通用数据保护条例

《通用数据保护条例》（英语：General Data Protection Regulation，缩写作GDPR；欧盟法规编号：(EU) 2016/679^[1]），又名《通用数据保护规则》，是在欧盟法律中对所有欧盟个人关于数据保护（英语：Data Protection）和隐私的规范，涉及了欧洲境外的个人数据出口。GDPR主要目标为取回个人对于个人数据的控制，以及为了国际商务而简化在欧盟内的统一规范。^[2]

欧盟通用数据保护条例

欧洲联盟法规（英语：Regulation (European Union)）
欧洲经济区文件
全称	关于在处理个人数据和在转移这些数据方面保护自然人的法规，以及废除指令95/46/EC（数据保护指令）
编号	欧洲联盟法规第(EU) 2016/679号
提案者	欧洲议会和欧盟理事会
欧盟公报	L119, 4 May 2016, p. 1–88
立法历史
起草日期	2016年4月14日
实施日期	2018年5月25日
审议阶段文件
欧洲联盟委员会草案	COM/2012/010 final – 2012/0010 (COD)
相关法律
取代	《数据保护指令》
现状：正式立法

GDPR取代了欧盟在1995年推出的欧盟个人数据《数据保护指令》（Data Protection Directive）95/46/EC，该条例包含有关处理欧盟内部数据主体的个人可识别信息的条款和要求，适用于与欧洲做生意的所有企业，不论实体位置何在。处理个人数据的业务流程必须在设计和默认情况下构建数据保护，这意味着个人数据必须使用假名化或匿名化进行存储，并且默认使用尽可能最高的隐私设置，以避免公开数据未经明确同意，并且不能用于识别没有单独存储附加信息的主题。任何个人数据除非在法规规定的合法基础上完成，否则数据控制者或处理者已经从数据所有者那里获得明确的选择同意。数据所有者有权随时撤销此权限。

个人数据处理者必须清楚地披露任何数据收集，声明数据处理的合法基础和目的，保留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格式请求处理器收集的数据的便携式副本，并有权在特定情况下删除其数据。 公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员（DPO）负责管理GDPR的合规性。如果数据泄露（英语：Data breach）对用户隐私产生不利影响，企业必须在72小时内报告任何数据泄露（英语：Data breach）。

本法案在2016年4月27日通过，两年的缓冲期后，在2018年5月25日强制执行^[3]。根据欧洲联盟运作条约第288条第2项，因为GDPR属于欧盟条例（德语：Verordnung (EU)）（英语：regulation；德语：Verorderung），不是指令（英语：directive；德语：Richtlinie），所以不需经过欧盟成员国立法转换成各国法律，而可直接适用^[4]。随着英国在2019年脱离欧盟，它于2018年5月23日御准批准了2018年数据保护法案（英语：Data Protection Act 2018） 。该法案包含了相应的法规和保护措施^[5][6]。

6 sources

摘要

GDPR延伸欧洲数据保护法的领域至所有处理欧盟住民的境外公司。^[7] GDPR使通行欧盟的数据保护规章一致，因此使欧洲以外的公司能够更容易地遵守这些规章；然而代价是严格的数据保护规定，且有着公司全球收益4%或两千万欧元（择高者）的高额罚款。^[8]

2 sources

原则

OECD 发表“个人数据隐私和跨境流动保护指南”，这是欧盟和美国批准的一系列建议，旨在保护个人数据和隐私的基本人权。最初于1980年9月23日通过法律，并且基于以下八大原则^[9]产生出后来的 GDPR 、95/46/EC。

取得限制 (Collection Limitation Principle)

个人数据的收集应存在适当的限制，进而以合法且公平的方式取得，并且透过适当的方法知会数据来源或者主体，再进一步取得同意。

数据品质 (Data Quality Principle)

个人数据应与其使用目的相关，并且在必要的范围内，确保数据的准确性以及完整性，并随时更新。

目的明确 (Purpose Specification Principle)

数据取得的目的应于收集数据时就清楚说明，并且在使用数据时，如果没有通知来源主体，不得应用在和当初目的不相关的用途上

使用限制 (Use Limitation Principle)

除非经数据主体或法律授权，否则不得将个人数据用于原始或者特定目的以外之目的

安全防护 (Security Safeguards Principle)

个人数据应受到合理的安全保护措施之保障，以防止丢失或未经授权的访问，破坏，使用，修改或披露数据等风险。

开放原则 (Openness Principle)

关于个人数据开发、应用方法，应有一个通用的开放政策去规范。并且数据主体可以轻松得取得关于其本身数据的细节，例如数据使用者的身份以及目的等等。

个体参与 (Individual Participation Principle)

