国外亚洲成av人片在线观看,国产在线www,日韩在线一区二区三区四区,欧美日韩二三区,久久久久久久久久久是多少,亚洲天堂av一区二区三区,在线日韩中文字幕

         2018年5月25日 《歐盟數(shù)據(jù)保護通用條例》 (General Data Protection Regulation ，簡稱“ GDPR ” ) 正式生效。對于該條例，盡管有不少中國企業(yè)提前進行了研究和布局，然而，規(guī)則生效帶來的沖擊依然是巨大的。為了給予中國企業(yè)必要的指導， 全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日發(fā)布了《網(wǎng)絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”）。雖然該《實踐指南》是中國相關機構對 GDPR 的理解，但對于實踐依然具有積極的指導意義。本文擬結合 《實踐指南》對 GDPR 相關問題作出分析，以期對企業(yè)的實務工作具有借鑒意義。

一、   《實踐指南》出臺的背景及目的

《歐盟數(shù)據(jù)保護通用條例》(General Data Protection Regulation，簡稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會（The European Parliament ）早在兩年前（即2016年4月14日）就審議通過并正式公告了GDPR，被冠以 “最嚴數(shù)據(jù)隱私條例”，GDPR的正式生效還是給很多跨國企業(yè)造成不小沖擊。比如，GDPR生效的第一天，隱私權倡導組織Noyb.eu就代表數(shù)據(jù)主體向歐洲監(jiān)管機構提起了針對Facebook、Android、WhatsApp、Instagram違反GDPR規(guī)定的訴訟。同時，《紐約每日新聞》、《洛杉磯時報》、《邁阿密先驅報》等一些美國新聞網(wǎng)站在歐洲暫時關閉，《時代》和《華盛頓郵報》則重新修改了專門針對歐盟用戶同意的隱私與服務條款。中國的互聯(lián)網(wǎng)科技企業(yè)也不例外，騰訊微信團隊于5月28日發(fā)布了《關于歐盟數(shù)據(jù)保護通用條例的通知》，當歐盟用戶撤銷授權公眾號獲取其個人信息時，會以郵件形式告知公眾號的注冊郵箱刪除歐盟用戶的信息；騰訊在GDPR生效前一個月發(fā)布了自5月20日起停止為歐洲用戶服務的消息；小米生態(tài)鏈企業(yè)Yeelight則宣布，由于無法滿足GDPR要求，將不再向歐洲用戶提供服務……

GDPR關于個人數(shù)據(jù)保護的條款內容十分豐富，鑒于部分共計173條，正文部分共計99條（分為十一章），包含適用范圍、地域范圍、數(shù)據(jù)主體同意的要件、特殊類型的個人信息處理、數(shù)據(jù)主體權利、數(shù)據(jù)控制者和處理者的義務、個人數(shù)據(jù)向第三國或國際組織的傳輸、數(shù)據(jù)保護的監(jiān)管機構職權、數(shù)據(jù)主體權利被侵犯后的救濟途徑和處罰措施等等，體現(xiàn)了全面的個人數(shù)據(jù)保護和促進個人信息合法自由流動的雙重立法理念。同時，在個人信息的定義與范圍、個人信息處理的原則、“同意”的形式和內容等方面，國內的《個人信息安全規(guī)范》與GDPR存在諸多相通之處。

對于企業(yè)而言， GDPR規(guī)定了數(shù)據(jù)主體的哪些權利、國內企業(yè)與歐盟企業(yè)合作時是否必然適用GDPR、在歐盟設立的下屬企業(yè)如何應對GDPR、如何完善自身隱私政策條款內容、如何快速應對GDPR所產(chǎn)生的影響等等實務問題，更具有現(xiàn)實意義。筆者關注到，全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日即發(fā)布了《網(wǎng)絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”），簡要介紹了GDPR適用的場景、核心內容和關注點，并結合案例說明了如何理解GDPR的核心條款，并提示了組織采取何種應對措施以符合GDPR的規(guī)定，屬于官方機構對GDPR的權威解讀。然則，在與GDPR有關的文章“鋪天蓋地”的主流趨勢下，《個人信息安全規(guī)范》的歸口部門信標委出臺的《實踐指南》被淹沒在了GDPR的“洪流”中。

本文即以《實踐指南》提及的關注點為線索，對企業(yè)如何解決適用GDPR過程中遇到的實務合規(guī)問題予以研究。

二、   《實踐指南》關注點一：適用 GDPR的場景

GDPR條款

關注點

案例

組織應對措施

GDPR第3條

一是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內設有分支機構（establishment）。

在歐盟本地運營的A國（A國指某一非歐盟成員國）連鎖酒店，直接將其收集的住客個人數(shù)據(jù)傳輸至A國總部進行處理，則需要履行GDPR中相關責任和義務。

組織[1]涉及海外業(yè)務、全球化經(jīng)營或業(yè)務合作等場景時，應注意其是否適用GDPR。

二是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內不設分支機構（establishment）的情形。

A國企業(yè)開發(fā)的軟件或系統(tǒng)被嵌入某款設備，該設備向歐盟地區(qū)銷售，該設備的制造商在歐盟境內設立了銷售代表處，相關軟件或系統(tǒng)收集個人數(shù)據(jù)的過程需要適用GDPR等。

