歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)

XX

第一章一般條款...................................................................5

第1條主要事項(xiàng)與目標(biāo)........................................................5

第2條適用范圍..............................................................5

第3條地域范圍..............................................................5

第4條定義...................................................................6

第二章原則.......................................................................9

第5條個(gè)人數(shù)據(jù)處理原則......................................................9

第6條處理的合法性..........................................................9

第7條同意的條件...........................................................10

第8條信息社會(huì)服務(wù)中適用兒童同意的條件....................................11

第9條對(duì)特殊類型個(gè)人數(shù)據(jù)的處理............................................11

第10條處理涉及犯罪定罪與違法的個(gè)人數(shù)據(jù)..................................12

第11條不需要識(shí)別的處理....................................................12

第三章數(shù)據(jù)主體的權(quán)利...........................................................13

第一部分透明性與模式...........................................................13

第12條信息、交流與模式的透明性一保證數(shù)據(jù)主體權(quán)利的行使...............13

第二部分信息與對(duì)個(gè)人數(shù)據(jù)的訪問(wèn).................................................14

第13條收集數(shù)據(jù)主體個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)提供的信息..............................14

第14條未獲得數(shù)據(jù)主體個(gè)人數(shù)據(jù)的情形下，應(yīng)當(dāng)提供的信息....................15

第15條數(shù)據(jù)主體的訪問(wèn)權(quán)....................................................16

第三部分更正與擦除.............................................................17

第16條更正權(quán)..............................................................17

第17條擦除權(quán)（“被遺忘權(quán)”）.............................................17

第18條限制處理權(quán)..........................................................18

第19條關(guān)于更正或擦除或限制處理中的通知責(zé)任..............................18

第20條數(shù)據(jù)攜帶權(quán)..........................................................19

第四部分反對(duì)的權(quán)利和自動(dòng)化的個(gè)人決策..........................................19

第21條反對(duì)權(quán)..............................................................19

第22條自動(dòng)化的個(gè)人決策，包括用戶畫像.....................................20

第五部分限制....................................................................20

第23條限制................................................................20

第四章控制者和處理者...........................................................21

第一部分一般性責(zé)任.............................................................21

第24條控制者的責(zé)任........................................................21

第25條通過(guò)設(shè)計(jì)的數(shù)據(jù)保護(hù)和默認(rèn)的數(shù)據(jù)保護(hù)................................21

第26條共同控制者..........................................................22

第27條不在歐盟所設(shè)立的控制者或處理者的代表..............................22

第28條處理者..............................................................23

第29條代表控制者或處理者進(jìn)行的處理.......................................24

第30條處理活動(dòng)的記錄......................................................24

第31條和監(jiān)管機(jī)構(gòu)的合作....................................................25

第二部分個(gè)人數(shù)據(jù)的安全.........................................................25

第32條處理的安全..........................................................25

第33條向監(jiān)管機(jī)構(gòu)報(bào)告對(duì)個(gè)人數(shù)據(jù)的泄露.....................................26

第34條向數(shù)據(jù)主體傳達(dá)個(gè)人數(shù)據(jù)泄露.........................................26

第三部分?jǐn)?shù)據(jù)保護(hù)影響評(píng)估與提前咨詢............................................27

第35條數(shù)據(jù)保護(hù)影響評(píng)估....................................................27

第36條提前咨詢............................................................28

第四部分?jǐn)?shù)據(jù)保護(hù)官（DPO）...................................................29

第37條數(shù)據(jù)保護(hù)官的委任....................................................29

第38條數(shù)據(jù)保護(hù)官的職位....................................................30

第39條數(shù)據(jù)保護(hù)官的任務(wù)....................................................30

第五部分行為準(zhǔn)則與認(rèn)證.........................................................31

第40條行為準(zhǔn)則............................................................31

第41條對(duì)已生效行為準(zhǔn)則的監(jiān)控.............................................32

第42條認(rèn)證................................................................33

第43條認(rèn)證機(jī)構(gòu)............................................................34

第44條轉(zhuǎn)移的一般性原則....................................................35

第45條基于認(rèn)定具有充足保護(hù)的轉(zhuǎn)移.........................................35

第46條轉(zhuǎn)移所需要的適當(dāng)安全保障...........................................37

第47條有約束力的公司規(guī)則..................................................37

第48條未經(jīng)歐盟法授權(quán)的轉(zhuǎn)移或披露.........................................39

第49條特殊情形下的克減....................................................39

第50條為保護(hù)個(gè)人數(shù)據(jù)的國(guó)際合作...........................................40

第六章獨(dú)立監(jiān)管機(jī)構(gòu).............................................................41

第一部分獨(dú)立性地位.............................................................41

第51條監(jiān)管機(jī)構(gòu)............................................................41

第52條獨(dú)立性..............................................................41

第53條監(jiān)管機(jī)構(gòu)成員的一般性要求...........................................41

第54條設(shè)立監(jiān)管機(jī)構(gòu)的規(guī)則.................................................42

第二部分職權(quán)、任務(wù)與權(quán)力.......................................................42

第55條職權(quán)................................................................42

第56條領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)的職權(quán)...............................................43

第57條任務(wù)................................................................43

第58條權(quán)力................................................................45

第59條活動(dòng)報(bào)告............................................................46

第七章合作與一致性.............................................................46

第一部分合作....................................................................46

第60條領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)和其他相關(guān)監(jiān)管機(jī)構(gòu)的合作............................46

第61條互相協(xié)助............................................................47

第62條監(jiān)管機(jī)構(gòu)的聯(lián)合行動(dòng).................................................48

第二部分一致性..................................................................49

第63條一致性機(jī)制..........................................................49

第64條歐盟數(shù)據(jù)保護(hù)委員會(huì)的意見(jiàn)...........................................49

第65條歐盟數(shù)據(jù)保護(hù)委員會(huì)的糾紛解決.......................................50

第66條緊急程序............................................................51

第67條信息交換............................................................52

第三部分歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB).............................................................................................52

第68條歐盟數(shù)據(jù)保護(hù)委員會(huì)..................................................52

第69條獨(dú)立性..............................................................52

第70條歐盟數(shù)據(jù)保護(hù)委員會(huì)的任務(wù)...........................................53

第71條報(bào)告................................................................55

第72條程序................................................................55

第73條主席................................................................55

第74條主席的任務(wù)..........................................................55

第75條秘書................................................................55

第76條機(jī)密性..............................................................56

第77條向監(jiān)管機(jī)構(gòu)提起申訴的權(quán)利...........................................56

第78條針對(duì)監(jiān)管機(jī)構(gòu)的有效司法救濟(jì)權(quán).......................................56

第79條針對(duì)控制者或處理者的有效司法救濟(jì)權(quán)................................57

第80條對(duì)數(shù)據(jù)主體的代表....................................................57

第81條法律訴訟的中止......................................................57

第82條獲取賠償?shù)臋?quán)利與責(zé)任...............................................58

第83條行政罰款的一般條件..................................................58

第84條懲罰................................................................60

笫九章和特定處理情形相關(guān)的條款................................................GO

第85條處理、表達(dá)自由與信息...............................................60

第86條處理與公眾對(duì)官方文件的訪問(wèn).........................................61

第87條對(duì)全國(guó)性身份識(shí)別號(hào)碼的處理.........................................61

第88條雇傭語(yǔ)境下的處理....................................................61

第89條為了實(shí)現(xiàn)公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)目的姓理中的安全保障與克減.61

第90條保密責(zé)任............................................................62

第91條現(xiàn)有的的對(duì)教會(huì)和宗教協(xié)會(huì)的數(shù)據(jù)保護(hù)規(guī)則............................62

第十章授權(quán)法案與實(shí)施性法案.....................................................62

第92條對(duì)授權(quán)的行使........................................................62

第93條委員會(huì)程序..........................................................63

第十一章最后條款...............................................................63

第94條95/46/EC指令的廢止.................................................63

第95條與2002/58/EC的關(guān)系................................................63

第96條和之前已經(jīng)達(dá)成的協(xié)議的關(guān)系.........................................63

第97條委員會(huì)報(bào)告..........................................................63

第98條對(duì)歐盟其他數(shù)據(jù)保護(hù)法案的審查.......................................64

第99條生效與適用..........................................................64

經(jīng)過(guò)歐盟議會(huì)長(zhǎng)達(dá)四年的討論，歐盟《通用數(shù)據(jù)保護(hù)條例》(General

DataProtectionRegulation,簡(jiǎn)稱GDPR)終于在2018年5月25日生效。

第一章一般條款

第1條主要事項(xiàng)與目標(biāo)

