歐盟通用數(shù)據(jù)保護(hù)法規(guī)解析

劉雨晨?謝宗曉

摘要：論文分析了GDPR中重要的詞匯，個(gè)人數(shù)據(jù)和處理；介紹了GDPR的主要內(nèi)容；給出了遵守GDPR的實(shí)施步驟指南。

關(guān)鍵詞： 數(shù)據(jù)安全 個(gè)人信息保護(hù) GDPR

Analysis of EU General Data Protection Regulation

Liu Yuchen ， Xie Zongxiao

（ China Financial Certification Authority ）

Abstract： This paper analyzes the important vocabulary， personal data and processing in GDPR， and introduces the main content of GDPR， and gives a guide to the implementation steps of compliance with GDPR.

Key words： data security， personal information security， GDPR

歐盟通用數(shù)據(jù)保護(hù)法規(guī)（EU General Data Protection Regulation，下文中簡(jiǎn)稱GDRP）在2018年5月25日正式實(shí)施。事實(shí)上，該法令在2016年4月27日就已經(jīng)通過，用以替代現(xiàn)行的Directive 95/46 / EC1），GDRP被認(rèn)為是歐盟在隱私保護(hù)方面近20年來的最重要的變革之一。

1 個(gè)人數(shù)據(jù)

從正文來看，GDRP討論的是個(gè)人數(shù)據(jù)（personal data）保護(hù)問題，在條款4 定義中，一共定義了26個(gè)詞匯，其中第一個(gè)就是personal data，但是并沒有g(shù)eneral data定義，可見，general一詞可能不是用來修飾data的，盡量不要將其翻譯為“一般數(shù)據(jù)”。

個(gè)人數(shù)據(jù)是與特定的或可識(shí)別的自然人相關(guān)的任何信息。

可識(shí)別的自然人是指可以被直接或間接識(shí)別，尤其是通過姓名、身份證號(hào)、位置數(shù)據(jù)、在線標(biāo)識(shí)符，或者一項(xiàng)或多項(xiàng)該自然人的身體、生理、遺傳、精神、經(jīng)濟(jì)、文化或社會(huì)身份有關(guān)的因素來標(biāo)識(shí)。

這個(gè)定義與GB/T 35273—2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》基本是一致的。個(gè)人數(shù)據(jù)的示例如表1。

2 處理

處理（process）是GDPR中的一個(gè)重要的概念，覆蓋了針對(duì)個(gè)人數(shù)據(jù)的各類操作，例如，收集、記錄、組織、建構(gòu)、存儲(chǔ)、適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或以其他方式應(yīng)用，排列或組合、限制、抹除或銷毀等。用于數(shù)據(jù)處理的技術(shù)是中性的，可以是手工的，也可以是自動(dòng)的。

數(shù)據(jù)處理的示例如表2。

3 主要內(nèi)容

3.1 法律文書的變化

《通用數(shù)據(jù)保護(hù)法規(guī)》的前身為《數(shù)據(jù)保護(hù)指令》，出臺(tái)于1995年。20世紀(jì)90年代個(gè)人數(shù)據(jù)的跨境傳輸還未成為常態(tài)，信息系統(tǒng)的架構(gòu)和規(guī)模也無法和今天相提并論。

歐盟指令為Directive，指令是一種應(yīng)用較為寬泛的法律形式，頒布后對(duì)歐共體的公民并不具有直接的約束力，一般會(huì)給與成員國一定的期限，成員方自行以國家法律法規(guī)的形式將歐盟指令落實(shí)到其本國法律體系。歐盟法規(guī)為Regulation，發(fā)布后一段時(shí)期內(nèi)直接對(duì)歐盟全體公民生效，不需要?dú)W盟成員國通過國內(nèi)法再進(jìn)行轉(zhuǎn)化，直接在所有成員國統(tǒng)一生效落地，從而解決成員國之間因?qū)Α稊?shù)據(jù)保護(hù)指令》解讀不同、法律和文化體系不同而造成歐盟各國在制定和實(shí)施數(shù)據(jù)保護(hù)法律時(shí)存在差異的問題。

在通用數(shù)據(jù)保護(hù)法規(guī)的立法過程中，一些代表團(tuán)曾表示他們更傾向于采取指令的形式而不是法規(guī)，因?yàn)樵谛枰臅r(shí)候可以提供更大的靈活性。但更多的代表團(tuán)則傾向于按照委員會(huì)的建議選擇法規(guī)。

