成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

——以《實踐指南》的關注點為線索

2018年5月25日，《歐盟數據保護通用條例》(General Data Protection Regulation，簡稱“GDPR”)正式生效。對于該條例，盡管有不少中國企業提前進行了研究和布局，然而，規則生效帶來的沖擊依然是巨大的。為了給予中國企業必要的指導，全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日發布了《網絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”）。雖然該《實踐指南》是中國相關機構對GDPR的理解，但對于實踐依然具有積極的指導意義。本文擬結合《實踐指南》對GDPR相關問題作出分析，以期對企業的實務工作具有借鑒意義。

一、《實踐指南》出臺的背景及目的

《歐盟數據保護通用條例》(General Data Protection Regulation，簡稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會（The European Parliament ）早在兩年前（即2016年4月14日）就審議通過并正式公告了GDPR，被冠以 “最嚴數據隱私條例”，GDPR的正式生效還是給很多跨國企業造成不小沖擊。比如，GDPR生效的第一天，隱私權倡導組織Noyb.eu就代表數據主體向歐洲監管機構提起了針對Facebook、Android、WhatsApp、Instagram違反GDPR規定的訴訟。同時，《紐約每日新聞》、《洛杉磯時報》、《邁阿密先驅報》等一些美國新聞網站在歐洲暫時關閉，《時代》和《華盛頓郵報》則重新修改了專門針對歐盟用戶同意的隱私與服務條款。中國的互聯網科技企業也不例外，騰訊微信團隊于5月28日發布了《關于歐盟數據保護通用條例的通知》，當歐盟用戶撤銷授權公眾號獲取其個人信息時，會以郵件形式告知公眾號的注冊郵箱刪除歐盟用戶的信息；騰訊在GDPR生效前一個月發布了自5月20日起停止為歐洲用戶服務的消息；小米生態鏈企業Yeelight則宣布，由于無法滿足GDPR要求，將不再向歐洲用戶提供服務……

GDPR關于個人數據保護的條款內容十分豐富，鑒于部分共計173條，正文部分共計99條（分為十章），包含適用范圍、地域范圍、數據主體同意的要件、特殊類型的個人信息處理、數據主體權利、數據控制者和處理者的義務、個人數據向第三國或國際組織的傳輸、數據保護的監管機構職權、數據主體權利被侵犯后的救濟途徑和處罰措施等等，體現了全面的個人數據保護和促進個人信息合法自由流動的雙重立法理念。同時，在個人信息的定義與范圍、個人信息處理的原則、“同意”的形式和內容等方面，國內的《個人信息安全規范》與GDPR存在諸多相通之處。

對于企業而言， GDPR規定了數據主體的哪些權利、國內企業與歐盟企業合作時是否必然適用GDPR、在歐盟設立的下屬企業如何應對GDPR、如何完善自身隱私政策條款內容、如何快速應對GDPR所產生的影響等等實務問題，更具有現實意義。筆者關注到，全國信息安全標準化技術委員會（以下簡稱“信標委”）于GDPR生效當日即發布了《網絡安全實踐指南—歐盟GDPR關注點》（簡稱“《實踐指南》”），簡要介紹了GDPR適用的場景、核心內容和關注點，并結合案例說明了如何理解GDPR的核心條款，并提示了組織采取何種應對措施以符合GDPR的規定，屬于官方機構對GDPR的權威解讀。然則，在與GDPR有關的文章“鋪天蓋地”的主流趨勢下，《個人信息安全規范》的歸口部門信標委員出臺的《實踐指南》被淹沒在了GDPR的“洪流”中。

本文即以《實踐指南》提及的關注點為線索，對企業如何解決適用GDPR過程中遇到的實務合規問題予以研究。

二、《實踐指南》關注點一：適用 GDPR的場景

來源：全國信息安全標準化技術委員會

本文開篇提到的Facebook、Android、WhatsApp、Instagram以及國內的小米、騰訊直接對歐盟境內的數據主體提供商品或服務，或者在歐盟境內設立了分支機構，按照GDPR第三條以及《實踐指南》關注點一的解讀，前述企業遵守GDPR無疑。但是，以下案例中的B公司是否要遵守GDPR呢？

B屬于中國某運營商的下屬大數據分析公司，在歐盟沒有設立任何分支機構；用戶張某使用該運營商的SIM卡，在去法國旅行前開通了境外通信業務，在法國旅行期間共計通話100分鐘，共計發送了20條短信/彩信；如果B公司只對張某等中國公民在歐盟成員國旅行期間的通信情況等進行了加工、處理、分析，最終形成了中國公民歐洲游通信情況的分析報告，根據該報告所反映的屬性趨勢情況，向同樣符合該等屬性的中國公民推送了境外游的營銷廣告。那么，B公司是否有義務遵守GDPR呢？