1.本條例制定關(guān)于處理個(gè)人數(shù)據(jù)中對(duì)自然人進(jìn)行保護(hù)的規(guī)則，以及個(gè)人數(shù)據(jù)自

由流動(dòng)的規(guī)則。

2.本條例保護(hù)自然人的基本權(quán)利與自由，特別是自然人享有的個(gè)人數(shù)據(jù)保護(hù)的

權(quán)利。

3.不能以保護(hù)處理個(gè)人數(shù)據(jù)中的相關(guān)自然人為由，對(duì)歐盟內(nèi)部個(gè)人數(shù)據(jù)的自由

流動(dòng)進(jìn)行限制或禁止。

第2條適用范圍

1.本條例適用于全自動(dòng)個(gè)人數(shù)據(jù)處理、半自動(dòng)個(gè)人數(shù)據(jù)處理，以及形成或旨在

形成用戶畫像的非自動(dòng)個(gè)人數(shù)據(jù)處理。

2.本條例不適用以下情形：

(a)歐盟法管轄之外的活動(dòng)中所進(jìn)行的個(gè)人數(shù)據(jù)處理；

(b)歐盟成員國(guó)為履行《歐盟基本條約》(TEU)第2章第5款所規(guī)定的活動(dòng)而

進(jìn)行的個(gè)人數(shù)據(jù)處理；

(c)自然人在純粹個(gè)人或家庭活動(dòng)中所進(jìn)行的個(gè)人數(shù)據(jù)處理；

(d))有關(guān)主管部門為預(yù)防、調(diào)查、偵查、起訴刑事犯罪、執(zhí)行刑事處罰、防

范及預(yù)防公共安全威脅而進(jìn)行的個(gè)人數(shù)據(jù)處理。

3.歐盟機(jī)構(gòu)、實(shí)體、辦事處和規(guī)制機(jī)構(gòu)所進(jìn)行的個(gè)人數(shù)據(jù)處理，適用(EC)第

45/2001條例。根據(jù)本條例第98條，(EC)第45/2001條例和其他適用于此類個(gè)

人數(shù)據(jù)處理的歐盟法案應(yīng)當(dāng)進(jìn)行調(diào)整，以符合本條例的原則和規(guī)則。

4.本條例不影響2000/31/EC指令的適用，特別是2000/31/EC指令第12至15

條所規(guī)定的中間服務(wù)商的責(zé)任規(guī)則的適用。

第3條地域范圍

1.本例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論

其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。

2.本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不

在歐盟設(shè)立：

(a)為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)一一不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)

主體支付對(duì)價(jià)；或

(b)對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。

3.本條例適用于在歐盟之外設(shè)立，但基于國(guó)際公法成員國(guó)的法律對(duì)其有管轄權(quán)

的數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)處理。

第4條定義

就本條例而言：

(1)“個(gè)人數(shù)據(jù)”指的是任何已識(shí)別或可識(shí)別的自然人(“數(shù)據(jù)主體”)相關(guān)的

信息；一個(gè)可識(shí)別的自然人是一個(gè)能夠被直接或間接識(shí)別的個(gè)體，特別是通過(guò)

諸如姓名、身份編號(hào)、地讓數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的

身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份而識(shí)別個(gè)

體。

(2)“處理”是指任何一項(xiàng)或多項(xiàng)針對(duì)單一個(gè)人數(shù)據(jù)或系列個(gè)人數(shù)據(jù)所進(jìn)行的操

作行為，不論該操作行為是否采取收集、記錄、組織、構(gòu)造、存儲(chǔ)、調(diào)整、更

改、檢索、咨詢、使用、通過(guò)傳輸而公開(kāi)、散布或其他方式對(duì)他人公開(kāi)、排列

或組合、限制、刪除或銷毀而公開(kāi)等自動(dòng)化方式。

(3)“限制處理”是指對(duì)存儲(chǔ)的個(gè)人數(shù)據(jù)進(jìn)行標(biāo)記，以限制此后對(duì)該數(shù)據(jù)的處理

行為。

(4)“用戶畫像”指的是為了評(píng)估自然人的某些條件而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何自

動(dòng)化處理，特別是為了評(píng)它自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康、個(gè)人偏好、

興趣、可靠性、行為方式、位置或行蹤而進(jìn)行的處理。

(5)“匿名化”指的是在采取某種方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理后，如果沒(méi)有額外的

信息就不能識(shí)別數(shù)據(jù)主體的處理方式。此類額外信息應(yīng)當(dāng)單獨(dú)保存，并且已有

技術(shù)與組織方式確保個(gè)人數(shù)據(jù)不能關(guān)聯(lián)到某個(gè)已識(shí)別或可識(shí)別的自然人。

(6)“檔案系統(tǒng)”指的是根據(jù)某種特定標(biāo)準(zhǔn)一一不論這種標(biāo)準(zhǔn)是去中心化的、分

散的、功能性的或是基于地理而設(shè)置的一一而可以訪問(wèn)的個(gè)人數(shù)據(jù)的結(jié)構(gòu)化集

合。

(7)“控制者”指的是那些決定一一不論是單獨(dú)決定還是共同決定一一個(gè)人數(shù)據(jù)

處理目的與方式的自然人或法人、公共機(jī)構(gòu)、規(guī)制機(jī)構(gòu)或其他實(shí)體；如果此類

代理的方式是由歐盟或成員國(guó)的法律決定的，那么對(duì)控制者的定義或確定控制

者的標(biāo)準(zhǔn)應(yīng)當(dāng)由歐盟或成員國(guó)的法律來(lái)規(guī)定。

(8)“處理者”指的是為數(shù)據(jù)控制者而處理個(gè)人數(shù)據(jù)的自然人或法人、公共機(jī)

構(gòu)、規(guī)制機(jī)構(gòu)或其他實(shí)體。

(9)“接收者”指的是接收數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、規(guī)制機(jī)構(gòu)或另一實(shí)

體，不論其是否為第三方。然而，公共機(jī)構(gòu)基于歐盟或成員國(guó)法律的某項(xiàng)特定

調(diào)查框架而接收個(gè)人數(shù)據(jù)，則不應(yīng)當(dāng)被視為接收者；公共機(jī)構(gòu)對(duì)此類數(shù)據(jù)的處

理，應(yīng)當(dāng)根據(jù)處理目的遵循可適用的數(shù)據(jù)保護(hù)規(guī)則。

(10)“第三方”指的是除了數(shù)據(jù)主體、控制者、處理者、控制者或處理者直接

授權(quán)其處理個(gè)人數(shù)據(jù)之外的自然人或法人、公共機(jī)構(gòu)、規(guī)制機(jī)構(gòu)或組織。

(11)數(shù)據(jù)主體的“同意”有的是數(shù)據(jù)主體通過(guò)一個(gè)聲明，或者通過(guò)某項(xiàng)清晰的

確信行動(dòng)而自由作出的、充分知悉的、不含混的、表明同意對(duì)其相關(guān)個(gè)人數(shù)據(jù)

進(jìn)行處理的意愿。

(12)“個(gè)人數(shù)據(jù)泄露”是指由于違反安全政策而導(dǎo)致傳輸、儲(chǔ)存、處理中的個(gè)

人數(shù)據(jù)被意外或非法損毀、丟失、更改或未經(jīng)同意而被公開(kāi)或訪問(wèn)。

(13)“基因數(shù)據(jù)”指的是和自然人的遺傳性或獲得性基因特征相關(guān)的個(gè)人數(shù)

據(jù)，這些數(shù)據(jù)可以提供自然人生理或健康的獨(dú)特信息，尤其是通過(guò)對(duì)自然人生

物性樣本進(jìn)行分析而可以得出的獨(dú)特信息。

(14)“生物性識(shí)別數(shù)據(jù)”指的是基于特別技術(shù)處理自然人的相關(guān)身體、生理或

行為特征而得出的個(gè)人數(shù)據(jù)，這種個(gè)人數(shù)據(jù)能夠識(shí)別或確定自然人的獨(dú)特標(biāo)

