日本一区二区不卡视频,高清成人免费视频,日日碰日日摸,国产精品夜间视频香蕉,免费观看在线黄色网,国产成人97精品免费看片,综合色在线视频

         2018年5月25日 《歐盟數據保護通用條例》 (General Data Protection Regulation ，簡稱“ GDPR ” ) 正式生效。對于該條例，盡管有不少中國企業提前進行了研究和布局，然而，規則生效帶來的沖擊依然是巨大的。為了給予中國企業必要的指導， 全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日發布了《網絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”）。雖然該《實踐指南》是中國相關機構對 GDPR 的理解，但對于實踐依然具有積極的指導意義。本文擬結合 《實踐指南》對 GDPR 相關問題作出分析，以期對企業的實務工作具有借鑒意義。

一、   《實踐指南》出臺的背景及目的

《歐盟數據保護通用條例》(General Data Protection Regulation，簡稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會（The European Parliament ）早在兩年前（即2016年4月14日）就審議通過并正式公告了GDPR，被冠以 “最嚴數據隱私條例”，GDPR的正式生效還是給很多跨國企業造成不小沖擊。比如，GDPR生效的第一天，隱私權倡導組織Noyb.eu就代表數據主體向歐洲監管機構提起了針對Facebook、Android、WhatsApp、Instagram違反GDPR規定的訴訟。同時，《紐約每日新聞》、《洛杉磯時報》、《邁阿密先驅報》等一些美國新聞網站在歐洲暫時關閉，《時代》和《華盛頓郵報》則重新修改了專門針對歐盟用戶同意的隱私與服務條款。中國的互聯網科技企業也不例外，騰訊微信團隊于5月28日發布了《關于歐盟數據保護通用條例的通知》，當歐盟用戶撤銷授權公眾號獲取其個人信息時，會以郵件形式告知公眾號的注冊郵箱刪除歐盟用戶的信息；騰訊在GDPR生效前一個月發布了自5月20日起停止為歐洲用戶服務的消息；小米生態鏈企業Yeelight則宣布，由于無法滿足GDPR要求，將不再向歐洲用戶提供服務……

GDPR關于個人數據保護的條款內容十分豐富，鑒于部分共計173條，正文部分共計99條（分為十一章），包含適用范圍、地域范圍、數據主體同意的要件、特殊類型的個人信息處理、數據主體權利、數據控制者和處理者的義務、個人數據向第三國或國際組織的傳輸、數據保護的監管機構職權、數據主體權利被侵犯后的救濟途徑和處罰措施等等，體現了全面的個人數據保護和促進個人信息合法自由流動的雙重立法理念。同時，在個人信息的定義與范圍、個人信息處理的原則、“同意”的形式和內容等方面，國內的《個人信息安全規范》與GDPR存在諸多相通之處。

對于企業而言， GDPR規定了數據主體的哪些權利、國內企業與歐盟企業合作時是否必然適用GDPR、在歐盟設立的下屬企業如何應對GDPR、如何完善自身隱私政策條款內容、如何快速應對GDPR所產生的影響等等實務問題，更具有現實意義。筆者關注到，全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日即發布了《網絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”），簡要介紹了GDPR適用的場景、核心內容和關注點，并結合案例說明了如何理解GDPR的核心條款，并提示了組織采取何種應對措施以符合GDPR的規定，屬于官方機構對GDPR的權威解讀。然則，在與GDPR有關的文章“鋪天蓋地”的主流趨勢下，《個人信息安全規范》的歸口部門信標委出臺的《實踐指南》被淹沒在了GDPR的“洪流”中。

