通用數據保護條例

歐盟《通用數據保護條例》

壹.序言。

貳. GDPR的地域適用範圍。

叄.個人敏感數據。

肆.問責機制—從設計著手隱私保護和默認隱私保護。

伍. 數據主體的權利（知情權）。

陸.數據主體的權利（訪問權、更正權和可攜權）。

柒.數據主體的權利（刪除權、限制處理權、反對權和自動化個人決策相關權利）。

捌.數據處理者。

玖.數據泄露和通知 。

拾. 數據保護官。

拾壹. GDPR下的數據處理者。

歐盟議會於2016年4月14日通過的《通用數據保護條例（General Data Protection Regulations）》（“GDPR”）將於2018年5月25日在歐盟成員國內正式生效實施。該條例的適用範圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。比如，即使一個主體不屬於歐盟成員國的公司（包括免費服務），只要滿足下列兩個條件之一：

（1）為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。

（2）為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。

歐洲隱私法律的地域適用範圍正在通過GDPR不斷擴大。而正是由於這種適用範圍的擴大，位於歐盟境外、不受現行歐洲隱私法律規制的許多組織也將隨著GDPR的實施而不得不適用歐盟隱私法律。GDPR要求這些組織及時對GDPR的“合規”要求作出回應。

第一，GDPR適用於在歐盟境內設有業務機構（establishment）的組織，只要這些組織在業務機構在歐盟境內的活動中處理個人數據（而不論此類處理行為是否實際發生在歐盟境內）。

對“場地（location）”這一概念的解釋必須寬泛、靈活。要求是通過可持續場地進行有效、真實的活動（小型活動即可）。法律形式（例如分公司或具有法人資格的子公司）並不是決定性因素。因此，在歐盟境內設有唯一代表即足以符合適用條件。

並不要求個人數據處理行為必須由該業務機構自身進行。但是要求此類處理行為必須是在業務機構的活動中發生的（通常是同時具備上述兩個特點，但必須始終滿足此句所述條件）。如果業務機構的活動與母公司的活動密不可分（例如，業務機構存在的目的就是為了母公司的經濟效益），則相關的個人數據處理行為就應當受到GDPR的規制。

因此，如果業務機構（例如分公司或聯絡代理）的活動與位於歐盟境外的組織進行的個人數據處理密不可分，則應當適用GDPR。

第二，如某一組織雖不在歐盟境內設立業務機構，但卻處理歐盟境內個人的個人數據，並且此類處理行為與向歐盟境內個人提供商品或服務相關，無論該等商品或服務是否收費，則也應當適用GDPR。

如果非歐盟組織機構意圖向歐盟境內個人提供商品或服務，則其將被視為在歐盟境內提供商品或服務。僅僅是能從歐盟境內訪問網站或其聯繫方式或使用該組織設立國家常用的語言原則上不足以被視為有上述意圖。使用一個或多個成員國的語言和/或貨幣、來自歐盟客戶（例如在網站上）的推薦、使用搜尋引擎中針對一個或多個成員國的廣告和/或使用頂級域名（例如.eu或.nl）可能導致商品或服務被視為在歐盟境內提供。

第三，GDPR適用於非歐盟組織處理歐盟境內個人的個人數據，只要此類處理行為涉及對這些個人的行為進行監控，且該處理行為發生在歐盟。

如果（尤其是）為了作出與這些個人有關的決定或者為了分析或預測其個人喜好、行為和態度，而在網際網路上追蹤這些個人，且在此過程中使用了處理技術來形成畫像等，則構成監控行為。

目前尚不清楚監控行為到何種程度才適用GDPR。原則上，使用所謂的“追蹤cookies”和監控使用的應用程式的網站在GDPR的適用範圍內（只要該等網站處理個人數據）。歐洲法院最近裁定，在某些情況下，動態IP位址也可視為個人數據。因此，存儲動態IP位址日誌數據的網站的所有者也可能受GDPR的規制。

各類組織最好確認其活動是否在GDPR的地域適用範圍內。鑒於“業務機構”和“提供商品或服務”標準的解釋較為寬泛，所以更應如此。貫徹落實GDPR需要大量的時間、規劃和資源。