識(shí)，例如臉部形象或指紋數(shù)據(jù)。

(15)“和健康相關(guān)的數(shù)據(jù)”指的是那些和自然人的身體或精神健康相關(guān)的、顯

示其個(gè)人健康狀況信息的個(gè)人數(shù)據(jù)，包括和衛(wèi)生保健服務(wù)相關(guān)的服務(wù)。

(16)“主要營(yíng)業(yè)機(jī)構(gòu)”指的是：

(a)如果控制者在不止一個(gè)成員國(guó)內(nèi)有多處營(yíng)業(yè)機(jī)構(gòu)，那么其在歐盟的管理中心

所在地是主要營(yíng)業(yè)機(jī)構(gòu)，除非個(gè)人數(shù)據(jù)處理的目的與方式是由控制者的另一個(gè)

機(jī)構(gòu)決定的，并且這一機(jī)溝有權(quán)實(shí)施此決定，在這種情況下，做出此類決定的

機(jī)構(gòu)應(yīng)當(dāng)被認(rèn)為是主要營(yíng)業(yè)機(jī)構(gòu)；

(b)如果處理者在不止一個(gè)成員國(guó)內(nèi)具有多處機(jī)構(gòu)，那么其在歐盟的管理中心所

在地是主要營(yíng)業(yè)機(jī)構(gòu)。如果處理者在歐盟沒(méi)有管理中心，那么在處理者需要遵

守本條例所規(guī)定的特殊責(zé)任的前提下，其在歐盟的主要處理活動(dòng)發(fā)生地的機(jī)構(gòu)

應(yīng)當(dāng)被視為主要營(yíng)業(yè)機(jī)構(gòu)。

(17)“代表”指的是控制者或處理者根據(jù)第27條在歐盟書面委任，代表控制者

或處理者承擔(dān)本條例所規(guī)定的相應(yīng)責(zé)任的自然人或法人。

(18)“經(jīng)濟(jì)主體”的含義是采用任意法律形式的進(jìn)行經(jīng)濟(jì)活動(dòng)的自然人或法

人，包括經(jīng)常進(jìn)行經(jīng)濟(jì)活動(dòng)的合伙企業(yè)或協(xié)會(huì)；

(19)“企業(yè)集團(tuán)”的含義是控股企業(yè)和被控股企業(yè)；

(20)”有約束力的公司規(guī)則”指的是在某成員國(guó)內(nèi)設(shè)立的控制者或處理者，為

了在企業(yè)集團(tuán)內(nèi)部或進(jìn)行聯(lián)合經(jīng)濟(jì)活動(dòng)的經(jīng)濟(jì)主體內(nèi)部將個(gè)人數(shù)據(jù)轉(zhuǎn)移或多次

轉(zhuǎn)移給位于第三國(guó)或多個(gè)第三國(guó)的控制者或處理者，所遵循的個(gè)人數(shù)據(jù)保護(hù)政

策。

(21)“監(jiān)管機(jī)構(gòu)”指的是成員國(guó)根據(jù)第51條而設(shè)立的獨(dú)立性公共機(jī)構(gòu)。

(22)

(a)控制者或處理者是在某監(jiān)管機(jī)構(gòu)所在的成員國(guó)的境內(nèi)所設(shè)立的；

(b)數(shù)據(jù)處理對(duì)居住在某監(jiān)管機(jī)構(gòu)所在地成員國(guó)的數(shù)據(jù)主體具有實(shí)質(zhì)性影響；或

者

(c)該監(jiān)管機(jī)構(gòu)已經(jīng)收到一項(xiàng)申訴；

(23)“跨境處理''指的是：

(a)個(gè)人數(shù)據(jù)處理發(fā)生在一個(gè)控制者或處理者在多個(gè)成員國(guó)所設(shè)立的多個(gè)營(yíng)業(yè)機(jī)

構(gòu)內(nèi)；或者

(b)個(gè)人數(shù)據(jù)處理是在歐盟內(nèi)的控制者或處理者的單一營(yíng)業(yè)機(jī)構(gòu)內(nèi)進(jìn)行的，但其

對(duì)不止一國(guó)的數(shù)據(jù)主體具有實(shí)質(zhì)性影響。

(24)”相關(guān)和合理的異議”指的是對(duì)是否存在違反本條例的情形，或者某項(xiàng)和

控制者或處理者相關(guān)的初步設(shè)想是否符合本條例的異議一一已有證據(jù)表明，這

種初步設(shè)想的決定會(huì)對(duì)數(shù)據(jù)主體的基本權(quán)利和自由，以及在某些情形下對(duì)歐盟

的個(gè)人數(shù)據(jù)的自由流通會(huì)帶來(lái)風(fēng)險(xiǎn)。

(25)“信息社會(huì)服務(wù)”指的是歐洲議會(huì)和歐盟理事會(huì)的(EU)2015/1535指令在

第1(1)條(b)點(diǎn)所定義的服務(wù)。

(26)“國(guó)際組織”指的是依照國(guó)際公法、或根據(jù)兩個(gè)或多個(gè)國(guó)家協(xié)議所設(shè)立的

組織及其下屬機(jī)構(gòu)。

1.本例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論

其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。

2.本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不

在歐盟設(shè)立：

(a)為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)一一不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)

主體支付對(duì)價(jià)；或

(b)對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。

3.本條例適用于在歐盟之外設(shè)立，但基于國(guó)際公法成員國(guó)的法律對(duì)其有管轄權(quán)

的數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)處理。

第二章原則

第5條個(gè)人數(shù)據(jù)處理原則

1.對(duì)于個(gè)人數(shù)據(jù)，應(yīng)遵循下列規(guī)定：

(a)對(duì)涉及到數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，應(yīng)當(dāng)以合法的、合理的和透明的方式來(lái)進(jìn)行

處理(“合法性、合理性和透明性”)；

(b)個(gè)人數(shù)據(jù)的收集應(yīng)當(dāng)具有具體的、清晰的和正當(dāng)?shù)哪康?，?duì)個(gè)人數(shù)據(jù)的處理

不應(yīng)當(dāng)違反初始目的。根據(jù)第89(1)條，因?yàn)楣怖?、科學(xué)或歷史研究或

統(tǒng)計(jì)目的而進(jìn)一步處理數(shù)據(jù)，不視為違反初始目的(“目的限制”)；

(c)個(gè)人數(shù)據(jù)的處理應(yīng)當(dāng)是為了實(shí)現(xiàn)數(shù)據(jù)處理目的而適當(dāng)?shù)?、相關(guān)的和必要的

(“數(shù)據(jù)最小化”)；

(d)個(gè)人數(shù)據(jù)應(yīng)當(dāng)是準(zhǔn)確的，如有必要，必須及時(shí)更新；必須采取合理措施確保

不準(zhǔn)確的個(gè)人數(shù)據(jù)，即違反初始目的的個(gè)人數(shù)據(jù)，及時(shí)得到擦除或更正(”準(zhǔn)

確性”)；

(e)對(duì)于能夠識(shí)別數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，其儲(chǔ)存時(shí)間不得超過(guò)實(shí)現(xiàn)其處理目的所

必需的時(shí)間；超過(guò)此期限的數(shù)據(jù)處理只有在如下情況下才能被允許：為了實(shí)現(xiàn)

公共利益、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的，為了保障數(shù)據(jù)主體的權(quán)利和自

由，并采取了本條例第89(1)條所規(guī)定的合理技術(shù)與組織措施。(“限期儲(chǔ)

存”)；

(f)處理過(guò)程中應(yīng)確保個(gè)人數(shù)據(jù)的安全，采取合理的技術(shù)手段、組織措施，避

免數(shù)據(jù)未經(jīng)授權(quán)即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失

(“數(shù)據(jù)的完整性與保密性”)。

2.控制者有責(zé)任遵守以上第1段，并且有責(zé)任對(duì)此提供證明。(“可問(wèn)責(zé)

性”)。

第6條處理的合法性

1.只有滿足至少如下一項(xiàng)條件時(shí)，處理才是合法的，且處理的合法性只限于滿

足條件內(nèi)的處理：

(a)數(shù)據(jù)主體已經(jīng)同意基于一項(xiàng)或多項(xiàng)目的而對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理；

(b)處理對(duì)于完成某項(xiàng)數(shù)據(jù)主體所參與的契約是必要的，或者在簽訂契約前基于

數(shù)據(jù)主體的請(qǐng)求而進(jìn)行的處理；

(c)處理是控制商履行其怯定義務(wù)所必需的；

(d)處理對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的核心利益所必要的；

(e)處理是數(shù)據(jù)控制者為了公共利益或基于官方權(quán)威而履行某項(xiàng)任務(wù)而進(jìn)行的；

(f)處理對(duì)于控制者或第三方所追求的正當(dāng)利益是必要的，這不包括需要通過(guò)個(gè)