本文即以《實踐指南》提及的關注點為線索，對企業如何解決適用GDPR過程中遇到的實務合規問題予以研究。

二、   《實踐指南》關注點一：適用 GDPR的場景

GDPR條款

關注點

案例

組織應對措施

GDPR第3條

一是數據控制者或數據處理者在歐盟境內設有分支機構（establishment）。

在歐盟本地運營的A國（A國指某一非歐盟成員國）連鎖酒店，直接將其收集的住客個人數據傳輸至A國總部進行處理，則需要履行GDPR中相關責任和義務。

組織[1]涉及海外業務、全球化經營或業務合作等場景時，應注意其是否適用GDPR。

二是數據控制者或數據處理者在歐盟境內不設分支機構（establishment）的情形。

A國企業開發的軟件或系統被嵌入某款設備，該設備向歐盟地區銷售，該設備的制造商在歐盟境內設立了銷售代表處，相關軟件或系統收集個人數據的過程需要適用GDPR等。

三是GDPR主要適用歐盟境內發生的個人數據處理行為，其保護對象為歐盟境內的數據主體。

當歐盟公民抵達A國，例如進入A國大學學習，在A國商場購物等，且歐盟公民返回歐盟境內后，大學、商場不再對其行為進行跟蹤或分析，則大學、商場無需適用GDPR。

來源：全國信息安全標準化技術委員會

本文開篇提到的Facebook、Android、WhatsApp、Instagram以及國內的小米、騰訊直接對歐盟境內的數據主體提供商品或服務，或者在歐盟境內設立了分支機構，按照GDPR第三條以及《實踐指南》關注點一的解讀，前述企業遵守GDPR無疑。但是，以下案例中的B公司是否要遵守GDPR呢？

B屬于中國某運營商的下屬大數據分析公司，在歐盟沒有設立任何分支機構；用戶張某使用該運營商的SIM卡，在去法國旅行前開通了境外通信業務，在法國旅行期間共計通話100分鐘，共計發送了20條短信/彩信；如果B公司只對張某等中國公民在歐盟成員國旅行期間的通信情況等進行了加工、處理、分析，最終形成了中國公民歐洲游通信情況的分析報告，根據該報告所反映的屬性趨勢情況，向同樣符合該等屬性的中國公民推送了境外游的營銷廣告。那么，B公司是否有義務遵守GDPR呢？

GDPR第3條第2款將數據主體界定為“歐盟境內的數據主體”（data subjects who are in the Union），并未明確規定為“歐盟公民”（Eu citizens），張某等中國公民的個人通信信息行為發生地在歐洲，但B公司處理了中國公民的數據信息，所以，尚不能援引GDPR第3條第2款直接判定，上述案例中的B公司是否應遵守GDPR。

關于如何理解“歐盟境內的數據主體”，歐盟委員會專門就數據保護的適用對象問題（Who does the data protection law apply to?）做了如下官方案例答復， “如果您的公司是歐盟以外的服務提供商，且為歐盟成員國以外的客戶提供服務。您的客戶可以在去其他國家(包括歐盟內部)旅行時使用公司提供的服務。如果您的公司沒有明確地針對歐盟的個人提供服務，那么，該公司不受GDPR規則的約束。” [2]根據歐盟委員會的前述官方答復，GDPR保護的對象主要為歐盟成員國的公民，而非“世界公民”。所以，上述案例中，如果B公司只對中國公民提供商品或服務，且張某未在法國長期居留以至于取得了“法國公民”的資格，筆者認為，B公司不必然遵守GDPR。

三、      《實踐指南》關注點二：適用的數據范圍

GDPR條款

關注點

組織應對措施

GDPR第4條第（1）款

個人數據，是指與一個確定的或可識別的自然人相關的任何信息?？杀蛔R別的自然人,是指借助標識符，例如姓名、身份標識、位置數據、網上標識符，或借助與該個人生理、心理、基因、精神、經濟、文化或社會身份特定相關的一個或多個因素，可被直接或間接識別出的個人。

組織應識別其處理個人數據或特殊類別（敏感）個人數據的具體類型。

GDPR第9條第（1）款、

GDPR第10條

特殊類別（敏感）個人數據，是指揭示種族或民族出身，政治觀點、宗教或哲學信仰以及工會成員的個人數據，以及唯一識別自然人為目的的基因數據、生物特征數據、自然人的健康、性生活或性取向數據，還包括刑事定罪和犯罪相關的個人資料等。

來源：全國信息安全標準化技術委員會

企業處理特殊類別（敏感）數據比處理一般個人數據時的注意義務更嚴格，主要如下：（1）個人數據是否為特殊類別（敏感）數據是判斷合法性基礎（即無需數據主體的同意）的特別情形之一，即未經數據主體同意，亦非歐盟法或成員國法律所允許的，控制者應當確認前述處理活動是否與最初收集數據的目的一致；[3]（2）無論企業的規?；蛉藬?，控制者（以及適用情況下的控制者的代理人）均應當依其職責保存處理活動的記錄，處理者（以及在適用情況下的處理者的代表）均應保存代表控制者執行的所有處理活動類別的記錄，而雇員少于250人的企業或組織處理特殊類別（敏感）數據以外的個人數據時，則不必然履行前述保存處理活動記錄的義務[4]；（3）控制者和處理存在處理大規模特殊類別（敏感）個人數據情形的，必須設立數據保護官（Designation of the data protection officer）[5]。