三是GDPR主要適用歐盟境內發(fā)生的個人數(shù)據(jù)處理行為，其保護對象為歐盟境內的數(shù)據(jù)主體。

當歐盟公民抵達A國，例如進入A國大學學習，在A國商場購物等，且歐盟公民返回歐盟境內后，大學、商場不再對其行為進行跟蹤或分析，則大學、商場無需適用GDPR。

來源：全國信息安全標準化技術委員會

本文開篇提到的Facebook、Android、WhatsApp、Instagram以及國內的小米、騰訊直接對歐盟境內的數(shù)據(jù)主體提供商品或服務，或者在歐盟境內設立了分支機構，按照GDPR第三條以及《實踐指南》關注點一的解讀，前述企業(yè)遵守GDPR無疑。但是，以下案例中的B公司是否要遵守GDPR呢？

B屬于中國某運營商的下屬大數(shù)據(jù)分析公司，在歐盟沒有設立任何分支機構；用戶張某使用該運營商的SIM卡，在去法國旅行前開通了境外通信業(yè)務，在法國旅行期間共計通話100分鐘，共計發(fā)送了20條短信/彩信；如果B公司只對張某等中國公民在歐盟成員國旅行期間的通信情況等進行了加工、處理、分析，最終形成了中國公民歐洲游通信情況的分析報告，根據(jù)該報告所反映的屬性趨勢情況，向同樣符合該等屬性的中國公民推送了境外游的營銷廣告。那么，B公司是否有義務遵守GDPR呢？

GDPR第3條第2款將數(shù)據(jù)主體界定為“歐盟境內的數(shù)據(jù)主體”（data subjects who are in the Union），并未明確規(guī)定為“歐盟公民”（Eu citizens），張某等中國公民的個人通信信息行為發(fā)生地在歐洲，但B公司處理了中國公民的數(shù)據(jù)信息，所以，尚不能援引GDPR第3條第2款直接判定，上述案例中的B公司是否應遵守GDPR。

關于如何理解“歐盟境內的數(shù)據(jù)主體”，歐盟委員會專門就數(shù)據(jù)保護的適用對象問題（Who does the data protection law apply to?）做了如下官方案例答復， “如果您的公司是歐盟以外的服務提供商，且為歐盟成員國以外的客戶提供服務。您的客戶可以在去其他國家(包括歐盟內部)旅行時使用公司提供的服務。如果您的公司沒有明確地針對歐盟的個人提供服務，那么，該公司不受GDPR規(guī)則的約束。” [2]根據(jù)歐盟委員會的前述官方答復，GDPR保護的對象主要為歐盟成員國的公民，而非“世界公民”。所以，上述案例中，如果B公司只對中國公民提供商品或服務，且張某未在法國長期居留以至于取得了“法國公民”的資格，筆者認為，B公司不必然遵守GDPR。

三、      《實踐指南》關注點二：適用的數(shù)據(jù)范圍

GDPR條款

關注點

組織應對措施

GDPR第4條第（1）款

個人數(shù)據(jù)，是指與一個確定的或可識別的自然人相關的任何信息?？杀蛔R別的自然人,是指借助標識符，例如姓名、身份標識、位置數(shù)據(jù)、網(wǎng)上標識符，或借助與該個人生理、心理、基因、精神、經(jīng)濟、文化或社會身份特定相關的一個或多個因素，可被直接或間接識別出的個人。

組織應識別其處理個人數(shù)據(jù)或特殊類別（敏感）個人數(shù)據(jù)的具體類型。

GDPR第9條第（1）款、

GDPR第10條

特殊類別（敏感）個人數(shù)據(jù)，是指揭示種族或民族出身，政治觀點、宗教或哲學信仰以及工會成員的個人數(shù)據(jù)，以及唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)、自然人的健康、性生活或性取向數(shù)據(jù)，還包括刑事定罪和犯罪相關的個人資料等。

來源：全國信息安全標準化技術委員會

企業(yè)處理特殊類別（敏感）數(shù)據(jù)比處理一般個人數(shù)據(jù)時的注意義務更嚴格，主要如下：（1）個人數(shù)據(jù)是否為特殊類別（敏感）數(shù)據(jù)是判斷合法性基礎（即無需數(shù)據(jù)主體的同意）的特別情形之一，即未經(jīng)數(shù)據(jù)主體同意，亦非歐盟法或成員國法律所允許的，控制者應當確認前述處理活動是否與最初收集數(shù)據(jù)的目的一致；[3]（2）無論企業(yè)的規(guī)模或人數(shù)，控制者（以及適用情況下的控制者的代理人）均應當依其職責保存處理活動的記錄，處理者（以及在適用情況下的處理者的代表）均應保存代表控制者執(zhí)行的所有處理活動類別的記錄，而雇員少于250人的企業(yè)或組織處理特殊類別（敏感）數(shù)據(jù)以外的個人數(shù)據(jù)時，則不必然履行前述保存處理活動記錄的義務[4]；（3）控制者和處理存在處理大規(guī)模特殊類別（敏感）個人數(shù)據(jù)情形的，必須設立數(shù)據(jù)保護官（Designation of the data protection officer）[5]。

