訊錄包含了眾多投資機(jī)構(gòu)負(fù)責(zé)人的聯(lián)系方式，如網(wǎng)絡(luò)服務(wù)提供者泄露了李四手機(jī)通訊錄中的聯(lián)系人信息，將對(duì)李四名譽(yù)造成重大損害，那么，李四的“聯(lián)系人信息”將從《個(gè)人信息安全規(guī)范》認(rèn)定的“個(gè)人信息”升級(jí)為“個(gè)人敏感信息”。

四、      《實(shí)踐指南》關(guān)注點(diǎn)三：數(shù)據(jù)處理的基本原則

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第5條

個(gè)人數(shù)據(jù)處理的基本原則，包括合法、公正、透明、數(shù)據(jù)最小化、目的限定、存儲(chǔ)限制、完整性和保密性、問(wèn)責(zé)等；

組織應(yīng)保證其數(shù)據(jù)處理活動(dòng)遵循基本的原則。

GDPR第4條第2款

數(shù)據(jù)處理是指針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的任何一個(gè)或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲(chǔ)、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷(xiāo)毀，且無(wú)論此操作是否采用自動(dòng)化的手段。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

“合法、公正、透明”是企業(yè)處理個(gè)人數(shù)據(jù)的首要原則，如何認(rèn)定“合法”需要結(jié)合GDPR第6條關(guān)于“合法正當(dāng)性理由”綜合判定，“公正、透明”強(qiáng)調(diào)企業(yè)應(yīng)以方便數(shù)據(jù)主體明確易懂的方式處理個(gè)人信息；“數(shù)據(jù)最小化”是指以個(gè)人數(shù)據(jù)處理目的之必要為限度，如某P2P平臺(tái)搜集了借款人的血型，則易被認(rèn)定為超出提供借貸撮合服務(wù)的“數(shù)據(jù)最小化”限度；“目的限定”和“儲(chǔ)存限定”原則都規(guī)定了例外情形，即為了公共利益、科學(xué)或歷史研究或者統(tǒng)計(jì)目的而進(jìn)一步處理，應(yīng)符合GDPR第89條第1款規(guī)定，不應(yīng)被認(rèn)定為不符合初始目的或者可以較長(zhǎng)時(shí)間儲(chǔ)存?zhèn)€人數(shù)據(jù)，該原則旨在保持?jǐn)?shù)據(jù)主體利益與社會(huì)公共利益之間的平衡。

“完整性和保密性”是指企業(yè)應(yīng)當(dāng)采取適度的方式確保個(gè)人數(shù)據(jù)安全，防止未經(jīng)授權(quán)的、非法的處理、意外遺失、滅失或損毀，強(qiáng)調(diào)企業(yè)處理數(shù)據(jù)時(shí)應(yīng)履行“安全義務(wù)”[6]。數(shù)據(jù)泄露是全球范圍內(nèi)最常見(jiàn)的網(wǎng)絡(luò)安全事件之一，也是數(shù)據(jù)主體同意填寫(xiě)個(gè)人信息時(shí)最擔(dān)心的因素之一，關(guān)鍵信息系統(tǒng)、網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域的領(lǐng)導(dǎo)者泰雷茲公司于2018年3月20日發(fā)布的《2018泰雷茲數(shù)據(jù)威脅報(bào)告》顯示， 26%的受訪者曾于2016年表示遭遇了數(shù)據(jù)泄露，2017年的占比上升至36%，而到2018年該比例明顯上升至67%[7]。所以，企業(yè)應(yīng)當(dāng)采取先進(jìn)、全面、足夠的技術(shù)手段以及管理措施，以保護(hù)數(shù)據(jù)主體信息的“完整性和保密性”。

“問(wèn)責(zé)”是GDPR第5條第2款單獨(dú)規(guī)定的原則，同時(shí)也是保障企業(yè)遵循前述六大原則的“兜底原則”，即企業(yè)應(yīng)當(dāng)證明其自身符合前述六大原則，且應(yīng)當(dāng)對(duì)造成數(shù)據(jù)主體的損害承擔(dān)賠償責(zé)任。

五、      《實(shí)踐指南》關(guān)注點(diǎn)四：數(shù)據(jù)處理的合法正當(dāng)性事由

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第6條第1款

數(shù)據(jù)處理行為首先應(yīng)具備合法性基礎(chǔ)，GDPR規(guī)定的六種合法性情形包括：數(shù)據(jù)主體的同意、合同履行、履行法定義務(wù)、保護(hù)個(gè)人重要利益、維護(hù)公共利益以及追求正當(dāng)利益。

組織應(yīng)保證其數(shù)據(jù)處理活動(dòng)滿足合法性要求。

GDPR第4條第（11）項(xiàng)

GDPR強(qiáng)調(diào)同意是指“數(shù)據(jù)主體通過(guò)書(shū)面聲明或經(jīng)由一個(gè)明確的肯定性動(dòng)作，表示同意對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理。該意愿表達(dá)應(yīng)是自由給出的（freely given）、特定具體的（specific）、知情的（informed）、清晰明確的（unambiguous）”，且撤回同意的方式應(yīng)該與表達(dá)同意同等便利。

