导读：将于 2018 年 5 月生效的 GDPR 对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产 生显著影响，并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出 11 篇系列原创文章，以协助中 国企业从实务角度理解和遵从 GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。 壹.序言 贰. GDPR 的地域适用范围 叁.个人敏感数据 肆.问责机制—从设计着手隐私保护和默认隐私保护 伍. 数据主体的权利（知情权） 陆.数据主体的权利（访问权、更正权和可携权） 柒.数据主体的权利（删除权、限制处理权、反对权和自动化个人决策相关权利） 捌.数据处理者 玖.数据泄露和通知 21000 字 拾. 数据保护官 拾壹. GDPR 下的数据处理者 欧盟议会于 2016 年 4 月 14 日通过的《通用数据保护条例(General Data Protection Regulations)》（ “GDPR”）将 于 2018 年 5 月 25 日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛，任何收集、传输、保留或处理涉 及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如，即使一个主体不属于欧盟成员国的公司（包 括免费服务） ，只要满足下列两个条件之一： （1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。 （2）为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息，其就受到 GDPR 的管辖。 毫无疑问，GDPR 将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律 监管障碍。违反该条例将会导致严重的法律后果；其中，重大违反(Most Severe Infringement)所遭致的行政罚款 的上限是 2000 万欧元或该企业上一财年全球年度营业总额的 4%(以较高者为准)。 为协助中国企业应对 GPDR 的合规要求以及潜在的法律风险，自 2018 年 1 月起，大成数据保护团队将于每周四通过 公众号“个人信息与数据保护实务评论” ，定期推送 GDPR 实务指引系列专业文章，供读者参考。本系列实务文章的 英文版本是由大成荷兰办公室(Dentons Boekel N. V.)的合伙人律师 Marc Elshof 团队完成。针对本系列文章有相 关问题，请与邓志松律师(北京，zhisong.deng@dentons.cn)或戴健民律师(上海，jianmin.dai@dentons.cn)联系。 欧洲隐私法律的地域适用范围正在通过 GDPR 不断扩大。而正是由于这种适用范围的扩大，位于欧盟境外、不受现 行欧洲隐私法律规制的许多组织也将随着 GDPR 的实施而不得不适用欧盟隐私法律。GDPR 要求这些组织及时对 GDPR 的“合规”要求作出回应。 第一，GDPR 适用于在欧盟境内设有业务机构（establishment）的组织，只要这些组织在业务机构在欧盟境内的活 动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内） 。 对“场地（location）”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动（小型活 动即可） 。法律形式（例如分公司或具有法人资格的子公司）并不是决定性因素。因此，在欧盟境内设有唯一代表 即足以符合适用条件。 并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的 （通常是同时具备上述两个特点，但必须始终满足此句所述条件）。如果业务机构的活动与母公司的活动密不可分 （例如，业务机构存在的目的就是为了母公司的经济效益），则相关的个人数据处理行为就应当受到 GDPR 的规制。 因此，如果业务机构（例如分公司或联络代理）的活动与位于欧盟境外的组织进行的个人数据处理密不可分，则应 当适用 GDPR。 第二，如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟 境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用 GDPR。 如果非欧盟组织机构意图向欧盟境内个人提供商品或服务，则其将被视为在欧盟境内提供商品或服务。仅仅是能从 欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多 个成员国的语言和/或货币、来自欧盟客户（例如在网站上）的推荐、使用搜索引擎中针对一个或多个成员国的广 告和/或使用顶级域名（例如.eu 或.nl）可能导致商品或服务被视为在欧盟境内提供。 第三，GDPR 适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控， 且该处理行为发生在欧盟。 如果（尤其是）为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度，而在互联网上追踪 这些个人，且在此过程中使用了处理技术来形成画像等，则构成监控行为。 目前尚不清楚监控行为到何种程度才适用 GDPR。