初识 GDPR：史上最严格的数据保护条例

原创代野（Tank） 2022-10-07

2473

1 什么是 GDPR？

GDPR 全称是 General Data Protection Regulation，译为《通用数据保护条例》，是欧盟 2016 年通过的条例，于 2018 年 5 月 25 日正式生效，旨在保护欧盟居民隐私，GDPR 详情见 https://gdpr-info.eu/。

GDPR 面向所有收集、处理、储存、管理欧盟公民个人数据的企业，限制了这些企业收集与处理用户个人信息的权限，将个人信息的最终控制权交还给用户本人，凡涉及欧盟个人数据的行为，都可被 GDPR 所管辖。在个人数据保护方面，GDPR 是目前全球规定最为严格、处罚最为严厉的法规之一。

GDPR 取代了欧盟在 1995 年推出的欧盟《数据保护指令》（又称“95 指令”），相比 95 指令，GDPR 增加了优化数据流向欧盟以外国家的管理办法，以及增强用户对其个人信息的控制。

202210071初识 GDPR：史上最严格的数据保护条例p1.png

2 GDPR 中需要关注的概念

GDPR 以最大的限度保护了欧盟公民的个人信息安全，在 GDPR 面前，可以说我们所能想到的擦边球操作以及常见的文字游戏基本都是苍白无力的，比如描述不够直白、关键声明内容位置不明显，导致用户没有清楚隐私政策，那就是服务商的问题。因此对于 GDPR 相关的定义，比如“个人信息”的范围等此类信息，相关组织需要严格按照 GDPR 中的规定进行执行，下面列出了一些初次了解 GDPR 需要关注的概念。

建议参考原文定义描述：https://gdpr-info.eu/art-4-gdpr/

个人信息

个人信息，PII(Personal Identifiable Information)，指任何指向一个已被识别或可被识别的自然人的信息。该自然人能够被直接或间接地识别。

直接标识：能够直接识别出自然人的信息，如：姓名、身份证号等。
间接标识：通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素识别出自然人的信息。

敏感信息

禁止处理显示种族或民族血统、政治意见、宗教或哲学信仰或工会成员身份的个人数据，以及处理遗传数据、用于唯一识别自然人身份的生物测定数据、有关健康的数据或有关自然人的性生活或性取向的数据。禁止收集处理种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据。

管辖范围

数据控制者、数据处理者在欧盟有营业场所的，不论数据处理行为发生在欧盟还是境外。
数据控制者、数据库处理者未在欧盟设立营业场所，但向欧盟的数据主体提供商品或者服务，或者被追踪的网络行为发生在欧盟的。
虽然数据控制者、数据处理者未在欧盟设立营业场所，但是根据国际公法应当使用欧盟成员国法律的。第二种情形是典型的域外管辖，主要针对美国的互联网企业。

处罚规定

一般违法：罚款上限是 1000 万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的 2%（两者中取数额大者）。
严重违法：罚款上限是 2000 万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的 4%（两者中取数额大者）。

获取用户同意（Consent）

如果用户的同意是一个包含其他事项的书面声明中作出的，则该书面说明中的同意请求应当具有明显的辨识度以便可以与其他事项区别，使用清楚、直白的语言，以容易理解且容易获取的方式呈现，否则视为无效。
用户有权随时撤回其同意，同意的撤回不具有溯及以往的效力；同意的撤回应当和同意的作出一样容易。
当儿童至少 16 岁时，其同意才可以是处理其个人数据的合法条件；如果儿童不满 16 岁，则只有当其监护人作出授权或者同意时，处理其个人数据才是合法的。

个人数据的收集、处理规则

用户为了一个或者多个明确目的，同意处理其个人数据。
为了履行用户与企业之间的合同必须处理其个人数据，或者为了基于用户请求而签订合同必须处理其个人数据。
处理行为对于企业遵守其所负担的法律义务是必要的。
处理个人数据是为了保护该用户或者其他自然人的重大利益。
处理个人数据是为了公共利益。
处理行为对于企业或者第三方所追求的合法利益目的是必要的，除非该利益屈从于需要保护其个人数据的自然人的立业或者基本权利和自由，尤其是当其是儿童时。

数据处理的七个原则

合法、公平、透明原则。
目的限定原则：出于特定、明确、合法的目的收集个人数据，进一步处理不得有悖于前述目的，除非符合公共利益、科学研究等正当目的。
数据最小化原则：所收集、处理的个人数据之于其处理目的，应当准确、相关、必要。
准确原则：确保个人数据是准确的，并在必要的情况下及时更新。
有限留存原则：除非符合公共利益、科学研究等正当目的，否则对个人数据的留存期限不能超过其处理目的。
完整、机密原则：用技术手段确保个人数据的安全，不被非法处理、窃取、损毁等。
责任原则：数据控制者应当对上述原则的落实情况承担责任并予以证明。