 來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

“數(shù)據(jù)主體同意”個(gè)人數(shù)據(jù)為一個(gè)或多個(gè)特定目的而處理是處理數(shù)據(jù)正當(dāng)性事由的首要情形，也是我國(guó)《網(wǎng)絡(luò)安全法》、《民法總則》等個(gè)人信息保護(hù)方面法律法規(guī)規(guī)定的強(qiáng)制性要求，常見(jiàn)的同意形式主要體現(xiàn)形式為專門(mén)的隱私政策服務(wù)條款、用戶注冊(cè)協(xié)議或具體交易協(xié)議中的授權(quán)條款、網(wǎng)絡(luò)服務(wù)提供者制定的履行網(wǎng)絡(luò)安全義務(wù)的規(guī)章制度等等。例如，Facebook 的服務(wù)條款之一有如下約定：“針對(duì)需要特殊保護(hù)的數(shù)據(jù)（例如您在Facebook用戶畫(huà)像范圍內(nèi)或Life Events專欄內(nèi)分享的有關(guān)您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息）處理，我們就此有權(quán)向您選擇的對(duì)象披露，且有權(quán)對(duì)您的內(nèi)容進(jìn)行個(gè)性化處理?！痹摋l款并未以取得Facebook用戶對(duì)其分享宗教觀等數(shù)據(jù)信息的同意，所以， Noyb.eu vs. Facebook 的訴訟中，Noyb.eu提出的申訴請(qǐng)求之一即是請(qǐng)求通過(guò)申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第（a）項(xiàng)的要求，以及違規(guī)程度如何。[8]

其他五種數(shù)據(jù)處理的合法性正當(dāng)事由并不以同意為條件，但根據(jù)GDPR第6條第2款、第3款、第4款的規(guī)定，是否構(gòu)成合法性正當(dāng)事由需要滿足較為嚴(yán)苛的條件，如認(rèn)定符合“履行法定義務(wù)”和“維護(hù)公共利益以及追求正當(dāng)利益”情形時(shí)，需要從被處理的數(shù)據(jù)類型、目的限制、儲(chǔ)存限制、處理操作和處理程序、個(gè)人數(shù)據(jù)可能被披露的實(shí)體等“彈性”因素予以綜合判定，且GDPR同時(shí)給予了歐盟成員國(guó)對(duì)前述情形的立法權(quán)。例如， Facebook將對(duì)用戶進(jìn)行營(yíng)銷(xiāo)的數(shù)據(jù)處理表述如下：“為了履行我們Facebook服務(wù)條款或Instagram使用條款的必要”，Noyb.eu 就該條款認(rèn)為，Facebook顯然試圖在民商事法律條款中“隱藏”對(duì)處理行為的同意，以期引起誤解，使人認(rèn)為該等處理行為符合GDPR第6條第1點(diǎn)第（b）款的規(guī)定。[9]

所以，其他五種數(shù)據(jù)處理的合法性正當(dāng)事由的認(rèn)定難度較大，在援引合法性正當(dāng)事由的判例出現(xiàn)或者認(rèn)定具體情形的法律條文出臺(tái)前，建議企業(yè)仍然需要取得數(shù)據(jù)主體的“同意”后再進(jìn)行數(shù)據(jù)處理。

六、      《實(shí)踐指南》關(guān)注點(diǎn)五：對(duì)兒童的特殊保護(hù)規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第8條

如果直接向兒童提供信息社會(huì)服務(wù)時(shí)，該兒童的年齡應(yīng)當(dāng)為16周歲以上。若兒童未滿16周歲，只有在征得監(jiān)護(hù)人同意或授權(quán)的范圍內(nèi)其處理才合法。成員國(guó)可以通過(guò)法律對(duì)上述年齡進(jìn)行調(diào)整，但不得低于13周歲

組織如涉及兒童個(gè)人數(shù)據(jù)的處理，應(yīng)予以特別保護(hù)。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

組織涉及兒童個(gè)人數(shù)據(jù)的處理，尤其需注意履行如下義務(wù)：（1）應(yīng)當(dāng)采取合理努力，在現(xiàn)有技術(shù)條件下，驗(yàn)證兒童的監(jiān)護(hù)人是否予以同意[10]；（2）GDPR第7條第1款的特別保護(hù)措施不應(yīng)影響到成員國(guó)的一般合同法律（如與兒童有關(guān)的合同效力、構(gòu)成或?qū)嵭校?/span>[11]；（3）對(duì)于兒童的任何信息，企業(yè)應(yīng)當(dāng)以簡(jiǎn)單明了、且易于獲取的方式以及通過(guò)清楚明確的語(yǔ)言，并采取合適措施提供第13 條和第14 條所提到的任何信息（主要為企業(yè)從數(shù)據(jù)主體搜集個(gè)人數(shù)據(jù)時(shí)應(yīng)披露的信息，如企業(yè)的身份、聯(lián)系方式、儲(chǔ)存限制等）。

七、      《實(shí)踐指南》關(guān)注點(diǎn)六：數(shù)據(jù)主體權(quán)利

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

第三章

數(shù)據(jù)主體權(quán)利

GDPR賦予了數(shù)據(jù)主體對(duì)其數(shù)據(jù)廣泛的控制權(quán)，包括知情、訪問(wèn)、更正、刪除、限制處理、可攜帶、反對(duì)等權(quán)利。比如：在數(shù)據(jù)收集時(shí)，數(shù)據(jù)控制者應(yīng)以簡(jiǎn)潔、透明、易懂及便于訪問(wèn)的方式向數(shù)據(jù)主體提供數(shù)據(jù)控制者身份及聯(lián)系信息、數(shù)據(jù)處理的目的及合法基礎(chǔ)、數(shù)據(jù)主體享有的權(quán)利等信息。

