GDPR-通用数据保护条例.pdf

发布时间：2022-06-01 发布人：admin 分类：说明书资料大小：1.14M 资料格式：pdf 举报版权申诉

huangzhijie3918-12013435-4744300845212955921.pdf-第1页.png

第1页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第2页.png

第2页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第3页.png

第3页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第4页.png

第4页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第5页.png

第5页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第6页.png

第6页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第7页.png

第7页 / 共100页

huangzhijie3918-12013435-4744300845212955921.pdf-第8页.png

第8页 / 共100页

文本预览

欧盟《一般数据保护条例》（GDPR）中文版来源 | 人大法学院未来法治研究院翻译 | 丁晓东经过欧洲议会长达四年的讨论，被媒体称为“欧盟最严数据保护条例”的欧盟《一般数据保护条例》（General Data Protection Regulation，简称“GDPR”，又译“通用数据保护条例”）已于 2018 年 5 月 25 日生效。 GDPR 的实施是现代社会保护个人数据与安全迈出的重要一步，对互联网企业有着重大影响，为此，知产力国际特转载由中国人民大学法学院丁晓东副教授翻译的该条例中文译文，供读者参考。由于篇幅较长，译文分上下两篇推送，本文为下篇。译者简介·丁晓东中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后。转载请注明译者和出处。由于译者精力、时间和水平所限，本译稿的疏漏之处在所难免，欢迎对本译稿提出批评和意见，联系邮箱：dingruc@163.com

一般数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第 1 条主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

第 2 条适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第 2 章第 5 款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d)有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第 45/2001 条例。根据本条例第 98 条，(EC)第 45/2001 条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。 4．本条例不影响 2000/31/EC 指令的适用，特别是 2000/31/EC 指令第 12 至 15 条所规定的中间服务商的责任规则的适用。第 3 条地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第 4 条定义就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。 (2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 (3)“限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健

康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。 (5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。 (6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。 (7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体；如果此类处理的方式是由欧盟或成员国的法律决定的，那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。 (8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。 (9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否为第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。

(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。 (11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。 (12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。 (13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些数据可以提供自然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。 (14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。 (15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据，包括和卫生保健服务相关的服务。 (16)“主要营业机构”指的是： (a)如果控制者在不止一个成员国内有多处营业机构，那么其在欧盟的管理中心所在地是主要营业机构，除非个人数据处理的目的与方式

是由控制者的另一个机构决定的，并且这一机构有权实施此决定，在这种情况下，做出此类决定的机构应当被认为是主要营业机构； (b)如果处理者在不止一个成员国内具有多处机构，那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心，那么在处理者需要遵守本条例所规定的特殊责任的前提下，其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。 (17)“代表”指的是控制者或处理者根据第 27 条在欧盟书面委任，代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。 (18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人，包括经常进行经济活动的合伙企业或协会； (19)“企业集团”的含义是控股企业和被控股企业； (20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者，为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者，所遵循的个人数据保护政策。 (21)“监管机构”指的是成员国根据第 51 条而设立的独立性公共机构。 (22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构： (a)控制者或处理者是在某监管机构所在的成员国的境内所设立的； (b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响；或者 (c)该监管机构已经收到一项申诉；

(23)“跨境处理”指的是： (a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者 (b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主体具有实质性影响。 (24)“相关和合理的异议”指的是对是否存在违反本条例的情形，或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明，这种初步设想的决定会对数据主体的基本权利和自由，以及在某些情形下对欧盟的个人数据的自由流通会带来风险。 (25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535 指令在第 1（1）条（b）点所定义的服务。 (26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

分享到：

赞收藏

资料库

GDPR-通用数据保护条例.pdf

相关推荐

行业

热门标签

最新资料