《通用数据保护条例》或许是迄今为止最全面的数据隐私标准,它对处理欧盟公民个人数据的机构提出了重大挑战——无论机构的总部设在何处。
欧盟的《通用数据保护条例》(GDPR)于2018年5月生效,旨在提高个人数据保护水平并增加机构对数据泄露所应承担的责任。GDPR的潜在罚款可能高达(机构)全球收入的4%或2000万欧元(以较高者为准)。无论你的机构位于何处,如果它处理或控制欧盟居民的个人数据,它就必须遵守GDPR,否则将面临巨额罚款以及把数据泄露情况通知受影响方的要求。
GDPR内容广泛,包括以下章节和条款:
第1章:总则
第1条:主题和目标
第2条:实质范围
第3条:领土范围
第4条:定义
第2章:原则
第5条:与个人数据处理相关的原则
第6条:处理的合法性
第7条:同意条件
第8条:适用于儿童同意信息社会服务的条件
第9条:特殊类别个人数据的处理
第10条:与刑事定罪和违法行为相关的数据的处理
第11条:不需要身份证明的处理
第3章:数据主体的权利
第1节:透明度和方式
第12条:透明的信息、沟通和行使数据主体权利的方式
第2节:信息和数据访问
第13条:从数据主体收集个人数据时应提供的信息
第14条:未从数据主体处获得个人数据时应提供的信息
第15条:数据主体的访问权
第3节:纠正和撤销
第16条:纠正权
第17条:撤销权(“被遗忘权”)
第18条:限制处理权
第19条:关于纠正或撤销个人数据或限制处理的通知义务
第20条:数据携带权
第4节:反对权和自动个人决定
第21条:反对权
第22条:自动个人决定,包括扼要描述
第5节:限制
第23条:限制
第4章:控制者和处理者
第1节:一般义务
第24条:控制者的责任
第25条:设计和默认的数据保护
第26条:联合控制人
第27条:未在欧盟设立的控制者代表
第28条:处理者
第29条:在控制者或处理者授权下进行处理
第30条:处理活动记录
第31条:与监管机构合作
第2节:个人数据的安全
第32条:处理安全
第33条:通知监管机构个人数据泄露情况
第34条:将个人数据泄露情况通知数据主体
第3节:数据保护影响评价和事先协商
第35条:数据保护影响评价
第36条:事先协商
第4节:数据保护官
第37条:数据保护官的任命
第38条:数据保护官的职位
第39条:数据保护官的任务
第5节:行为准则和认证
第40条:行为准则
第41条:监督已批准的行为准则
第42条:认证
第43条:认证机构
第5章:向国际组织第三国转移个人数据
第44条:转移的一般原则
第45条:转移要依据有充分理由的决定
第46条:转移要受适当保护
第47条:有约束力的公司规则
第48条:未经欧盟法律授权的转让或披露
第49条:针对特定情况的克减
第50条:保护个人数据的国际合作
第6章:独立监管机构
第1节:独立地位
第51条:监管机构
第52条:独立性
第53条:监管机构成员的一般条件
第54条:监管机构的设立规则
第2节:权限、任务和权力
第55条:权限
第56条:牵头监管机构的权限
第57条:任务
第58条:权力
第59条:活动报告
第7章:合作与一致性
第1节:合作
第60条:牵头监管机构与其他相关监管机构的合作
第61条:互助
第62条:多家监管机构的联合运作
第2节:一致行动
第63条:一致行动机制
第64条:委员会的意见
第65条:委员会争议的解决
第66条:紧急规程
第67条:信息交换
第3节:欧洲数据保护委员会
第68条:欧洲数据保护委员会
第69条:独立性
第70条:委员会的任务
第71条:报告
第72条:规程
第73条:主席
第74条:主席的任务
第75条:秘书处
第76条:保密
第8章:救济、担责和制裁
第77条:向监管机构投诉的权利
第78条:针对监管机构提出获得有效司法救济的权利
第79条:针对控制者或处理者提出获得有效司法救济的权利
第80条:数据主体的代表
第81条:中止程序
第82条:赔偿和担责的权利
第83条:行政罚款的一般条件
第84条:处罚
第9章:与特定数据处理情况相关的规定
第85条:处理和言论及信息自由
第86条:官方文件的处理和对外公开
第87条:国民身份证号码的处理
第88条:涉及受雇情况的处理
第89条:与出于公共利益、科学或历史研究目的或统计目的的存档处理相关的保护和克减
第90条:保密义务
第91条:教会和宗教协会的现行数据保护规则
第10章:委托行为和实施行为
第92条:委托的履行
第93条:委员会规程
第11章:最终规定
第94条:废除第95/46/EC号指示令
第95条:与第2002/58/EC号指示令的关系
第96条:与先前达成的协议的关系
第97条:委员会的报告
第98条:其他欧盟数据保护法案综述
第99条:生效和落实
第34条的重要规定
条例第34条详细说明了机构必须采取什么措施来避免出现不得不把数据泄露事件通知数据主体的情况。
1. 当个人数据的泄露可能会对自然人的权利和自由造成高风险时,控制者应及时将个人数据泄露的情况通知数据主体。
2. 给本条第1款所述数据主体的通知应该用清晰明了的语言说明个人数据泄露的性质……。
3. 符合以下任何条件的,无需通知第1款所述数据主体:
1. 控制者早已采取了适当的技术和机构保护措施,并且把这些措施落实到个人数据泄露事件所涉个人数据上,尤其采取了那些可使未经授权访问个人数据的任何人都无法辨识个人数据的措施,例如加密;
2. 控制者已采取后续补救措施,确保第1款所述数据主体的权利和自由面临的高风险不再可能成为现实;
3. 所付出的努力与结果不成比例,这时,应该公开披露所发生的事件,使数据主体通过这种同样有效的渠道了解情况。
假名化通常与欧盟的《通用数据保护条例》(GDPR)相关,该条例要求通过假名化保护个人可识别信息(PII)。根据GDPR第4条“定义”:
“假名化”是指以这样一种方式处理个人数据,即若不使用附加信息,个人数据不能再归属于特定数据主体,但前提是这些附加信息单独保存并受技术和管理措施约束,以确保个人数据不属于已识别或可识别的自然人。
该条例还定义了“个人数据”和“数据主体”:
“个人数据”是指与已识别或可识别的自然人(即“数据主体”)相关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,特别是可以借助姓名、身份证件号、位置数据、网名等标识符,或一个人特有的一个或多个身体、生理、遗传、精神、经济、文化或社会身份因素直接或间接识别的自然人。