組織應(yīng)基于當(dāng)前業(yè)務(wù)特點(diǎn)及處理數(shù)據(jù)的合法性事由，選擇需要實(shí)現(xiàn)的數(shù)據(jù)主體權(quán)利。

GDPR第17條

第1款、第2款

(刪除權(quán))

在特定情況下，如履行目的不再需要、數(shù)據(jù)主體撤回同意或個(gè)人數(shù)據(jù)被非法處理等等情況下，數(shù)據(jù)主體有權(quán)要求刪除其個(gè)人數(shù)據(jù)。GDPR也規(guī)定了若干刪除權(quán)不適用情形，如為行使言論和信息自由的權(quán)利，為履行數(shù)據(jù)控制者法定義務(wù)，為設(shè)立、行使或捍衛(wèi)合法權(quán)利等等。

GDPR第17條

第3款

(刪除權(quán)條款不適用的情形)

數(shù)據(jù)主體有權(quán)拒絕數(shù)據(jù)控制者基于以下目的對(duì)個(gè)人數(shù)據(jù)進(jìn)行的處理行為，如為公共利益，為數(shù)據(jù)控制者的合法利益，以直接營(yíng)銷(xiāo)為目的，基于科學(xué)或歷史研究以及統(tǒng)計(jì)目的的數(shù)據(jù)處理行為等。

GDPR第18條

（限制處理權(quán)）

數(shù)據(jù)主體有權(quán)在以下情形限制數(shù)據(jù)控制者的處理行為，如質(zhì)疑數(shù)據(jù)準(zhǔn)確性，違法處理，數(shù)據(jù)到期等。

GDPR第20條

（數(shù)據(jù)可攜帶權(quán)）

數(shù)據(jù)控制者基于數(shù)據(jù)主體同意或履行合同所必須，以自動(dòng)化方式處理數(shù)據(jù)主體提供的個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者取得結(jié)構(gòu)化可機(jī)讀的個(gè)人數(shù)據(jù)副本，并傳送給另一個(gè)數(shù)據(jù)控制者。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

GDPR在鑒于部分即開(kāi)宗明義指出：“自然人在個(gè)人數(shù)據(jù)處理方面獲得保護(hù)是一項(xiàng)基本權(quán)利?！稓W盟基本權(quán)利憲章》第8條第1款和《歐盟運(yùn)行條約》第16條第1款規(guī)定每個(gè)人都享有就其個(gè)人數(shù)據(jù)獲得保護(hù)的權(quán)利”，GDPR創(chuàng)設(shè)了限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、刪除權(quán)等等，并將數(shù)據(jù)主體的權(quán)利范圍、權(quán)利內(nèi)容以及權(quán)利保障措施等提升到前所未有的高度。

對(duì)于企業(yè)而言，對(duì)數(shù)據(jù)主體權(quán)利的保障主要體現(xiàn)在用戶隱私政策條款中，并構(gòu)成企業(yè)隱私政策條款的核心內(nèi)容，盡快調(diào)整隱私政策條款成為GDPR生效后的重要合規(guī)工作，并至少應(yīng)當(dāng)注意以下四個(gè)方面：（1）權(quán)利內(nèi)容：全面告知用戶數(shù)據(jù)訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、反對(duì)權(quán)等；（2）權(quán)利告知方式：以簡(jiǎn)單、透明、清晰且易于獲取的方式告知用戶，采用清楚明確的語(yǔ)言；（3）權(quán)利告知介質(zhì)：應(yīng)當(dāng)以書(shū)面形式或其他方式提供，若有必要，可采取電子形式。如果用戶的身份能夠通過(guò)其他方式得到認(rèn)證，在用戶要求的前提下，可以采用口頭方式；（4）權(quán)利請(qǐng)求的行動(dòng)期限：企業(yè)應(yīng)當(dāng)自收到請(qǐng)求之日起1個(gè)月內(nèi)提供GDPR關(guān)于用戶權(quán)利內(nèi)容而采取行動(dòng)的信息，必要時(shí)可以延長(zhǎng)兩個(gè)月。對(duì)于延期提供信息的任何情況，企業(yè)都應(yīng)當(dāng)自收到請(qǐng)求之日起1個(gè)月內(nèi)通知用戶相關(guān)情形和延遲原因[12]。企業(yè)執(zhí)行GDPR保護(hù)用戶權(quán)利方面的參考案例如下：

圖一

Booking在《隱私聲明》內(nèi)容的最前面，即設(shè)置了“打印/保存”功能，易于用戶獲取隱私政策

圖二

5月22日，蘋(píng)果公司更新了隱私政策條款，添加了用戶的刪除數(shù)據(jù)權(quán)

八、      《實(shí)踐指南》關(guān)注點(diǎn)七：對(duì)用戶畫(huà)像的規(guī)定

GDPR條款

關(guān)注點(diǎn)

