《欧盟一般数据保护条例》详解

源点注：本文作者为北京华道征信有限公司彭晓瑜，感谢作者赐稿。

众所周知，欧盟于1995年颁布了The Data Protection Directive即《1995年数据保护指令》（以下简称《指令》），来规范个人数据的处理，而2016年4月，欧盟理事会、欧洲议会又批准、通过了讨论4年的The EU General Data Protection Regulation（GDPR）即《欧盟一般数据保护条例》（以下简称《条例》）。与《指令》不同的是, 《条例》不需要任何政府的授权法，这意味着在经历两年的过渡期后，它最终将于2018年5月25日生效，并在整个欧盟范围内实施，来代替此前适用了二十多年的《指令》。

任何法律的产生都与其所在的社会环境息息相关，《条例》也不例外：第一，随着近年来科技的快速发展，世界逐渐以数据为驱动，全球网络环境发生了翻天覆地的变化；第二，全球化进程的加快促进了信息的跨境流通等，使得信息的加工、采集越来越普遍，信息数量呈直线式上升、信息规模呈飞跃式增长，伴随而来的是信息的应用越来越复杂；第三，网络攻击的日益猖獗、数据泄露事件的频繁发生、数据非法买卖、网络诈骗等严重影响了市场秩序；第四，为了使欧盟范围内各成员国的个人信息处理活动受到统一的规范，促进欧洲市场经济的融合。在众多因素的影响下，欧洲颁布了更严格的《欧盟一般数据保护条例》，来规范、约束信息的采集、处理、披露、使用一体化过程。

GDPR可能是许多公司的泰坦尼克号问题

《条例》共由11章99条组成。与《指令》相比，尽管《条例》中隐私数据的关键原则仍然秉承了之前的《指令》，但监管依旧提出了很多的新政策，这些条文使得欧盟对个人信息的保护达到了前所未有的高度，更有人认为它是数据隐私监管在20年来最重要的改变，是最重要的隐私保护措施。笔者将在下文围绕这些变化展开具体的论述。

（一）法律位阶由“指令”升级为“条例”

首先需要明确的是，《1995年个人数据保护指令》在位阶上属于“Directive”（指令），而《欧盟一般数据保护条例》属于Regulation（条例）。其次，两者之间的区别在于：指令是一项立法法令, 它设置了所有欧盟国家必须实现的目标，但由各个国家决定如何适用，也就是说，各国在适用它时，可以制定相应的国内法来进行转换，这就导致了各国法律之间的差异，给信息主体带来很大的不便，也给企业带来很大的合规成本，不利于数据交易体系的构建。但条例是一项有法律约束力的立法法案，它经过欧盟理事会、欧洲议会的批准，因而必须全面适用于整个欧盟。正如台湾金融联合中心征信中心研究部经理林思惟所述“不再需要透过会员国国内法的转换……这将彻底解决成员国之间的法律制度差异问题。”此外，为了确保《条例》的统一适用，由各成员国监管机构的负责人或各自的代表组成欧盟数据保护委员会，将委员会作为欧盟的机构，并使其拥有法人资格，来保障《条例》的公平适用。但不可否认的是，企业需要投入极大的人力、物力、财力，以适应《条例》的改变与实施。

（二）适用范围扩大 (域外适用性)

可以说, 未来对隐私数据的监管最大的变化就是《条例》扩大了管辖范围, 因为它适用于所有处理信息主体的个人数据的公司，只要这些信息主体居住在欧盟范围内，而不考虑这些公司的位置在哪里。换句话说，即便处理个人信息的公司未设立在欧盟范围内，但只要处理的信息与欧盟公民有关，就可以适用《条例》。此前，《指令》的领土适用性不明确，在许多引人注目的诉讼案件中就出现了这个问题，在适用的法律以及管辖范围方面给信息主体带来了很大的不便，增加了维权成本。而《条例》的颁布很好地解决了这一问题，第3条的设定使其适用范围变得非常明确：《条例》适用于在欧盟范围内设立分支机构的控制者和处理者的信息处理活动，无论其处理行为是否发生在欧盟范围内。退一步讲，即便控制者和处理者未在欧盟范围内设立机构，但却处理欧盟境内公民的信息，且其行为涉及（a）向欧盟境内的信息主体提供商品或服务 (不论是否需要付款)；（b）监测发生在欧盟范围内的信息主体的行为时，也受《条例》的管辖，此时必须以书面形式在欧盟范围内指定一个代理人（自然人或法人），代表他们履行《条例》规定的义务。此外，依第99条所述，“《条例》将对欧盟内部具有约束力，并直接适用于所有成员国。”

