1、深度整理歐盟一般數(shù)據(jù)保護法案（GDPR）核心要點刖百：整理本文的原因有三：網(wǎng)上很多關(guān)于GDPR的文章并不全面，甚至有誤以此機會在公司內(nèi)部開展關(guān)于GDPR的專項培訓青蓮云的部分客戶業(yè)務(wù)在未來會受到GDPR的影響之后，我們計劃編寫一系列相關(guān)文章，更多的是站在企業(yè)角度來思考法案對物聯(lián)網(wǎng)行業(yè)的影響以及應(yīng)對措施，一來希望與同行企業(yè)可以就GDPR進行更多的互動討論；二來也是希望傳播國際法案對于安全和隱私的態(tài)度，共同提高物聯(lián)網(wǎng)安全意識。以下您將了解到：1什么是GDPR（重要）GDPR的發(fā)展歷程GDPR的關(guān)鍵術(shù)語定義（重要）GDPR會影響哪些企業(yè)（重要）GDPR不適用于哪些情況GDPR約束了哪些數(shù)據(jù)（重要）G

2、DPR中數(shù)據(jù)主體的權(quán)利（重要）GDPR中處理個人數(shù)據(jù)的基本原則（重要）GDPR中對合法處理數(shù)據(jù)的定義GDPR中針對兒童數(shù)據(jù)的處理規(guī)定GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)（重要）GDPR中針對特別類型個人數(shù)據(jù)的處理規(guī)定GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）GDPR中關(guān)于個人數(shù)據(jù)泄露通知的規(guī)定（重要）GDPR中關(guān)于設(shè)立數(shù)據(jù)保護官的規(guī)定GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）總結(jié)什么是GDPR2016年4月14日，歐洲議會投票通過了商討四年的一般數(shù)據(jù)保護法案GeneralDataProtectionRegulation（GDPR）,新法案由11章共

3、99條組成，該法案將于2018年5月25日正式生效，將取代現(xiàn)有的數(shù)據(jù)保護指示（DataProtectionDirective95/46/EC），統(tǒng)一歐盟成員國關(guān)于數(shù)據(jù)保護的法律法規(guī)。此外，GDPR新規(guī)是在28個歐盟成員國統(tǒng)一實施生效的，這將使28個歐盟及歐洲經(jīng)濟共同體成員國的隱私保護法更具有一致性和現(xiàn)代性。GDPR作為一套用來保護歐盟公民個人隱私和數(shù)據(jù)的新法規(guī)，其頒布意味著歐盟對個人信息的保護及監(jiān)管達到了前所未有的高度，堪稱史上最嚴格的數(shù)據(jù)保護法案GDPR的發(fā)展歷程大事件記20仃年2月1013年5月20121月2016年4月20帕年8月議止對主導監(jiān)GDPR將于2016歐洲議發(fā)提出改芟必盟歐洲議

4、去通過K通用個盟網(wǎng)紹與信息管機構(gòu)指南提年明25日全面數(shù)據(jù)保護法或數(shù)據(jù)煤護條例3安全指令主效出意見施行201512月SOW年5月201612月120174月歐洲諫妄一致同厲有關(guān)在執(zhí)注過翟中歟信微軟預實施最變揩南制定新的歐盟數(shù)公民享有數(shù)據(jù)保護(Microsoft)進行評估.認證搖保護注規(guī)枚的歐盟指令生對WindowlO效，GDPR啟用+歐收集的個人散（圖片來自網(wǎng)絡(luò)）GDPR的關(guān)鍵術(shù)語定義個人數(shù)據(jù)：是指任何指向一個已識別或可識別的自然人（數(shù)據(jù)主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數(shù)據(jù)、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物

5、理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素。處理：是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否釆用自動化手段。匿名化：是一種使個人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體對待個人數(shù)據(jù)的處理方式。該處理方式將個人數(shù)據(jù)與其他額外信息分別存儲，并且使個人數(shù)據(jù)因技術(shù)和組織手段而無法指向一個可識別和已識別的自然人。數(shù)據(jù)控制者：能單獨或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機構(gòu)、行政機關(guān)或其他非法人組織。數(shù)據(jù)處理者：是指為數(shù)據(jù)控制者處理個人

