初識 GDPR：史上最嚴格的數據保護條例

原創代野（Tank） 2022-10-07

12332

1 什么是 GDPR？

GDPR 全稱是 General Data Protection Regulation，譯為《通用數據保護條例》，是歐盟 2016 年通過的條例，于 2018 年 5 月 25 日正式生效，旨在保護歐盟居民隱私，GDPR 詳情見 https://gdpr-info.eu/。

GDPR 面向所有收集、處理、儲存、管理歐盟公民個人數據的企業，限制了這些企業收集與處理用戶個人信息的權限，將個人信息的最終控制權交還給用戶本人，凡涉及歐盟個人數據的行為，都可被 GDPR 所管轄。在個人數據保護方面，GDPR 是目前全球規定最為嚴格、處罰最為嚴厲的法規之一。

GDPR 取代了歐盟在 1995 年推出的歐盟《數據保護指令》（又稱“95 指令”），相比 95 指令，GDPR 增加了優化數據流向歐盟以外國家的管理辦法，以及增強用戶對其個人信息的控制。

202210071初識 GDPR：史上最嚴格的數據保護條例p1.png

2 GDPR 中需要關注的概念

GDPR 以最大的限度保護了歐盟公民的個人信息安全，在 GDPR 面前，可以說我們所能想到的擦邊球操作以及常見的文字游戲基本都是蒼白無力的，比如描述不夠直白、關鍵聲明內容位置不明顯，導致用戶沒有清楚隱私政策，那就是服務商的問題。因此對于 GDPR 相關的定義，比如“個人信息”的范圍等此類信息，相關組織需要嚴格按照 GDPR 中的規定進行執行，下面列出了一些初次了解 GDPR 需要關注的概念。

建議參考原文定義描述：https://gdpr-info.eu/art-4-gdpr/

個人信息

個人信息，PII(Personal Identifiable Information)，指任何指向一個已被識別或可被識別的自然人的信息。該自然人能夠被直接或間接地識別。

直接標識：能夠直接識別出自然人的信息，如：姓名、身份證號等。
間接標識：通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素識別出自然人的信息。

敏感信息

禁止處理顯示種族或民族血統、政治意見、宗教或哲學信仰或工會成員身份的個人數據，以及處理遺傳數據、用于唯一識別自然人身份的生物測定數據、有關健康的數據或有關自然人的性生活或性取向的數據。禁止收集處理種族起源、政治意見、宗教或者哲學信仰、商會會員、基因、生物特征、健康狀況、性生活等事項的特殊類別的個人數據。

管轄范圍

數據控制者、數據處理者在歐盟有營業場所的，不論數據處理行為發生在歐盟還是境外。
數據控制者、數據庫處理者未在歐盟設立營業場所，但向歐盟的數據主體提供商品或者服務，或者被追蹤的網絡行為發生在歐盟的。
雖然數據控制者、數據處理者未在歐盟設立營業場所，但是根據國際公法應當使用歐盟成員國法律的。第二種情形是典型的域外管轄，主要針對美國的互聯網企業。

處罰規定

一般違法：罰款上限是 1000 萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的 2%（兩者中取數額大者）。
嚴重違法：罰款上限是 2000 萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的 4%（兩者中取數額大者）。

獲取用戶同意（Consent）

如果用戶的同意是一個包含其他事項的書面聲明中作出的，則該書面說明中的同意請求應當具有明顯的辨識度以便可以與其他事項區別，使用清楚、直白的語言，以容易理解且容易獲取的方式呈現，否則視為無效。
用戶有權隨時撤回其同意，同意的撤回不具有溯及以往的效力；同意的撤回應當和同意的作出一樣容易。
當兒童至少 16 歲時，其同意才可以是處理其個人數據的合法條件；如果兒童不滿 16 歲，則只有當其監護人作出授權或者同意時，處理其個人數據才是合法的。

個人數據的收集、處理規則

用戶為了一個或者多個明確目的，同意處理其個人數據。
為了履行用戶與企業之間的合同必須處理其個人數據，或者為了基于用戶請求而簽訂合同必須處理其個人數據。
處理行為對于企業遵守其所負擔的法律義務是必要的。
處理個人數據是為了保護該用戶或者其他自然人的重大利益。
處理個人數據是為了公共利益。
處理行為對于企業或者第三方所追求的合法利益目的是必要的，除非該利益屈從于需要保護其個人數據的自然人的立業或者基本權利和自由，尤其是當其是兒童時。