GDPR第3條第2款將數據主體界定為“歐盟境內的數據主體”（data subjects who are in the Union），并未明確規定為“歐盟公民”（Eu citizens），張某等中國公民的個人通信信息行為發生地在歐洲，但B公司處理了中國公民的數據信息，所以，尚不能援引GDPR第3條第2款直接判定，上述案例中的B公司是否應遵守GDPR。

關于如何理解“歐盟境內的數據主體”，歐盟委員會專門就數據保護的適用對象問題（Who does the data protection law apply to?）做了如下官方案例答復， “如果您的公司是歐盟以外的服務提供商，且為歐盟成員國以外的客戶提供服務。您的客戶可以在去其他國家(包括歐盟內部)旅行時使用公司提供的服務。如果您的公司沒有明確地針對歐盟的個人提供服務，那么，該公司不受GDPR規則的約束。” [2]根據歐盟委員會的前述官方答復，GDPR保護的對象主要為歐盟成員國的公民，而非“世界公民”。所以，上述案例中，如果B公司只對中國公民提供商品或服務，且張某未在法國長期居留以至于取得了“法國公民”的資格，筆者認為，B公司不必然遵守GDPR。

三、《實踐指南》關注點二：適用的數據范圍

來源：全國信息安全標準化技術委員會

企業處理特殊類別（敏感）數據比處理一般個人數據時的注意義務更嚴格，主要如下：（1）個人數據是否為特殊類別（敏感）數據是判斷合法性基礎（即無需數據主體的同意）的特別情形之一，即未經數據主體同意，亦非歐盟法或成員國法律所允許的，控制者應當確認前述處理活動是否與最初收集數據的目的一致；[3]（2）無論企業的規?；蛉藬?，控制者（以及適用情況下的控制者的代理人）均應當依其職責保存處理活動的記錄，處理者（以及在適用情況下的處理者的代表）均應保存代表控制者執行的所有處理活動類別的記錄，而雇員少于250人的企業或組織處理特殊類別（敏感）數據以外的個人數據時，則不必然履行前述保存處理活動記錄的義務[4]；（3）控制者和處理存在處理大規模特殊類別（敏感）個人數據情形的，必須設立數據保護官（Designation of the data protection officer）[5]。

需注意的是，我國《個人信息安全規范》(GB/T 35273—2017)規定的個人敏感信息與GDPR規定的特殊類別（敏感）個人數據都將個人的基因、健康、生物識別信息、性取向、宗教信仰、民族出身等信息囊入其中，但兩者之間具有如下主要區別之處：（1）我國規定的個人敏感信息范圍更加寬泛：除了GDPR列舉的數據種類外，我國將個人財產信息（如銀行賬號、房產信息、信貸記錄、征信信息等）、個人身份信息（如身份證、軍官證、護照、駕駛證、工作證、社?？?、居住證等）、網絡身份標識信息（如系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等）、婚史、通信記錄和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。而按照GDPR規定，網絡身份標識信息、身份信息則未被納入特殊類別（敏感）個人數據范圍之內。（2）兩者的定義模式不同，GDPR對特殊類別（敏感）個人數據的定義采取列舉式，而我國采取概括和列舉并列式：除了前述列式的個人敏感信息類型外，我國規定的人敏感信息泛指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。例如，李四是某證券公司的“操盤手”，手機通訊錄包含了眾多投資機構負責人的聯系方式，如網絡服務提供者泄露了李四手機通訊錄中的聯系人信息，將對李四名譽造成重大損害，那么，李四的“聯系人信息”將從《個人信息安全規范》認定的“個人信息”升級為“個人敏感信息”。

四、《實踐指南》關注點三：數據處理的基本原則

來源：全國信息安全標準化技術委員會

“合法、公正、透明”是企業處理個人數據的首要原則，如何認定“合法”需要結合GDPR第6條關于“合法正當性理由”綜合判定，“公正、透明”強調企業應以方便數據主體明確易懂的方式處理個人信息；“數據最小化”是指以個人數據處理目的之必要為限度，如某P2P平臺搜集了借款人的血型，則易被認定為超出提供借貸撮合服務的“數據最小化”限度；“目的限定”和“儲存限定”原則都規定了例外情形，即為了公共利益、科學或歷史研究或者統計目的而進一步處理，應符合GDPR第89條第1款規定，不應被認定為不符合初始目的或者可以較長時間儲存個人數據，該原則旨在保持數據主體利益與社會公共利益之間的平衡。