6、數(shù)據(jù)的自然人、法人、公共機構(gòu)、行政機關(guān)或其他非法人組織。數(shù)據(jù)接受者：只是接收到被傳遞的個人數(shù)據(jù)的主體，無論其是否是第三方的自然人、法人、公共機構(gòu)、行政機關(guān)或其他非法人組織。政府因在歐盟或其成員國法律框架內(nèi)特定調(diào)查接收到的個人數(shù)據(jù)，不得視為數(shù)據(jù)接受者”。個人數(shù)據(jù)外泄：是指個人數(shù)據(jù)在傳輸、存儲或進行其他處理時的由安全問題引發(fā)的個人數(shù)據(jù)被意外或非法破壞、損失、變更、未經(jīng)授權(quán)披露或訪問。GDPR會影響哪些企業(yè)歐盟GDPR法案具有域外效應(yīng)。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權(quán)。主要受影響的企業(yè)為以下四類:設(shè)立在歐盟境內(nèi)的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但向歐盟境內(nèi)的數(shù)據(jù)主體

7、（自然人）提供產(chǎn)品和服務(wù)的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體（自然人）行為的企業(yè)（控制者、處理者）未在歐盟境內(nèi)設(shè)立，但在歐洲成員國法律適用的地方設(shè)立的企業(yè)（控制者、處理者）總結(jié)來說，GDPR不僅適用于位于歐盟境內(nèi)的企業(yè)組織機構(gòu)，也適用于位于歐盟以外的企業(yè)組織機構(gòu)，無論機構(gòu)所在地位于哪里，只要其向歐盟數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或者監(jiān)控相關(guān)行為，或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)，都將受到GDPR法案的監(jiān)管。GDPR法案同樣適用于“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”。如果是數(shù)據(jù)處理者涉案，數(shù)據(jù)控制者也無法免除責任，GDPR規(guī)定控制者需要承擔更多的責任，以確保和數(shù)據(jù)

8、處理者之間的合同能夠嚴格遵守GDPR的規(guī)定。GDPR不適用于哪些情況GDPR更多的是監(jiān)管企業(yè)對數(shù)據(jù)的使用行為。以下4個方面的數(shù)據(jù)使用情況不適用于GDPR:為了預防、調(diào)查、偵查或起訴刑事犯罪，主管當局為執(zhí)行刑事處罰目的而產(chǎn)生的數(shù)據(jù)處理行為基于國家安全目的而產(chǎn)生的數(shù)據(jù)處理行為自然人在純粹的個人或家庭活動中產(chǎn)生的數(shù)據(jù)處理行為自然人在純粹的個人或家庭活動中產(chǎn)生的數(shù)據(jù)處理行為歐盟法律規(guī)定范圍之外的活動過程中產(chǎn)生的數(shù)據(jù)處理行為GDPR約束了哪些數(shù)據(jù)個人數(shù)據(jù)：可以通過某個標識直接或間接識別某一自然人的信息。不管是釆用自動化手段還是人工進行歸類的數(shù)據(jù)，包括按時間順序排列的包含個人數(shù)據(jù)的記錄集合。已經(jīng)被匿名化的

9、個人數(shù)據(jù)，取決于用已有標識來識別特定個體的困難程度。敏感個人數(shù)據(jù)：也被稱為“特殊種類的個人數(shù)據(jù)”。包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數(shù)據(jù)。包括遺傳數(shù)據(jù)和經(jīng)過處理可以唯一識別個體的生物特征數(shù)據(jù)。不包括涉及刑事定罪和罪行的個人數(shù)據(jù)，但該類數(shù)據(jù)的處理和保存有特殊要求。GDPR中數(shù)據(jù)主體的權(quán)利（第三章）知情權(quán)訪問權(quán)反對權(quán)可攜帶權(quán)糾正權(quán)刪除權(quán)/被遺忘權(quán)限制處理權(quán)免受數(shù)據(jù)畫像影響GDPR中處理個人數(shù)據(jù)的基本原則丨合法、正當、透明處理數(shù)據(jù)的目的是有限的僅處理為達到目的的最少數(shù)據(jù)確保數(shù)據(jù)準確、及時更新存儲數(shù)據(jù)的期限不得長于為達到目的所需要的時間釆取技術(shù)和管理措施以保護數(shù)據(jù)的安全數(shù)