需注意的是，我國《個人信息安全規(guī)范》(GB/T 35273—2017)規(guī)定的個人敏感信息與GDPR規(guī)定的特殊類別（敏感）個人數(shù)據(jù)都將個人的基因、健康、生物識別信息、性取向、宗教信仰、民族出身等信息囊入其中，但兩者之間具有如下主要區(qū)別之處：（1）我國規(guī)定的個人敏感信息范圍更加寬泛：除了GDPR列舉的數(shù)據(jù)種類外，我國將個人財產(chǎn)信息（如銀行賬號、房產(chǎn)信息、信貸記錄、征信信息等）、個人身份信息（如身份證、軍官證、護照、駕駛證、工作證、社?？ā⒕幼∽C等）、網(wǎng)絡身份標識信息（如系統(tǒng)賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數(shù)字證書等）、婚史、通信記錄和內容、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準定位信息等。而按照GDPR規(guī)定，網(wǎng)絡身份標識信息、身份信息則未被納入特殊類別（敏感）個人數(shù)據(jù)范圍之內。（2）兩者的定義模式不同，GDPR對特殊類別（敏感）個人數(shù)據(jù)的定義采取列舉式，而我國采取概括和列舉并列式：除了前述列式的個人敏感信息類型外，我國規(guī)定的人敏感信息泛指“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。例如，李四是某證券公司的“操盤手”，手機通訊錄包含了眾多投資機構負責人的聯(lián)系方式，如網(wǎng)絡服務提供者泄露了李四手機通訊錄中的聯(lián)系人信息，將對李四名譽造成重大損害，那么，李四的“聯(lián)系人信息”將從《個人信息安全規(guī)范》認定的“個人信息”升級為“個人敏感信息”。

四、      《實踐指南》關注點三：數(shù)據(jù)處理的基本原則

GDPR條款

關注點

組織應對措施

GDPR第5條

個人數(shù)據(jù)處理的基本原則，包括合法、公正、透明、數(shù)據(jù)最小化、目的限定、存儲限制、完整性和保密性、問責等；

組織應保證其數(shù)據(jù)處理活動遵循基本的原則。

GDPR第4條第2款

數(shù)據(jù)處理是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷毀，且無論此操作是否采用自動化的手段。

來源：全國信息安全標準化技術委員會

“合法、公正、透明”是企業(yè)處理個人數(shù)據(jù)的首要原則，如何認定“合法”需要結合GDPR第6條關于“合法正當性理由”綜合判定，“公正、透明”強調企業(yè)應以方便數(shù)據(jù)主體明確易懂的方式處理個人信息；“數(shù)據(jù)最小化”是指以個人數(shù)據(jù)處理目的之必要為限度，如某P2P平臺搜集了借款人的血型，則易被認定為超出提供借貸撮合服務的“數(shù)據(jù)最小化”限度；“目的限定”和“儲存限定”原則都規(guī)定了例外情形，即為了公共利益、科學或歷史研究或者統(tǒng)計目的而進一步處理，應符合GDPR第89條第1款規(guī)定，不應被認定為不符合初始目的或者可以較長時間儲存?zhèn)€人數(shù)據(jù)，該原則旨在保持數(shù)據(jù)主體利益與社會公共利益之間的平衡。

“完整性和保密性”是指企業(yè)應當采取適度的方式確保個人數(shù)據(jù)安全，防止未經(jīng)授權的、非法的處理、意外遺失、滅失或損毀，強調企業(yè)處理數(shù)據(jù)時應履行“安全義務”[6]。數(shù)據(jù)泄露是全球范圍內最常見的網(wǎng)絡安全事件之一，也是數(shù)據(jù)主體同意填寫個人信息時最擔心的因素之一，關鍵信息系統(tǒng)、網(wǎng)絡安全和數(shù)據(jù)安全領域的領導者泰雷茲公司于2018年3月20日發(fā)布的《2018泰雷茲數(shù)據(jù)威脅報告》顯示， 26%的受訪者曾于2016年表示遭遇了數(shù)據(jù)泄露，2017年的占比上升至36%，而到2018年該比例明顯上升至67%[7]。所以，企業(yè)應當采取先進、全面、足夠的技術手段以及管理措施，以保護數(shù)據(jù)主體信息的“完整性和保密性”。

“問責”是GDPR第5條第2款單獨規(guī)定的原則，同時也是保障企業(yè)遵循前述六大原則的“兜底原則”，即企業(yè)應當證明其自身符合前述六大原則，且應當對造成數(shù)據(jù)主體的損害承擔賠償責任。

五、      《實踐指南》關注點四：數(shù)據(jù)處理的合法正當性事由

GDPR條款

關注點

組織應對措施

GDPR第6條第1款

數(shù)據(jù)處理行為首先應具備合法性基礎，GDPR規(guī)定的六種合法性情形包括：數(shù)據(jù)主體的同意、合同履行、履行法定義務、保護個人重要利益、維護公共利益以及追求正當利益。

組織應保證其數(shù)據(jù)處理活動滿足合法性要求。

GDPR第4條第（11）項

GDPR強調同意是指“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個明確的肯定性動作，表示同意對其個人數(shù)據(jù)進行處理。該意愿表達應是自由給出的（freely given）、特定具體的（specific）、知情的（informed）、清晰明確的（unambiguous）”，且撤回同意的方式應該與表達同意同等便利。

 來源：全國信息安全標準化技術委員會

“數(shù)據(jù)主體同意”個人數(shù)據(jù)為一個或多個特定目的而處理是處理數(shù)據(jù)正當性事由的首要情形，也是我國《網(wǎng)絡安全法》、《民法總則》等個人信息保護方面法律法規(guī)規(guī)定的強制性要求，常見的同意形式主要體現(xiàn)形式為專門的隱私政策服務條款、用戶注冊協(xié)議或具體交易協(xié)議中的授權條款、網(wǎng)絡服務提供者制定的履行網(wǎng)絡安全義務的規(guī)章制度等等。例如，Facebook 的服務條款之一有如下約定：“針對需要特殊保護的數(shù)據(jù)（例如您在Facebook用戶畫像范圍內或Life Events專欄內分享的有關您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息）處理，我們就此有權向您選擇的對象披露，且有權對您的內容進行個性化處理?！痹摋l款并未以取得Facebook用戶對其分享宗教觀等數(shù)據(jù)信息的同意，所以， Noyb.eu vs. Facebook 的訴訟中，Noyb.eu提出的申訴請求之一即是請求通過申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第（a）項的要求，以及違規(guī)程度如何。[8]