数据主体的八项权利

知情权（Right to be informed）
访问权（Right of access）
更正权（Right to rectfication）
删除权（或“被遗忘权”，Right to erasure,or “right to be forgotten”）
限制处理权（Right to restrcition of processing）
可携带权（或迁移权，Right to data portability）
反对权（Right to object）
不受制于自动化决策（含画像）（Right not to be subject to automated decision-making,include profiling）

3 国内企业的合规驱动力

内因

海外业务扩张：全球化业务发展，扩展到欧盟市场。
欧盟业务举足轻重：有一定的市场占有率，不考虑放弃欧盟的市场。
竞争需要：行业内部的 PK，不放弃每一个抢占市场的机会。

外因

国家层面的相关因素：大型国有企业在海外往往会成为监管的重点，避免信誉危机。
欧盟合作伙伴要求：作为欧盟伙伴供应链的一环，同样需要符合 GDPR 的要求。

4 GDPR 落地流程参考表

在企业 GDPR 合规过程中，不同部门会面临很多的执行问题，如法务侧会关注当前隐私政策是否符合要求？业务侧会关注哪些数据将不能再收集了？是否会影响业务效率？IT 侧会关注数据加密技术方案如何落地？以及暂时达不到要求的方面是否有折中方案？合规牵头方则会关注如何理出重点？以及如何引起高层重视并获得支持？等问题。

以上具体的问题均可归纳到 GDPR 落地的九个阶段中，如下表。

注：参考表概括了不同阶段需要关注的内容，它不是对法律的解释，也不是对 GDPR 规定的管制员或处理者的义务范围的解释，每一阶段背后都有更多细节值得研究。因此，应根据 GDPR 中描述的全部义务，以确认每个问题的合规情况。

阶段	说明
1. 数据隐私影响评估（DPIA）阶段	DPIA（Data Privacy Impact Assessment）有助于识别隐私风险并将其降至最低。与业务和合作伙伴组织中的利益相关者合作，记录个人数据处理如何符合 GDPR。在高风险情况下，GDPR 需要 DPIA。
2. 个人数据清单确认阶段	评估您有哪些个人数据以及这些数据存储在哪里。通过进行个人数据清点，您可以清楚地了解组织中使用的个人数据。
3. 数据流分析阶段	确定所有触及 GDPR 范围内数据的系统。绘制从入口到销毁的数据流，包括第三方流程。当您对组织的完整数据生命周期有了深入的了解时，数据映射可以帮助您确保适当地揭示所有风险。
4. 风险评估阶段	针对每个数据（包括数据库、文件系统和人员）的接触点的执行风险进行评估。您将评估当前的数据保护策略和流程，以及实施这些策略和程序的技术控制措施。例如，您是否有适当的控制措施来执行 GDPR 的跨境数据传输要求？确定风险较高的区域以及需要采取哪些措施来降低风险。
5. 数据泄露过程审查阶段	评估您的程序和控制，用以检测、报告和调查数据泄露。GDPR 对数据控制者和处理者提出了违规通知要求。例如，数据控制员必须在意识到违规行为后 72 小时内向监管当局报告违规行为，除非违规行为不太可能导致对自然人的权利和自由造成风险。
6. 确定差距和补救计划阶段	确定您将如何补救在风险评估中检测到的任何合规漏洞。确定风险较高且应首先解决的差距的优先顺序。补救计划可以包括：培训或招聘员工、流程或政策更改、法律合同以及实施新的技术控制。
7. 批准预期结果阶段	展示您的分析结果以及推荐的解决方案，以获得项目的支持和预算。您应该在项目的预期结果上得到管理层的认可和批准。
8. 实施改进和补救计划阶段	使用经过验证的实施方法执行项目，该方法包括定义、设计和实施阶段。
9. 治理阶段（持续问责和 DPIA）	建立流程以进行持续的 DPIA，并通过测试确保持续的合规性。最终形成体系化、平台化和自动化的治理手段。

5 处罚案例统计

截止 2022 年 6 月 10 日，867 个企业/组织/个人共计被处罚 1200 次。从 2018 年开始，处罚次数逐年增加，2021 年处罚次数到达最高 455 次，可以预见 2022 年可能超 2021 年。