人數(shù)據(jù)保護(hù)以實(shí)現(xiàn)數(shù)據(jù)主體的優(yōu)先性利益或基本權(quán)利與自由，特別是兒童的優(yōu)

先性利益或基本權(quán)利與自由。

第1段(f)點(diǎn)不適用公共機(jī)構(gòu)在履行其任務(wù)時(shí)的處理C

2.對(duì)于第1段(c)和(e)所規(guī)定的處理，成員國(guó)可以維持或新制定更多具體

條款，以適應(yīng)本條例規(guī)則的適用，成員國(guó)為了確保合法與合理處理，可以制定

更為明確的規(guī)定，包括第9章所規(guī)定的其他特定的處理情形。

3.第1段(c)和(e)所規(guī)定的處理的基準(zhǔn)應(yīng)當(dāng)通過(guò)如下法律進(jìn)行規(guī)定：

(a)歐盟法；或者

(b)控制者所屬的成員國(guó)的法律。

處理的目的應(yīng)當(dāng)在此法律基準(zhǔn)上進(jìn)行確定，而對(duì)于第1段(e)所規(guī)定的處理，

處理的目的應(yīng)當(dāng)是控制者為了公共利益或基于官方權(quán)威而履行某項(xiàng)任務(wù)。此法

律基準(zhǔn)可以包含如下特定條款，以適應(yīng)對(duì)本條例規(guī)則的適用：對(duì)控制者處理的

合法性進(jìn)行監(jiān)控的一般條件；可以被處理的數(shù)據(jù)類型；相關(guān)數(shù)據(jù)主體；個(gè)人數(shù)

據(jù)公開(kāi)的目的，以及其可能被公開(kāi)給的對(duì)象；目的限定；儲(chǔ)存期限；包括第9

章所規(guī)定的其他特定的處理情形在內(nèi)的處理操作和處理程序。歐盟或成員國(guó)的

法律應(yīng)當(dāng)滿足公共利益的目標(biāo)，且應(yīng)當(dāng)與實(shí)現(xiàn)正當(dāng)目的成比例。

4.若處理是出于收集個(gè)人數(shù)據(jù)以外的其他目的，如果該目的未經(jīng)數(shù)據(jù)主體同意

或并非是基于聯(lián)盟或成員國(guó)的法律(在一個(gè)民主社會(huì)中，若要實(shí)現(xiàn)第23(1)

條中的目的，法律是必要且合適的)，那么為確保該目的與初始目相容，控制

商應(yīng)當(dāng)考慮以下因素，但不限于以下因素：

(a)個(gè)人數(shù)據(jù)收集時(shí)的目的與計(jì)劃進(jìn)一步處理的目的之間的所有關(guān)聯(lián)性；

(b)個(gè)人數(shù)據(jù)收集時(shí)的語(yǔ)境，特別是數(shù)據(jù)主體與控制者之間的關(guān)系；

(c)個(gè)人數(shù)據(jù)的性質(zhì)，特別是某些特定類型的個(gè)人數(shù)據(jù)是否符合第9條的規(guī)定，

或者與刑事定罪和刑事違法相關(guān)的個(gè)人數(shù)據(jù)是否符合第10條的規(guī)定；

(d)數(shù)據(jù)主體計(jì)劃進(jìn)一步處理可能造成的結(jié)果；

(e)是否具有加密與匿名化措施等恰當(dāng)保護(hù)措施；

第7條同意的條件

1.當(dāng)處理是建立在同意基礎(chǔ)上的，控制者需要能證明，數(shù)據(jù)主體已經(jīng)同意對(duì)其

個(gè)人數(shù)據(jù)進(jìn)行處理。

2.如果數(shù)據(jù)主體的同意是在涉及到其他事項(xiàng)的書面聲明的情形下作出的，請(qǐng)求

獲得同意應(yīng)當(dāng)完全區(qū)別于其他事項(xiàng)，并且應(yīng)當(dāng)以一種容易理解的形式，使用清

晰和平白的語(yǔ)言。任何違反本條例的聲明都不具有約束力。

3.數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)隨時(shí)撤回其同意。在撤回之前，對(duì)于基于同意的處理，其

合法性不受影響。在數(shù)據(jù)主體表達(dá)同意之前，數(shù)據(jù)主體應(yīng)當(dāng)被告知這點(diǎn)。撤回

同意應(yīng)當(dāng)和表達(dá)同意一樣簡(jiǎn)單。

4.分析同意是否是自由做出的，應(yīng)當(dāng)最大限度地考慮一點(diǎn)是：對(duì)契約的履行一

一包括履行條款所規(guī)定的服務(wù)一一是否要求同意履行契約所不必要的個(gè)人數(shù)據(jù)

處理。

第8條信息社會(huì)服務(wù)中適用兒童同意的條件

1.在第6(1)條(a)適用的情形下，對(duì)于為兒童直接提供信息社會(huì)服務(wù)的請(qǐng)

求，當(dāng)兒童年滿16周歲，對(duì)兒童個(gè)人數(shù)據(jù)的處理是合法的。當(dāng)兒童不滿16周

歲，只有當(dāng)對(duì)兒童具有父母監(jiān)護(hù)責(zé)任的主體同意或授權(quán)，此類處理才是合法

的。

2.對(duì)于年滿13周歲的情形，成員國(guó)的法律可以降低年齡要求。

3.控制者應(yīng)當(dāng)采取合理的努力，結(jié)合技術(shù)可行性，確保此類情形中對(duì)兒童具有

父母監(jiān)護(hù)責(zé)任的主體已經(jīng)授權(quán)或同意。

第1段不應(yīng)影響成員國(guó)的一般合同法，例如關(guān)于兒童的合同有效性、形成與效

力的規(guī)則。

第9條對(duì)特殊類型個(gè)人數(shù)據(jù)的處理

1.對(duì)于那些顯示種族或民族背景、政治觀念、宗教或哲學(xué)信仰或工會(huì)成員的個(gè)

人數(shù)據(jù)、基因數(shù)據(jù)、為了恃定識(shí)別自然人的生物性識(shí)別數(shù)據(jù)、以及和自然人健

康、個(gè)人性生活或性取向相關(guān)的數(shù)據(jù)，應(yīng)當(dāng)禁止處理。

2.如果具有如下條件之一，第1段將不適用：

(a)數(shù)據(jù)主體明確同意基于一個(gè)或多個(gè)特定目的而授權(quán)處理其個(gè)人數(shù)據(jù)，但依照

歐盟或成員國(guó)的法律規(guī)定，數(shù)據(jù)主體無(wú)權(quán)解除第1段中所規(guī)定的禁令的除外；

(b)處理對(duì)于控制者履行責(zé)任以及行使其特定權(quán)利是必要的，或者對(duì)于在雇傭、

社會(huì)安全與社會(huì)保障法領(lǐng)域采取符合歐盟或成員國(guó)法律或集體協(xié)議的措施以保

護(hù)數(shù)據(jù)主體的根本權(quán)利和利益是必要的；

(c)數(shù)據(jù)主體因?yàn)樯眢w原因或法律原因而無(wú)法表達(dá)同意，但處理對(duì)于保護(hù)數(shù)據(jù)主

體或另一自然人的核心利益卻是必要的；

(d)基金、協(xié)會(huì)或其它具有政治、哲學(xué)、宗教或工會(huì)目的的非盈利機(jī)杓的正當(dāng)性

活動(dòng)中所進(jìn)行的處理，并且已經(jīng)采取了恰當(dāng)?shù)谋Ｗo(hù)措施；或者處理目的僅僅和

機(jī)構(gòu)成員、之前成員或具有經(jīng)常聯(lián)系的人相關(guān)，并且個(gè)人數(shù)據(jù)在未經(jīng)數(shù)據(jù)主體

同意前不對(duì)實(shí)體外的人公開(kāi)；

(e)對(duì)數(shù)據(jù)主體已經(jīng)明顯公開(kāi)的相關(guān)個(gè)人數(shù)據(jù)的處理；

(f)當(dāng)處理對(duì)于提起、行使或辯護(hù)法律性主張必要時(shí)，或者法院在其所有的司法

活動(dòng)中所進(jìn)行的處理；

(g)處理對(duì)實(shí)現(xiàn)實(shí)質(zhì)性的公共利益必要的，建立在歐盟或成員國(guó)的法律基準(zhǔn)之

上、對(duì)實(shí)現(xiàn)目標(biāo)是相稱的，尊重?cái)?shù)據(jù)保護(hù)權(quán)的核心要素，并且為數(shù)據(jù)主體的基