需注意的是，我國《個人信息安全規范》(GB/T 35273—2017)規定的個人敏感信息與GDPR規定的特殊類別（敏感）個人數據都將個人的基因、健康、生物識別信息、性取向、宗教信仰、民族出身等信息囊入其中，但兩者之間具有如下主要區別之處：（1）我國規定的個人敏感信息范圍更加寬泛：除了GDPR列舉的數據種類外，我國將個人財產信息（如銀行賬號、房產信息、信貸記錄、征信信息等）、個人身份信息（如身份證、軍官證、護照、駕駛證、工作證、社?？?、居住證等）、網絡身份標識信息（如系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等）、婚史、通信記錄和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。而按照GDPR規定，網絡身份標識信息、身份信息則未被納入特殊類別（敏感）個人數據范圍之內。（2）兩者的定義模式不同，GDPR對特殊類別（敏感）個人數據的定義采取列舉式，而我國采取概括和列舉并列式：除了前述列式的個人敏感信息類型外，我國規定的人敏感信息泛指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。例如，李四是某證券公司的“操盤手”，手機通訊錄包含了眾多投資機構負責人的聯系方式，如網絡服務提供者泄露了李四手機通訊錄中的聯系人信息，將對李四名譽造成重大損害，那么，李四的“聯系人信息”將從《個人信息安全規范》認定的“個人信息”升級為“個人敏感信息”。

四、      《實踐指南》關注點三：數據處理的基本原則

GDPR條款

關注點

組織應對措施

GDPR第5條

個人數據處理的基本原則，包括合法、公正、透明、數據最小化、目的限定、存儲限制、完整性和保密性、問責等；

組織應保證其數據處理活動遵循基本的原則。

GDPR第4條第2款

數據處理是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷毀，且無論此操作是否采用自動化的手段。

來源：全國信息安全標準化技術委員會

“合法、公正、透明”是企業處理個人數據的首要原則，如何認定“合法”需要結合GDPR第6條關于“合法正當性理由”綜合判定，“公正、透明”強調企業應以方便數據主體明確易懂的方式處理個人信息；“數據最小化”是指以個人數據處理目的之必要為限度，如某P2P平臺搜集了借款人的血型，則易被認定為超出提供借貸撮合服務的“數據最小化”限度；“目的限定”和“儲存限定”原則都規定了例外情形，即為了公共利益、科學或歷史研究或者統計目的而進一步處理，應符合GDPR第89條第1款規定，不應被認定為不符合初始目的或者可以較長時間儲存個人數據，該原則旨在保持數據主體利益與社會公共利益之間的平衡。

“完整性和保密性”是指企業應當采取適度的方式確保個人數據安全，防止未經授權的、非法的處理、意外遺失、滅失或損毀，強調企業處理數據時應履行“安全義務”[6]。數據泄露是全球范圍內最常見的網絡安全事件之一，也是數據主體同意填寫個人信息時最擔心的因素之一，關鍵信息系統、網絡安全和數據安全領域的領導者泰雷茲公司于2018年3月20日發布的《2018泰雷茲數據威脅報告》顯示， 26%的受訪者曾于2016年表示遭遇了數據泄露，2017年的占比上升至36%，而到2018年該比例明顯上升至67%[7]。所以，企業應當采取先進、全面、足夠的技術手段以及管理措施，以保護數據主體信息的“完整性和保密性”。

“問責”是GDPR第5條第2款單獨規定的原則，同時也是保障企業遵循前述六大原則的“兜底原則”，即企業應當證明其自身符合前述六大原則，且應當對造成數據主體的損害承擔賠償責任。

五、      《實踐指南》關注點四：數據處理的合法正當性事由

GDPR條款

關注點

組織應對措施

GDPR第6條第1款

數據處理行為首先應具備合法性基礎，GDPR規定的六種合法性情形包括：數據主體的同意、合同履行、履行法定義務、保護個人重要利益、維護公共利益以及追求正當利益。

組織應保證其數據處理活動滿足合法性要求。

GDPR第4條第（11）項

GDPR強調同意是指“數據主體通過書面聲明或經由一個明確的肯定性動作，表示同意對其個人數據進行處理。該意愿表達應是自由給出的（freely given）、特定具體的（specific）、知情的（informed）、清晰明確的（unambiguous）”，且撤回同意的方式應該與表達同意同等便利。