处罚金额最高的公司：亚马逊（欧洲）

202210071初识 GDPR：史上最严格的数据保护条例p2.png

（数据来源：欧洲各国 DPA 公开出发公告）

以上单笔罚款均超过 2 千万欧元，IT 企业居多，其中亚马逊（欧洲）的处罚金额最高，达 7 亿欧元。

处罚金额最高的产业：工业和商业

202210071初识 GDPR：史上最严格的数据保护条例p3.png
（数据来源：欧洲各国 DPA 公开出发公告）

被处罚次数最多的企业：Vodafone Espana

202210071初识 GDPR：史上最严格的数据保护条例p4.png
（数据来源：欧洲各国 DPA 公开出发公告）

15 个实体被处罚超过（含）5 次，76 个实体被处罚超过（含）2 次。其中 Vodafone Espana, S.A.U 被处罚次数最多，高达 46 次。其次是 Xfera Moviles S.A. 被处罚 16 次。

最易被处罚的违规行为统计

202210071初识 GDPR：史上最严格的数据保护条例p5.png
不论违法次数还是违法类型，不符合一般数据处理原则和数据处理的法律依据不足，均排在前 2 位。

最凶的 DPA(Data Protection Authority)

202210071初识 GDPR：史上最严格的数据保护条例p6.png

处罚金额排名第 1 的卢森堡 7.463 亿欧元，其中 7.46 亿罚款来自 Amazon。法国处罚 Google 共 4 次 2 亿欧元，Facebook 共 1 次 0.6 亿欧元，处罚金额 2.697 亿欧元排名第 2。

处罚次数最多的的是西班牙，共 424 次，其次是意大利。

6 FAQ

从以上内容来看，GDPR 既复杂又严格。为在短时间内进一步理解 GDPR，网络上收集了一些常见的问题如下。

因为 GDPR 的生效，相关服务商将不能再收集用户隐私数据了吗？

不是的。在需遵循数据处理的七个原则前提下，服务商仍然可以收集用户隐私数据。
公司注册在国内，GDPR 对公司有什么影响吗？

需判断业务数据是否包含欧洲公民的数据。GDPR 要求所有设在欧洲的组织以及与欧洲利益相关的组织遵守其规定。GDPR是一个复杂的、全面的法规，它影响到组织内部的许多领域。由于这种复杂性，建议进行GDPR审计，以确保符合性，并防止对违规行为的严厉处罚。

GDPR 适用于：1）在欧盟境内成立的任何一家从事个人数据处理活动的公司或实体，无论其数据处理活动是否发生在欧盟境内；或者 2）在欧盟境外成立的公司，只要其数据处理活动与向欧盟境内的个体提供产品或服务（不论是否收费）有关，或其数据处理行为涉及到监控欧盟境内个体的行为。
GDPR 审计的好处有哪些？

除了避免罚款、处罚和负面宣传外，成功的审计还提供了符合 GDPR 准则的文件证明。审计还可以改进和优化与组织内个人数据保护相关的流程。
GDPR 合规自查大概包括哪些内容？

主要是通过客观分析，来确定组织是否合规，以及如何满足 GDPR 要求。审查的领域包括正在处理的数据的性质、所进行的行业和活动类型、员工数量及其与数据保护相关的特征以及公司的组织和 IT 工具。
GDPR 是否适用于公司相关的数据？

不适用。这些规则仅适用于个体的个人数据，不涉及公司或任何其他法律实体的数据。但是，仅有一人的公司，其信息可构成个人数据，用于识别自然人。
GDPR 是否适用于中小企业？

适用。 数据保护条例的适用范围不取决于公司或机构的规模，而取决于其业务性质。 无论是由中小企业还是大公司进行对个人的权利和自由造成高风险的活动，都适用于更严格的规则。但是，GDPR 的某些义务可能不适用于所有中小企业。

例如，员工人数少于 250 人的公司，除非处理个人数据是主要业务，且对个人的权利和自由构成威胁，或涉及敏感数据或犯罪记录，否则无需保存数据处理记录。同样，对于任何中小企业，如果数据处理是其主要业务，特别是大规模数据处理会对个人的权利和自由（例如监控个人或处理敏感数据或犯罪记录）构成特殊威胁时，需要任命一名 数据保护官 。
是否可以将数据用于「其他目的」？

可以，但只有在某些情况下。如果您所在的公司或机构基于合法利益、合同或切身利益收集数据，则可在确认新目的与初始目的相符后，可将其用于其他目的。

如果您所在的公司或机构在征得数据主体同意后或按照法律要求进行了数据收集，则数据处理不得超出同意或法律规定所涵盖的范围。如需进行进一步处理，则必须重新征得数据主体的同意或获得新的法律依据。
是否可以将数据用于「任何目的」？

不可以。必须确定处理个人数据的目的，且必须通知数据主体。不得以暗示的方式告知个人数据会被收集和处理。这被称为“目的限制”原则。