案例

組織應(yīng)對(duì)措施

GDPR

第4條第4款

用戶畫(huà)像是指通過(guò)自動(dòng)化方式處理個(gè)人數(shù)據(jù)的活動(dòng)，用于評(píng)估、分析以及預(yù)測(cè)個(gè)人的特定方面，可能包括工作表現(xiàn)、經(jīng)濟(jì)狀況、位置、健康狀況、個(gè)人偏好、可信賴度或者行為表現(xiàn)等。

電商通過(guò)用戶畫(huà)像，開(kāi)展廣告、市場(chǎng)預(yù)測(cè)和推廣工作。

組織如涉及對(duì)用戶進(jìn)行畫(huà)像，需要關(guān)注如何獲得合法性基礎(chǔ)，以及向數(shù)據(jù)主體提供相應(yīng)權(quán)利。

GDPR第13條第2款第（f）項(xiàng)、第14條第2款第（g）項(xiàng)、第22條第2款

在數(shù)據(jù)主體明確同意、歐盟或者成員國(guó)法律的明確授權(quán)、履行合同所必需的情形下可以使用用戶畫(huà)像。同時(shí)還提出，在征得數(shù)據(jù)主體同意時(shí)，應(yīng)對(duì)畫(huà)像相關(guān)數(shù)據(jù)來(lái)源、算法原理及相應(yīng)影響等予以充分告知，并賦予數(shù)據(jù)主體反對(duì)權(quán)、刪除權(quán)、更正權(quán)和限制處理權(quán)等權(quán)利。

——

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

用戶畫(huà)像屬于自動(dòng)化決策的表現(xiàn)形式之一，能夠在一定程度上影響數(shù)據(jù)主體作出決策的自自由意志和行為，根據(jù)GDPR規(guī)定，企業(yè)以用戶畫(huà)像方式進(jìn)行數(shù)據(jù)處理時(shí)必須履行如下義務(wù)：（1）在數(shù)據(jù)主體明確同意、數(shù)據(jù)歐盟或者成員國(guó)法律的明確授權(quán)、履行合同所必需的情形下可以使用用戶畫(huà)像，其中，取得數(shù)據(jù)主體的明確同意也是企業(yè)目前普遍采取的方式；（2）企業(yè)應(yīng)當(dāng)讓數(shù)據(jù)主體知曉用戶畫(huà)像的存在以及用戶畫(huà)像的結(jié)果，以符合“合法、公正、透明原則”；（3）企業(yè)應(yīng)當(dāng)讓數(shù)據(jù)主體知曉自動(dòng)處理數(shù)據(jù)的算法，若可能，應(yīng)當(dāng)提供連接安全系統(tǒng)的遠(yuǎn)程途徑，該系統(tǒng)可以向數(shù)據(jù)主體提供直接訪問(wèn)其信息的途徑[13]；（4）企業(yè)應(yīng)當(dāng)保障數(shù)據(jù)主體可以在任何時(shí)間反對(duì)其處理與直接營(yíng)銷(xiāo)有關(guān)的數(shù)據(jù)畫(huà)像，同時(shí)，應(yīng)當(dāng)采取明確引起數(shù)據(jù)主體注意的方式體現(xiàn)反對(duì)權(quán)條款，并清晰地與其他條款分開(kāi)說(shuō)明[14]；（5）企業(yè)應(yīng)當(dāng)同時(shí)遵守歐洲數(shù)據(jù)保護(hù)委員會(huì)制定的具體指引中關(guān)于用戶畫(huà)像的規(guī)定[15]。

實(shí)踐中，互聯(lián)網(wǎng)服務(wù)提供者通常采用cookies技術(shù)監(jiān)控、跟蹤用戶活動(dòng)，并預(yù)測(cè)用戶行為，完全符合GDPR規(guī)定的用戶畫(huà)像定義。如Google制定的隱私政策（Privacy Policy）中，開(kāi)篇即專門(mén)提醒用戶注意閱讀另行制定的Cookies 政策（Cookies Policy）。具體如下圖所示：

圖三：goole的隱私政策截屏

九、      《實(shí)踐指南》關(guān)注點(diǎn)八：對(duì)數(shù)據(jù)處理者的規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第4條

第（8）項(xiàng)

數(shù)據(jù)處理者是指為數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。

組織如屬于數(shù)據(jù)處理者，應(yīng)根據(jù)數(shù)據(jù)控制者明確的指示處理個(gè)人數(shù)據(jù)，履行相應(yīng)的保密義務(wù)，在數(shù)據(jù)處理服務(wù)結(jié)束時(shí)，刪除或返還所有的個(gè)人數(shù)據(jù)，接受數(shù)據(jù)控制者的審計(jì)等。

GDPR第28條

第1款、第2款

當(dāng)數(shù)據(jù)控制者委托數(shù)據(jù)處理者具體處理數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)選擇采取了合適的技術(shù)和組織方面措施的數(shù)據(jù)處理者，以確保數(shù)據(jù)處理符合GDPR的要求，及保障數(shù)據(jù)主體的權(quán)利。在沒(méi)有數(shù)據(jù)控制者事先或一般性的書(shū)面許可時(shí)，數(shù)據(jù)處理者不應(yīng)再與另外的數(shù)據(jù)處理者合作。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