 來源：全國信息安全標準化技術委員會

“數據主體同意”個人數據為一個或多個特定目的而處理是處理數據正當性事由的首要情形，也是我國《網絡安全法》、《民法總則》等個人信息保護方面法律法規規定的強制性要求，常見的同意形式主要體現形式為專門的隱私政策服務條款、用戶注冊協議或具體交易協議中的授權條款、網絡服務提供者制定的履行網絡安全義務的規章制度等等。例如，Facebook 的服務條款之一有如下約定：“針對需要特殊保護的數據（例如您在Facebook用戶畫像范圍內或Life Events專欄內分享的有關您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息）處理，我們就此有權向您選擇的對象披露，且有權對您的內容進行個性化處理?！痹摋l款并未以取得Facebook用戶對其分享宗教觀等數據信息的同意，所以， Noyb.eu vs. Facebook 的訴訟中，Noyb.eu提出的申訴請求之一即是請求通過申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第（a）項的要求，以及違規程度如何。[8]

其他五種數據處理的合法性正當事由并不以同意為條件，但根據GDPR第6條第2款、第3款、第4款的規定，是否構成合法性正當事由需要滿足較為嚴苛的條件，如認定符合“履行法定義務”和“維護公共利益以及追求正當利益”情形時，需要從被處理的數據類型、目的限制、儲存限制、處理操作和處理程序、個人數據可能被披露的實體等“彈性”因素予以綜合判定，且GDPR同時給予了歐盟成員國對前述情形的立法權。例如， Facebook將對用戶進行營銷的數據處理表述如下：“為了履行我們Facebook服務條款或Instagram使用條款的必要”，Noyb.eu 就該條款認為，Facebook顯然試圖在民商事法律條款中“隱藏”對處理行為的同意，以期引起誤解，使人認為該等處理行為符合GDPR第6條第1點第（b）款的規定。[9]

所以，其他五種數據處理的合法性正當事由的認定難度較大，在援引合法性正當事由的判例出現或者認定具體情形的法律條文出臺前，建議企業仍然需要取得數據主體的“同意”后再進行數據處理。

六、      《實踐指南》關注點五：對兒童的特殊保護規定

GDPR條款

關注點

組織應對措施

GDPR第8條

如果直接向兒童提供信息社會服務時，該兒童的年齡應當為16周歲以上。若兒童未滿16周歲，只有在征得監護人同意或授權的范圍內其處理才合法。成員國可以通過法律對上述年齡進行調整，但不得低于13周歲

組織如涉及兒童個人數據的處理，應予以特別保護。

來源：全國信息安全標準化技術委員會

組織涉及兒童個人數據的處理，尤其需注意履行如下義務：（1）應當采取合理努力，在現有技術條件下，驗證兒童的監護人是否予以同意[10]；（2）GDPR第7條第1款的特別保護措施不應影響到成員國的一般合同法律（如與兒童有關的合同效力、構成或實行）[11]；（3）對于兒童的任何信息，企業應當以簡單明了、且易于獲取的方式以及通過清楚明確的語言，并采取合適措施提供第13 條和第14 條所提到的任何信息（主要為企業從數據主體搜集個人數據時應披露的信息，如企業的身份、聯系方式、儲存限制等）。

七、      《實踐指南》關注點六：數據主體權利

GDPR條款

關注點

組織應對措施

第三章

數據主體權利

GDPR賦予了數據主體對其數據廣泛的控制權，包括知情、訪問、更正、刪除、限制處理、可攜帶、反對等權利。比如：在數據收集時，數據控制者應以簡潔、透明、易懂及便于訪問的方式向數據主體提供數據控制者身份及聯系信息、數據處理的目的及合法基礎、數據主體享有的權利等信息。

組織應基于當前業務特點及處理數據的合法性事由，選擇需要實現的數據主體權利。

GDPR第17條

第1款、第2款

(刪除權)

在特定情況下，如履行目的不再需要、數據主體撤回同意或個人數據被非法處理等等情況下，數據主體有權要求刪除其個人數據。GDPR也規定了若干刪除權不適用情形，如為行使言論和信息自由的權利，為履行數據控制者法定義務，為設立、行使或捍衛合法權利等等。

GDPR第17條

第3款

(刪除權條款不適用的情形)

數據主體有權拒絕數據控制者基于以下目的對個人數據進行的處理行為，如為公共利益，為數據控制者的合法利益，以直接營銷為目的，基于科學或歷史研究以及統計目的的數據處理行為等。