3.2 法律適用范圍增大

《法規(guī)》不僅是對(duì)《指令》的提升，更是對(duì)《指令》適用范圍的全面增加。GDPR不僅適用于處理歐盟居民個(gè)人數(shù)據(jù)的歐盟組織，也同樣適用于不在歐盟的組織。正如第三條所述，它“適用于處理非聯(lián)盟內(nèi)設(shè)立的控制人或處理人在聯(lián)盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)”。GPDR適用范圍不僅采取了屬地化管理，還采取了“屬人化”管理。成立地點(diǎn)位于歐盟境內(nèi)的機(jī)構(gòu)，必然需要遵守GDPR。而對(duì)成立于歐盟之外的機(jī)構(gòu)，只要在其提供的產(chǎn)品或者服務(wù)的過程中（不論是否發(fā)生實(shí)際交易）處理了歐盟境內(nèi)公民的個(gè)人數(shù)據(jù)，則同樣需要遵守GPDR。

3.3 觸犯法規(guī)將導(dǎo)致高額罰金

企業(yè)若在指定日期2018年5月25日之前不能達(dá)到GDPR的規(guī)定，則將面臨高額罰金。罰金分為兩檔：（1）處以一千萬歐元或者上一年度全年收入的2%，兩者取其高者；針對(duì)的違法行為主要包括作為數(shù)據(jù)控制者和處理者沒有實(shí)施充分的IT技術(shù)措施和保障措施、沒有提供完備的隱私政策、沒有簽署數(shù)據(jù)處理合同等；（2）處以兩千萬歐元或者上一年度全年收入的4%，兩者取其高者；針對(duì)的違法行為主要包括無法證明如何征得客戶的同意，侵犯數(shù)據(jù)主體的權(quán)利、個(gè)人數(shù)據(jù)轉(zhuǎn)移過程不合規(guī)、拒不服從監(jiān)管機(jī)構(gòu)的警告等。

3.4 個(gè)人數(shù)據(jù)的收集限制

GDPR對(duì)個(gè)人數(shù)據(jù)的定義進(jìn)行了延展，在傳統(tǒng)的個(gè)人可識(shí)別信息如姓名、地址和身份證號(hào)碼等要素之外，還納入了位置信息、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽、政治傾向、性取向等其他要素。其中兒童屬于特殊人群，只有得到監(jiān)護(hù)人的授權(quán)之后才能進(jìn)行處理。GDPR中還強(qiáng)調(diào)了特殊的個(gè)人數(shù)據(jù)，包括所屬種族或民族、政治傾向、宗教或哲學(xué)信仰、工會(huì)成員資格、自然人的生物識(shí)別數(shù)據(jù)、醫(yī)療健康數(shù)據(jù)、性取向等，原則上均為禁止處理。

當(dāng)然在某些情況下其中有些數(shù)據(jù)還是能夠進(jìn)行收集處理，例如協(xié)會(huì)可以對(duì)其成員的宗教信仰、會(huì)員資格進(jìn)行處理，前提是采取充分的保護(hù)措施。

3.5 刪除權(quán)

數(shù)據(jù)主體可以要求刪除組織持有其的任何個(gè)人數(shù)據(jù)。GDPR要求用戶可以在軟件或者Web應(yīng)用上面進(jìn)行配置，通常應(yīng)該提供一種方法能讓客戶刪除他們的個(gè)人數(shù)據(jù)。盡管在許多系統(tǒng)中，在刪除數(shù)據(jù)時(shí)并不實(shí)際刪除數(shù)據(jù)。但是這符合牛津詞典中動(dòng)詞“刪除”的定義：“Remove or obliterate（written or printed matter），especially by drawing a line through it.”這意味著需要一個(gè)簡(jiǎn)單處理功能，能夠全面刪除當(dāng)前用戶上傳的所有數(shù)據(jù)，包括數(shù)據(jù)庫、文件存儲(chǔ)、搜索引擎、CDN、CDN的分布式鏡像以及任何緩存中。

如果客戶被標(biāo)記在別人的分享內(nèi)容中也同樣需要進(jìn)行上述刪除操作。從自身信息系統(tǒng)中刪除東西是一回事，但同時(shí)也有義務(wù)通知第三方去刪除這些數(shù)據(jù)。因此，如果組織所保存的個(gè)人數(shù)據(jù)被轉(zhuǎn)載、分享或已將個(gè)人數(shù)據(jù)發(fā)送給任何云服務(wù)提供商，則應(yīng)調(diào)用允許刪除個(gè)人數(shù)據(jù)的API。如果組織作為后者，“忘記我”功能應(yīng)該能夠被操作。最后還必須確保個(gè)人數(shù)據(jù)不會(huì)出現(xiàn)在搜索引擎的搜索結(jié)果中。