GDPR特別強(qiáng)調(diào)數(shù)據(jù)處理者處理個(gè)人數(shù)據(jù)的權(quán)限不能超出數(shù)據(jù)控制者的書(shū)面許可，否則，處理行為將成為“無(wú)源之水、無(wú)本之木”。例如，近期持續(xù)發(fā)酵的Facebook數(shù)據(jù)泄露事件中，英國(guó)劍橋大學(xué)的學(xué)者柯剛通過(guò)相關(guān)軟件獲取了Facebook海量用戶信息，劍橋分析公司通過(guò)柯剛獲取了用戶信息，并將其用于與政客營(yíng)銷(xiāo)商業(yè)服務(wù)有關(guān)的數(shù)據(jù)處理。劍橋分析公司作為數(shù)據(jù)處理者，并未獲得數(shù)據(jù)控制者Facebook處理用戶信息的任何書(shū)面許可，所以，劍橋分析公司在Facebook數(shù)據(jù)泄露事件中也負(fù)有不可推卸的法律責(zé)任。

除了《實(shí)踐指南》提及的組織應(yīng)對(duì)措施外，數(shù)據(jù)處理者還應(yīng)當(dāng)履行如下義務(wù)：（1）應(yīng)當(dāng)實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施，確保處理過(guò)程的安全性，如保證處理系統(tǒng)和服務(wù)具有保密性、完整性、可用性、可恢復(fù)性的功能，對(duì)技術(shù)性和組織性措施的有效性進(jìn)行定期測(cè)試、訪問(wèn)、評(píng)估等[16]；（2）處理者在知道個(gè)人信息泄露后，應(yīng)立即通知控制者[17]；（3）協(xié)助數(shù)據(jù)控制者遵守網(wǎng)絡(luò)安全、個(gè)人數(shù)據(jù)泄露后向監(jiān)管機(jī)構(gòu)報(bào)告、個(gè)人數(shù)據(jù)泄露后告知數(shù)據(jù)主體、數(shù)據(jù)保護(hù)影響評(píng)估等義務(wù)[18]；（4）與除自身以外的其他數(shù)據(jù)處理者合作處理數(shù)據(jù)時(shí)，應(yīng)當(dāng)就其他處理者義務(wù)的履行對(duì)控制者承擔(dān)全部責(zé)任[19]；（5）處理者僅在其未遵守GDPR對(duì)于處理者義務(wù)的特別規(guī)定、超出控制者的合法指令或者違反控制者的指令時(shí)，為數(shù)據(jù)處理導(dǎo)致的損害負(fù)責(zé)，但數(shù)據(jù)主體也有權(quán)直接向處理者主張索賠，如屬于控制者的責(zé)任，處理者可事后向控制者追償[20]。

十、      《實(shí)踐指南》關(guān)注點(diǎn)九：對(duì)數(shù)據(jù)保護(hù)官、歐盟境內(nèi)法律代表的規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第37條

第1款

通常情況下，數(shù)據(jù)控制者和數(shù)據(jù)處理者任命數(shù)據(jù)保護(hù)官的情形包括：（1）公權(quán)力機(jī)構(gòu)處理數(shù)據(jù)的；（2）數(shù)據(jù)處理的主要活動(dòng)范圍、目的要求經(jīng)常性、系統(tǒng)性、大范圍地監(jiān)測(cè)數(shù)據(jù)主體；（3）大規(guī)模處理特殊類別個(gè)人數(shù)據(jù)。

組織如存在上述情形，應(yīng)考慮設(shè)立數(shù)據(jù)保護(hù)官或任命歐盟境內(nèi)法律代表。

GDPR第37條

第5款、第6款、第7款

數(shù)據(jù)保護(hù)官應(yīng)具備專業(yè)的數(shù)據(jù)保護(hù)法律和實(shí)踐的知識(shí)，以保證其履行相應(yīng)職責(zé)。數(shù)據(jù)保護(hù)官可以是正式職員，也可以基于服務(wù)合同完成工作。數(shù)據(jù)控制者應(yīng)公開(kāi)數(shù)據(jù)保護(hù)官的聯(lián)系方式，并將名單向監(jiān)管機(jī)構(gòu)匯報(bào)。

GDPR第27條

第1款、第3款

如果組織面向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為，應(yīng)通過(guò)書(shū)面形式在歐盟境內(nèi)任命一名代表。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

數(shù)據(jù)保護(hù)官類似于我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全負(fù)責(zé)人以及《個(gè)人信息安全規(guī)范》的個(gè)人信息保護(hù)負(fù)責(zé)人，主要負(fù)責(zé)保障數(shù)據(jù)主體權(quán)利以及企業(yè)網(wǎng)絡(luò)安全等數(shù)據(jù)保護(hù)方面的工作，是企業(yè)與監(jiān)管機(jī)構(gòu)、數(shù)據(jù)主體的溝通橋梁。企業(yè)應(yīng)在如下五個(gè)方面確保數(shù)據(jù)保護(hù)官的地位：（1）應(yīng)當(dāng)公布數(shù)據(jù)保護(hù)官的聯(lián)系方式，并報(bào)告給監(jiān)管機(jī)構(gòu)[21]；（2）應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官適當(dāng)、及時(shí)地參與有關(guān)個(gè)人數(shù)據(jù)保護(hù)的所有事宜；（3）通過(guò)提供必要資源和專業(yè)知識(shí)培訓(xùn)支持?jǐn)?shù)據(jù)保護(hù)官執(zhí)行任務(wù)；（4）不會(huì)因?yàn)閿?shù)據(jù)保護(hù)官執(zhí)行任務(wù)而將其解雇或者給予處罰；（5）當(dāng)數(shù)據(jù)保護(hù)官履行其他職責(zé)時(shí)，確保不會(huì)出現(xiàn)利益沖突[22]，所以，企業(yè)可以考慮由法務(wù)總監(jiān)、網(wǎng)絡(luò)安全負(fù)責(zé)人、審計(jì)部門(mén)負(fù)責(zé)人兼任數(shù)據(jù)保護(hù)官，而進(jìn)行數(shù)據(jù)處理的業(yè)務(wù)部門(mén)負(fù)責(zé)人、總經(jīng)理的職責(zé)一般與數(shù)據(jù)保護(hù)官存在利益沖突，不建議兼任數(shù)據(jù)保護(hù)官。

