gdp數據主體有哪些權利

㈠ 誰有深度整理的歐盟《一般數據保護法案》（GDPR）核心要點中文內容

前言：

整理本文的原因有三：

1、 網上很多關於GDPR的文章並不全面，甚至有誤

2、 以此機會在公司內部開展關於GDPR的專項培訓

3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響

之後，我們計劃編寫一系列相關文章，更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施，一來希望與同行企業可以就GDPR進行更多的互動討論；二來也是希望傳播國際法案對於安全和隱私的態度，共同提高物聯網安全意識。

以下您將了解到：

1、 什麼是GDPR（重要）

2、 GDPR的發展歷程

3、 GDPR的關鍵術語定義（重要）

4、 GDPR會影響哪些企業（重要）

5、 GDPR不適用於哪些情況

6、 GDPR約束了哪些數據（重要）

7、 GDPR中數據主體的權利（重要）

8、 GDPR中處理個人數據的基本原則（重要）

9、 GDPR中對合法處理數據的定義

10、 GDPR中針對兒童數據的處理規定

11、 GDPR中數據控制者與數據處理者的義務（重要）

12、 GDPR中針對特別類型個人數據的處理規定

13、 GDPR中關於數據主體被遺忘權的規定（重要）

14、 GDPR中關於數據主體可攜帶權的規定（重要）

15、 GDPR中關於個人數據泄露通知的規定（重要）

16、 GDPR中關於設立數據保護官的規定

17、 GDPR關於執法和處罰的規定（非常重要）

18、 總結

什麼是GDPR

2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將於2018年5月25日正式生效，將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），統一歐盟成員國關於數據保護的法律法規。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。

GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規，其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案

GDPR的發展歷程

（圖片來自網路）

GDPR的關鍵術語定義

個人數據：是指任何指向一個已識別或可識別的自然人（數據主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

處理：是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否採用自動化手段。

匿名化：是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。

數據控制者：能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。

數據處理者：是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

數據接受者：只是接收到被傳遞的個人數據的主體，無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據，不得視為「數據接受者」。

個人數據外泄：是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。

GDPR會影響哪些企業

歐盟GDPR法案具有域外效應。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權。

主要受影響的企業為以下四類：

l 設立在歐盟境內的企業（控制者、處理者）

l 未在歐盟境內設立，但向歐盟境內的數據主體（自然人）提供產品和服務的企業（控制者、處理者）

l 未在歐盟境內設立，但涉及監控歐盟境內數據主體（自然人）行為的企業（控制者、處理者）

l 未在歐盟境內設立，但在歐洲成員國法律適用的地方設立的企業（控制者、處理者）

總結來說，GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪裡，只要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案，數據控制者也無法免除責任，GDPR規定控制者需要承擔更多的責任，以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。

GDPR不適用於哪些情況

GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR：

l 為了預防、調查、偵查或起訴刑事犯罪，主管當局為執行刑事處罰目的而產生的數據處理行為

l 基於國家安全目的而產生的數據處理行為

l 自然人在純粹的個人或家庭活動中產生的數據處理行為

l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為

GDPR約束了哪些數據

個人數據：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是採用自動化手段還是人工進行歸類的數據，包括按時間順序排列的包含個人數據的記錄集合。

已經被匿名化的個人數據，取決於用已有標識來識別特定個體的困難程度。

敏感個人數據：

也被稱為「特殊種類的個人數據」。

包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。

包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。

不包括涉及刑事定罪和罪行的個人數據，但該類數據的處理和保存有特殊要求。

GDPR中數據主體的權利（第三章）

l 知情權

l 訪問權

l 反對權

l 可攜帶權

l 糾正權

l 刪除權/被遺忘權

l 限制處理權

l 免受數據畫像影響

GDPR中處理個人數據的基本原則

l 合法、正當、透明

l 處理數據的目的是有限的

l 僅處理為達到目的的最少數據

l 確保數據准確、及時更新

l 存儲數據的期限不得長於為達到目的所需要的時間

l 採取技術和管理措施以保護數據的安全

l 數據控制者有責任並應能夠證明做到了以上幾點

GDPR中對合法處理數據的定義

至少滿足一下中的某一項，處理數據才是合法的

l 數據主體同意為了特定目的處理其數據

l 處理數據是為了簽訂或履行合同的需要

l 處理數據是為了遵守法定義務的需要

l 處理數據是為了保護數據主體或其他自然人的至關重要的利益

l 處理數據是為了公共利益或形式政府授受的權力

l 處理數據是為了追求數據控制者的合理利益，但不得損害數據主體的利益

GDPR中針對兒童數據的處理規定

處理16歲以下兒童的個人數據，必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整，但是不得低於13歲

GDPR中數據控制者與數據處理者的義務

設置DPO（數據保護官）

文檔化管理

數據保護影響評估

事先咨詢機制

數據泄露報告機制

安全保障措施

遵守數據跨境轉移規則

GDPR中針對特別類型個人數據的處理規定

禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據，如已獲得個人的明示同意，或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。

GDPR中關於數據主體被遺忘權的規定（重要）

當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。

如果該數據被傳遞給了任何第三方（或第三方網站），數據控制者應通知該第三方刪除該數據。

GDPR中關於數據主體可攜帶權的規定（重要）

數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。

GDPR中關於個人數據泄露通知的規定（重要）

數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤的通知數據主體，以便數據主體及時採取措施。

GDPR中關於設立數據保護官的規定

為確保數據保護合規並處理數據保護相關事務，數據控制者和數據處理者需設置數據保護官（DPO）。

控制者和處理者應當對數據保護官不下達任何指令，DPO不能因為執行任務的原因被解僱或者受到刑事處罰。

數據保護官直接向最高管理者報告工作。

根據聯盟法律或者成員國法律規定，數據保護官應當對其執行任務的內容進行保密。

數據保護官也可以執行其他任務，履行其他職責。

GDPR關於執法和處罰的規定（非常重要）

不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。

GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定：

對於一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的2%（兩者中取數額大者）；

對於嚴重的違法，罰款上限是2000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）；

判罰的嚴重程度是基於以下因素：

l 違規的性質、嚴重程度和違規的持續時間

l 違規是故意的還是因疏忽造成的

l 對個人身份信息的責任心和控製程度

l 違規是單個事件還是重復事件

l 受到影響的個人資料的種類范圍

l 數據主體遭遇的損害程度

l 為了減輕損害而採取的行動

l 由違規產生的財務預期或收益

GDPR核心旨在保護隱私數據，並通過法案約束來建立企業和公民之間的信任關系，違反GDPR的代價遠不止財務層面，還將給企業聲譽造成極大破壞，並且導致企業和消費者之間產生信任危機

總結

由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中，故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念，在提高個人數據保護標準的同時，也會增加企業的合規成本。法案的背後是對隱私和安全的需求，法案生效後會成為國際數據隱私保護標准。

對於物聯網行業的相關企業（硬體、軟體、製造、數據分析等）來說，從此刻開始提升物聯網安全意識，關注數據安全和用戶隱私安全，積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時，與客戶企業建立長期持續的安全咨詢合作關系，共同建設安全、自主、可信的物聯網安全新業態。