3.6 個(gè)人數(shù)據(jù)泄露通知

與對(duì)數(shù)據(jù)泄露問題保持沉默的指令不同，GDPR包含“個(gè)人數(shù)據(jù)泄露”的定義，以及對(duì)監(jiān)管機(jī)構(gòu)和受影響數(shù)據(jù)主體的通知要求。根據(jù)GDPR的定義，“個(gè)人數(shù)據(jù)泄露”是“指由于違反安全政策而導(dǎo)致傳輸、儲(chǔ)存、處理中的個(gè)人數(shù)據(jù)被意外或非法損毀、丟失、更改或未經(jīng)同意而被公開或訪問”，發(fā)生個(gè)人數(shù)據(jù)泄露事件后，需要在72小時(shí)之內(nèi)通知監(jiān)管機(jī)構(gòu)并及時(shí)通知到數(shù)據(jù)主體。顯然，只有當(dāng)組織察覺到系統(tǒng)已經(jīng)被攻破時(shí)，才能進(jìn)行相應(yīng)通知，所以這里需要依靠入侵檢測(cè)及各種監(jiān)控機(jī)制。

第三十三條第一款包含了通知監(jiān)管機(jī)構(gòu)要求的一個(gè)重要例外：如果“個(gè)人數(shù)據(jù)泄露對(duì)于自然人的權(quán)利與自由不可能會(huì)帶來風(fēng)險(xiǎn)”，則不需要通知，這一措辭會(huì)給數(shù)據(jù)保護(hù)官（DPO）和組織法務(wù)人員提供一個(gè)辯解通知必要性的機(jī)會(huì)。同樣GDPR也定義了通知數(shù)據(jù)主體的例外情況：1）控制者已“實(shí)施了適當(dāng)?shù)募夹g(shù)和組織保護(hù)措施”，“使數(shù)據(jù)無法被任何未授權(quán)訪問的人理解，例如對(duì)個(gè)人數(shù)據(jù)進(jìn)行加密；2）控制者在個(gè)人數(shù)據(jù)泄露事件后采取行動(dòng)以“確保數(shù)據(jù)主體的權(quán)利和自由的高風(fēng)險(xiǎn)”不可能實(shí)現(xiàn)； 或者3）向每個(gè)數(shù)據(jù)主體發(fā)出通知時(shí)“涉及不成比例的努力”，在這種情況下可以使用具有相同效果的替代通知措施。

4 實(shí)施步驟

4.1 建立意識(shí)

首先應(yīng)當(dāng)確保組織中的決策者和關(guān)鍵角色意識(shí)到GDPR正在生效，他們需要認(rèn)識(shí)到可能產(chǎn)生的影響，并查明在“GDPR”下可能引起合規(guī)問題的分布區(qū)域。如果組織正在持續(xù)維護(hù)風(fēng)險(xiǎn)登記冊(cè)，可以先從中獲取相關(guān)的信息。實(shí)施GDPR可能會(huì)帶來重大的資源影響，特別是對(duì)于規(guī)模更大、更復(fù)雜的組織而言，而調(diào)動(dòng)這些資源同樣需要決策者的支持。

4.2 檢查組織所收集和處理的個(gè)人數(shù)據(jù)，它們基于何種目的或基于哪些法律條款

根據(jù)GDPR，組織必須能夠解釋屬于每個(gè)人的所有數(shù)據(jù)。組織應(yīng)當(dāng)記錄所持有的個(gè)人數(shù)據(jù)，這些數(shù)據(jù)來自哪里，以及與誰共享。傳統(tǒng)的數(shù)據(jù)發(fā)現(xiàn)技術(shù)無助于找到個(gè)人數(shù)據(jù)，因?yàn)樗皇菫榇嗽O(shè)計(jì)的。為避免遺漏個(gè)人數(shù)據(jù)，可在整個(gè)組織或特定業(yè)務(wù)領(lǐng)域組織一次專項(xiàng)審計(jì)。

組織所收集、處理的個(gè)人數(shù)據(jù)最有可能來自于員工以及客戶。對(duì)于員工個(gè)人數(shù)據(jù)，組織通常會(huì)基于勞動(dòng)合同以及法律條款去處理，如將員工個(gè)人數(shù)據(jù)提供給稅務(wù)部門、人力資源和社會(huì)保障局、住房公積金管理中心等機(jī)關(guān)單位。