本權(quán)利和利益提供合適和特定的保護(hù)措施；

(h)處理對(duì)于預(yù)防性醫(yī)學(xué)或臨床醫(yī)學(xué)目的是必要的，或者對(duì)于評(píng)估雇員的工作能

力、醫(yī)療診斷、提供一一基于歐盟或成員國(guó)法律，或遵循和健康職業(yè)機(jī)構(gòu)簽訂

的契約并遵循第3段所規(guī)定的情形與保障措施一一健康或社會(huì)保健或治療或管

理健康或社會(huì)保健體系是必要的；

(i)在公共健康領(lǐng)域，處理是為了實(shí)現(xiàn)公共利益所必要的，例如，在歐盟或成員

國(guó)內(nèi)已經(jīng)為保障數(shù)據(jù)主體的權(quán)利與自由而采取合適與特定措施的法律基礎(chǔ)上，

處理對(duì)于預(yù)防嚴(yán)重的跨境健康威脅是必要的，或者為了保障醫(yī)療質(zhì)量和安全、

醫(yī)療產(chǎn)品或醫(yī)療設(shè)備的高質(zhì)量和安全是必要的；或者

(j)處理對(duì)于實(shí)現(xiàn)符合第89(1)條公共利益、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的是

必要的，處理采取了與其期望目的所相稱的處理，尊重?cái)?shù)據(jù)保護(hù)權(quán)的核心要

素，并且對(duì)數(shù)據(jù)主體的基本權(quán)利與利益采取了合適與特定的措施。

3.根據(jù)歐盟或成員國(guó)的有權(quán)機(jī)構(gòu)所制定的法律或規(guī)則而具有保守職業(yè)性秘密責(zé)

任的職業(yè)主體，或者根據(jù)歐盟或成員國(guó)的有權(quán)機(jī)構(gòu)所制定的法律或規(guī)則而具有

保守秘密責(zé)任的自然人，可以為了第2段(h)點(diǎn)所規(guī)定的目的而處理第1段所

規(guī)定的個(gè)人數(shù)據(jù)。

4.對(duì)于基因數(shù)據(jù)、生物性識(shí)別數(shù)據(jù)或健康相關(guān)數(shù)據(jù)的處理，成員國(guó)可以維持原

有規(guī)定，或者作出新的規(guī)定，包括對(duì)處理基因數(shù)據(jù)、生物性識(shí)別數(shù)據(jù)或健康相

關(guān)數(shù)據(jù)進(jìn)行限定。

第10條處理涉及犯罪定罪與違法的個(gè)人數(shù)據(jù)

處理和犯罪定罪與違法相關(guān)的個(gè)人數(shù)據(jù)，或處理第6(1)條規(guī)定的與安全措施

相關(guān)的個(gè)人數(shù)據(jù)，只有如下情形才能被允許：當(dāng)個(gè)人數(shù)據(jù)處理為官方機(jī)構(gòu)控

制，或者當(dāng)歐盟或成員國(guó)的法律授權(quán)進(jìn)行處理，并且采取了恰當(dāng)?shù)拇胧┍Ｕ蠑?shù)

據(jù)主體的權(quán)利與自由。任何犯罪定罪的全面性登記只能由官方機(jī)構(gòu)進(jìn)行。

第11條不需要識(shí)別的處理

1.如果控制者處理個(gè)人數(shù)據(jù)的目的不需要或不再需要控制者對(duì)數(shù)據(jù)主體進(jìn)行識(shí)

別，控制者就不再具有為了遵循本條例而維持、獲取或處理額外信息以識(shí)別數(shù)

據(jù)主體的責(zé)任。

2.對(duì)于第1段所規(guī)定的情形，如果控制者能夠證明其不適合識(shí)別數(shù)據(jù)主體，如

有可能，數(shù)據(jù)控制者應(yīng)當(dāng)告知數(shù)據(jù)主體。在此類情形下，除非數(shù)據(jù)主體為了行

使第15至20條所規(guī)定的雙利，需要提供額外信息而使得對(duì)其識(shí)別變得可能，

第15至20條將不應(yīng)適用。

第三章數(shù)據(jù)主體的權(quán)利

第一部分透明性與模式

第12條信息、交流與模式的透明性一一保證數(shù)據(jù)主體權(quán)利的行使

1.對(duì)于和個(gè)人信息處理相關(guān)的第13和第14條規(guī)定的所有信息、或者第15條

至22條以及34條所規(guī)定的所有交流，控制者應(yīng)當(dāng)以一種簡(jiǎn)潔、透明、易懂和

容易獲取的形式，以清晰和平白的語(yǔ)言來(lái)提供；對(duì)于針對(duì)兒童的所有信息，尤

其應(yīng)當(dāng)如此。信息應(yīng)當(dāng)以書面形式或其他形式提供，包括在合適的情況下通過(guò)

電子方式提供。若數(shù)據(jù)主體的身份可通過(guò)其他途徑得到證實(shí)，那么控制者可依

主體申請(qǐng)以口頭方式提供相關(guān)信息。

2.控制者應(yīng)當(dāng)對(duì)數(shù)據(jù)主體行使第15至22條的權(quán)利而提供幫助。對(duì)于第11

(2)條所規(guī)定的情形，當(dāng)數(shù)據(jù)主體請(qǐng)求其行使第15至22條的權(quán)利，控制者不

應(yīng)拒絕，除非控制者能夠證明其并不適宜識(shí)別數(shù)據(jù)主體。

3.在數(shù)據(jù)主體根據(jù)第15至22條的規(guī)定提出請(qǐng)求后，控制者應(yīng)當(dāng)提供信息，不

應(yīng)無(wú)故拖延，在任何情形下應(yīng)當(dāng)在收到請(qǐng)求后一個(gè)月內(nèi)提供信息。在必要的情

形下，考慮到請(qǐng)求的復(fù)雜性和多樣性，這個(gè)期限可以再延長(zhǎng)兩個(gè)月。如果有此

類延長(zhǎng)，控制者應(yīng)當(dāng)在收到請(qǐng)求的一個(gè)月內(nèi)將此類延長(zhǎng)以及延長(zhǎng)原因告知數(shù)據(jù)

主體。當(dāng)數(shù)據(jù)主體以電子形式做出請(qǐng)求，在可行的情況下，對(duì)信息的提供也應(yīng)

當(dāng)以電子形式提供，除非數(shù)據(jù)主體有不同請(qǐng)求。

4.如果控制者沒(méi)有采取相應(yīng)的行動(dòng)對(duì)數(shù)據(jù)主體的請(qǐng)求做出回應(yīng)，那么應(yīng)當(dāng)及時(shí)

告知該數(shù)據(jù)主體其在收到請(qǐng)求后一個(gè)月內(nèi)未能采取行動(dòng)的具體原因，同時(shí)可向

監(jiān)管機(jī)構(gòu)提出申訴，尋求司法救濟(jì)。

5.第13和第14條所規(guī)定的信息以及第15至22條和34條所規(guī)定的所有交流

與行為都應(yīng)當(dāng)是免費(fèi)的。當(dāng)數(shù)據(jù)主體的請(qǐng)求明顯不具備正當(dāng)理由或超過(guò)必要限

度，特別是當(dāng)請(qǐng)求是重復(fù)性的時(shí)候，控制者可以：

(a)結(jié)合提供信息、交流或相應(yīng)行動(dòng)的行政花費(fèi)，收取一定的合理費(fèi)用；或者

(b)拒絕對(duì)請(qǐng)求作出行動(dòng)。

控制者有責(zé)任證明數(shù)據(jù)主體的請(qǐng)求明顯是毫無(wú)根據(jù)的或過(guò)分的。

6.在不影響第11條的前提下，控制者可以對(duì)第15至21條中提出要求的自然

人的身份有合理懷疑，要求數(shù)據(jù)主體提供必要的額外信息以確認(rèn)數(shù)據(jù)主體的身

份。

7.根據(jù)第13條和14條提供給數(shù)據(jù)主體的信息可以和標(biāo)準(zhǔn)化的圖標(biāo)一起提供，

以便于數(shù)據(jù)主體以一種一目了然的、易懂的和清晰的方式對(duì)計(jì)劃的數(shù)據(jù)處理有

全盤理解。當(dāng)圖標(biāo)以電子叱的方式提供，它們必須是機(jī)器可讀的。

8.對(duì)于確定圖標(biāo)所提供的信息以及提供標(biāo)準(zhǔn)化圖標(biāo)的程序，歐盟理事會(huì)將有權(quán)