“完整性和保密性”是指企業應當采取適度的方式確保個人數據安全，防止未經授權的、非法的處理、意外遺失、滅失或損毀，強調企業處理數據時應履行“安全義務”[6]。數據泄露是全球范圍內最常見的網絡安全事件之一，也是數據主體同意填寫個人信息時最擔心的因素之一，關鍵信息系統、網絡安全和數據安全領域的領導者泰雷茲公司于2018年3月20日發布的《2018泰雷茲數據威脅報告》顯示， 26%的受訪者曾于2016年表示遭遇了數據泄露，2017年的占比上升至36%，而到2018年該比例明顯上升至67%[7]。所以，企業應當采取先進、全面、足夠的技術手段以及管理措施，以保護數據主體信息的“完整性和保密性”。

“問責”是GDPR第5條第2款單獨規定的原則，同時也是保障企業遵循前述六大原則的“兜底原則”，即企業應當證明其自身符合前述六大原則，且應當對造成數據主體的損害承擔賠償責任。

五、《實踐指南》關注點四：數據處理的合法正當性事由

 來源：全國信息安全標準化技術委員會

“數據主體同意”個人數據為一個或多個特定目的而處理是處理數據正當性事由的首要情形，也是我國《網絡安全法》、《民法總則》等個人信息保護方面法律法規規定的強制性要求，常見的同意形式主要體現形式為專門的隱私政策服務條款、用戶注冊協議或具體交易協議中的授權條款、網絡服務提供者制定的履行網絡安全義務的規章制度等等。例如，Facebook 的服務條款之一有如下約定：“針對需要特殊保護的數據（例如您在Facebook用戶畫像范圍內或Life Events專欄內分享的有關您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息）處理，我們就此有權向您選擇的對象披露，且有權對您的內容進行個性化處理?！痹摋l款并未以取得Facebook用戶對其分享宗教觀等數據信息的同意，所以， Noyb.eu vs. Facebook 的訴訟中，Noyb.eu提出的申訴請求之一即是請求通過申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第（a）項及的要求，以及違規程度如何。[8]

其他五種數據處理的合法性正當事由并不以同意為條件，但根據GDPR第6條第2款、第3款、第4款的規定，是否構成合法性正當事由需要滿足較為嚴苛的條件，如認定符合“履行法定義務”和“維護公共利益以及追求正當利益”情形時，需要從被處理的數據類型、目的限制、儲存限制、處理操作和處理程序、個人數據可能被披露的實體等“彈性”因素予以綜合判定，且GDPR同時給予了歐盟成員國對前述情形的立法權。例如， Facebook將對用戶進行營銷的數據處理表述如下：“為了履行我們Facebook服務條款或Instagram使用條款的必要”，Noyb.eu 就該條款認為，Facebook顯然試圖在民商事法律條款中“隱藏”對處理行為的同意，以期引起誤解，使人認為該等處理行為符合GDPR第6條第1點第（b）款的規定。[9]

所以，其他五種數據處理的合法性正當事由的認定難度較大，在援引合法性正當事由的判例出現或者認定具體情形的法律條文出臺前，建議企業仍然需要取得數據主體的“同意”后再進行數據處理。

六、《實踐指南》關注點五：對兒童的特殊保護規定

來源：全國信息安全標準化技術委員會

組織涉及兒童個人數據的處理，尤其需注意履行如下義務：（1）應當采取合理努力，在現有技術條件下，驗證兒童的監護人是否予以同意[10]；（2）GDPR第7條第1款的特別保護措施不應影響到成員國的一般合同法律（如與兒童有關的合同效力、構成或實行）[11]；（3）對于兒童的任何信息，企業應當以簡單明了、且易于獲取的方式以及通過清楚明確的語言，并采取合適措施提供第13 條和第14 條所提到的任何信息（主要為企業從數據主體搜集個人數據時應披露的信息，如企業的身份、聯系方式、儲存限制等）。

（未完待續）

注：本文僅作為學術研究之用，不代表監管的意見，也不屬于法律意見或操作指導。任何對本文觀點的引用，均不代表作者的任何操作指導，作者不承擔任何法律責任。

[1] 《實踐指南》統一采用“組織”表述，如無特別注明，本文內容提及的“企業”與“組織”表示同一主體。

[2]訪問網址：https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.

[3] 詳見GDPR第6條。

[4] 詳見GDPR第30條。

[5] 詳見GDPR第37條。

[6] 具體詳見GDPR第32條至34條。

[7] 訪問網址：https://dtr.thalesesecurity.com/.

[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。

[10] 詳見GDPR第8條第2款。

[11] 詳見GDPR第8條第3款。