根據荷蘭《個人數據保護法》（Personal Data Protection Act，“DPA”），“同意”是處理個人數據的六項法律依據之一。在沒有法律依據的情況下處理個人數據是不被允許的。歐盟《一般數據保護條例》（General Data Protection Regulation，“GDPR”）也規定，“同意”是數據處理的法律基礎。GDPR的多個部分都提到了同意機制。基於此，本文主要對DPA和GDPR在以下方面的差異進行闡述：（1）同意機制的法律框架和（2）有效同意的構成要件。

DPA下“同意”的概念完全依照歐盟第95/46/EC號指令中的定義，即“數據主體的同意是指：數據主體依照其意願自由作出的特定的、知情的指示。通過該等指示，數據主體表明其同意處理與其相關的個人數據。”

法律框架由多個可廣泛解釋的條款構成，這使其產生了法律不確定性。因此，一個由歐洲隱私監管機構組成的獨立諮詢顧問機構——第29條工作組，在2011年7月對“同意”概念作出了全面分析。工作組的意見解釋了同意機制相關法律框架的幾個關鍵要素。這些要素是，並且一直是歐盟數據保護機構解釋“同意”概念的重要指南。簡而言之：

同意必須是自由作出的。這意味著數據主體在作出同意時，其選擇是真實的，例如，不存在受到脅迫或者欺詐的風險。如果數據主體會受到數據控制者的影響（例如，數據控制者是數據主體的僱主，或者是一個公共權威），則考慮到此類關係的性質，同意並不當然被認為是自由作出的。

同意必須是特定的。無明確目的的概括式的同意是無效的。同意應當清晰準確地指明數據處理的範圍和結果。特定的同意條款需要與一般條款相區分。

同意必須是在知情的情況下作出的。根據DPA第33、34條，數據控制者必須向數據主體提供一定的關於數據處理的最低限度的信息。被提供的信息應足以保證數據主體能夠作出充分知情的選擇。至於信息的質量，信息提供必須使用數據主體能夠理解的語言。複雜的法律術語是不合適的。

而且，被提供的信息必須是清楚且足夠顯著的，以使數據主體不能輕易忽略。另外，信息必須是直接提供給數據主體的，僅指示可供訪問的信息的地址（例如，網路上的“某處”）是不夠的。

同意還須結合DPA中提到的進一步要求。基於同意的數據處理，要求該同意是明確的。數據主體明確作出的指示，不能對其意願留有不明確的空間。如果存在合理懷疑，則認為不明確。

根據第29條工作組的意見，不明確的同意不適用於基於不作為或者沉默取得同意的方式（例如，不適用於預先勾選的選擇框）。

在處理特殊類別的數據（例如，健康數據）時，同意必須是明示的。需要數據主體給予積極回復。

GDPR第4條第11款將“同意”定義為：“數據主體的同意是指，數據主體依照其意願自由作出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為作出的該等指示，數據主體表明其同意處理與其相關的個人數據。”

從該新法律框架看，歐洲立法者似乎在其對法律框架的整體評估中回應了第29條工作組提出的某些修改。鑒於歐盟第95/46/EC號指令下“同意”的概念被一字不變地移植到DPA中，因此從荷蘭法的角度並沒有太多改動（與其他歐盟成員國相比）。該定義已變得更加規範，但大部分並非新內容。最主要的修改如下：

同意必須以聲明或清晰肯定的行為作出。數據主體的行為是明確被要求的。包括，例如，點擊對話框和選擇特定的技術網路瀏覽器設定。因此，預先勾選的選擇框並不構成同意。

根據第29條工作組的分析，“同意”似乎要求數據主體作出行為，現在GDPR明確了這一要求。這就需要相關組織重新考慮其目前從數據主體處取得同意的方式。

GDPR第7條規定了有效同意的要件，其中某些在DPA中沒有具體規定。有效同意的要件之一是，數據控制者必須能夠證明，數據主體確實同意處理其個人數據。書面聲明不是必須的，但推薦使用，因為證明責任在數據控制者這邊。網上作出同意的充分記錄（例如，通過在網站上的聯繫方式）應當作為標準。

如果數據主體通過書面聲明的方式作出同意，且書面聲明涉及其他事項，那么同意應以易於理解且與其他事項顯著區別的形式呈現。如果信息的提供不符合本規定，同意將可能無效。

根據DPA，數據主體有權隨時撤回其同意。撤回同意應當同給出同意一樣容易。GDPR的新規定為，數據主體必須在作出同意前被告知其撤回權。此外，數據主體還必須被告知撤回不影響在撤回前基於同意對其個人數據的處理。這不僅需要隱私政策的修訂，也可能需要相關組織內部流程的改變，以確保撤回同意與給出同意同樣容易。