随着《条例》的实施，其适用范围更加广泛，以前一些不受欧盟信息保护法律约束的组织也将会受到《条例》的约束，当然，对许多中国企业也会有显著的影响，企业必须重视这一变化，确认是否受《条例》的约束并做出相应的改变、准备，否则将面临被罚款的风险。

（三）罚金额度提高

针对每一案件的情况，在决定是否实施行政处罚以及具体的罚款数额时，需要综合考量以下因素：违法行为的性质、严重性和持续时间；是故意还是过失；信息控制者或处理者采取的减少损失的措施；结合已实施的技术或组织措施来判断责任的程度；以前的违法行为；受影响的个人信息的种类等，即根据犯罪情节、程度的不同，来对违法主体处以不同额度的罚款，保障罚款与责任的比例相适应。具体来说包括：

（1）违反下列规定的,可处以 10，000，000 欧元的行政罚款, 若为企业时，对该企业处以前一会计年度全球总营业额的2%（两者以更高额为准）：(a)第8、11、25至39、42、43条中规定的控制者和处理者的义务;(b)第42和43条规定的认证机构应承担的义务;(c)第41条第4项所规定的监管机构应承担的义务。（2）违反以下规定的,可处以 20，000，000 欧元的行政罚款, 若为企业时，对该企业处以前一会计年度全球总营业额的4%（两者以更高额为准）：(a)第5、6、7、9条规定的处理信息的基本原则，包括信息主体同意的条件；(b)第12-22条规定的信息主体的权利；(c)第44-49条规定的个人信息跨国流转到第三国或国际组织应遵循的义务；(d)依照《条例》第九章通过的成员国的法律所规定的义务(e)没有遵守监管机构依据第58条第2项发布的指示、暂时或永久性的信息处理限制、停止数据流转之规定，违反第58条第1项规定的提供数据访问的义务。

因此，无论信息控制者、处理者是否设立在欧盟范围内，都必须尽到谨慎的注意义务，严格遵守《条例》对自己行为的限制，否则将会承担严重的后果。这一条款的设定对于各方主体来说，具有很大的威慑力，对预防信息犯罪的发生将会起到很好的效果。

（四）信息主体同意的条件被强化

《条例》中强化了信息主体同意的条件。第4条规定，信息主体的“同意”是指信息主体依据其意愿，通过一个声明或者肯定的行为而自愿作出的任何具体指定的、知情的、明确的表示，来表明自己同意与其相关的数据被加工处理。注意以下几点：

第一，同意必须以声明或肯定的行为作出。第二，如果信息处理活动是基于信息主体的同意，信息控制者应当举证证明信息主体已经同意其处理自己的个人信息。第三，若信息主体以书面形式作出同意的表示，而且与其他事项有关时，请求信息主体作出同意的表示必须符合：形式通俗易懂、容易获取，语言表达清晰、朴实，且需清楚明了、有识别性，而不能使用冗长的、难以辨别的、晦涩难懂的条款。第四，在信息主体作出同意之前，应当被告知有撤回权。信息主体有权随时撤回同意，且撤回同意时必须像作出同意时一样容易，但这一行为并不能影响撤回之前基于同意已经进行的信息处理活动的合法性。第五，直接向儿童提供信息社会服务的，对16周岁以上儿童的个人信息的处理是合法的；但处理16岁以下儿童的个人数据时，必须征得其父母的同意或授权;且各成员国可以通过立法来降低年龄，但不得低于13岁。