GDPR第18條

（限制處理權）

數據主體有權在以下情形限制數據控制者的處理行為，如質疑數據準確性，違法處理，數據到期等。

GDPR第20條

（數據可攜帶權）

數據控制者基于數據主體同意或履行合同所必須，以自動化方式處理數據主體提供的個人數據時，數據主體有權從數據控制者取得結構化可機讀的個人數據副本，并傳送給另一個數據控制者。

來源：全國信息安全標準化技術委員會

GDPR在鑒于部分即開宗明義指出：“自然人在個人數據處理方面獲得保護是一項基本權利。《歐盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款規定每個人都享有就其個人數據獲得保護的權利”，GDPR創設了限制處理權、數據可攜帶權、刪除權等等，并將數據主體的權利范圍、權利內容以及權利保障措施等提升到前所未有的高度。

對于企業而言，對數據主體權利的保障主要體現在用戶隱私政策條款中，并構成企業隱私政策條款的核心內容，盡快調整隱私政策條款成為GDPR生效后的重要合規工作，并至少應當注意以下四個方面：（1）權利內容：全面告知用戶數據訪問權、更正權、刪除權、限制處理權、數據可攜帶權、反對權等；（2）權利告知方式：以簡單、透明、清晰且易于獲取的方式告知用戶，采用清楚明確的語言；（3）權利告知介質：應當以書面形式或其他方式提供，若有必要，可采取電子形式。如果用戶的身份能夠通過其他方式得到認證，在用戶要求的前提下，可以采用口頭方式；（4）權利請求的行動期限：企業應當自收到請求之日起1個月內提供GDPR關于用戶權利內容而采取行動的信息，必要時可以延長兩個月。對于延期提供信息的任何情況，企業都應當自收到請求之日起1個月內通知用戶相關情形和延遲原因[12]。企業執行GDPR保護用戶權利方面的參考案例如下：

圖一

Booking在《隱私聲明》內容的最前面，即設置了“打印/保存”功能，易于用戶獲取隱私政策

圖二

5月22日，蘋果公司更新了隱私政策條款，添加了用戶的刪除數據權

八、      《實踐指南》關注點七：對用戶畫像的規定

GDPR條款

關注點

案例

組織應對措施

GDPR

第4條第4款

用戶畫像是指通過自動化方式處理個人數據的活動，用于評估、分析以及預測個人的特定方面，可能包括工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現等。

電商通過用戶畫像，開展廣告、市場預測和推廣工作。

組織如涉及對用戶進行畫像，需要關注如何獲得合法性基礎，以及向數據主體提供相應權利。

GDPR第13條第2款第（f）項、第14條第2款第（g）項、第22條第2款

在數據主體明確同意、歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像。同時還提出，在征得數據主體同意時，應對畫像相關數據來源、算法原理及相應影響等予以充分告知，并賦予數據主體反對權、刪除權、更正權和限制處理權等權利。

——

來源：全國信息安全標準化技術委員會

用戶畫像屬于自動化決策的表現形式之一，能夠在一定程度上影響數據主體作出決策的自自由意志和行為，根據GDPR規定，企業以用戶畫像方式進行數據處理時必須履行如下義務：（1）在數據主體明確同意、數據歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像，其中，取得數據主體的明確同意也是企業目前普遍采取的方式；（2）企業應當讓數據主體知曉用戶畫像的存在以及用戶畫像的結果，以符合“合法、公正、透明原則”；（3）企業應當讓數據主體知曉自動處理數據的算法，若可能，應當提供連接安全系統的遠程途徑，該系統可以向數據主體提供直接訪問其信息的途徑[13]；（4）企業應當保障數據主體可以在任何時間反對其處理與直接營銷有關的數據畫像，同時，應當采取明確引起數據主體注意的方式體現反對權條款，并清晰地與其他條款分開說明[14]；（5）企業應當同時遵守歐洲數據保護委員會制定的具體指引中關于用戶畫像的規定[15]。

實踐中，互聯網服務提供者通常采用cookies技術監控、跟蹤用戶活動，并預測用戶行為，完全符合GDPR規定的用戶畫像定義。如Google制定的隱私政策（Privacy Policy）中，開篇即專門提醒用戶注意閱讀另行制定的Cookies 政策（Cookies Policy）。具體如下圖所示：

