GDPR是什么?
2021-04-16 11:40:51
GDPR即《通用数据保护条例》(General Data Protection Regulation),是欧盟于2016年通过、2018年正式实施的一项数据保护法律框架,旨在统一欧盟成员国的数据隐私法规,强化个人数据保护并规范企业数据处理行为。
1. 适用范围- 保护对象:仅针对“个人数据”(personal data),即与已识别或可识别的自然人相关的信息(如姓名、身份证号、位置数据、在线标识等)。不包括死者、胎儿数据或匿名化后无法识别个体的信息。
对敏感个人数据(如种族、政治观点、宗教信仰、健康状况等)设定更严格的收集、使用规则。
- 管辖范围:
数据控制者或处理者在欧盟设有营业场所,无论数据处理行为发生在境内或境外;
未设营业场所但向欧盟居民提供商品/服务,或监控其网络行为;
根据国际公法需适用欧盟法律的组织。
- 权利主体:数据主体须为欧盟居民(通常要求具有成员国国籍)。
- 义务主体:
数据控制者:决定数据处理目的和方式的主体(如企业、机构)。
数据处理者:代表控制者处理数据的第三方(如云服务提供商)。
GDPR规定了七项核心原则,要求数据处理行为必须遵循:
- 合法、公平、透明:处理需有合法依据,且向数据主体公开目的和方式。
- 目的限定:数据收集需明确、合法,后续处理不得违背初始目的(公共利益、科研等例外)。
- 数据最小化:仅收集与处理目的直接相关且必要的个人数据。
- 准确原则:确保数据准确、及时更新,错误数据需及时修正。
- 有限留存:数据保存期限不得超过实现处理目的所需时间(公共利益、科研等例外)。
- 完整与机密:通过技术手段保障数据安全,防止未经授权的访问、泄露或损毁。
- 责任原则:控制者需对前六项原则的遵守负责,并承担违规后果。
- 合法性条件(GDPR第6条):
数据主体明确同意处理其数据;
为履行与数据主体的合同(如订单处理)或签订合同前的必要步骤;
遵守法律义务(如税务申报);
保护数据主体或其他自然人的重大利益(如紧急医疗救助);
履行公共利益任务(如公共卫生管理);
控制者或第三方的合法利益(需权衡数据主体权利,儿童利益优先)。
- 特殊规则:
敏感数据:需获得明确同意或满足公共利益、法律要求等条件。
自动化决策:禁止仅基于自动化处理(如算法评分)做出对数据主体有重大影响的决策,除非获得同意或符合法律要求。
数据主体权利:包括访问权、修正权、删除权(“被遗忘权”)、限制处理权、数据可携带权等。
- 企业义务:
任命数据保护官(DPO)处理复杂或高风险数据处理活动;
实施数据保护影响评估(DPIA)针对高风险项目;
及时报告数据泄露事件(72小时内向监管机构通报);
确保跨境数据传输的合法性(如通过标准合同条款、充分性认定等机制)。
- 处罚力度:违规企业可能面临高达全球年营收4%或2000万欧元(以较高者为准)的罚款。
GDPR通过严格的规则和高额罚款,推动了全球数据保护标准的提升,促使企业重新审视数据治理策略。其“设计隐私”(Privacy by Design)理念要求数据保护贯穿技术开发的始终,而非事后补救。同时,GDPR也平衡了个人隐私与商业自由、新闻自由等权利,通过“法益平衡原则”避免过度限制合法活动。
GDPR不仅是欧盟内部的法律,更成为全球数据保护的标杆,影响了其他国家(如中国《个人信息保护法》、美国加州CCPA)的立法方向。
热门标签