（五）设立信息保护官

依据《指令》的规定, 信息控制者在开展信息处理活动时，要通知当地的数据保护局，而这对于跨国公司来说，就是一个官僚制度造成的噩梦，因为大多数成员国在通知方面的规定有差异。但依照《条例》, 一方面，在进行信息加工活动时，不用提交通知书或登记书给各地的数据保护局；另一方面，进行信息流转时也不需要根据示范合同条款通知数据保护局或获得其许可。相反,在机构内部保留这些记录即可。当信息主体就《条例》所规定的个人信息的处理、以及信息主体权利的行使等问题有异议、疑问时，可以寻求信息保护官员的帮助。另外，《条例》明确了信息保护官的地位，限定了委任信息保护官的条件以及信息保护官员、控制者需要尽到的义务。

首先，所任命的信息保护官员需符合一定的要求与素养:在任命时必须以其专业素质为依据，尤其需要具备专业的信息保护法律与实践的知识和完成第39条规定的职责所需要具备的能力。注意，信息保护官员既可以由控制者或处理者的内部员工担任，也可以基于服务合同而外聘。

其次，强制性的任命信息保护官员适用于以下4种情形：（a）处理活动由行使司法权的法院以外的公共机构或公共团体执行；（b）根据其性质、营业范围或者目的，信息控制者和处理者的核心活动需要对信息主体进行大规模地、定期、系统性的监测；（c）信息控制者和处理者的核心活动涉及大规模的特殊类别的信息数据，或者与犯罪行为、违法行为有关；（d）为履行欧盟或成员国法律的义务而设立。

再次，信息保护官员的职责至少包括以下5点：（a）告知控制者、使用者和其雇员需要遵守的《条例》、欧盟或成员国的其他数据保护法律所规定的义务；（b）监督相关主体是否遵守《条例》、欧盟或成员国的其他数据保护法律的规定，是否符合控制者、组织者设立的与信息保护有关的政策；（c）就数据保护影响评估及监督执行提出建议；（d）和监管机构合作；（e）在监管机构规范信息处理活动和其他事项时，充当中间人的角色等。

最后，控制者、信息保护官员都需要分别尽到一定的义务。就控制者而言，要确保信息保护官员适当、及时地参与到所有与个人信息保护有关的业务中；必须为信息保护官员提供支持以便于他们执行职务，包括提供其履行职务所必需的充分的资源，允许其访问个人信息，接触信息处理机制，维持自身专业素养；信息保护官员不受信息控制者和信息处理者下发的指令的约束，不因履行职责而被解雇或处罚。就信息保护官员来说，就其履行的职责负有保密义务；也可以履行其他职责，但不得履行其他可能导致利益冲突的职责和义务。

当然，《条例》在信用监管、信息处理、信息跨境流通等其他方面也规定了详细的内容，在此不再赘述。毋庸置疑，这些条款强化了信息控制者、处理者的风险控制能力，给信息主体的信息安全增加了一层保障；同时进行了一定的创新，对监管机构的监管理念将会产生显著的影响，也给其他国家提供了立法参考。

为使得欧洲各国的隐私数据保持一致性，《条例》在借鉴《指令》的基础上，进一步明确了各方主体的权利、义务与责任，从而降低信息流动的风险，更好地维护市场交易秩序。笔者针对各项权利所对应的条款进行了罗列，如下表所示：

（一）知情权

信息透明是对控制者、处理者最好的监督，所以处理过程要对信息主体保持透明化。《条例》规定控制者应当以一种简单易懂、容易获取的形式，通过清晰简明的语言，采取合理的措施提供所处理的个人信息，特别是儿童的信息。此外，信息应当以书面形式或其他方式提供，适当的情况下还可以采用电子方式。如果信息主体提出要求，并且信息主体的身份可以通过其他方式得以验证时，也可以通过口头形式提供信息。除非信息控制者能够举证证明信息主体的身份不能被识别，否则其不得拒绝信息主体基于权利而提出的请求，反而应当积极帮助信息主体行使权利。