圖三：goole的隱私政策截屏

九、      《實踐指南》關注點八：對數據處理者的規定

GDPR條款

關注點

組織應對措施

GDPR第4條

第（8）項

數據處理者是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

組織如屬于數據處理者，應根據數據控制者明確的指示處理個人數據，履行相應的保密義務，在數據處理服務結束時，刪除或返還所有的個人數據，接受數據控制者的審計等。

GDPR第28條

第1款、第2款

當數據控制者委托數據處理者具體處理數據時，數據控制者應選擇采取了合適的技術和組織方面措施的數據處理者，以確保數據處理符合GDPR的要求，及保障數據主體的權利。在沒有數據控制者事先或一般性的書面許可時，數據處理者不應再與另外的數據處理者合作。

來源：全國信息安全標準化技術委員會

GDPR特別強調數據處理者處理個人數據的權限不能超出數據控制者的書面許可，否則，處理行為將成為“無源之水、無本之木”。例如，近期持續發酵的Facebook數據泄露事件中，英國劍橋大學的學者柯剛通過相關軟件獲取了Facebook海量用戶信息，劍橋分析公司通過柯剛獲取了用戶信息，并將其用于與政客營銷商業服務有關的數據處理。劍橋分析公司作為數據處理者，并未獲得數據控制者Facebook處理用戶信息的任何書面許可，所以，劍橋分析公司在Facebook數據泄露事件中也負有不可推卸的法律責任。

除了《實踐指南》提及的組織應對措施外，數據處理者還應當履行如下義務：（1）應當實施適當的技術性和組織性措施，確保處理過程的安全性，如保證處理系統和服務具有保密性、完整性、可用性、可恢復性的功能，對技術性和組織性措施的有效性進行定期測試、訪問、評估等[16]；（2）處理者在知道個人信息泄露后，應立即通知控制者[17]；（3）協助數據控制者遵守網絡安全、個人數據泄露后向監管機構報告、個人數據泄露后告知數據主體、數據保護影響評估等義務[18]；（4）與除自身以外的其他數據處理者合作處理數據時，應當就其他處理者義務的履行對控制者承擔全部責任[19]；（5）處理者僅在其未遵守GDPR對于處理者義務的特別規定、超出控制者的合法指令或者違反控制者的指令時，為數據處理導致的損害負責，但數據主體也有權直接向處理者主張索賠，如屬于控制者的責任，處理者可事后向控制者追償[20]。

十、      《實踐指南》關注點九：對數據保護官、歐盟境內法律代表的規定

GDPR條款

關注點

組織應對措施

GDPR第37條

第1款

通常情況下，數據控制者和數據處理者任命數據保護官的情形包括：（1）公權力機構處理數據的；（2）數據處理的主要活動范圍、目的要求經常性、系統性、大范圍地監測數據主體；（3）大規模處理特殊類別個人數據。

組織如存在上述情形，應考慮設立數據保護官或任命歐盟境內法律代表。

GDPR第37條

第5款、第6款、第7款

數據保護官應具備專業的數據保護法律和實踐的知識，以保證其履行相應職責。數據保護官可以是正式職員，也可以基于服務合同完成工作。數據控制者應公開數據保護官的聯系方式，并將名單向監管機構匯報。

GDPR第27條

第1款、第3款

如果組織面向歐盟境內的數據主體提供商品或服務，或監控歐盟境內數據主體的行為，應通過書面形式在歐盟境內任命一名代表。

來源：全國信息安全標準化技術委員會

數據保護官類似于我國《網絡安全法》規定的網絡安全負責人以及《個人信息安全規范》的個人信息保護負責人，主要負責保障數據主體權利以及企業網絡安全等數據保護方面的工作，是企業與監管機構、數據主體的溝通橋梁。企業應在如下五個方面確保數據保護官的地位：（1）應當公布數據保護官的聯系方式，并報告給監管機構[21]；（2）應當確保數據保護官適當、及時地參與有關個人數據保護的所有事宜；（3）通過提供必要資源和專業知識培訓支持數據保護官執行任務；（4）不會因為數據保護官執行任務而將其解雇或者給予處罰；（5）當數據保護官履行其他職責時，確保不會出現利益沖突[22]，所以，企業可以考慮由法務總監、網絡安全負責人、審計部門負責人兼任數據保護官，而進行數據處理的業務部門負責人、總經理的職責一般與數據保護官存在利益沖突，不建議兼任數據保護官。