其他五種數(shù)據(jù)處理的合法性正當事由并不以同意為條件，但根據(jù)GDPR第6條第2款、第3款、第4款的規(guī)定，是否構成合法性正當事由需要滿足較為嚴苛的條件，如認定符合“履行法定義務”和“維護公共利益以及追求正當利益”情形時，需要從被處理的數(shù)據(jù)類型、目的限制、儲存限制、處理操作和處理程序、個人數(shù)據(jù)可能被披露的實體等“彈性”因素予以綜合判定，且GDPR同時給予了歐盟成員國對前述情形的立法權。例如， Facebook將對用戶進行營銷的數(shù)據(jù)處理表述如下：“為了履行我們Facebook服務條款或Instagram使用條款的必要”，Noyb.eu 就該條款認為，Facebook顯然試圖在民商事法律條款中“隱藏”對處理行為的同意，以期引起誤解，使人認為該等處理行為符合GDPR第6條第1點第（b）款的規(guī)定。[9]

所以，其他五種數(shù)據(jù)處理的合法性正當事由的認定難度較大，在援引合法性正當事由的判例出現(xiàn)或者認定具體情形的法律條文出臺前，建議企業(yè)仍然需要取得數(shù)據(jù)主體的“同意”后再進行數(shù)據(jù)處理。

六、      《實踐指南》關注點五：對兒童的特殊保護規(guī)定

GDPR條款

關注點

組織應對措施

GDPR第8條

如果直接向兒童提供信息社會服務時，該兒童的年齡應當為16周歲以上。若兒童未滿16周歲，只有在征得監(jiān)護人同意或授權的范圍內其處理才合法。成員國可以通過法律對上述年齡進行調整，但不得低于13周歲

組織如涉及兒童個人數(shù)據(jù)的處理，應予以特別保護。

來源：全國信息安全標準化技術委員會

組織涉及兒童個人數(shù)據(jù)的處理，尤其需注意履行如下義務：（1）應當采取合理努力，在現(xiàn)有技術條件下，驗證兒童的監(jiān)護人是否予以同意[10]；（2）GDPR第7條第1款的特別保護措施不應影響到成員國的一般合同法律（如與兒童有關的合同效力、構成或實行）[11]；（3）對于兒童的任何信息，企業(yè)應當以簡單明了、且易于獲取的方式以及通過清楚明確的語言，并采取合適措施提供第13 條和第14 條所提到的任何信息（主要為企業(yè)從數(shù)據(jù)主體搜集個人數(shù)據(jù)時應披露的信息，如企業(yè)的身份、聯(lián)系方式、儲存限制等）。

七、      《實踐指南》關注點六：數(shù)據(jù)主體權利

GDPR條款

關注點

組織應對措施

第三章

數(shù)據(jù)主體權利

GDPR賦予了數(shù)據(jù)主體對其數(shù)據(jù)廣泛的控制權，包括知情、訪問、更正、刪除、限制處理、可攜帶、反對等權利。比如：在數(shù)據(jù)收集時，數(shù)據(jù)控制者應以簡潔、透明、易懂及便于訪問的方式向數(shù)據(jù)主體提供數(shù)據(jù)控制者身份及聯(lián)系信息、數(shù)據(jù)處理的目的及合法基礎、數(shù)據(jù)主體享有的權利等信息。

組織應基于當前業(yè)務特點及處理數(shù)據(jù)的合法性事由，選擇需要實現(xiàn)的數(shù)據(jù)主體權利。

GDPR第17條

第1款、第2款

(刪除權)

在特定情況下，如履行目的不再需要、數(shù)據(jù)主體撤回同意或個人數(shù)據(jù)被非法處理等等情況下，數(shù)據(jù)主體有權要求刪除其個人數(shù)據(jù)。GDPR也規(guī)定了若干刪除權不適用情形，如為行使言論和信息自由的權利，為履行數(shù)據(jù)控制者法定義務，為設立、行使或捍衛(wèi)合法權利等等。

GDPR第17條

第3款

(刪除權條款不適用的情形)

數(shù)據(jù)主體有權拒絕數(shù)據(jù)控制者基于以下目的對個人數(shù)據(jù)進行的處理行為，如為公共利益，為數(shù)據(jù)控制者的合法利益，以直接營銷為目的，基于科學或歷史研究以及統(tǒng)計目的的數(shù)據(jù)處理行為等。

GDPR第18條

（限制處理權）

數(shù)據(jù)主體有權在以下情形限制數(shù)據(jù)控制者的處理行為，如質疑數(shù)據(jù)準確性，違法處理，數(shù)據(jù)到期等。

GDPR第20條

（數(shù)據(jù)可攜帶權）

數(shù)據(jù)控制者基于數(shù)據(jù)主體同意或履行合同所必須，以自動化方式處理數(shù)據(jù)主體提供的個人數(shù)據(jù)時，數(shù)據(jù)主體有權從數(shù)據(jù)控制者取得結構化可機讀的個人數(shù)據(jù)副本，并傳送給另一個數(shù)據(jù)控制者。