首先，就知情的范围而言，《条例》具体化了信息主体可获得的信息以及信息的形式，为实现这一权利提供了详细的指引，避免了信息控制者未经授权或超出授权使用信息、对信息进行非法使用等乱象的发生。《条例》就控制者基于直接或间接获取数据时，向信息主体提供的信息也规定了不同内容：

第一，当直接自信息主体采集数据时，控制者在获取个人信息时，应当向信息主体提供以下信息：（1）控制者的身份和联系方式，适当时还要提供代理人的身份和联系方式；（2）适当时提供信息保护官员的详细联系方式；（3）个人信息处理的目的和法律依据；（4）当处理过程是基于“控制者或第三方追求合法利益所必需”时，控制者或者第三方追求的立法利益；（5）如果可以的话，应当提供接收方或接收方的种类；（6）在适当的情况下，应当提供控制者意图将个人数据向第三国或者国际组织传输的事实、委员会是否就此问题做出充分决议、或信息传输情况，对个人信息的适当保护措施，以及获得复印件的方式。

除此之外，为了确保信息处理过程的公正和透明，信息控制者还应进一步提供以下信息：（a）个人信息的保存期限，若不能明确时，还应提供决定期限长短的因素；（b）信息主体拥有数据访问权，以及更正、删除、反对、限制处理个人信息的权利或数据的可携带性；（c）如果处理是基于同意，在不影响现有处理合法性的前提下可以随时撤回同意；（d）可以向监管机构申诉；（e）提供数据是法定义务还是约定义务，是否是达成合同所必需，信息主体是否有义务提供，以及不提供时可能带来的后果；（f）自动化决策（包括画像）包含的逻辑、处理的意义和可能带来的后果。

第二，当采集的数据并非来源于信息主体时，控制者提供的信息除了上面的（1）、（2）、（3）、（5）、（6）之外，还包括相关个人数据的种类。除了前述信息，为了确保信息处理过程的公正和透明，信息控制者应进一步提供的信息除了上述（a）、（b）、（c）、（d）、（f）外，还包括两类信息：当处理过程是基于“控制者或第三方追求合法利益所必需”时，控制者或者第三方追求的立法利益；信息的来源，以及适当时是否来源于公开信息。

其次，就提供信息的期限而言，《条例》规定，当采集的数据并非来源于信息主体时，应在以下期限内提供信息：（a）在获得数据后的合理期限内，但最迟为一个月内；（b）若用于与信息主体通信，最迟为第一次通信时；（c）若预期要向另一个接收者披露，最迟为个人数据第一次被披露时。

最后，针对是否具有例外情形，《条例》规定，控制者直接获取信息且信息主体已经拥有信息时，不再提供；间接获取时，在4种情形下不再提供信息：（a）信息主体已经拥有信息；（b）提供信息是不可能的或者需要花费很大的成本；（c）控制者应当遵守欧盟或者成员国法律所规定的获取或者披露个人信息的规定，采取适当措施来保护信息主体的合法利益；（d）根据欧盟或者成员国的法律规定的职业保密义务，必须履行保密的法律义务。

（二）数据访问权 

从内容来看，《条例》规定数据主体在提供信息时，有权确认自己的数据是否正在被处理，并有权访问个人数据和以下8种信息：处理目的；相关信息的类别；个人信息已经或即将披露给的接收者和接收者类别，尤其是第三方国家或国际组织的接收者；在可能的情况下，设想的个人信息的保存期限，或者不可确定时，确定该期限长短的因素；请求数据控制者纠正、删除、限制或拒绝处理与其相关的个人信息的权利；向监管机构申诉的权利；当信息采集来源非信息主体时，关于其来源的任何信息；自动化决策（包括画像），以及在这些情况下与相关逻辑有关的有意义的信息，对信息主体的影响和预想的后果。同时，当个人信息流转给第三国或国际组织时，应通知信息主体其信息在流转过程中所得到的适当保障措施。