根據(jù)第92條制定授權(quán)行動(dòng)。

第二部分信息與對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)

第13條收集數(shù)據(jù)主體個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)提供的信息

1.當(dāng)收集和數(shù)據(jù)主體相關(guān)的個(gè)人數(shù)據(jù)時(shí)，控制者應(yīng)當(dāng)為數(shù)據(jù)主體提供如下信

息：

(a)控制者的身份與詳細(xì)聯(lián)系方式，以及如果適用的話，控制者的代表；

(b)數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式，如果適用的話；

(c)處理將要涉及到的個(gè)人數(shù)據(jù)的目的，以及處理的法律基礎(chǔ)；

(d)當(dāng)處理是基于(f)點(diǎn)或第6(1)條的時(shí)候，控制者或第三方的正當(dāng)利益；

(e)個(gè)人數(shù)據(jù)的接收者或者接收者的類型，如果有的話；

(f)如果適用的話，控制者期望將數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織的事實(shí)、歐盟委

員會(huì)作出或未作出充分決定的事實(shí)，或者，在第46或47條或者第49(1)條

的第二小段所規(guī)定的轉(zhuǎn)移情形中，所采取的適當(dāng)保障措施的參考資料、獲取它

們備份的方式，或者在那里可以獲取它們。

2.除了第1段所規(guī)定的信息，控制者應(yīng)當(dāng)在獲取個(gè)人數(shù)據(jù)時(shí)為數(shù)據(jù)主體提供確

保合理與透明處理所必要的進(jìn)一步信息：

(a)個(gè)人數(shù)據(jù)將被儲(chǔ)存的期限，以及確定此期限的標(biāo)準(zhǔn)；

(b)數(shù)據(jù)主體所擁有的權(quán)利：可以要求控制者提供對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)、更正或擦

除，或者限制或反對(duì)相關(guān)處理的權(quán)利；數(shù)據(jù)攜帶權(quán)；

(c)當(dāng)處理是根據(jù)第6(1)條或第9(2)條的(a)點(diǎn)而進(jìn)行的，數(shù)據(jù)主體擁有

可以隨時(shí)撤回一一這種撤回不會(huì)影響撤回之前根據(jù)同意而進(jìn)行處理的合法性一

一同意的權(quán)利；

(d)向監(jiān)管機(jī)構(gòu)進(jìn)行申訴的權(quán)利；

(e)提供個(gè)人數(shù)據(jù)是一項(xiàng)制定法還是合同法的要求，是否對(duì)于締結(jié)一項(xiàng)契約是必

要的，數(shù)據(jù)主體是否有責(zé)任提供個(gè)人數(shù)據(jù)，以及沒(méi)有提供此類數(shù)據(jù)會(huì)造成的可

能后果。

(f)存在自動(dòng)化的決策，包括第22(1)和(4)條所規(guī)定的用戶畫像，以及在

此類情形下，對(duì)于相關(guān)邏孱、包括此類處理對(duì)于數(shù)據(jù)主體的預(yù)期后果的有效信

息。

3.若控制者進(jìn)一步處理個(gè)人信息的目的與收集個(gè)人信息的目的不一致，那么，

控制者應(yīng)當(dāng)在進(jìn)一步處理之前向數(shù)據(jù)主體提供此類目的的信息，以及提供第2

段所規(guī)定的相關(guān)進(jìn)一步信息。

4.在數(shù)據(jù)主體已經(jīng)擁有信息的情況下，第1,2,3段不應(yīng)當(dāng)適用。

第14條未獲得數(shù)據(jù)主體個(gè)人數(shù)據(jù)的情形下，應(yīng)當(dāng)提供的信息

1.當(dāng)個(gè)人數(shù)據(jù)還沒(méi)有從數(shù)據(jù)主體那里收集，控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信

息：

(a)控制者的身份與詳細(xì)聯(lián)系方式，以及如果適用的話，控制者的代表；

(b)如果適用的話，數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式；

(c)處理將要涉及到的個(gè)人數(shù)據(jù)的目的，以及處理的法律基礎(chǔ)；

(d)相關(guān)個(gè)人數(shù)據(jù)的類型；

(e)個(gè)人數(shù)據(jù)的接收者或者接收者的類型，如果有的話；

(f)如果適用的話，控制者期望將數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織、歐盟委員會(huì)作

出或未作出的充足保護(hù)的認(rèn)定，或者，在第46或47條或者第49(1)條的第

二小段所規(guī)定的轉(zhuǎn)移情形中，所采取的適當(dāng)保障措施的參考資料、獲取它們備

份的方式，或者在那里可以獲取它們。

2.除了第1段所規(guī)定的信息，控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供如下確保涉及到數(shù)據(jù)

主體的處理是合理與透明的必要信息：

(a)個(gè)人數(shù)據(jù)將被儲(chǔ)存的期限，或者如果不可能的話，用來(lái)確定此期限的標(biāo)準(zhǔn)；

(b)當(dāng)處理是根據(jù)第6(1)條(f)點(diǎn)而進(jìn)行的，控制者或第三方所追求的正當(dāng)

利益；

(c)數(shù)據(jù)主體存在如下權(quán)利，可以要求控制者提供對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)、更正或擦

除，或者限制或反對(duì)相關(guān)處理，數(shù)據(jù)攜帶權(quán)；

(d)當(dāng)處理是根據(jù)第6(1)條或第9(2)條的(a)點(diǎn)而進(jìn)行的，數(shù)據(jù)主體擁有

可以隨時(shí)撤回一一這種撤回不會(huì)影響撤回之前根據(jù)同意而進(jìn)行處理的合法性一

一同意的權(quán)利；

(e)向監(jiān)管機(jī)構(gòu)進(jìn)行申訴的權(quán)利；

(f)個(gè)人數(shù)據(jù)的來(lái)源，以及如果適用的話，其來(lái)源是否可以是公開(kāi)性的資源；

(g)存在自動(dòng)化的決策，包括第22(1)和(4)條所規(guī)定的用戶畫像，以及在

此類情形下，對(duì)于相關(guān)邏輯、包括此類處理對(duì)于數(shù)據(jù)主體的預(yù)期后果的有效信

3.控制者應(yīng)當(dāng)按如下方式提供第1段和第2段所規(guī)定的信息：

(a)應(yīng)當(dāng)在獲得個(gè)人數(shù)據(jù)后的一段合理期限內(nèi)提供信息，如果考慮到個(gè)人數(shù)據(jù)處

理的特定情形，應(yīng)當(dāng)至少在一個(gè)月以內(nèi)；

(b)如果個(gè)人數(shù)據(jù)是被用來(lái)和數(shù)據(jù)主體進(jìn)行溝通的，最晚應(yīng)當(dāng)在其和數(shù)據(jù)主體進(jìn)

行第一次溝通時(shí)提供信息；

(c)如果個(gè)人數(shù)據(jù)將被計(jì)劃披露給另一個(gè)接收者，那么最晚應(yīng)當(dāng)在個(gè)人數(shù)據(jù)被第

一次披露時(shí)提供信息。

4.當(dāng)控制者因?yàn)榕c收集個(gè)人信息時(shí)不一致的目的進(jìn)一步處理個(gè)人信息，控制者

應(yīng)當(dāng)在進(jìn)一步處理之前向數(shù)據(jù)主體提供此類目的的信息，以及提供第2段所規(guī)

定的相關(guān)進(jìn)一步信息。

5.在如下情形中，第1至4段不適用：

(a)數(shù)據(jù)主體已經(jīng)擁有信息；

(b)此類信息的提供是不可能的，或者說(shuō)需要付出某種不相稱的工作，在如下情

形中尤其不適用：為了實(shí)現(xiàn)公共利益、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的，為了

保障數(shù)據(jù)主體的權(quán)利和自由，并采取了本條例第89(1)條所規(guī)定的合理技術(shù)

與組織措施；或者本條第1段所規(guī)定的責(zé)任會(huì)嚴(yán)重妨礙實(shí)現(xiàn)處理的目標(biāo)。在此

類情形中，控制者應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧┍Ｗo(hù)數(shù)據(jù)主體的權(quán)利與自由與正當(dāng)利

益，包括使得信息可以公開(kāi)獲取；

(c)歐盟或成員國(guó)為控制者特別制定了獲取或公開(kāi)信息的法律，并且已經(jīng)對(duì)保護(hù)