数据主体拥有数据的取用权，也有数据的拒绝被使用权。此外也能够质疑数据的正确性，并作出合理的处置(删除、修改等)。

责任原则 (Accountability Principle)

数据持有者应对上述原则负责。

1 sources

主要变动

尽管欧盟在1995年制定了个人数据保护指令（Data Protection Directive），但当时网络并不普及，为了因应当前数据导向的潮流以符合现代时空环境，2016年通过 GDPR 取代了先前的法规，而主要变动如下:

1 sources

增加管辖范围、加强罚则

正因为网络无远弗届的特性，在以往指令的区域适用性含糊不清的情况下，常常在相关案件的审理上窒碍难行。因此 GDPR 扩展了其管辖范围，不管公司所在位置为何，现在只要有使用到欧盟人民所拥有的数据，或者向欧盟公民提供商品或服务的公司皆适用于 GDPR。
除此之外也加强了罚则力道，例如没有足够的客户同意来处理数据或违反隐私设计概念的企业组织，将会被欧盟处以高达年度全球营业额的4％或2000万欧元（以较高者为准）。值得注意的是这些规定同时适用于决策者以及“机器”，这代表的相关的云端服务也在管辖范围内。
更规定在向使用者请求数据使用权时，须以提供于理解且明确的说明，并且也要让使用者易于要撤回同意。

适用对象

下列适用对象握有其客户或成员相关数据，皆受 GDPR 管辖。

适用对象	例子
客户中有欧盟公民	餐厅、旅馆、旅行社、计程车、电商
欧盟供应商、雇用欧盟员工	正职员工、兼职员工、供应商、合作厂商
非营利组织与政府机构	GREENPEACE、NGOs

保护范围

只要是一个人所能产生出的任何数据，几乎都被重新定义为个人数据并受到保护。

1. 个人身份 - 电话号码、地址、车牌等
2. 生物特征 - 历数据、指纹、脸部辨识、视网膜扫描、相片等
3. 电子纪录 - Cookie、IP 位置、移动设备 ID、社群网站活动纪录

法规基础

GDPR的法规基础有：^[10]

1. 被遗忘权 (Right to be forgotten)：可以要求控制数据的一方，删除所有个人数据的任何连结、副本或复制品。
2. 取用权 (Right to Access)：可向数据控制方，寻求关于使用者本身的数据之使用方法、地点及目的等等。此外控制方也应以电子形式提供数据的副本供拥有者参考。
3. 数据可携权 (Right to data portability)：意思是用户可以以通用、机器可读的形式取得某一服务的数据，进而转移到另外一个服务上
4. 隐私始于设计（英语：Privacy by design） (Privacy by design)：组织需要采纳隐私设计的架构，在最初阶段就对隐私及数据保护问题进行预测及因应，并且应对装置及应用程序实施严格的身份验证及授权机制。

1 sources

企业责任

知悉个资遭侵害，需 72 小时内通报与通知、个资保护影响评估、个资保护设计及默认。

影响产业

由于 GDPR 大大扩展了其涵盖范围，因此受到了全球的广泛关注，因为从以往地域上的限制，转变成为凡是向欧盟人民提供产品、服务或监测欧盟境内公民网络行为的境外企业都算。
受到影响的产业非常广泛，影响甚大的产业有几项:

医疗信息

为了有效推动智慧医疗，许多病患的医疗信息必须电子化，透过各种深度学习算法去训练模型，进而达成各种需求。而电子病历所衍生的隐私问题，在高度安全的区块链技术尚未普及的情况下，虽然可以透过去识别化（英语：Data de-identification）初步的过滤掉个人信息，然而在以往尚无法律强制性的时期，却也无从确实地在使用医疗数据上保障个人隐私。现在，基于 GDPR 的规定，取得医疗数据的前提是有取得病患的同意，虽然增加了一些程序，但数据安全与隐私的保障所带来的益处，不仅能够保障病患的基本权利，也能提升数据使用上的正当性。

网络零售

这是一个会处理大量个人可识别信息之产业，包括跨境电商、连锁商店、旅游服务、餐饮，只要是替欧盟顾客服务，掌握信用卡数据、地址、基本个资，都属于 GDPR 规范中。再加上网络服务随之产生的数据之大，使其更首当其冲，这也正是为何苹果等网络服务公司 也推出了个资管理系统，以因应 GDPR 修订。