从实现权利的成本来看，《条例》规定信息控制者应当提供一份正在处理的个人信息的复制件，若信息主体要求获取多份复制件，则控制者有权在行政成本的基础上收取合理的费用。

从形式上来看，《条例》规定如果信息主体通过电子方式提出请求，除非另有要求，否则控制者应当以通用的电子形式提供。

（三）反对权

若想更好的保护信息主体，首先要从源头上预防，即禁止采集的数据不得被信息控制者、处理者归集。《条例》第9条规定禁止处理以下数据：对揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员等个人数据，以及对以唯一识别自然人为目的的基因数据、健康状况数据，以及与自然人的性生活或性取向有关的数据。

此外，信息主体有权行使拒绝权的条件有：（1）在关于信息主体的特定情形下，他/她有权随时拒绝处理依据第6条第1款第e项（为了维护公共利益所必需或控制者的处理被监管机构赋予权限）或第f项（处理为控制者或第三方追求的合法利益所必需）规定的个人信息，包括基于这些条款的分析。除非信息控制者能够就自己的行为提出强有力的、优先于信息主体的利益、权利和自由的正当化理由，或者为了建立、行使和捍卫其法律权利，否则不得继续处理其个人信息，这有利于防止信息被过度分析或非法利用。（2）当其活动是为了直接营销目的时，信息主体也有权在任何时间行使拒绝权，拒绝控制者继续处理个人信息；行使拒绝权后，信息主体不得再次基于这样的目的而处理信息。另外，要明确提醒信息主体拥有这样的权利，提醒时表达要清晰，并与其他信息相分离，时间不得晚于与信息主体第一次联系时。（3）即使是根据第89条第1款，为了科学或历史研究的目的或统计目的而处理个人信息的，在关于信息主体的特定情形下，其亦有权行使拒绝权，除非该处理活动对于维护公共利益是所必需的。

（四）限制处理权

《条例》对限制处理信息的情形进行了限定，同时规定了不得行使该权利的情况。有下列4种情况之一时，信息主体有权限制信息控制者处理信息：（a）信息主体对个人信息的准确性提出异议，信息控制者需要时间来验证信息的准确性；（b）该处理是非法的，但信息主体反对删除，只是要求限制使用该信息；（c）信息控制者基于处理目的不再需要个人信息，但信息主体为设立、行使或捍卫合法权利所必需者；（d）在确认控制者的信息处理活动是否有优先于信息主体的正当理由前，信息主体反对处理个人信息。当信息处理受到限制时，除存储之外不能再进行其他的处理行为，除非信息主体同意，或为设立、行使或捍卫合法权利，或为保护其他自然人或法人的权利，或为了维护联盟或成员国规定的重要公共利益而被处理。需要注意的是，当信息处理的限制被取消时，信息控制者应当通知信息主体。

除非被证明不可能实现或者需要花费较大的成本，信息控制者应当将更正、删除或者限制处理个人信息的情况，传达给已接收其数据的接收者。如果信息主体请求，控制者还应当将接收者告知信息主体。

（五）反自动化决策（包括画像）权

若仅仅依靠自动化处理（包括画像）作出决策，会对信息主体产生法律效果或类似重大的影响时，信息主体有权不受其约束。但有一些情形下允许进行自动化决策，即如果这个决策：（a）对于信息主体和控制者之间签订和履行合同是必要的；（b）信息控制者被欧盟或成员国的法律授予权限，并采取了合理的措施来保护信息主体的权利、自由和合法利益；（c）基于数据主体的明确同意。此时，信息控制者仍应采取一些措施来保护信息主体的权益，比如信息主体至少有权要求人为干涉，有权陈述自己的观点、有权对该决策提出异议等。

毫无疑问，目前很多企业根据自动化决策的结果来进行定向营销，有利于降低成本、提高利润，但也带来了一些弊端。前段时间网上爆出的“大数据杀熟”就体现了这一点。同样的商品，但不同的消费者所要支付的价格可能不同。针对新客户，会给予优惠政策，而针对老客户则价格没有优惠，甚至高出正常价格，这严重违反了《合同法》的公平原则与诚实信用原则，也反映了全自动化决策带有一定的弊端，单纯依靠它会带来一定的负面影响，应该与人为干预相结合，才能更好地保护信息主体的权益。