而對(duì)于篩選過或已分組的客戶數(shù)據(jù)，組織通常會(huì)將其錄入進(jìn)CRM系統(tǒng)進(jìn)行維護(hù)，當(dāng)征得客戶的同意后，組織會(huì)將定制的優(yōu)惠信息或廣告發(fā)送給他們。在某些情況下并不是每次都需要得到個(gè)體的同意，很多時(shí)候客戶會(huì)希望他們的個(gè)人數(shù)據(jù)得到處理。例如一個(gè)網(wǎng)上商城可以處理收貨地址去投送一個(gè)客戶所關(guān)注新產(chǎn)品的廣告，這被稱為合法利益。但與此同時(shí)，組織必須告知這些選定的客戶其個(gè)人數(shù)據(jù)的預(yù)期用途以及相應(yīng)的退出機(jī)制。

針對(duì)一份未分類的供應(yīng)商或顧客清單，應(yīng)基于與他們所簽署的合同進(jìn)行個(gè)人數(shù)據(jù)處理，這里的合同不一定是紙質(zhì)合同。

4.3 及時(shí)通知被收集個(gè)人數(shù)據(jù)的客戶、員工以及其他個(gè)體，并得到他們的同意

每個(gè)個(gè)體都必須知道處理其個(gè)人數(shù)據(jù)的目的所在，比如使用客戶的郵箱作為用戶名及認(rèn)證郵箱，并在通知客戶之后開始處理其數(shù)據(jù)，這通常是通過清晰易懂的隱私通知來完成的。首先應(yīng)該審查當(dāng)前的隱私通知是否符合GDPR的要求，及時(shí)為實(shí)施GDPR做必要的修改，例如在通知中默認(rèn)勾選同意復(fù)選框已經(jīng)不再符合要求，同意必須是基于自由的選擇、條款必須是具體的。同時(shí)，隱私通知還需要包含一些其他內(nèi)容，例如需要解釋處理數(shù)據(jù)的合法依據(jù)、數(shù)據(jù)保留期等。

但是，當(dāng)個(gè)體已經(jīng)知曉個(gè)人數(shù)據(jù)如何被使用的情況時(shí)，就無需通知他們。例如，當(dāng)客戶在網(wǎng)上商城下了訂單，在訂單中錄入個(gè)人的收貨地址要求送貨時(shí)。

當(dāng)客戶對(duì)組織存儲(chǔ)了哪些個(gè)人數(shù)據(jù)提出請(qǐng)求時(shí)，組織必須隨時(shí)告知并允許他們?cè)L問其個(gè)人數(shù)據(jù)。保持組織所收集的個(gè)人數(shù)據(jù)井井有條，例如當(dāng)員工需要某類被收集的個(gè)人數(shù)據(jù)時(shí)，組織應(yīng)該便利地提供而不必經(jīng)過繁瑣的流程。

4.4 關(guān)注兒童個(gè)人數(shù)據(jù)

根據(jù)涉及個(gè)人數(shù)據(jù)的范圍，應(yīng)該開始考慮是否需要增加系統(tǒng)功能來驗(yàn)證個(gè)人的年齡，以便在處理數(shù)據(jù)之前獲得兒童父母或者監(jiān)護(hù)人的同意。

GDPR有史以來第一次針對(duì)兒童的個(gè)人數(shù)據(jù)提出了保護(hù)要求，特別是在商業(yè)互聯(lián)網(wǎng)服務(wù)（如社交網(wǎng)絡(luò)）的背景下。如果目前組織對(duì)不超過16歲的兒童提供在線服務(wù)（“信息社會(huì)服務(wù)”），并依靠他們的同意來收集有關(guān)他們的信息，那么還需要得到兒童父母或監(jiān)護(hù)人的同意才能合法地處理他們的個(gè)人數(shù)據(jù)。

4.5 只在最短的生命周期內(nèi)存儲(chǔ)個(gè)人數(shù)據(jù)

員工的數(shù)據(jù)只在勞動(dòng)合同期內(nèi)和在負(fù)有相關(guān)法律義務(wù)時(shí)才進(jìn)行存儲(chǔ)。而針對(duì)客戶的數(shù)據(jù)則在客戶關(guān)系持續(xù)期內(nèi)或基于相關(guān)的法律義務(wù)（例如，為了稅務(wù)目的）。當(dāng)不再符合初衷時(shí)及時(shí)刪除組織所收集的數(shù)據(jù)。

4.6 保護(hù)正在處理的個(gè)人數(shù)據(jù)

