什么是GDPR?
《通用数据保护条例》(英语:General Data Protection Regulation,缩写作 GDPR;欧盟法规编号:(EU) 2016/679[2]),又名《通用数据保护规则》,是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人数据出口。GDPR 主要目标为取回个人对于个人数据的控制,以及为了国际商务而简化在欧盟内的统一规范。
GDPR取代了欧盟在1995年推出的欧盟个人数据《数据保护指令》(Data Protection Directive)95/46/EC,该条例包含有关处理欧盟内部数据主体的个人可识别信息的条款和要求,适用于与欧洲做生意的所有企业,不论实体位置何在。处理个人数据的业务流程必须在设计和默认情况下构建数据保护,这意味着个人数据必须使用假名化或匿名化进行存储,并且默认使用尽可能最高的隐私设置,以避免公开数据未经明确同意,并且不能用于识别没有单独存储附加信息的主题。任何个人数据除非在法规规定的合法基础上完成,否则数据控制者或处理者已经从数据所有者那里获得明确的选择同意。数据所有者有权随时撤销此权限。
个人数据处理者必须清楚地披露任何数据收集,声明数据处理的合法基础和目的,保留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格式请求处理器收集的数据的便携式副本,并有权在特定情况下删除其数据。 公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员(DPO)负责管理GDPR的合规性。如果数据泄露对用户隐私产生不利影响,企业必须在72小时内报告任何数据泄露。
本法案在2016年4月27日通过,两年的缓冲期后,在2018年5月25日强制执行[4]。根据欧洲联盟运作条约第288条第2项,因为GDPR属于欧盟条例(英语:regulation;德语:Verorderung),不是指令(英语:directive;德语:Richtlinie),所以不需经过欧盟成员国立法转换成各国法律,而可直接适用。随着英国在2019年脱离欧盟,它于2018年5月23日御准批准了2018年数据保护法案 。该法案包含了相应的法规和保护措施。
GDPR的原则
OECD 发表“个人数据隐私和跨境流动保护指南”,这是欧盟和美国批准的一系列建议,旨在保护个人数据和隐私的基本人权。最初于1980年9月23日通过法律,并且基于以下八大原则[10]产生出后来的 GDPR 、95/46/EC。
取得限制 (Collection Limitation Principle)
个人数据的收集应存在适当的限制,进而以合法且公平的方式取得,并且透过适当的方法知会数据来源或者主体,再进一步取得同意。
数据品质 (Data Quality Principle)
个人数据应与其使用目的相关,并且在必要的范围内,确保数据的准确性以及完整性,并随时更新。
目的明确 (Purpose Specification Principle)
数据取得的目的应于收集数据时就清楚说明,并且在使用数据时,如果没有通知来源主体,不得应用在和当初目的不相关的用途上
使用限制 (Use Limitation Principle)
除非经数据主体或法律授权,否则不得将个人数据用于原始或者特定目的以外之目的
安全防护 (Security Safeguards Principle)
个人数据应受到合理的安全保护措施之保障,以防止丢失或未经授权的访问,破坏,使用,修改或披露数据等风险。
开放原则 (Openness Principle)
关于个人数据开发、应用方法,应有一个通用的开放政策去规范。并且数据主体可以轻松得取得关于其本身数据的细节,例如数据使用者的身份以及目的等等。
个体参与 (Individual Participation Principle)
数据主体拥有数据的取用权,也有数据的拒绝被使用权。此外也能够质疑数据的正确性,并作出合理的处置(删除、修改等)。
责任原则 (Accountability Principle)
数据持有者应对上述原则负责。