十一、 《實踐指南》關注點十：對數據保護影響評估的規定

GDPR條款

關注點

組織應對措施

第35條第1款

第35條第3款

數據控制者在進行數據處理之前，基于數據處理的性質、范圍、內容及目的判斷處理活動可能對個人的權利和自由構成高風險時，應實施DPIA。在以下情形下，通常需要實施DPIA：一是基于數據的自動化處理，包括數字畫像，對自然人個人方面的系統和廣泛的評估，而據此做出的決定對該自然人產生法律效力或者重大影響；二是大規模特殊類別個人數據或有關犯罪記錄和違法行為的個人數據；三是對公共區域大規模的系統化監控。

組織如構成上述情形，應考慮實施數據保護影響評估（DPIA）。

來源：全國信息安全標準化技術委員會

企業如符合實施數據保護影響評估的前述情形，實施數據保護影響評估應注意以下三個方面：（1）評估應當至少包含預計的處理操作及操作目的、對數據主體的權利進行風險性評估、預期的風險防范措施等[23]，如處理過程是高風險的，應當在處理之前向監管機構征詢意見[24]；（2）應充分考慮行業協會或者其他機構制定的行為準則[25]；（3）在不影響保護商業利益、公共利益或者網絡安全的情況下，應該就將要進行的數據處理向數據主體或代表征詢意見[26]。

十二、 《實踐指南》關注點十一：通過設計實現數據保護的規定

GDPR條款

關注點

組織應對措施

鑒于第（78）項、

GDPR第25條

第1款

數據保護設計理念應當融入到產品和業務開發的早期過程（Privacy by Design），例如，設計假名化等機制有效地落實數據保護原則，并且將必要的保障措施融入到數據處理過程之中。此外，組織可實施相應的措施以確保在默認情形下，僅僅處理為實現目的而最少必需的個人數據。

組織應注意其產品和業務的設計理念與GDPR保持一致。

來源：全國信息安全標準化技術委員會

數據保護設計理念要求企業在產品或服務研發之初就應該履行數據保護義務，堅持保護用戶隱私權的理念，在搜集信息前就采取預防性的保障措施，如產品或服務的默認設置即具有保護用戶數據信息功能（詳見下圖四）；隱私政策條款的展示頁面中，特別標注了處理用戶特殊類型數據的條款（詳見下圖五）。

       圖四：Safari 瀏覽器默認設置“阻止跨網站跟蹤”

       圖五：支付寶隱私政策特別標注了用戶特殊類型數據

十三、 《實踐指南》關注點十二：數據泄露強制通知的規定

GDPR條款

關注點

組織應對措施

GDPR第33條、

GDPR鑒于部分第（86）項

在發生個人數據泄露時，除非個人數據的泄露不會產生危及自然人權利和自由的風險，否則數據控制者應在獲知泄露之時起的72小時內向監管機構發送通知報告。另外，當個人數據泄露可能對自然人的權利和自由產生高風險時，數據控制者還應當向數據主體告知數據泄露的相關情況。

組織應注意如發生個人數據泄露等安全事件，需履行的通報和告知義務。

來源：全國信息安全標準化技術委員會

GDPR并未明確規定監管機構的具體名稱，而是由各個成員國確定各自監管機構的任務、權限和職權。企業向監管機構履行告知義務的內容應當包括如下方面：（1）描述個人數據泄露的性質，盡可能地包括相關數據主體以及個人數據記錄的類別和大致數量；（2）數據保護負責人或者其他能夠獲得更多信息的聯系點的名稱和聯系方式；（3）描述數據泄露的可能性后果；（4）描述控制者應對數據泄露事件而采取的措施或計劃采取的措施，包括能夠減輕負面影響的措施[27]。

GDPR雖然沒有明確規定企業向數據主體履行告知義務的具體時限，但該項告知義務的時限要求實際上比向監管機構履行告知義務的更高，即需要減輕即時損害的，需要立即與資料當事人溝通，而需要采取適當措施防止持續或類似的個人資料遭泄露的，則可能需要更多時間進行溝通，企業履行告知義務的內容應當包括如下兩個方面：（1）個人數據泄露的性質；（2）提出減輕潛在不利影響的建議。

十四、 《實踐指南》關注點十三：數據跨境傳輸的規定

GDPR條款

關注點

組織應對措施

GDPR第五章

GDPR提出了多種數據跨境流動機制。比如，直接向通過歐盟進行充分性認定的第三國傳輸數據，還可通過實施被認可的行為準則，簽署符合相關要求的格式合同、有約束力的公司準則、通過相關認證等方式證明數據接收方滿足適當的保護能力，來保證數據跨境流動的安全性；此外，在征得數據主體明示同意、基于公共利益、履行有利于數據主體的合同或基于組織正當利益等情形下也滿足數據跨境傳輸要求。