數(shù)據(jù)主體的正當(dāng)利益制定了恰當(dāng)?shù)拇胧?/p>

(d)當(dāng)個(gè)人數(shù)據(jù)必須保密，必須遵守歐盟或成員國(guó)法律所規(guī)定的職業(yè)秘密責(zé)任，

包括制定法上的保守秘密責(zé)任。

第15條數(shù)據(jù)主體的訪問(wèn)權(quán)

1.數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從控制者那里得知，關(guān)于其的個(gè)人數(shù)據(jù)是否正在被處理，

如果正在被處理的話，其應(yīng)當(dāng)有權(quán)訪問(wèn)個(gè)人數(shù)據(jù)和獲知如下信息：

(a)處理的目的；

(b)相關(guān)個(gè)人數(shù)據(jù)的類型；

(c)個(gè)人數(shù)據(jù)已經(jīng)被或?qū)⒈慌督o接收者或接收者的類型，特別是當(dāng)接收者屬于

第三國(guó)或國(guó)際組織時(shí)；

(d)在可能的情形下，個(gè)人數(shù)據(jù)將被儲(chǔ)存的預(yù)期期限，或者如果不可能的話，確

定此期限的標(biāo)準(zhǔn)；

(e)數(shù)據(jù)主體要求控制者糾正或擦除個(gè)人數(shù)據(jù)、限制或反對(duì)對(duì)數(shù)據(jù)主體相關(guān)的個(gè)

人數(shù)據(jù)進(jìn)行處理的權(quán)利；

(f)向監(jiān)管機(jī)構(gòu)進(jìn)行申訴的權(quán)利；

(g)當(dāng)個(gè)人數(shù)據(jù)不是從數(shù)捱主體那里收集的，關(guān)于來(lái)源的任何信息；

(h)存在自動(dòng)化的決策，包括第22(1)和(4)條所規(guī)定的數(shù)據(jù)分析，以及在

此類情形下，對(duì)于相關(guān)邏輯、包括此類處理對(duì)于數(shù)據(jù)主體的預(yù)期后果的有效信

息。

2.當(dāng)個(gè)人數(shù)據(jù)被轉(zhuǎn)移到第三國(guó)或一個(gè)國(guó)際組織，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)獲知和轉(zhuǎn)移

相關(guān)的符合第46條的恰當(dāng)?shù)谋Ｕ洗胧?/p>

3.控制者應(yīng)當(dāng)對(duì)進(jìn)行處理的個(gè)人數(shù)據(jù)提供一份備份。對(duì)于任何數(shù)據(jù)主體所要求

的額外備份，控制者可以艱據(jù)管理花費(fèi)而收取合理的費(fèi)用。當(dāng)數(shù)據(jù)主體通過(guò)電

子方式而請(qǐng)求，且除非數(shù)據(jù)主體有其他請(qǐng)求，信息應(yīng)當(dāng)以通常使用的電子形式

提供。

4.獲取第三段中所規(guī)定的備份的權(quán)利不應(yīng)當(dāng)對(duì)他人的權(quán)利與自由產(chǎn)生負(fù)面影

響。

第三部分更正與擦除

第16條更正權(quán)

數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從空制者那里及時(shí)得知對(duì)與其相關(guān)的不正確信息的更

正。在考慮處理目的的前提下，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)完善不充分的個(gè)人數(shù)據(jù)，包

括通過(guò)提供額外聲明的方式來(lái)進(jìn)行完善。

第17條擦除權(quán)(“被遺忘權(quán)”)

1.數(shù)據(jù)主體有權(quán)要求控制者擦除關(guān)于其個(gè)人數(shù)據(jù)的權(quán)利，當(dāng)具有如下情形之一

時(shí)，控制者有責(zé)任及時(shí)擦除個(gè)人數(shù)據(jù)：

(a)個(gè)人數(shù)據(jù)對(duì)于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再必要：

(b)處理是根據(jù)第6(1)條(a)點(diǎn)，或者第9(2)條(a)點(diǎn)而進(jìn)行的，并且

沒(méi)有處理的其他法律根據(jù)，數(shù)據(jù)主體撤回在此類處理中的同意；

(c)數(shù)據(jù)主體反對(duì)根據(jù)第21(1)條進(jìn)行的處理，并且沒(méi)有壓倒性的正當(dāng)理由可

以進(jìn)行處理，或者數(shù)據(jù)主體反對(duì)根據(jù)第21(2)條進(jìn)行的處理；

(d)已經(jīng)存在非法的個(gè)人數(shù)據(jù)處理；

(e)為了履行歐盟或成員區(qū)法律為控制者所設(shè)定的法律責(zé)任，個(gè)人數(shù)據(jù)需要被擦

除；

(f)已經(jīng)收集了第8(1)條所規(guī)定的和提供信息社會(huì)服務(wù)相關(guān)的個(gè)人人數(shù)據(jù)。

2.當(dāng)控制者已經(jīng)公開(kāi)個(gè)人數(shù)據(jù)，并且負(fù)有第1段所規(guī)定的擦除個(gè)人數(shù)據(jù)的責(zé)

任，控制者應(yīng)當(dāng)考慮可行技術(shù)與執(zhí)行成本，采取包括技術(shù)措施在內(nèi)的合理措施

告知正在處理個(gè)人數(shù)據(jù)的控制者們，數(shù)據(jù)主體已經(jīng)要求他們擦除那些和個(gè)人數(shù)

據(jù)相關(guān)的鏈接、備份或復(fù)制。

3.當(dāng)處理對(duì)于如下目的是必要的，第1和第2段將不適用：

(a)為了行使表達(dá)自由和信息自由的權(quán)利；

(b)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項(xiàng)任務(wù)，或者基于被授予的官方

權(quán)威而履行某項(xiàng)任務(wù)，歐盟或成員國(guó)的法律要求進(jìn)行處理，以便履行其法律職

責(zé)；

(C)為了實(shí)現(xiàn)公共健康領(lǐng)域符合第9(2)條(h)和(i)點(diǎn)以及第9(3)條的

公共利益而進(jìn)行的處理；

(d)如果第1段所提到權(quán)利會(huì)受嚴(yán)重影響，或者會(huì)徹底阻礙實(shí)現(xiàn)第89(1)條的公

共利益目的、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的；或者

(e)為了提起、行使或辯護(hù)法律性主張。

第18條限制處理權(quán)

1.當(dāng)存在如下情形之一時(shí)，數(shù)據(jù)主體有權(quán)要求控制者對(duì)處理進(jìn)行限制：

(a)數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性市爭(zhēng)議，并給與控制者以一定的期限以核實(shí)個(gè)

人數(shù)據(jù)的準(zhǔn)確性；

(b)處理是非法的，并且數(shù)據(jù)主體反對(duì)擦除個(gè)人數(shù)據(jù)，要求對(duì)使用其個(gè)人數(shù)據(jù)進(jìn)

行限制；

(c)控制者不再需要個(gè)人數(shù)據(jù)以實(shí)現(xiàn)其處理的目的，但數(shù)據(jù)主體為了提起、行使

或辯護(hù)法律性主張而需要該個(gè)人數(shù)據(jù)；

(d)數(shù)據(jù)主體根據(jù)第21(1)條的規(guī)定而反對(duì)處理，因其需要確定控制者的正當(dāng)

理由是否優(yōu)先于數(shù)據(jù)主體的正當(dāng)理由。

2.當(dāng)處理受第1段的規(guī)定所限制，除了儲(chǔ)存的情形，此類個(gè)人數(shù)據(jù)只有在如下

情形中才能進(jìn)行處理：獲取了數(shù)據(jù)主體的同意，或者為了提起、行使或辯護(hù)法

律性主張，或者為了保護(hù)另一個(gè)自然人或法人的權(quán)利，或者為了歐盟或某個(gè)成

員國(guó)的重要公共利益。

3.那些根據(jù)第1段規(guī)定已經(jīng)獲取了對(duì)處理進(jìn)行限制的數(shù)據(jù)主體，在限制被解除

前，控制者應(yīng)當(dāng)告知數(shù)據(jù)主體。

第19條關(guān)于更正或擦除或限制處理中的通知責(zé)任

對(duì)于所有根據(jù)第16、17(1)、18條而限制或擦除個(gè)人數(shù)據(jù)，或限制處理個(gè)人

數(shù)據(jù)，控制者都應(yīng)當(dāng)將其告知個(gè)人數(shù)據(jù)已經(jīng)被披露給的每個(gè)接收者一一除非此

類告知是不可能的，或者需要付出不相稱的工作。如果數(shù)據(jù)主體提出要求，控

制者應(yīng)當(dāng)將關(guān)于接收者的情形告知數(shù)據(jù)主體。

第20條數(shù)據(jù)攜帶權(quán)