原则上，使用所谓的“追踪 cookies”和监控使用的应用程序的网 站在 GDPR 的适用范围内（只要该等网站处理个人数据）。欧洲法院最近裁定，在某些情况下，动态 IP 地址也可视 为个人数据。因此，存储动态 IP 地址日志数据的网站的所有者也可能受 GDPR 的规制。 后续措施 各类组织最好确认其活动是否在 GDPR 的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较 为宽泛，所以更应如此。贯彻落实 GDPR 需要大量的时间、规划和资源。 同意——处理个人数据的正当理由 根据荷兰《个人数据保护法》（Personal Data Protection Act，“DPA”） ，“同意”是处理个人数据的六项法律依据 之一。在没有法律依据的情况下处理个人数据是不被允许的。欧盟《一般数据保护条例》 （General Data Protection Regulation，“GDPR”）也规定，“同意”是数据处理的法律基础。GDPR 的多个部分都提到了同意机制。基于此，本 文主要对 DPA 和 GDPR 在以下方面的差异进行阐述：（1）同意机制的法律框架和（2）有效同意的构成要件。 同意的法律框架 DPA 下“同意”的概念完全依照欧盟第 95/46/EC 号指令中的定义，即“数据主体的同意是指：数据主体依照其意愿 自由作出的特定的、知情的指示。通过该等指示，数据主体表明其同意处理与其相关的个人数据。 ” 法律框架由多个可广泛解释的条款构成，这使其产生了法律不确定性。因此，一个由欧洲隐私监管机构组成的独立 咨询顾问机构——第 29 条工作组，在 2011 年 7 月对“同意”概念作出了全面分析。工作组的意见解释了同意机制 相关法律框架的几个关键要素。这些要素是，并且一直是欧盟数据保护机构解释“同意”概念的重要指南。简而言 之： 同意必须是自由作出的。这意味着数据主体在作出同意时，其选择是真实的，例如，不存在受到胁迫或者欺诈的风 险。如果数据主体会受到数据控制者的影响（例如，数据控制者是数据主体的雇主，或者是一个公共权威），则考 虑到此类关系的性质，同意并不当然被认为是自由作出的。 同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定 的同意条款需要与一般条款相区分。 同意必须是在知情的情况下作出的。根据 DPA 第 33、34 条，数据控制者必须向数据主体提供一定的关于数据处理 的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量，信息提供必须 使用数据主体能够理解的语言。复杂的法律术语是不合适的。 而且，被提供的信息必须是清楚且足够显著的，以使数据主体不能轻易忽略。另外，信息必须是直接提供给数据主 体的，仅指示可供访问的信息的地址（例如，网络上的“某处”）是不够的。 同意还须结合 DPA 中提到的进一步要求。基于同意的数据处理，要求该同意是明确的。数据主体明确作出的指示， 不能对其意愿留有不明确的空间。如果存在合理怀疑，则认为不明确。 根据第 29 条工作组的意见，不明确的同意不适用于基于不作为或者沉默取得同意的方式（例如，不适用于预先勾 选的选择框） 。 在处理特殊类别的数据（例如，健康数据）时，同意必须是明示的。需要数据主体给予积极回复。 GDPR 下同意的法律框架 GDPR 第 4 条第 11 款将“同意”定义为： “数据主体的同意是指，数据主体依照其意愿自由作出的、特定的、知情的、 明确的指示。通过以声明或清晰肯定的行为作出的该等指示，数据主体表明其同意处理与其相关的个人数据。” 从该新法律框架看，欧洲立法者似乎在其对法律框架的整体评估中回应了第 29 条工作组提出的某些修改。鉴于欧 盟第 95/46/EC 号指令下“同意”的概念被一字不变地移植到 DPA 中，因此从荷兰法的角度并没有太多改动（与其 他欧盟成员国相比） 。该定义已变得更加规范，但大部分并非新内容。最主要的修改如下： 同意必须以声明或清晰肯定的行为作出。数据主体的行为是明确被要求的。包括，例如，点击对话框和选择特定的 技术网络浏览器设置。因此，预先勾选的选择框并不构成同意。 根据第 29 条工作组的分析，“同意”似乎要求数据主体作出行为，现在 GDPR 明确了这一要求。这就需要相关组织 重新考虑其目前从数据主体处取得同意的方式。 GDPR 下有效同意的要件 GDPR 第 7 条规定了有效同意的要件，其中某些在 DPA 中没有具体规定。有效同意的要件之一是，数据控制者必须能 够证明，数据主体确实同意处理其个人数据。书面声明不是必须的，但推荐使用，因为证明责任在数据控制者这边。 网上作出同意的充分记录（例如，通过在网站上的联系方式）应当作为标准。 如果数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著 区别的形式呈现。如果信息的提供不符合本规定，同意将可能无效。 根据 DPA，数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR 的新规定为，数据主体必须在 作出同意前被告知其撤回权。此外，数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这 不仅需要隐私政策的修订，也可能需要相关组织内部流程的改变，以确保撤回同意与给出同意同样容易。 儿童的同意 对于向儿童提供信息社会服务（简而言之：所有在线服务，无论是免费的或付费的，包括社交媒体） ，应当适用特 殊的同意规则。原因是，儿童应被给予额外的保护，因其一般都缺乏对风险、保障措施和与处理个人数据相关权利 的了解。这种特殊的保护