十一、 《實(shí)踐指南》關(guān)注點(diǎn)十：對(duì)數(shù)據(jù)保護(hù)影響評(píng)估的規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

第35條第1款

第35條第3款

數(shù)據(jù)控制者在進(jìn)行數(shù)據(jù)處理之前，基于數(shù)據(jù)處理的性質(zhì)、范圍、內(nèi)容及目的判斷處理活動(dòng)可能對(duì)個(gè)人的權(quán)利和自由構(gòu)成高風(fēng)險(xiǎn)時(shí)，應(yīng)實(shí)施DPIA。在以下情形下，通常需要實(shí)施DPIA：一是基于數(shù)據(jù)的自動(dòng)化處理，包括數(shù)字畫(huà)像，對(duì)自然人個(gè)人方面的系統(tǒng)和廣泛的評(píng)估，而據(jù)此做出的決定對(duì)該自然人產(chǎn)生法律效力或者重大影響；二是大規(guī)模特殊類別個(gè)人數(shù)據(jù)或有關(guān)犯罪記錄和違法行為的個(gè)人數(shù)據(jù)；三是對(duì)公共區(qū)域大規(guī)模的系統(tǒng)化監(jiān)控。

組織如構(gòu)成上述情形，應(yīng)考慮實(shí)施數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

企業(yè)如符合實(shí)施數(shù)據(jù)保護(hù)影響評(píng)估的前述情形，實(shí)施數(shù)據(jù)保護(hù)影響評(píng)估應(yīng)注意以下三個(gè)方面：（1）評(píng)估應(yīng)當(dāng)至少包含預(yù)計(jì)的處理操作及操作目的、對(duì)數(shù)據(jù)主體的權(quán)利進(jìn)行風(fēng)險(xiǎn)性評(píng)估、預(yù)期的風(fēng)險(xiǎn)防范措施等[23]，如處理過(guò)程是高風(fēng)險(xiǎn)的，應(yīng)當(dāng)在處理之前向監(jiān)管機(jī)構(gòu)征詢意見(jiàn)[24]；（2）應(yīng)充分考慮行業(yè)協(xié)會(huì)或者其他機(jī)構(gòu)制定的行為準(zhǔn)則[25]；（3）在不影響保護(hù)商業(yè)利益、公共利益或者網(wǎng)絡(luò)安全的情況下，應(yīng)該就將要進(jìn)行的數(shù)據(jù)處理向數(shù)據(jù)主體或代表征詢意見(jiàn)[26]。

十二、 《實(shí)踐指南》關(guān)注點(diǎn)十一：通過(guò)設(shè)計(jì)實(shí)現(xiàn)數(shù)據(jù)保護(hù)的規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

鑒于第（78）項(xiàng)、

GDPR第25條

第1款

數(shù)據(jù)保護(hù)設(shè)計(jì)理念應(yīng)當(dāng)融入到產(chǎn)品和業(yè)務(wù)開(kāi)發(fā)的早期過(guò)程（Privacy by Design），例如，設(shè)計(jì)假名化等機(jī)制有效地落實(shí)數(shù)據(jù)保護(hù)原則，并且將必要的保障措施融入到數(shù)據(jù)處理過(guò)程之中。此外，組織可實(shí)施相應(yīng)的措施以確保在默認(rèn)情形下，僅僅處理為實(shí)現(xiàn)目的而最少必需的個(gè)人數(shù)據(jù)。

組織應(yīng)注意其產(chǎn)品和業(yè)務(wù)的設(shè)計(jì)理念與GDPR保持一致。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

數(shù)據(jù)保護(hù)設(shè)計(jì)理念要求企業(yè)在產(chǎn)品或服務(wù)研發(fā)之初就應(yīng)該履行數(shù)據(jù)保護(hù)義務(wù)，堅(jiān)持保護(hù)用戶隱私權(quán)的理念，在搜集信息前就采取預(yù)防性的保障措施，如產(chǎn)品或服務(wù)的默認(rèn)設(shè)置即具有保護(hù)用戶數(shù)據(jù)信息功能（詳見(jiàn)下圖四）；隱私政策條款的展示頁(yè)面中，特別標(biāo)注了處理用戶特殊類型數(shù)據(jù)的條款（詳見(jiàn)下圖五）。

       圖四：Safari 瀏覽器默認(rèn)設(shè)置“阻止跨網(wǎng)站跟蹤”