來源：全國信息安全標準化技術委員會

GDPR在鑒于部分即開宗明義指出：“自然人在個人數(shù)據(jù)處理方面獲得保護是一項基本權利?！稓W盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款規(guī)定每個人都享有就其個人數(shù)據(jù)獲得保護的權利”，GDPR創(chuàng)設了限制處理權、數(shù)據(jù)可攜帶權、刪除權等等，并將數(shù)據(jù)主體的權利范圍、權利內容以及權利保障措施等提升到前所未有的高度。

對于企業(yè)而言，對數(shù)據(jù)主體權利的保障主要體現(xiàn)在用戶隱私政策條款中，并構成企業(yè)隱私政策條款的核心內容，盡快調整隱私政策條款成為GDPR生效后的重要合規(guī)工作，并至少應當注意以下四個方面：（1）權利內容：全面告知用戶數(shù)據(jù)訪問權、更正權、刪除權、限制處理權、數(shù)據(jù)可攜帶權、反對權等；（2）權利告知方式：以簡單、透明、清晰且易于獲取的方式告知用戶，采用清楚明確的語言；（3）權利告知介質：應當以書面形式或其他方式提供，若有必要，可采取電子形式。如果用戶的身份能夠通過其他方式得到認證，在用戶要求的前提下，可以采用口頭方式；（4）權利請求的行動期限：企業(yè)應當自收到請求之日起1個月內提供GDPR關于用戶權利內容而采取行動的信息，必要時可以延長兩個月。對于延期提供信息的任何情況，企業(yè)都應當自收到請求之日起1個月內通知用戶相關情形和延遲原因[12]。企業(yè)執(zhí)行GDPR保護用戶權利方面的參考案例如下：

圖一

Booking在《隱私聲明》內容的最前面，即設置了“打印/保存”功能，易于用戶獲取隱私政策

圖二

5月22日，蘋果公司更新了隱私政策條款，添加了用戶的刪除數(shù)據(jù)權

八、      《實踐指南》關注點七：對用戶畫像的規(guī)定

GDPR條款

關注點

案例

組織應對措施

GDPR

第4條第4款

用戶畫像是指通過自動化方式處理個人數(shù)據(jù)的活動，用于評估、分析以及預測個人的特定方面，可能包括工作表現(xiàn)、經(jīng)濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現(xiàn)等。

電商通過用戶畫像，開展廣告、市場預測和推廣工作。

組織如涉及對用戶進行畫像，需要關注如何獲得合法性基礎，以及向數(shù)據(jù)主體提供相應權利。

GDPR第13條第2款第（f）項、第14條第2款第（g）項、第22條第2款

在數(shù)據(jù)主體明確同意、歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像。同時還提出，在征得數(shù)據(jù)主體同意時，應對畫像相關數(shù)據(jù)來源、算法原理及相應影響等予以充分告知，并賦予數(shù)據(jù)主體反對權、刪除權、更正權和限制處理權等權利。

——

來源：全國信息安全標準化技術委員會

用戶畫像屬于自動化決策的表現(xiàn)形式之一，能夠在一定程度上影響數(shù)據(jù)主體作出決策的自自由意志和行為，根據(jù)GDPR規(guī)定，企業(yè)以用戶畫像方式進行數(shù)據(jù)處理時必須履行如下義務：（1）在數(shù)據(jù)主體明確同意、數(shù)據(jù)歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像，其中，取得數(shù)據(jù)主體的明確同意也是企業(yè)目前普遍采取的方式；（2）企業(yè)應當讓數(shù)據(jù)主體知曉用戶畫像的存在以及用戶畫像的結果，以符合“合法、公正、透明原則”；（3）企業(yè)應當讓數(shù)據(jù)主體知曉自動處理數(shù)據(jù)的算法，若可能，應當提供連接安全系統(tǒng)的遠程途徑，該系統(tǒng)可以向數(shù)據(jù)主體提供直接訪問其信息的途徑[13]；（4）企業(yè)應當保障數(shù)據(jù)主體可以在任何時間反對其處理與直接營銷有關的數(shù)據(jù)畫像，同時，應當采取明確引起數(shù)據(jù)主體注意的方式體現(xiàn)反對權條款，并清晰地與其他條款分開說明[14]；（5）企業(yè)應當同時遵守歐洲數(shù)據(jù)保護委員會制定的具體指引中關于用戶畫像的規(guī)定[15]。

實踐中，互聯(lián)網(wǎng)服務提供者通常采用cookies技術監(jiān)控、跟蹤用戶活動，并預測用戶行為，完全符合GDPR規(guī)定的用戶畫像定義。如Google制定的隱私政策（Privacy Policy）中，開篇即專門提醒用戶注意閱讀另行制定的Cookies 政策（Cookies Policy）。具體如下圖所示：

圖三：goole的隱私政策截屏

九、      《實踐指南》關注點八：對數(shù)據(jù)處理者的規(guī)定

GDPR條款

關注點

組織應對措施

GDPR第4條

第（8）項

數(shù)據(jù)處理者是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人、法人、公共機構、行政機關或其他非法人組織。

組織如屬于數(shù)據(jù)處理者，應根據(jù)數(shù)據(jù)控制者明確的指示處理個人數(shù)據(jù)，履行相應的保密義務，在數(shù)據(jù)處理服務結束時，刪除或返還所有的個人數(shù)據(jù)，接受數(shù)據(jù)控制者的審計等。

GDPR第28條

第1款、第2款

當數(shù)據(jù)控制者委托數(shù)據(jù)處理者具體處理數(shù)據(jù)時，數(shù)據(jù)控制者應選擇采取了合適的技術和組織方面措施的數(shù)據(jù)處理者，以確保數(shù)據(jù)處理符合GDPR的要求，及保障數(shù)據(jù)主體的權利。在沒有數(shù)據(jù)控制者事先或一般性的書面許可時，數(shù)據(jù)處理者不應再與另外的數(shù)據(jù)處理者合作。