對於向兒童提供信息社會服務（簡而言之：所有線上服務，無論是免費的或付費的，包括社交媒體），應當適用特殊的同意規則。原因是，兒童應被給予額外的保護，因其一般都缺乏對風險、保障措施和與處理個人數據相關權利的了解。這種特殊的保護應適用於，當服務被直接提供給兒童時，兒童的個人數據被用於市場行銷或創建個性/用戶模型，以及收集兒童的個人數據的情況。任何信息和溝通都應當以清晰且簡明的語言表達，使得兒童容易理解。

只有在兒童年滿16周歲時，基於同意的數據處理才是合法的。如果兒童未滿該年齡，則只有在有監護權的父母同意（或授權）的情況下，數據處理才是合法的。歐盟各成員國可以規定更低的年齡門檻，但不得低於13周歲。荷蘭將不會規定更低的年齡（據立法者稱，沒有理由改變目前的情況）。歐盟範圍內的相關組織，在取得同意的基礎上處理兒童的個人數據時，應了解歐盟各成員國在這方面的立法。

對於缺乏法律行為能力的其他數據主體，《GDPR荷蘭實施法案》（“實施法案”）規定，被接管（curatele）或置於保護令（mentorschap）之下的數據主體，也需要其法定代表人的同意（同意也可由法定代表人撤回）。

考慮到現有技術，數據控制者應作出合理的努力，以證明同意實際是由法定代表人作出或授權的。

GDPR第171條規定：

“GDPR將取代歐盟第95/46/EC號指令。本條例施行之日已在進行中的數據處理，須在本條例生效之日起兩年內符合本條例的規定。若處理是基於歐盟第95/46/EC號指令下的同意，且該同意的形式符合本條例的規定，則數據主體不需要再次給出同意，以使數據控制者在本條例施行之後繼續處理。（…）”

主要規則是，如果同意的取得符合GDPR規定，則不需要相關組織再次取得同意。然而，當在DPA下取得的同意不符合GDPR的規定時，該同意是否將在2018年5月25日失去效力，並不完全清楚。可以認為，歐洲立法者最為重視處理的連續性：“以使數據控制者在本條例施行之後繼續處理”。另一方面，根據第171條的具體表述（“本條例施行之日已在進行中的數據處理，須在本條例生效之日起兩年內符合本條例的規定”以及“如果該同意的形式符合本條例的規定”）所得出的結論是：同意應被重新取得。

作為對實施法案質詢的一部分，這個問題被提交給了荷蘭立法者。其可能在下一版本實施法案（解釋備忘錄）中被進一步澄清。

將數據主體的同意作為數據處理活動的合法依據的相關組織，應當檢查當前取得的同意是否符合GDPR的要求。如果不符合，內部流程應當遵照這些要求，數據控制者也應當考慮按照GDPR的要求重新取得同意（以避免在2018年5月25日後同意失效的風險）。此外，相關組織應建立機制以證明同意是有效的，並確保同意可以被容易地撤回。

相關組織可以進一步考慮，其他（也許更適當的）數據處理的法律依據是否可行和理想。

相關組織未能履行新的義務，將面臨荷蘭數據保護監管機構（de Autoriteit Persoonsgegevens）或者歐盟其他國家活躍的監管機構的嚴重行政罰款的風險。

本第三份關於《通用數據保護條例》的業務通訊將闡述，荷蘭《個人數據保護法》（Personal Data Protection Act，“DPA”）所實施的《數據保護指令》（第95/46/EC號指令）和《通用數據保護條例》（General Data Protection Regulation，“GDPR”）下個人敏感數據處理的差異。

乍看之下，在個人敏感數據處理方面，GDPR（較第95/46/EC號指令）的變化似乎是有限的。與DPA相似，原則上禁止處理個人敏感數據，並且，處理此類數據的依據也與DPA大致相同。

根據GDPR，涉及以下一種或一種以上類別的個人數據視為敏感數據:

1.種族或民族出身

2.政治觀點

3.宗教/哲學信仰

4.工會成員身份

5.涉及健康、性生活或性取向的數據

6.基因數據（新）

7.經處理可識別特定個人的生物識別數據（新）

除目前個人敏感數據明確包括基因數據和生物識別數據外，上述類別大致與DPA中的類別相似。此外，根據GDPR，處理照片並不當然地被認為是處理個人敏感數據。僅在通過特定技術方法對照片進行處理，使其能夠識別或認證特定自然人時，照片才被認為是生物識別數據。

