深度整理欧盟《一般数据保护法案》(GDPR)核心要点

1、深度整理欧盟一般数据保护法案（GDPR）核心要点刖百：整理本文的原因有三：网上很多关于GDPR的文章并不全面，甚至有误以此机会在公司内部开展关于GDPR的专项培训青莲云的部分客户业务在未来会受到GDPR的影响之后，我们计划编写一系列相关文章，更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施，一来希望与同行企业可以就GDPR进行更多的互动讨论；二来也是希望传播国际法案对于安全和隐私的态度，共同提高物联网安全意识。以下您将了解到：1什么是GDPR（重要）GDPR的发展历程GDPR的关键术语定义（重要）GDPR会影响哪些企业（重要）GDPR不适用于哪些情况GDPR约束了哪些数据（重要）G

2、DPR中数据主体的权利（重要）GDPR中处理个人数据的基本原则（重要）GDPR中对合法处理数据的定义GDPR中针对儿童数据的处理规定GDPR中数据控制者与数据处理者的义务（重要）GDPR中针对特别类型个人数据的处理规定GDPR中关于数据主体被遗忘权的规定（重要）GDPR中关于数据主体可携带权的规定（重要）GDPR中关于个人数据泄露通知的规定（重要）GDPR中关于设立数据保护官的规定GDPR关于执法和处罚的规定（非常重要）总结什么是GDPR2016年4月14日，欧洲议会投票通过了商讨四年的一般数据保护法案GeneralDataProtectionRegulation（GDPR）,新法案由11章共

3、99条组成，该法案将于2018年5月25日正式生效，将取代现有的数据保护指示（DataProtectionDirective95/46/EC），统一欧盟成员国关于数据保护的法律法规。此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规，其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案GDPR的发展历程大事件记20仃年2月1013年5月20121月2016年4月20帕年8月議止对主导监GDPR将于2016欧洲议發提出改芟必盟欧洲议

4、去通过K通用個盟网绍与信息管机构指南提年明25日全面数据保护法或数据煤护条例3安全指令主效出意见施行201512月SOW年5月201612月120174月欧洲谏妄一致同厲有关在执注过翟中歟信微软预实施最變揩南制定新的欧盟数公民享有数据保护(Microsoft)进行评估.认证摇保护注规枚的欧盟指令生对WindowlO效，GDPR启用+欧收集的个人散（图片来自网络）GDPR的关键术语定义个人数据：是指任何指向一个已识别或可识别的自然人（数据主体）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识，或者是通过参照针对该自然人一个或多个如物

5、理、生理、遗传、心理、经济、文化或社会身份的要素。处理：是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁，无论此操作是否釆用自动化手段。匿名化：是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。数据控制者：能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。数据处理者：是指为数据控制者处理个人

6、数据的自然人、法人、公共机构、行政机关或其他非法人组织。数据接受者：只是接收到被传递的个人数据的主体，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据，不得视为数据接受者”。个人数据外泄：是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。GDPR会影响哪些企业欧盟GDPR法案具有域外效应。也就是说，GDPR赋予了欧盟在个人信息安全方面的域外管辖权。主要受影响的企业为以下四类:设立在欧盟境内的企业（控制者、处理者）未在欧盟境内设立，但向欧盟境内的数据主体

7、（自然人）提供产品和服务的企业（控制者、处理者）未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（控制者、处理者）未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（控制者、处理者）总结来说，GDPR不仅适用于位于欧盟境内的企业组织机构，也适用于位于欧盟以外的企业组织机构，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案，数据控制者也无法免除责任，GDPR规定控制者需要承担更多的责任，以确保和数据

8、处理者之间的合同能够严格遵守GDPR的规定。GDPR不适用于哪些情况GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:为了预防、调查、侦查或起诉刑事犯罪，主管当局为执行刑事处罚目的而产生的数据处理行为基于国家安全目的而产生的数据处理行为自然人在纯粹的个人或家庭活动中产生的数据处理行为自然人在纯粹的个人或家庭活动中产生的数据处理行为欧盟法律规定范围之外的活动过程中产生的数据处理行为GDPR约束了哪些数据个人数据：可以通过某个标识直接或间接识别某一自然人的信息。不管是釆用自动化手段还是人工进行归类的数据，包括按时间顺序排列的包含个人数据的记录集合。已经被匿名化的

9、个人数据，取决于用已有标识来识别特定个体的困难程度。敏感个人数据：也被称为“特殊种类的个人数据”。包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。包括遗传数据和经过处理可以唯一识别个体的生物特征数据。不包括涉及刑事定罪和罪行的个人数据，但该类数据的处理和保存有特殊要求。GDPR中数据主体的权利（第三章）知情权访问权反对权可携带权纠正权删除权/被遗忘权限制处理权免受数据画像影响GDPR中处理个人数据的基本原则丨合法、正当、透明处理数据的目的是有限的仅处理为达到目的的最少数据确保数据准确、及时更新存储数据的期限不得长于为达到目的所需要的时间釆取技术和管理措施以保护数据的安全数

10、据控制者有责任并应能够证明做到了以上几点GDPR中对合法处理数据的定义至少满足一下中的某一项，处理数据才是合法的数据主体同意为了特定目的处理其数据处理数据是为了签订或履行合同的需要处理数据是为了遵守法定义务的需要处理数据是为了保护数据主体或其他自然人的至关重要的利益处理数据是为了公共利益或形式政府授受的权力处理数据是为了追求数据控制者的合理利益，但不得损害数据主体的利益GDPR中针对儿童数据的处理规定处理16岁以下儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整，但是不得低于13岁GDPR中数据控制者与数据处理者的义务设置DPO（数据保护官）文档化管理数据

11、保护影响评估事先咨询机制数据泄露报告机制安全保障措施遵守数据跨境转移规则GDPR中针对特别类型个人数据的处理规定禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已釆取了适当的保护手段等。GDPR中关于数据主体被遗忘权的规定（重要）当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个

12、人删除其个人数据。如果该数据被传递给了任何第三方（或第三方网站），数据控制者应通知该第三方删除该数据。GDPR中关于数据主体可携带权的规定（重要）数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。GDPR中关于个人数据泄露通知的规定（重要）数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误的通知数据主体，以便数据主体及时釆取措施。GDPR中关于设立数据保护官的规定为确保数据保护合规并处理数据保护相关事务，数据控制者和数据处理者需设置数据保护官DPO）。控制者和处理者应当对数据保护官不下

13、达任何指令，DPO不能因为执行任务的原因被解雇或者受到刑事处罚。数据保护官直接向最高管理者报告工作。根据联盟法律或者成员国法律规定，数据保护官应当对其执行任务的内容进行保密。数据保护官也可以执行其他任务，履行其他职责。GDPR关于执法和处罚的规定（非常重要）不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定：对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%（两者中取数额大者）；2%（两者中取数额大者）对于严重的违法，罚款上限是200

14、0万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）；判罚的严重程度是基于以下因素：l违规的性质、严重程度和违规的持续时间违规是故意的还是因疏忽造成的对个人身份信息的责任心和控制程度违规是单个事件还是重复事件受到影响的个人资料的种类范围数据主体遭遇的损害程度为了减轻损害而釆取的行动由违规产生的财务预期或收益GDPR核心旨在保护隐私数据，并通过法案约束来建立企业和公民之间的信任关系，违反GDPR的代价远不止财务层面，还将给企业声誉造成极大破坏，并且导致企业和消费者之间产生信任危机总结由于青莲云所在的物联网行业也处于GDPR法案的约束之中，故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利