       圖五：支付寶隱私政策特別標(biāo)注了用戶特殊類型數(shù)據(jù)

十三、 《實(shí)踐指南》關(guān)注點(diǎn)十二：數(shù)據(jù)泄露強(qiáng)制通知的規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第33條、

GDPR鑒于部分第（86）項(xiàng)

在發(fā)生個(gè)人數(shù)據(jù)泄露時(shí)，除非個(gè)人數(shù)據(jù)的泄露不會(huì)產(chǎn)生危及自然人權(quán)利和自由的風(fēng)險(xiǎn)，否則數(shù)據(jù)控制者應(yīng)在獲知泄露之時(shí)起的72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)發(fā)送通知報(bào)告。另外，當(dāng)個(gè)人數(shù)據(jù)泄露可能對(duì)自然人的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者還應(yīng)當(dāng)向數(shù)據(jù)主體告知數(shù)據(jù)泄露的相關(guān)情況。

組織應(yīng)注意如發(fā)生個(gè)人數(shù)據(jù)泄露等安全事件，需履行的通報(bào)和告知義務(wù)。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

GDPR并未明確規(guī)定監(jiān)管機(jī)構(gòu)的具體名稱，而是由各個(gè)成員國(guó)確定各自監(jiān)管機(jī)構(gòu)的任務(wù)、權(quán)限和職權(quán)。企業(yè)向監(jiān)管機(jī)構(gòu)履行告知義務(wù)的內(nèi)容應(yīng)當(dāng)包括如下方面：（1）描述個(gè)人數(shù)據(jù)泄露的性質(zhì)，盡可能地包括相關(guān)數(shù)據(jù)主體以及個(gè)人數(shù)據(jù)記錄的類別和大致數(shù)量；（2）數(shù)據(jù)保護(hù)負(fù)責(zé)人或者其他能夠獲得更多信息的聯(lián)系點(diǎn)的名稱和聯(lián)系方式；（3）描述數(shù)據(jù)泄露的可能性后果；（4）描述控制者應(yīng)對(duì)數(shù)據(jù)泄露事件而采取的措施或計(jì)劃采取的措施，包括能夠減輕負(fù)面影響的措施[27]。

GDPR雖然沒(méi)有明確規(guī)定企業(yè)向數(shù)據(jù)主體履行告知義務(wù)的具體時(shí)限，但該項(xiàng)告知義務(wù)的時(shí)限要求實(shí)際上比向監(jiān)管機(jī)構(gòu)履行告知義務(wù)的更高，即需要減輕即時(shí)損害的，需要立即與資料當(dāng)事人溝通，而需要采取適當(dāng)措施防止持續(xù)或類似的個(gè)人資料遭泄露的，則可能需要更多時(shí)間進(jìn)行溝通，企業(yè)履行告知義務(wù)的內(nèi)容應(yīng)當(dāng)包括如下兩個(gè)方面：（1）個(gè)人數(shù)據(jù)泄露的性質(zhì)；（2）提出減輕潛在不利影響的建議。

十四、 《實(shí)踐指南》關(guān)注點(diǎn)十三：數(shù)據(jù)跨境傳輸?shù)囊?guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第五章

GDPR提出了多種數(shù)據(jù)跨境流動(dòng)機(jī)制。比如，直接向通過(guò)歐盟進(jìn)行充分性認(rèn)定的第三國(guó)傳輸數(shù)據(jù)，還可通過(guò)實(shí)施被認(rèn)可的行為準(zhǔn)則，簽署符合相關(guān)要求的格式合同、有約束力的公司準(zhǔn)則、通過(guò)相關(guān)認(rèn)證等方式證明數(shù)據(jù)接收方滿足適當(dāng)?shù)谋Ｗo(hù)能力，來(lái)保證數(shù)據(jù)跨境流動(dòng)的安全性；此外，在征得數(shù)據(jù)主體明示同意、基于公共利益、履行有利于數(shù)據(jù)主體的合同或基于組織正當(dāng)利益等情形下也滿足數(shù)據(jù)跨境傳輸要求。

組織如涉及數(shù)據(jù)跨境傳輸，應(yīng)選擇適用于其業(yè)務(wù)的跨境傳輸機(jī)制。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

與我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定的跨境傳輸采取安全評(píng)估機(jī)制不同，GDPR規(guī)定了多種數(shù)據(jù)跨境流動(dòng)機(jī)制，除直接向通過(guò)歐盟進(jìn)行充分性認(rèn)定的第三國(guó)傳輸數(shù)據(jù)（即允許直接跨境傳輸 ）外，其他渠道均允許成員國(guó)境內(nèi)的控制者在符合特定條件下對(duì)個(gè)人數(shù)據(jù)進(jìn)行跨境傳輸。鑒于中國(guó)并不在“充分性認(rèn)定”的第三國(guó)名單內(nèi)[28]，若涉及處理歐盟境內(nèi)數(shù)據(jù)或者在歐盟境內(nèi)設(shè)立分支機(jī)構(gòu)的中國(guó)企業(yè)，應(yīng)考慮通過(guò)簽署相關(guān)要求的格式合同、有約束力的公司規(guī)則、通過(guò)實(shí)施被認(rèn)可的行為準(zhǔn)則或相關(guān)認(rèn)證、征得數(shù)據(jù)主體明示同意等渠道，進(jìn)行個(gè)人數(shù)據(jù)的跨境傳輸。