數據處理的七個原則

合法、公平、透明原則。
目的限定原則：出于特定、明確、合法的目的收集個人數據，進一步處理不得有悖于前述目的，除非符合公共利益、科學研究等正當目的。
數據最小化原則：所收集、處理的個人數據之于其處理目的，應當準確、相關、必要。
準確原則：確保個人數據是準確的，并在必要的情況下及時更新。
有限留存原則：除非符合公共利益、科學研究等正當目的，否則對個人數據的留存期限不能超過其處理目的。
完整、機密原則：用技術手段確保個人數據的安全，不被非法處理、竊取、損毀等。
責任原則：數據控制者應當對上述原則的落實情況承擔責任并予以證明。

數據主體的八項權利

知情權（Right to be informed）
訪問權（Right of access）
更正權（Right to rectfication）
刪除權（或“被遺忘權”，Right to erasure,or “right to be forgotten”）
限制處理權（Right to restrcition of processing）
可攜帶權（或遷移權，Right to data portability）
反對權（Right to object）
不受制于自動化決策（含畫像）（Right not to be subject to automated decision-making,include profiling）

3 國內企業的合規驅動力

內因

海外業務擴張：全球化業務發展，擴展到歐盟市場。
歐盟業務舉足輕重：有一定的市場占有率，不考慮放棄歐盟的市場。
競爭需要：行業內部的 PK，不放棄每一個搶占市場的機會。

外因

國家層面的相關因素：大型國有企業在海外往往會成為監管的重點，避免信譽危機。
歐盟合作伙伴要求：作為歐盟伙伴供應鏈的一環，同樣需要符合 GDPR 的要求。

4 GDPR 落地流程參考表

在企業 GDPR 合規過程中，不同部門會面臨很多的執行問題，如法務側會關注當前隱私政策是否符合要求？業務側會關注哪些數據將不能再收集了？是否會影響業務效率？IT 側會關注數據加密技術方案如何落地？以及暫時達不到要求的方面是否有折中方案？合規牽頭方則會關注如何理出重點？以及如何引起高層重視并獲得支持？等問題。

以上具體的問題均可歸納到 GDPR 落地的九個階段中，如下表。

注：參考表概括了不同階段需要關注的內容，它不是對法律的解釋，也不是對 GDPR 規定的管制員或處理者的義務范圍的解釋，每一階段背后都有更多細節值得研究。因此，應根據 GDPR 中描述的全部義務，以確認每個問題的合規情況。

階段	說明
1. 數據隱私影響評估（DPIA）階段	DPIA（Data Privacy Impact Assessment）有助于識別隱私風險并將其降至最低。與業務和合作伙伴組織中的利益相關者合作，記錄個人數據處理如何符合 GDPR。在高風險情況下，GDPR 需要 DPIA。
2. 個人數據清單確認階段	評估您有哪些個人數據以及這些數據存儲在哪里。通過進行個人數據清點，您可以清楚地了解組織中使用的個人數據。
3. 數據流分析階段	確定所有觸及 GDPR 范圍內數據的系統。繪制從入口到銷毀的數據流，包括第三方流程。當您對組織的完整數據生命周期有了深入的了解時，數據映射可以幫助您確保適當地揭示所有風險。
4. 風險評估階段	針對每個數據（包括數據庫、文件系統和人員）的接觸點的執行風險進行評估。您將評估當前的數據保護策略和流程，以及實施這些策略和程序的技術控制措施。例如，您是否有適當的控制措施來執行 GDPR 的跨境數據傳輸要求？確定風險較高的區域以及需要采取哪些措施來降低風險。
5. 數據泄露過程審查階段	評估您的程序和控制，用以檢測、報告和調查數據泄露。GDPR 對數據控制者和處理者提出了違規通知要求。例如，數據控制員必須在意識到違規行為后 72 小時內向監管當局報告違規行為，除非違規行為不太可能導致對自然人的權利和自由造成風險。
6. 確定差距和補救計劃階段	確定您將如何補救在風險評估中檢測到的任何合規漏洞。確定風險較高且應首先解決的差距的優先順序。補救計劃可以包括：培訓或招聘員工、流程或政策更改、法律合同以及實施新的技術控制。
7. 批準預期結果階段	展示您的分析結果以及推薦的解決方案，以獲得項目的支持和預算。您應該在項目的預期結果上得到管理層的認可和批準。
8. 實施改進和補救計劃階段	使用經過驗證的實施方法執行項目，該方法包括定義、設計和實施階段。
9. 治理階段（持續問責和 DPIA）	建立流程以進行持續的 DPIA，并通過測試確保持續的合規性。最終形成體系化、平臺化和自動化的治理手段。

5 處罰案例統計

截止 2022 年 6 月 10 日，867 個企業/組織/個人共計被處罰 1200 次。從 2018 年開始，處罰次數逐年增加，2021 年處罰次數到達最高 455 次，可以預見 2022 年可能超 2021 年。

