欧盟 GDPR 合规指引 二〇一九年五月 欧盟 GDPR 合规指引 编写团队 编写单位： 中国信息通信研究院安全研究所 对外经济贸易大学数字经济与法律创新研究中心 奋迅律师事务所 科文顿∙柏灵律师事务所 京东集团 北京大学法治与发展研究院 编写组成员：（姓氏笔画为序） 于智精、许可、严少敏、罗嫣、陈湉、吴薇、洪延青、 胡翔、葛鑫、鲍治、魏亮 欧盟 GDPR 合规指引 版权声明 本白皮书版权属于中国信息通信研究院安全所、中国信 息通信研究院安全研究所、对外经济贸易大学数字经济与法 律创新研究中心、奋迅律师事务所、科文顿∙柏灵律师事务 所、京东集团、北京大学法治与发展研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的，应 注明“来源：《欧盟 GDPR 合规指引》” 。违反上述声明者， 将追究其相关法律责任。 欧盟 GDPR 合规指引 序 言 如何把握欧盟的《通用数据保护条例》（GDPR）？如果不拘泥于具体条文的 话，我总觉得答案其实就蕴含于这座烧毁断残的雕像之中。 这座雕像位于荷兰乌特勒支大学学术大厅的走廊。保留至今为的是纪念二战 期间五名荷兰学生的英雄之举。1942 年 12 月 12 日深夜，Gijs den Besten、Frits Lordens、Geert Lubberhuizen、Anne Maclaine Pont 和 Rutger Marthijsen 潜 入这座雕像背后的学生管理部，将大学当时保存的学生档案一把火全部烧毁，避 免了当时占领荷兰的德国纳粹通过详尽的学生档案锁定并杀害犹太学生。 “即便在最黑暗的时刻，我们仍然知道存在着永恒的原则” （In de zwartste uren bleven wij weten, dat er eeuwige beginselen zijn）。乌特勒支大学教 授 dr. P. C. A. Geyl 这句总结，连同焦黑断裂的雕像，给每个驻足探究的人， 1 欧盟 GDPR 合规指引 包括当时即将博士论文答辩的我，深深的震撼和思考。如果德国纳粹掌握了这些 学生档案（其实就是学生的个人数据），会有多少人将因此而丧生；但当时欧洲 范围内又有多少人像乌特勒支大学中的犹太学生那般幸运，能够有机会销毁自己 的个人数据…… 二战血和泪的经历显然在欧洲人的心中刻下了一个教训：人人都应当享有个 人数据受保护这项基本人权；个人数据泄露或滥用所造成的危害，绝非财产上的 损失，而是事关个人的尊严和人格，乃至生命。 就此，我们不难理解 GDPR 这样严格的个人数据处理活动法律框架，为什么 会诞生于欧洲。从本质上来说，GDPR 代表了欧盟所作出的价值判断：个人数据 无论是为政府还是企业所掌握，难免出错；GDPR 不仅是为了最大程度降低“重 蹈覆辙”的风险，更是面对未来科技迅猛发展的基本立场——人是科技的主人， 科技应当在尊重人类福祉的框架中发展进步。 沿着这样的脉络，我们就能掌握 GDPR 所设立的基本原则和具体的制度设计， 例如开展个人数据处理活动首先需要一个合法性基础；对处理活动非常高的透明 性和文档化要求：事先明确数据处理的目的；仅能收集目的所需的最小化的个人 数据；个人数据的存储不应超过实现目的所必需的时间；开展高风险的个人数据 处理活动前应当开展影响评估；产品或服务在开发设计阶段就应落实数据保护的 要求；对违法处理活动施加高额的罚款等等。 除了“不信任”对开展个人数据处理活动的组织，GDPR 还赋予了个人在个 人数据方面的前所未有权利。在经典的查询、更正、删除权利的基础上，个人还 拥有更强的反对、免受系统完全自动化决定的权利，以及崭新的被遗忘权、限制 处理权和数据可携带权。在这些权利的“武装”之下，个人不再是被动地“受制 于”控制其数据的组织，而能及时、简便、深入地参与、介入，甚至于干预组织 所开展的数据处理活动。除非有法定事由等少许例外情形，组织无法将个人拒之 门外。 一边给开展个人数据处理活动的组织带上了沉重的“镣铐”，一边大幅度给 个人赋权，GDPR 通过上述“双保险”，以管控个人数据处理活动对个人合法权益 可能带来的负面风险。这样的设计是欧盟国家集体作出的抉择，是欧盟价值观的 逻辑展开。 反观中国，个人信息保护法的立法工作已经吹响了号角。我们与欧洲有着不 同的历史和传统，处于不同的发展阶段，形成了不同的政治、社会和经济结构。 2 欧盟 GDPR 合规指引 显然，中国无需追随欧盟的步伐，但这并不意味着将 GDPR“掰开揉碎”搞清楚 没有意义。至少，GDPR 针对普适性问题提出的解决方案，我们可以批判、借鉴， 并在此基础上创新。 本着这样的根本目的，同时为满足在欧盟运营的我国企业的实际需求，一群 来自于高校、政府智库、企业、律所等方面的专家在中国信息通信研究院安全研 究所提供的平台上齐聚一堂，根据自己的研究和实践经验，并经过长达半年的准 备、讨论、撰写、修改、审校，集体创作出这份《GDPR 合规指引》。 这份指引共分四章，分别包括 GDPR 概述、合规体系、疑难点及合规建议， 以及 GDPR 与我国法律的比较及冲突应对。我们希望能为有合规需求的企业指明 方向，更希望能为关心个人信息保护的同仁提供一份针对 GDPR 准确、客观、扎 实的介绍，进而为我国开展个人信息保护工作贡献绵薄之力。 3 GDPR 合规指引 目 录 一、GDPR 概述.......................................................................................................................................... 1 （一）GDPR 立法背景及进程 ......................................................................................................... 1 （二）GDPR 制度要点概述 .............................................................................................................. 1 （三）GDPR 执法行动及评估 ......................................................................................................... 5 二、GDPR 合规体系 .............................................................................................................................. 11 （一）风险评估 .................................................................................................................................. 11 （二）组织架构保障 ......................................................................................................................... 17 （三）合规体系设立与执行 ........................................................................................................... 21 （四）合规培训及宣讲..................................................................................................................... 29 （五）合规体系执行的监督和审计.............................................................................................. 31 三、GDPR 疑难点及合规建议 ............................................................................................................ 34 （一）GDPR 的域外适用................................................................................................................. 34 （二）个人数据的范围..................................................................................................................... 34 （三）如何理解数据处理的 6 个合法事由？ ........................................................................... 35 （四）如何理解数据主体的几个权利？..................................................................................... 37 （五）数据控制者和数据处理者的区别..................................................................................... 38 （六）数据控制者和数据处理者的责任..................................................................................... 39 （七）个人数据出境的合法事由 .................................................................................................. 42 （八）主监管