組織如涉及數據跨境傳輸，應選擇適用于其業務的跨境傳輸機制。

來源：全國信息安全標準化技術委員會

與我國《網絡安全法》規定的跨境傳輸采取安全評估機制不同，GDPR規定了多種數據跨境流動機制，除直接向通過歐盟進行充分性認定的第三國傳輸數據（即允許直接跨境傳輸 ）外，其他渠道均允許成員國境內的控制者在符合特定條件下對個人數據進行跨境傳輸。鑒于中國并不在“充分性認定”的第三國名單內[28]，若涉及處理歐盟境內數據或者在歐盟境內設立分支機構的中國企業，應考慮通過簽署相關要求的格式合同、有約束力的公司規則、通過實施被認可的行為準則或相關認證、征得數據主體明示同意等渠道，進行個人數據的跨境傳輸。

十五、 《實踐指南》關注點十四：處罰規定

GDPR條款

關注點

組織應對措施

GDPR第83條

第4款

GDPR對違規組織采取根據情況分級處理的方法，并設定了最低一千萬歐元的巨額罰款作為制裁。如果組織未按要求保護數據主體的權益、做好相關記錄，或未將其違規行為通知監管機關和數據主體，或未進行數據保護影響評估或者未按照規定配合認證，或未委派數據保護官或歐盟境內代表，則可能被處以1000萬歐元或其全球年營業額2％（兩者取其高）的罰款。

組織可向其內部通報GDPR處罰規則，進一步提升安全意識。

GDPR第83條

第5款、第6款

如果發生了更為嚴重的侵犯個人數據安全的行為，如未獲得客戶同意處理數據，或核心理念違反“隱私設計”要求，或違反規定將個人數據跨境傳輸，或違反歐盟成員國法律規定的義務等，組織有可能面臨最高2000萬歐元或組織全球年營業額的4%（兩者取其高）的巨額罰款。

來源：全國信息安全標準化技術委員會

 GDPR的巨額罰款給跨國企業帶來巨大震懾力，上述GDPR關于處罰機制適用對象已突破歐盟成員國范圍，同“關注點一：適用 GDPR的場景”，只要向歐盟境內公民提供商品或服務，無論企業設立在哪個國家，如觸發GDPR的處罰機制，都將面臨巨額罰款。比如，GDPR生效當日，Noyb.eu 起訴的四家公司中，Google (Android)雖然屬于在美國注冊[29]的公司，也成為了被訴對象。

除了上述由監管機構處以行政處罰外，根據GDPR第82條規定，企業還將面臨民事賠償責任，其中，控制者都應對違反GDPR關于處理行為所造成的損害負責。處理者只有在沒有履行GDPR關于特別針對處理者的義務，或在控制者的合法指示之外或相反的情況下，才須對處理所造成的損害負法律責任。

[1] 《實踐指南》統一采用“組織”表述，如無特別注明，本文內容提及的“企業”與“組織”表示同一主體。

[2]訪問網址：https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.

[3] 詳見GDPR第6條。

[4] 詳見GDPR第30條。

[5] 詳見GDPR第37條。

[6] 具體詳見GDPR第32條至34條。

[7] 訪問網址：https://dtr.thalesesecurity.com/.

[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[10] 詳見GDPR第8條第2款。

[11] 詳見GDPR第8條第3款。

[12] 詳見GDPR第12條。

[13] 詳見GDPR 詳見GDPR鑒于部分第（63）項。

[14] 詳見GDPR鑒于部分第（70）項。

[15] 詳見GDPR鑒于部分第（72）項。

[16] 詳見GDPR第32條第1款。

[17] 詳見GDPR第33條第2款。

[18] 詳見GDPR第28條第3款第（f）項。

[19] 詳見GDPR第28條第4款。

[20] 詳見GDPR第82條。

[21] 詳見GDPR第37條第7款。

[22] 詳見GDPR第38條。

[23] 詳見GDPR第35條第7款。

[24] 詳見GDPR第36條第1款。

[25] 詳見GDPR第35條第8款。

[26] 詳見GDPR第35條第9款。

[27] GDPR第33條第3款。

[28] 歐盟委員會公布的“充分性認定”的第三國名單包括安道爾、阿根廷、加拿大(商業組織)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私保護框架)。

[29]Google (Android)注冊地址為Amphitheatre Parkway, Mountain View, CA 94043, USA.