金融

金融机构持有大量个人可识别信息，每当涉及个资需要传输到境外、处理或利用到欧盟民众个资、海外设有分行、委外业务，都可能受到影响。再加上欧盟在世界经济中占有第二大位，金流来往频繁，更不用说近年区块链技术的兴起，数据隐私安全议题更是影响甚大。

航空运输

航空运输主宰当今人口移动的方式，旅客往返的机票、出入境数据也都涉及个人隐私。以台湾为例，华航、长荣两家民营航空业者来说，目前在欧洲都有航点，不仅在海外设有办公室，也需要频繁处理大量旅客数据。

时间线

• 2012年1月25日: GDPR的提案发布。^[11]
• 2013年10月21日: 欧洲议会公民自由委员会（英语：European Parliament Committee on Civil Liberties, Justice and Home Affairs） (LIBE)进行了意向投票。
• 2015年12月15日: 欧洲议会、理事会和委员会之间的谈判(三部曲会议（英语：Formal trilogue meeting）)产生了一项联合提案。
• 2015年12月17日: 欧洲议会的LIBE委员会投票支持三部曲会议的谈判结果。
• 2016年4月8日: 欧洲联盟理事会通过^[12]。唯一投反对票的成员国是奥地利，该国辩称，与1995年的指令相比，数据保护水平在某些方面有所下降^[13][14]。
• 2016年4月14日: 欧洲议会通过。^[15]
• 2016年5月24日: 该条例在《欧盟官方公报》发布政府公报20天后生效。^[16]
• 2018年5月25日: 条例生效两年后，其规定直接适用于所有会员国。^[16]
• 2018年7月20日: 在欧洲经济区联合委员会（英语：EEA Joint Committee）和三个国家同意遵循该条例后，GDPR在欧洲经济区国家(冰岛、列支敦士登和挪威)^[17]生效。^[18]

8 sources

参考文献

引用

1. 2016/679 ). Eur-lex.europa.eu. [2018-05-28]. （原始内容存档于2021-03-30） （英语）.
2. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf （页面存档备份，存于互联网档案馆）
3. EUR-Lex - 31995L0046 - EN - EUR-Lex. [2018-05-01]. （原始内容存档于2017-12-29）.
4. Blackmer, W.S. GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. 5 May 2016 [22 June 2016]. （原始内容存档于2018-05-14）.
5. New Data Protection Act finalised in the UK. Out-Law.com. [25 May 2018]. （原始内容存档于2018-05-25）.
6. New UK Data Protection Act not welcomed by all. Computer Weekly. [25 May 2018]. （原始内容存档于2018-05-24） （英国英语）.
7. Art. 3 GDPR – Territorial scope | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). [2018-04-12]. （原始内容存档于2021-04-04） （美国英语）.
8. Fines and Penalties – GDPR EU.org. [2018-04-12]. （原始内容存档于2018-04-12） （美国英语）.
9. How did we get there? – GDPR EU.org. [2019-06-17]. （原始内容存档于2020-03-25） （美国英语）.
10. The regulation – GDPR EU.org. [2019-06-17]. （原始内容存档于2021-01-20） （美国英语）.
11. Data protection (PDF). European Commission – European Commission. [3 January 2013]. （原始内容 (PDF)存档于3 December 2012）.
12. Data protection reform: Council adopts position at first reading – Consilium. Europa (web portal). [2021-03-30]. （原始内容存档于2017-10-06）.
13. Adoption of the Council's position at first reading 互联网档案馆的存档，存档日期25 November 2017., Votewatch.eu
14. Written procedure 互联网档案馆的存档，存档日期1 December 2017., 8 April 2016, Council of the European Union
15. Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament. [14 April 2016]. （原始内容存档于17 April 2016）.
16. Official Journal L 119/2016. eur-lex.europa.eu. [26 May 2018]. （原始内容存档于22 November 2018）.
17. General Data Protection Regulation (GDPR) entered into force in the EEA. EFTA. 20 July 2018 [30 September 2018]. （原始内容存档于1 October 2018）.
18. Kolsrud, Kjetil. GDPR – 20. juli er datoen!. Rett24. 10 July 2018 [13 July 2018]. （原始内容存档于13 July 2018）.

外部链接

• Regulation (EU) 2016/679 of the European Parliament and of the Council （页面存档备份，存于互联网档案馆） 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
• GDPR简介 （页面存档备份，存于互联网档案馆）（繁体中文）
• 带你搞懂GDPR （页面存档备份，存于互联网档案馆）（繁体中文）
• 国家发展委员会欧盟GDPR法规 （页面存档备份，存于互联网档案馆）（繁体中文）