來源：全國信息安全標準化技術委員會

GDPR特別強調數(shù)據(jù)處理者處理個人數(shù)據(jù)的權限不能超出數(shù)據(jù)控制者的書面許可，否則，處理行為將成為“無源之水、無本之木”。例如，近期持續(xù)發(fā)酵的Facebook數(shù)據(jù)泄露事件中，英國劍橋大學的學者柯剛通過相關軟件獲取了Facebook海量用戶信息，劍橋分析公司通過柯剛獲取了用戶信息，并將其用于與政客營銷商業(yè)服務有關的數(shù)據(jù)處理。劍橋分析公司作為數(shù)據(jù)處理者，并未獲得數(shù)據(jù)控制者Facebook處理用戶信息的任何書面許可，所以，劍橋分析公司在Facebook數(shù)據(jù)泄露事件中也負有不可推卸的法律責任。

除了《實踐指南》提及的組織應對措施外，數(shù)據(jù)處理者還應當履行如下義務：（1）應當實施適當?shù)募夹g性和組織性措施，確保處理過程的安全性，如保證處理系統(tǒng)和服務具有保密性、完整性、可用性、可恢復性的功能，對技術性和組織性措施的有效性進行定期測試、訪問、評估等[16]；（2）處理者在知道個人信息泄露后，應立即通知控制者[17]；（3）協(xié)助數(shù)據(jù)控制者遵守網(wǎng)絡安全、個人數(shù)據(jù)泄露后向監(jiān)管機構報告、個人數(shù)據(jù)泄露后告知數(shù)據(jù)主體、數(shù)據(jù)保護影響評估等義務[18]；（4）與除自身以外的其他數(shù)據(jù)處理者合作處理數(shù)據(jù)時，應當就其他處理者義務的履行對控制者承擔全部責任[19]；（5）處理者僅在其未遵守GDPR對于處理者義務的特別規(guī)定、超出控制者的合法指令或者違反控制者的指令時，為數(shù)據(jù)處理導致的損害負責，但數(shù)據(jù)主體也有權直接向處理者主張索賠，如屬于控制者的責任，處理者可事后向控制者追償[20]。

十、      《實踐指南》關注點九：對數(shù)據(jù)保護官、歐盟境內法律代表的規(guī)定

GDPR條款

關注點

組織應對措施

GDPR第37條

第1款

通常情況下，數(shù)據(jù)控制者和數(shù)據(jù)處理者任命數(shù)據(jù)保護官的情形包括：（1）公權力機構處理數(shù)據(jù)的；（2）數(shù)據(jù)處理的主要活動范圍、目的要求經(jīng)常性、系統(tǒng)性、大范圍地監(jiān)測數(shù)據(jù)主體；（3）大規(guī)模處理特殊類別個人數(shù)據(jù)。

組織如存在上述情形，應考慮設立數(shù)據(jù)保護官或任命歐盟境內法律代表。

GDPR第37條

第5款、第6款、第7款

數(shù)據(jù)保護官應具備專業(yè)的數(shù)據(jù)保護法律和實踐的知識，以保證其履行相應職責。數(shù)據(jù)保護官可以是正式職員，也可以基于服務合同完成工作。數(shù)據(jù)控制者應公開數(shù)據(jù)保護官的聯(lián)系方式，并將名單向監(jiān)管機構匯報。

GDPR第27條

第1款、第3款

如果組織面向歐盟境內的數(shù)據(jù)主體提供商品或服務，或監(jiān)控歐盟境內數(shù)據(jù)主體的行為，應通過書面形式在歐盟境內任命一名代表。

來源：全國信息安全標準化技術委員會

數(shù)據(jù)保護官類似于我國《網(wǎng)絡安全法》規(guī)定的網(wǎng)絡安全負責人以及《個人信息安全規(guī)范》的個人信息保護負責人，主要負責保障數(shù)據(jù)主體權利以及企業(yè)網(wǎng)絡安全等數(shù)據(jù)保護方面的工作，是企業(yè)與監(jiān)管機構、數(shù)據(jù)主體的溝通橋梁。企業(yè)應在如下五個方面確保數(shù)據(jù)保護官的地位：（1）應當公布數(shù)據(jù)保護官的聯(lián)系方式，并報告給監(jiān)管機構[21]；（2）應當確保數(shù)據(jù)保護官適當、及時地參與有關個人數(shù)據(jù)保護的所有事宜；（3）通過提供必要資源和專業(yè)知識培訓支持數(shù)據(jù)保護官執(zhí)行任務；（4）不會因為數(shù)據(jù)保護官執(zhí)行任務而將其解雇或者給予處罰；（5）當數(shù)據(jù)保護官履行其他職責時，確保不會出現(xiàn)利益沖突[22]，所以，企業(yè)可以考慮由法務總監(jiān)、網(wǎng)絡安全負責人、審計部門負責人兼任數(shù)據(jù)保護官，而進行數(shù)據(jù)處理的業(yè)務部門負責人、總經(jīng)理的職責一般與數(shù)據(jù)保護官存在利益沖突，不建議兼任數(shù)據(jù)保護官。