如果組織將個(gè)人數(shù)據(jù)存儲(chǔ)在IT系統(tǒng)上，應(yīng)限制對(duì)包含數(shù)據(jù)的文件的訪問控制，例如通過密碼。定期更新系統(tǒng)的安全設(shè)置。如果組織以紙質(zhì)文件的形式儲(chǔ)存?zhèn)€人數(shù)據(jù)，則應(yīng)確保未經(jīng)授權(quán)的人不能查閱；將文件鎖在保險(xiǎn)箱或文件柜內(nèi)。

4.7 保護(hù)處理活動(dòng)中的文檔

組織需要準(zhǔn)備一份簡(jiǎn)短的文檔，說明持有什么個(gè)人數(shù)據(jù)，以及出于什么原因。當(dāng)監(jiān)管機(jī)構(gòu)提出要求時(shí)，組織可能需要提供這些文檔印證所做的工作。

處理文檔應(yīng)包含的內(nèi)容見表3。

4.8 確保組織的外包商遵守法規(guī)

如果組織將個(gè)人數(shù)據(jù)的處理部分外包給另一家組織，而對(duì)客戶展示為組織的唯一的服務(wù)提供商，那么必須保證外包商的處理過程符合GDPR的要求（例如安全措施）。在與外包方簽署合同之前，需檢查他們是否已經(jīng)修改并調(diào)整到符合GDPR的要求，需把相應(yīng)條款體現(xiàn)在合同內(nèi)容之中。

4.9 檢查是否考慮過下列規(guī)定

為了更好地保護(hù)個(gè)人數(shù)據(jù)，組織可能需要任命一名數(shù)據(jù)保護(hù)官（DPO）。但如果處理個(gè)人數(shù)據(jù)不是業(yè)務(wù)核心功能、處理風(fēng)險(xiǎn)不高并且規(guī)模不大，那么可能不需要指定一名數(shù)據(jù)保護(hù)官。例如，組織收集個(gè)人數(shù)據(jù)僅僅為了快遞業(yè)務(wù)，那么任命DPO不是必須的。即使需要DPO，那么他也可以由組織現(xiàn)有其他崗位員工進(jìn)行兼任，或者由外部顧問進(jìn)行擔(dān)任，就像許多組織聘請(qǐng)外部會(huì)計(jì)師一樣。DPO的任務(wù)應(yīng)該包括為同事提供建議并監(jiān)督隱私的法律和政策合規(guī)性。DPO負(fù)責(zé)培訓(xùn)，提高認(rèn)識(shí)，開展審計(jì)，并與監(jiān)管當(dāng)局合作。一般情況下不需要進(jìn)行數(shù)據(jù)影響評(píng)估，數(shù)據(jù)影響評(píng)估是針對(duì)那些對(duì)個(gè)人數(shù)據(jù)構(gòu)成更大風(fēng)險(xiǎn)的組織。例如，他們對(duì)公眾可訪問的區(qū)域進(jìn)行大規(guī)模的監(jiān)視（例如視頻監(jiān)視）。

隱私設(shè)計(jì)作為一個(gè)概念已經(jīng)存在多年了，主要內(nèi)容是關(guān)于在編寫代碼之前如何預(yù)測(cè)、管理和防止隱私問題的發(fā)生，它目前成為GDPR法律明確要求的一部分。這意味著任何新應(yīng)用程序的研發(fā)都必須圍繞隱私設(shè)計(jì)，它必須與研發(fā)工作同步進(jìn)行而不能滯后。當(dāng)然，“隱私設(shè)計(jì)”并不排除GDPR頒布之前的軟件。它們需要進(jìn)行調(diào)整才能符合要求。以上問題的考量過程也需要記錄下來，僅確保組織不違反GDPR原則是不夠的，向監(jiān)管機(jī)構(gòu)表明組織正在采取措施確保合規(guī)性是非常必要的。

5 小結(jié)

經(jīng)過對(duì)GPPR的剖析可以得知，組織須花費(fèi)時(shí)間和金錢改變他們所有的系統(tǒng)，還必須重新評(píng)估他們的合作伙伴。而更重要的是，組織也必須改變整個(gè)公司處理數(shù)據(jù)的方式，變化不僅僅是技術(shù)性的。盡管這種變化富有挑戰(zhàn)，但GDPR也是一個(gè)機(jī)會(huì)，這次機(jī)會(huì)意味著可以審查組織所持有和使用的所有系統(tǒng)，以審查數(shù)據(jù)流并精確定位可以改進(jìn)的地方。這也是一個(gè)隱私合規(guī)的機(jī)會(huì)，因?yàn)榻M織有機(jī)會(huì)符合目前國際上最嚴(yán)格的隱私保護(hù)法規(guī)，并因此可以在同行業(yè)中占據(jù)一定優(yōu)勢(shì)。