十五、 《實(shí)踐指南》關(guān)注點(diǎn)十四：處罰規(guī)定

GDPR條款

關(guān)注點(diǎn)

組織應(yīng)對(duì)措施

GDPR第83條

第4款

GDPR對(duì)違規(guī)組織采取根據(jù)情況分級(jí)處理的方法，并設(shè)定了最低一千萬(wàn)歐元的巨額罰款作為制裁。如果組織未按要求保護(hù)數(shù)據(jù)主體的權(quán)益、做好相關(guān)記錄，或未將其違規(guī)行為通知監(jiān)管機(jī)關(guān)和數(shù)據(jù)主體，或未進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估或者未按照規(guī)定配合認(rèn)證，或未委派數(shù)據(jù)保護(hù)官或歐盟境內(nèi)代表，則可能被處以1000萬(wàn)歐元或其全球年?duì)I業(yè)額2％（兩者取其高）的罰款。

組織可向其內(nèi)部通報(bào)GDPR處罰規(guī)則，進(jìn)一步提升安全意識(shí)。

GDPR第83條

第5款、第6款

如果發(fā)生了更為嚴(yán)重的侵犯?jìng)€(gè)人數(shù)據(jù)安全的行為，如未獲得客戶同意處理數(shù)據(jù)，或核心理念違反“隱私設(shè)計(jì)”要求，或違反規(guī)定將個(gè)人數(shù)據(jù)跨境傳輸，或違反歐盟成員國(guó)法律規(guī)定的義務(wù)等，組織有可能面臨最高2000萬(wàn)歐元或組織全球年?duì)I業(yè)額的4%（兩者取其高）的巨額罰款。

來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

 GDPR的巨額罰款給跨國(guó)企業(yè)帶來(lái)巨大震懾力，上述GDPR關(guān)于處罰機(jī)制適用對(duì)象已突破歐盟成員國(guó)范圍，同“關(guān)注點(diǎn)一：適用 GDPR的場(chǎng)景”，只要向歐盟境內(nèi)公民提供商品或服務(wù)，無(wú)論企業(yè)設(shè)立在哪個(gè)國(guó)家，如觸發(fā)GDPR的處罰機(jī)制，都將面臨巨額罰款。比如，GDPR生效當(dāng)日，Noyb.eu 起訴的四家公司中，Google (Android)雖然屬于在美國(guó)注冊(cè)[29]的公司，也成為了被訴對(duì)象。

除了上述由監(jiān)管機(jī)構(gòu)處以行政處罰外，根據(jù)GDPR第82條規(guī)定，企業(yè)還將面臨民事賠償責(zé)任，其中，控制者都應(yīng)對(duì)違反GDPR關(guān)于處理行為所造成的損害負(fù)責(zé)。處理者只有在沒(méi)有履行GDPR關(guān)于特別針對(duì)處理者的義務(wù)，或在控制者的合法指示之外或相反的情況下，才須對(duì)處理所造成的損害負(fù)法律責(zé)任。

[1] 《實(shí)踐指南》統(tǒng)一采用“組織”表述，如無(wú)特別注明，本文內(nèi)容提及的“企業(yè)”與“組織”表示同一主體。

[2]訪問(wèn)網(wǎng)址：https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.

[3] 詳見(jiàn)GDPR第6條。

[4] 詳見(jiàn)GDPR第30條。

[5] 詳見(jiàn)GDPR第37條。

[6] 具體詳見(jiàn)GDPR第32條至34條。

[7] 訪問(wèn)網(wǎng)址：https://dtr.thalesesecurity.com/.

[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[10] 詳見(jiàn)GDPR第8條第2款。

[11] 詳見(jiàn)GDPR第8條第3款。

[12] 詳見(jiàn)GDPR第12條。

[13] 詳見(jiàn)GDPR 詳見(jiàn)GDPR鑒于部分第（63）項(xiàng)。

[14] 詳見(jiàn)GDPR鑒于部分第（70）項(xiàng)。

[15] 詳見(jiàn)GDPR鑒于部分第（72）項(xiàng)。

[16] 詳見(jiàn)GDPR第32條第1款。

[17] 詳見(jiàn)GDPR第33條第2款。

[18] 詳見(jiàn)GDPR第28條第3款第（f）項(xiàng)。

[19] 詳見(jiàn)GDPR第28條第4款。

[20] 詳見(jiàn)GDPR第82條。

[21] 詳見(jiàn)GDPR第37條第7款。

[22] 詳見(jiàn)GDPR第38條。

[23] 詳見(jiàn)GDPR第35條第7款。

[24] 詳見(jiàn)GDPR第36條第1款。

[25] 詳見(jiàn)GDPR第35條第8款。

[26] 詳見(jiàn)GDPR第35條第9款。

[27] GDPR第33條第3款。

[28] 歐盟委員會(huì)公布的“充分性認(rèn)定”的第三國(guó)名單包括安道爾、阿根廷、加拿大(商業(yè)組織)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(guó)(僅限于隱私保護(hù)框架)。

[29]Google (Android)注冊(cè)地址為Amphitheatre Parkway, Mountain View, CA 94043, USA.