十一、 《實踐指南》關注點十：對數(shù)據(jù)保護影響評估的規(guī)定

GDPR條款

關注點

組織應對措施

第35條第1款

第35條第3款

數(shù)據(jù)控制者在進行數(shù)據(jù)處理之前，基于數(shù)據(jù)處理的性質、范圍、內容及目的判斷處理活動可能對個人的權利和自由構成高風險時，應實施DPIA。在以下情形下，通常需要實施DPIA：一是基于數(shù)據(jù)的自動化處理，包括數(shù)字畫像，對自然人個人方面的系統(tǒng)和廣泛的評估，而據(jù)此做出的決定對該自然人產(chǎn)生法律效力或者重大影響；二是大規(guī)模特殊類別個人數(shù)據(jù)或有關犯罪記錄和違法行為的個人數(shù)據(jù)；三是對公共區(qū)域大規(guī)模的系統(tǒng)化監(jiān)控。

組織如構成上述情形，應考慮實施數(shù)據(jù)保護影響評估（DPIA）。

來源：全國信息安全標準化技術委員會

企業(yè)如符合實施數(shù)據(jù)保護影響評估的前述情形，實施數(shù)據(jù)保護影響評估應注意以下三個方面：（1）評估應當至少包含預計的處理操作及操作目的、對數(shù)據(jù)主體的權利進行風險性評估、預期的風險防范措施等[23]，如處理過程是高風險的，應當在處理之前向監(jiān)管機構征詢意見[24]；（2）應充分考慮行業(yè)協(xié)會或者其他機構制定的行為準則[25]；（3）在不影響保護商業(yè)利益、公共利益或者網(wǎng)絡安全的情況下，應該就將要進行的數(shù)據(jù)處理向數(shù)據(jù)主體或代表征詢意見[26]。

十二、 《實踐指南》關注點十一：通過設計實現(xiàn)數(shù)據(jù)保護的規(guī)定

GDPR條款

關注點

組織應對措施

鑒于第（78）項、

GDPR第25條

第1款

數(shù)據(jù)保護設計理念應當融入到產(chǎn)品和業(yè)務開發(fā)的早期過程（Privacy by Design），例如，設計假名化等機制有效地落實數(shù)據(jù)保護原則，并且將必要的保障措施融入到數(shù)據(jù)處理過程之中。此外，組織可實施相應的措施以確保在默認情形下，僅僅處理為實現(xiàn)目的而最少必需的個人數(shù)據(jù)。

組織應注意其產(chǎn)品和業(yè)務的設計理念與GDPR保持一致。

來源：全國信息安全標準化技術委員會

數(shù)據(jù)保護設計理念要求企業(yè)在產(chǎn)品或服務研發(fā)之初就應該履行數(shù)據(jù)保護義務，堅持保護用戶隱私權的理念，在搜集信息前就采取預防性的保障措施，如產(chǎn)品或服務的默認設置即具有保護用戶數(shù)據(jù)信息功能（詳見下圖四）；隱私政策條款的展示頁面中，特別標注了處理用戶特殊類型數(shù)據(jù)的條款（詳見下圖五）。

       圖四：Safari 瀏覽器默認設置“阻止跨網(wǎng)站跟蹤”

       圖五：支付寶隱私政策特別標注了用戶特殊類型數(shù)據(jù)

十三、 《實踐指南》關注點十二：數(shù)據(jù)泄露強制通知的規(guī)定

GDPR條款

關注點

組織應對措施

GDPR第33條、

GDPR鑒于部分第（86）項

在發(fā)生個人數(shù)據(jù)泄露時，除非個人數(shù)據(jù)的泄露不會產(chǎn)生危及自然人權利和自由的風險，否則數(shù)據(jù)控制者應在獲知泄露之時起的72小時內向監(jiān)管機構發(fā)送通知報告。另外，當個人數(shù)據(jù)泄露可能對自然人的權利和自由產(chǎn)生高風險時，數(shù)據(jù)控制者還應當向數(shù)據(jù)主體告知數(shù)據(jù)泄露的相關情況。

組織應注意如發(fā)生個人數(shù)據(jù)泄露等安全事件，需履行的通報和告知義務。

來源：全國信息安全標準化技術委員會

GDPR并未明確規(guī)定監(jiān)管機構的具體名稱，而是由各個成員國確定各自監(jiān)管機構的任務、權限和職權。企業(yè)向監(jiān)管機構履行告知義務的內容應當包括如下方面：（1）描述個人數(shù)據(jù)泄露的性質，盡可能地包括相關數(shù)據(jù)主體以及個人數(shù)據(jù)記錄的類別和大致數(shù)量；（2）數(shù)據(jù)保護負責人或者其他能夠獲得更多信息的聯(lián)系點的名稱和聯(lián)系方式；（3）描述數(shù)據(jù)泄露的可能性后果；（4）描述控制者應對數(shù)據(jù)泄露事件而采取的措施或計劃采取的措施，包括能夠減輕負面影響的措施[27]。

GDPR雖然沒有明確規(guī)定企業(yè)向數(shù)據(jù)主體履行告知義務的具體時限，但該項告知義務的時限要求實際上比向監(jiān)管機構履行告知義務的更高，即需要減輕即時損害的，需要立即與資料當事人溝通，而需要采取適當措施防止持續(xù)或類似的個人資料遭泄露的，則可能需要更多時間進行溝通，企業(yè)履行告知義務的內容應當包括如下兩個方面：（1）個人數(shù)據(jù)泄露的性質；（2）提出減輕潛在不利影響的建議。