10、據(jù)控制者有責任并應(yīng)能夠證明做到了以上幾點GDPR中對合法處理數(shù)據(jù)的定義至少滿足一下中的某一項，處理數(shù)據(jù)才是合法的數(shù)據(jù)主體同意為了特定目的處理其數(shù)據(jù)處理數(shù)據(jù)是為了簽訂或履行合同的需要處理數(shù)據(jù)是為了遵守法定義務(wù)的需要處理數(shù)據(jù)是為了保護數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益處理數(shù)據(jù)是為了公共利益或形式政府授受的權(quán)力處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益，但不得損害數(shù)據(jù)主體的利益GDPR中針對兒童數(shù)據(jù)的處理規(guī)定處理16歲以下兒童的個人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可以對上述年齡進行調(diào)整，但是不得低于13歲GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)設(shè)置DPO（數(shù)據(jù)保護官）文檔化管理數(shù)據(jù)

11、保護影響評估事先咨詢機制數(shù)據(jù)泄露報告機制安全保障措施遵守數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則GDPR中針對特別類型個人數(shù)據(jù)的處理規(guī)定禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數(shù)據(jù)、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)、或涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù)，如已獲得個人的明示同意，或數(shù)據(jù)控制者因處理勞動關(guān)系、社會保險之需要并在法律允許的范圍內(nèi)且已釆取了適當?shù)谋Ｗo手段等。GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定（重要）當個人數(shù)據(jù)已和收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當理由保存該數(shù)據(jù)時，數(shù)據(jù)主體可以隨時要求收集其數(shù)據(jù)的企業(yè)或個

12、人刪除其個人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給了任何第三方（或第三方網(wǎng)站），數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)。GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定（重要）數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù)，也可將其個人數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者。GDPR中關(guān)于個人數(shù)據(jù)泄露通知的規(guī)定（重要）數(shù)據(jù)控制者應(yīng)在72小時之內(nèi)向監(jiān)管機構(gòu)報告?zhèn)€人數(shù)據(jù)的泄露情況。當數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風險時，數(shù)據(jù)控制者必須毫不延誤的通知數(shù)據(jù)主體，以便數(shù)據(jù)主體及時釆取措施。GDPR中關(guān)于設(shè)立數(shù)據(jù)保護官的規(guī)定為確保數(shù)據(jù)保護合規(guī)并處理數(shù)據(jù)保護相關(guān)事務(wù)，數(shù)據(jù)控制者和數(shù)據(jù)處理者需設(shè)置數(shù)據(jù)保護官DPO）。控制者和處理者應(yīng)當對數(shù)據(jù)保護官不下

13、達任何指令，DPO不能因為執(zhí)行任務(wù)的原因被解雇或者受到刑事處罰。數(shù)據(jù)保護官直接向最高管理者報告工作。根據(jù)聯(lián)盟法律或者成員國法律規(guī)定，數(shù)據(jù)保護官應(yīng)當對其執(zhí)行任務(wù)的內(nèi)容進行保密。數(shù)據(jù)保護官也可以執(zhí)行其他任務(wù)，履行其他職責。GDPR關(guān)于執(zhí)法和處罰的規(guī)定（非常重要）不遵守信的數(shù)據(jù)隱私法規(guī)的后果就是會受到嚴厲的制裁和巨額的罰款。GDPR的處罰并不是像網(wǎng)上傳的那樣直接就罰全球營收的4%。而是有兩個等級的征收行政性罰款的規(guī)定：對于一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業(yè)收入的2%（兩者中取數(shù)額大者）；2%（兩者中取數(shù)額大者）對于嚴重的違法，罰款上限是200

14、0萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業(yè)收入的4%（兩者中取數(shù)額大者）；判罰的嚴重程度是基于以下因素：l違規(guī)的性質(zhì)、嚴重程度和違規(guī)的持續(xù)時間違規(guī)是故意的還是因疏忽造成的對個人身份信息的責任心和控制程度違規(guī)是單個事件還是重復事件受到影響的個人資料的種類范圍數(shù)據(jù)主體遭遇的損害程度為了減輕損害而釆取的行動由違規(guī)產(chǎn)生的財務(wù)預期或收益GDPR核心旨在保護隱私數(shù)據(jù)，并通過法案約束來建立企業(yè)和公民之間的信任關(guān)系，違反GDPR的代價遠不止財務(wù)層面，還將給企業(yè)聲譽造成極大破壞，并且導致企業(yè)和消費者之間產(chǎn)生信任危機總結(jié)由于青蓮云所在的物聯(lián)網(wǎng)行業(yè)也處于GDPR法案的約束之中，故此整理出法案中的重點思想與業(yè)界分享。GDPR此次改革以保護公民的基本權(quán)利