（六）更正权、删除权

《条例》在第16、17条规定了信息主体的更正权与删除权，赋予了信息主体救济的权利。

就更正权而言，《条例》认为，当信息主体的个人信息不准确时，有权要求控制者纠正这些信息，并且不得拖延。考虑到处理的目的，信息主体还有权使其不完整的个人信息变得完整化，包括提供补充说明的方式。

《条例》规定了删除权适用的6种情形以及不适用删除权的5种情形，特别具体，落实与实施时的可操作性较强。《条例》规定，信息删除权也称为被遗忘权。被遗忘权赋予了信息主体一些权利，即让信息控制者删除他们的个人数据, 停止数据的进一步传播, 并可能使第三方机构停止处理数据。第一，删除数据的6种情形有：不再与采集或处理相关数据时的最初目的有关联性；或者处理是基于同意但信息主体撤回了同意，且处理不再有其他合法依据；信息主体反对处理信息，且处理没有令人信服的合法根据；信息被非法处理；控制者为遵守欧盟或成员国法律而有义务删除信息；个人信息的采集涉及向儿童提供信息社会服务。但如果信息已经被公开，且有义务删除时，信息控制者在考虑现有技术及实施成本后，应当采取合理措施，包括技术措施，来通知控制者，信息主体要求删除这些与个人信息有关的任何链接、副本或复制件。这一行为将会带来连锁效应。第二，还应注意的是,信息主体行使该权利不是没有任何限制的，而是有一定边界的，在5种条件下不得行使：为了行使实现信息或言论自由；为了遵守欧盟或成员国的法律义务，或为公共利益而履行职责、或被委托行使公权力时；为了公共卫生领域的公共利益；出于公共利益的存档目的、科学或历史研究目的、或统计目的，只要删除权会导致这些目的无法实现或阻碍它们的实现；为了设立、行使和捍卫合法权利。

（七）数据的可携带权/可移植权

《条例》引入了数据的可移植性的内容—信息主体有权从控制者那里收回关于自身的数据，在两种情形下还有权将数据从目前接收其信息的控制者传输到另外一个信息控制者那里只要处理是基于第6条第1款（a）项或第9条第2款（a）项取得了信息主体的同意，或者根据第6条第1款（b）项订立了合同；处理采用了自动化手段。此时，形式应满足“结构化、普遍适用和机器可识别”的要求，这样信息传输时不会受到前一个控制者的干扰、阻碍。在技术可行的条件下，还有权要求信息控制者直接将个人数据传输给另一个控制者。但该权利的行使不得对其他人的权利和自由产生任何不利影响。但是，当为了公共利益的需要或控制者被监管机构赋予权限而处理信息时，信息主体不得行使该权利。

我国对此权利也未作规定，但《条例》创新性地提出了这个权利。这加速了数据的流动与传播，更有利于实现数据共享，但对技术的要求会比较高，也会加大信息控制者的成本与投入。不同信息控制者存储信息的方式是否相同，直接关系到信息转移、传输的可实现性，关系到“数据孤岛”现象是否有所缓和。信息控制者之间如何进行配合，且在信息移转过程中如何防止信息不发生泄露、篡改、丢失等风险，都对我们提出了很大的挑战。更好更快地实现互联互通，需要我们坚持不懈的努力与奋斗。

除此之外，《条例》还规定了其他内容，如处理个人信息的原则，合法处理信息的情形，数据保护影响评估，设立欧盟数据保护委员会等，充分保护了信息主体的权利和自由。《条例》还提出，委员会应酌情提出立法建议, 以修订其他关于个人信息保护的法律规定,，来促进数据的自由流通，确保对自然人信息处理的统一、持续的保护。这些内容无疑会降低数据侵权纠纷发生的可能性，确保在信息安全的前提下，加大信息的流通、利用，从而创造更多的经济、社会利益；也对我国进行个人信息保护的实践与理论研究提供了参考，有利于我国加快建立、完善信用监管和纠纷解决机制，对我国进行社会信用体系建设具有很好的借鉴意义。