根據GDPR，敏感數據的處理僅在下列例外情況下才被允許：

1. 數據主體明示同意。該等同意應當是自由作出的，特定的，知情的且明確的（參見2017年2月的業務通訊）。需要注意的是，僱主對員工醫療數據的處理（包括藥物或酒精測試）不能以員工的同意為依據。這是因為，考慮到雙方的層級關係，這種同意不被視為是自由作出的。

2. 在勞動法、社會保障法或社會保護法領域，僱主對此類數據的處理必須在歐盟或成員國法律或集體協定授權的範圍內進行。

3. 在數據主體因為身體上或法律上的原因（緊急情況）不能作出同意時，為保護數據主體或他人的重大利益之目的所必需的處理。

4. 處理是由具有政治、哲學、宗教或工會目的的非營利團體進行的，並且該等處理僅涉及團體成員或前成員，同時，相關數據在未經數據主體同意的情況下不會向第三方披露。

5. 涉及已由數據主體公開的個人數據的處理。

6. 為合法訴求的成立、行使或抗辯或法院行使其司法職能之目的所必需的處理。

7. 根據歐盟或成員國的法律，為重大公共利益所必需的處理。該處理所追求的目的應當是適當的，且包含合理的數據保護措施。

8. 根據歐盟或成員國的法律或與醫療專業人士的契約，為預防醫學或職業醫學，為評估雇員的工作能力，醫療診斷，提供衛生或社會保健或治療或衛生社會保健系統和服務管理之目的所必需的處理。

9. 根據歐盟或成員國法律規定以適當的、特定的措施保障數據主體的權利和自由，在公共健康領域中為公共利益之目的所必需的處理。例如抵禦嚴重的跨境衛生威脅，或確保醫療保健和醫藥產品或醫療器械的高標準。

10. 根據歐盟或成員國法律，為公共利益，統計，科學或歷史研究之目的所必需的處理。該處理所追求的目的應當是適當的，尊重數據保護的基本權利，並採取了適當的、特定的措施以保障數據主體的基本權利和利益。

雖然在個人敏感數據的類型和數據處理的依據方面基本複製了DPA，但GDPR仍帶來了新的變化。

首先，上述第2，7，8，9，10項參照成員國法作為數據處理的法律依據，同時，GDPR允許歐盟成員國維持或引入更多條件，包括關於處理基因數據，生物識別數據或健康數據的限制。

因此，在這些方面，成員國之間的分歧可能會繼續存在，也可能進一步加深。

最近，荷蘭政府發布了一項對於實施法案的提議。根據本實施法案，處理個人敏感數據的條件仍與DPA的規定相似。

第二，當個人數據的處理可能給數據主體的權利或自由造成高風險時，相關組織有義務進行隱私影響評估（Privacy Impact Assessment，“PIA”）。PIA的目的是識別此類高風險以及制定應對風險的措施。PIA必須在處理開始之前進行。

GDPR明確規定，在對個人敏感數據或與刑事記錄和犯罪相關的個人數據進行大規模處理前，必須進行PIA。（我們將會在後續GDPR業務通訊中更詳細地論述PIA）

第三，個人敏感數據的大規模處理可能要求數據控制者（或處理者）委派一位數據保護專員（Data Protection Officer，“DPO”）。我們將在接下來的業務通訊中講解DPO和PIA。

就個人敏感信息處理而言，GDPR的生效將不會對現行做法產生實質性影響，乍看之下其變化似乎也是有限的。但是，這些變化可能會對相關組織處理個人敏感數據的方式產生影響。因此，涉及個人敏感數據處理的相關組織須審查現有的政策和做法，並確保：

1.在大規模處理個人敏感數據之前實施了PIA；

2.若基於同意處理個人敏感數據，則該等同意應滿足GDPR項下的新要求。注意：在僱傭關係中，原則上，同意處理敏感數據不被認為是自願作出；

3.根據需要委派DPO；

4.個人敏感數據的處理須滿足相關成員國的條件（包括限制）。

2018年5月25日，歐洲聯盟出台了《通用數據保護條例》。

2018年5月28日報導，Facebook和谷歌等美國企業成為GDPR法案下第一批被告。

資料圖