處罰金額最高的公司：亞馬遜（歐洲）

202210071初識 GDPR：史上最嚴格的數據保護條例p2.png

（數據來源：歐洲各國 DPA 公開出發公告）

以上單筆罰款均超過 2 千萬歐元，IT 企業居多，其中亞馬遜（歐洲）的處罰金額最高，達 7 億歐元。

處罰金額最高的產業：工業和商業

202210071初識 GDPR：史上最嚴格的數據保護條例p3.png
（數據來源：歐洲各國 DPA 公開出發公告）

被處罰次數最多的企業：Vodafone Espana

202210071初識 GDPR：史上最嚴格的數據保護條例p4.png
（數據來源：歐洲各國 DPA 公開出發公告）

15 個實體被處罰超過（含）5 次，76 個實體被處罰超過（含）2 次。其中 Vodafone Espana, S.A.U 被處罰次數最多，高達 46 次。其次是 Xfera Moviles S.A. 被處罰 16 次。

最易被處罰的違規行為統計

202210071初識 GDPR：史上最嚴格的數據保護條例p5.png
不論違法次數還是違法類型，不符合一般數據處理原則和數據處理的法律依據不足，均排在前 2 位。

最兇的 DPA(Data Protection Authority)

202210071初識 GDPR：史上最嚴格的數據保護條例p6.png

處罰金額排名第 1 的盧森堡 7.463 億歐元，其中 7.46 億罰款來自 Amazon。法國處罰 Google 共 4 次 2 億歐元，Facebook 共 1 次 0.6 億歐元，處罰金額 2.697 億歐元排名第 2。

處罰次數最多的的是西班牙，共 424 次，其次是意大利。

6 FAQ

從以上內容來看，GDPR 既復雜又嚴格。為在短時間內進一步理解 GDPR，網絡上收集了一些常見的問題如下。

因為 GDPR 的生效，相關服務商將不能再收集用戶隱私數據了嗎？

不是的。在需遵循數據處理的七個原則前提下，服務商仍然可以收集用戶隱私數據。
公司注冊在國內，GDPR 對公司有什么影響嗎？

需判斷業務數據是否包含歐洲公民的數據。GDPR 要求所有設在歐洲的組織以及與歐洲利益相關的組織遵守其規定。GDPR是一個復雜的、全面的法規，它影響到組織內部的許多領域。由于這種復雜性，建議進行GDPR審計，以確保符合性，并防止對違規行為的嚴厲處罰。

GDPR 適用于：1）在歐盟境內成立的任何一家從事個人數據處理活動的公司或實體，無論其數據處理活動是否發生在歐盟境內；或者 2）在歐盟境外成立的公司，只要其數據處理活動與向歐盟境內的個體提供產品或服務（不論是否收費）有關，或其數據處理行為涉及到監控歐盟境內個體的行為。
GDPR 審計的好處有哪些？

除了避免罰款、處罰和負面宣傳外，成功的審計還提供了符合 GDPR 準則的文件證明。審計還可以改進和優化與組織內個人數據保護相關的流程。
GDPR 合規自查大概包括哪些內容？

主要是通過客觀分析，來確定組織是否合規，以及如何滿足 GDPR 要求。審查的領域包括正在處理的數據的性質、所進行的行業和活動類型、員工數量及其與數據保護相關的特征以及公司的組織和 IT 工具。
GDPR 是否適用于公司相關的數據？

不適用。這些規則僅適用于個體的個人數據，不涉及公司或任何其他法律實體的數據。但是，僅有一人的公司，其信息可構成個人數據，用于識別自然人。
GDPR 是否適用于中小企業？

適用。 數據保護條例的適用范圍不取決于公司或機構的規模，而取決于其業務性質。 無論是由中小企業還是大公司進行對個人的權利和自由造成高風險的活動，都適用于更嚴格的規則。但是，GDPR 的某些義務可能不適用于所有中小企業。

例如，員工人數少于 250 人的公司，除非處理個人數據是主要業務，且對個人的權利和自由構成威脅，或涉及敏感數據或犯罪記錄，否則無需保存數據處理記錄。同樣，對于任何中小企業，如果數據處理是其主要業務，特別是大規模數據處理會對個人的權利和自由（例如監控個人或處理敏感數據或犯罪記錄）構成特殊威脅時，需要任命一名 數據保護官 。
是否可以將數據用于「其他目的」？

可以，但只有在某些情況下。如果您所在的公司或機構基于合法利益、合同或切身利益收集數據，則可在確認新目的與初始目的相符后，可將其用于其他目的。

如果您所在的公司或機構在征得數據主體同意后或按照法律要求進行了數據收集，則數據處理不得超出同意或法律規定所涵蓋的范圍。如需進行進一步處理，則必須重新征得數據主體的同意或獲得新的法律依據。
是否可以將數據用于「任何目的」？

不可以。必須確定處理個人數據的目的，且必須通知數據主體。不得以暗示的方式告知個人數據會被收集和處理。這被稱為“目的限制”原則。