1.當(dāng)存在如下情形時(shí)，數(shù)據(jù)主體有權(quán)獲得其提供給控制者的相關(guān)個(gè)人數(shù)據(jù)，且

其獲得個(gè)人數(shù)據(jù)應(yīng)當(dāng)是經(jīng)過(guò)整理的、普遍使用的和機(jī)器可讀的，數(shù)據(jù)主體有權(quán)

無(wú)障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給給另一個(gè)控制者：

(a)處理是建立在第6(1)條(a)點(diǎn)或9(2)條(a)點(diǎn)所規(guī)定的同意，或者

6(1)條所規(guī)定的合同的基礎(chǔ)上的；

(b)處理是通過(guò)自動(dòng)化方式的。

2.在行使第1段所規(guī)定的攜帶權(quán)時(shí)，如果技術(shù)可行，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)將個(gè)人

數(shù)據(jù)直接從一個(gè)控制者傳榆到另一個(gè)控制者。

3.行使第1段所規(guī)定的權(quán)利，不能影響第17條的規(guī)定。對(duì)于控制者為了公共

利益，或者為了行使其被授權(quán)的官方權(quán)威而進(jìn)行的必要處理，這種權(quán)利不適

用。

4.第1段所規(guī)定的權(quán)利不能對(duì)他人的權(quán)利或自由產(chǎn)生負(fù)面影響。

第四部分反對(duì)的權(quán)利和自動(dòng)化的個(gè)人決策

第21條反對(duì)權(quán)

1.對(duì)于根據(jù)第6(1)條(e)或(f)點(diǎn)而進(jìn)行的關(guān)乎數(shù)據(jù)主體的數(shù)據(jù)處理，

包括根據(jù)這些條款而進(jìn)行的用戶畫像，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)隨時(shí)反對(duì)。此時(shí)，控

制者須立即停止針對(duì)這部分個(gè)人數(shù)據(jù)的處理行為，除非控制者證明，相比數(shù)據(jù)

主體的利益、權(quán)利和自由，具有壓倒性的正當(dāng)理由需要進(jìn)行處理，或者處理是

為了提起、行使或辯護(hù)法律性主張。

2.當(dāng)因?yàn)橹苯訝I(yíng)銷目的而處理個(gè)人數(shù)據(jù)，數(shù)據(jù)主體有權(quán)隨時(shí)反對(duì)為了此類營(yíng)銷

而處理相關(guān)個(gè)人數(shù)據(jù)，包后反對(duì)和此類直接營(yíng)銷相關(guān)的用戶畫像。

3.當(dāng)數(shù)據(jù)主體反對(duì)為了直接營(yíng)銷目的而處理，將不能為了此類目的而處理個(gè)人

數(shù)據(jù)。

4.至晚在和數(shù)據(jù)主體所進(jìn)行的第一次溝通中，第1段知第2段所規(guī)定的權(quán)利應(yīng)

當(dāng)讓數(shù)據(jù)主體明確知曉，且應(yīng)當(dāng)與其他信息區(qū)分開(kāi)來(lái)，清晰地告知數(shù)據(jù)主體。

5.在適用信息社會(huì)服務(wù)的語(yǔ)境中，盡管存在2002/58/EC指令的規(guī)定，數(shù)據(jù)主

體仍可以使用技術(shù)性條件、通過(guò)自動(dòng)化方式行使反對(duì)權(quán)。

6.當(dāng)個(gè)人數(shù)據(jù)是為了第89(1)條所規(guī)定的科學(xué)目的或歷史研究目的或統(tǒng)計(jì)目

的，數(shù)據(jù)主體基于其特定情形應(yīng)當(dāng)有權(quán)反對(duì)對(duì)關(guān)乎其的個(gè)人數(shù)據(jù)進(jìn)行處理，除

非處理對(duì)于實(shí)現(xiàn)公共利益的某項(xiàng)任務(wù)是必要的。

第22條自動(dòng)化的個(gè)人決策，包括用戶畫像

1.數(shù)據(jù)主體有權(quán)反對(duì)此類決策：完全依靠自動(dòng)化處理一一包括用戶畫像一一對(duì)

對(duì)數(shù)據(jù)主體做出具有法律影響或類似嚴(yán)重影響的決策。

2.當(dāng)決策存在如下情形時(shí)，第1段不適用：

(a)當(dāng)決策對(duì)于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的；

(b)當(dāng)決策是歐盟或成員匡的法律所授權(quán)的，控制者是決策的主體，并且已經(jīng)制

定了恰當(dāng)?shù)拇胧┍ＷC數(shù)據(jù)主體的權(quán)利、自由與正當(dāng)利益；或者

(c)當(dāng)決策建立在數(shù)據(jù)主體的明確同意基礎(chǔ)之上。

3.在第2段所規(guī)定的(a)和(c)點(diǎn)的情形中，數(shù)據(jù)控制者應(yīng)當(dāng)采取適當(dāng)措施

保障數(shù)據(jù)主體的權(quán)利、自由、正當(dāng)利益，以及數(shù)據(jù)主體對(duì)控制者進(jìn)行人工干

涉，以便表達(dá)其觀點(diǎn)和對(duì)決策進(jìn)行異議的基本權(quán)利。

4.第2段所規(guī)定的決策的基礎(chǔ)不適用于第9(1)條所規(guī)定的特定類型的個(gè)人

數(shù)據(jù)，除非符合第9(2)條(a)點(diǎn)或(g)點(diǎn)的規(guī)定，并且已經(jīng)采取了保護(hù)數(shù)

據(jù)主體權(quán)利、自由與正當(dāng)利益的措施。

第五部分限制

第23條限制

1.若控制者或處理者受歐盟法律或某成員國(guó)法律的調(diào)整，那么歐盟法律或該成

員國(guó)法律可以通過(guò)立法手段限制第12至22條、34條以及第5條所賦予的責(zé)任

范圍與權(quán)利范圍，只要其法律條款和第12至22條所賦予的責(zé)任與權(quán)利相對(duì)

應(yīng)。如果此類限制尊重基本權(quán)利與自由的核心要素，并且此類限制是實(shí)現(xiàn)如下

民主社會(huì)中的目的所必要和成比例的措施，那么此類限制應(yīng)當(dāng)被允許：

(a)國(guó)家安全；

(b)國(guó)防；

(c)公共安全；

(d)預(yù)防、調(diào)查、偵查、起訴刑事違法進(jìn)行或者執(zhí)行刑法，包括保障公共安全和

預(yù)防對(duì)公共安全的威脅；

(e)其他些歐盟或某個(gè)成員國(guó)的重要一般公共利益，特別是歐盟或某個(gè)成員國(guó)的

經(jīng)濟(jì)或金融利益，包括財(cái)政、預(yù)算、稅收事項(xiàng)、公共健康和社會(huì)安全；

(f)司法獨(dú)立和司法訴訟的保護(hù)；

(g)為了規(guī)制性職業(yè)而預(yù)防、調(diào)查、保護(hù)和起訴違反倫理的行為；

(h)和行使(a)(b)(c)(d)(e)(g)點(diǎn)中所規(guī)定的官方權(quán)威相聯(lián)系的某

項(xiàng)監(jiān)控、調(diào)查或規(guī)制功能；

(i)保護(hù)數(shù)據(jù)主體或其他人的權(quán)利和自由；

(j)實(shí)施民事法律主張。

2.需要特別注意的是，至少在涉及到如下情形時(shí)，任何第1段所規(guī)定的立法措

施都應(yīng)當(dāng)包含特定條款，規(guī)定：

(a)處理的目的或處理的類型；

(b)個(gè)人數(shù)據(jù)的類型；

(c)施加限制的范圍；

(d)防止濫用或非法性訪恒或轉(zhuǎn)移的措施；

(e)控制者的具體情況或控制者類型的具體情況；

(f)在考慮了處理的性質(zhì)、范圍和目的或處理類型之后所制定的儲(chǔ)存期限和可適

用的保障措施；

(g)數(shù)據(jù)主體的權(quán)利和自由所面臨的風(fēng)險(xiǎn)；以及

(h)數(shù)據(jù)主體獲知限制的權(quán)利，除非這種權(quán)利可能影響實(shí)現(xiàn)限制的目的。

第四章控制者和處理者

第一部分一般性責(zé)任

第