十四、 《實踐指南》關注點十三：數(shù)據(jù)跨境傳輸?shù)囊?guī)定

GDPR條款

關注點

組織應對措施

GDPR第五章

GDPR提出了多種數(shù)據(jù)跨境流動機制。比如，直接向通過歐盟進行充分性認定的第三國傳輸數(shù)據(jù)，還可通過實施被認可的行為準則，簽署符合相關要求的格式合同、有約束力的公司準則、通過相關認證等方式證明數(shù)據(jù)接收方滿足適當?shù)谋Ｗo能力，來保證數(shù)據(jù)跨境流動的安全性；此外，在征得數(shù)據(jù)主體明示同意、基于公共利益、履行有利于數(shù)據(jù)主體的合同或基于組織正當利益等情形下也滿足數(shù)據(jù)跨境傳輸要求。

組織如涉及數(shù)據(jù)跨境傳輸，應選擇適用于其業(yè)務的跨境傳輸機制。

來源：全國信息安全標準化技術委員會

與我國《網(wǎng)絡安全法》規(guī)定的跨境傳輸采取安全評估機制不同，GDPR規(guī)定了多種數(shù)據(jù)跨境流動機制，除直接向通過歐盟進行充分性認定的第三國傳輸數(shù)據(jù)（即允許直接跨境傳輸 ）外，其他渠道均允許成員國境內的控制者在符合特定條件下對個人數(shù)據(jù)進行跨境傳輸。鑒于中國并不在“充分性認定”的第三國名單內[28]，若涉及處理歐盟境內數(shù)據(jù)或者在歐盟境內設立分支機構的中國企業(yè)，應考慮通過簽署相關要求的格式合同、有約束力的公司規(guī)則、通過實施被認可的行為準則或相關認證、征得數(shù)據(jù)主體明示同意等渠道，進行個人數(shù)據(jù)的跨境傳輸。

十五、 《實踐指南》關注點十四：處罰規(guī)定

GDPR條款

關注點

組織應對措施

GDPR第83條

第4款

GDPR對違規(guī)組織采取根據(jù)情況分級處理的方法，并設定了最低一千萬歐元的巨額罰款作為制裁。如果組織未按要求保護數(shù)據(jù)主體的權益、做好相關記錄，或未將其違規(guī)行為通知監(jiān)管機關和數(shù)據(jù)主體，或未進行數(shù)據(jù)保護影響評估或者未按照規(guī)定配合認證，或未委派數(shù)據(jù)保護官或歐盟境內代表，則可能被處以1000萬歐元或其全球年營業(yè)額2％（兩者取其高）的罰款。

組織可向其內部通報GDPR處罰規(guī)則，進一步提升安全意識。

GDPR第83條

第5款、第6款

如果發(fā)生了更為嚴重的侵犯個人數(shù)據(jù)安全的行為，如未獲得客戶同意處理數(shù)據(jù)，或核心理念違反“隱私設計”要求，或違反規(guī)定將個人數(shù)據(jù)跨境傳輸，或違反歐盟成員國法律規(guī)定的義務等，組織有可能面臨最高2000萬歐元或組織全球年營業(yè)額的4%（兩者取其高）的巨額罰款。

來源：全國信息安全標準化技術委員會

 GDPR的巨額罰款給跨國企業(yè)帶來巨大震懾力，上述GDPR關于處罰機制適用對象已突破歐盟成員國范圍，同“關注點一：適用 GDPR的場景”，只要向歐盟境內公民提供商品或服務，無論企業(yè)設立在哪個國家，如觸發(fā)GDPR的處罰機制，都將面臨巨額罰款。比如，GDPR生效當日，Noyb.eu 起訴的四家公司中，Google (Android)雖然屬于在美國注冊[29]的公司，也成為了被訴對象。

除了上述由監(jiān)管機構處以行政處罰外，根據(jù)GDPR第82條規(guī)定，企業(yè)還將面臨民事賠償責任，其中，控制者都應對違反GDPR關于處理行為所造成的損害負責。處理者只有在沒有履行GDPR關于特別針對處理者的義務，或在控制者的合法指示之外或相反的情況下，才須對處理所造成的損害負法律責任。

[1] 《實踐指南》統(tǒng)一采用“組織”表述，如無特別注明，本文內容提及的“企業(yè)”與“組織”表示同一主體。

[2]訪問網(wǎng)址：https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.

[3] 詳見GDPR第6條。

[4] 詳見GDPR第30條。

[5] 詳見GDPR第37條。

[6] 具體詳見GDPR第32條至34條。

[7] 訪問網(wǎng)址：https://dtr.thalesesecurity.com/.

[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[10] 詳見GDPR第8條第2款。

[11] 詳見GDPR第8條第3款。

[12] 詳見GDPR第12條。

[13] 詳見GDPR 詳見GDPR鑒于部分第（63）項。

[14] 詳見GDPR鑒于部分第（70）項。

[15] 詳見GDPR鑒于部分第（72）項。

[16] 詳見GDPR第32條第1款。

[17] 詳見GDPR第33條第2款。

[18] 詳見GDPR第28條第3款第（f）項。

[19] 詳見GDPR第28條第4款。

[20] 詳見GDPR第82條。

[21] 詳見GDPR第37條第7款。

[22] 詳見GDPR第38條。

[23] 詳見GDPR第35條第7款。

[24] 詳見GDPR第36條第1款。

[25] 詳見GDPR第35條第8款。

[26] 詳見GDPR第35條第9款。

[27] GDPR第33條第3款。

[28] 歐盟委員會公布的“充分性認定”的第三國名單包括安道爾、阿根廷、加拿大(商業(yè)組織)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私保護框架)。

[29]Google (Android)注冊地址為Amphitheatre Parkway, Mountain View, CA 94043, USA.