必威电竞|足球世界杯竞猜平台

《通用數(shù)據(jù)保護(hù)條例》（General 數(shù)據(jù) Protection Regulation，簡稱GDPR）為歐盟的條例，前身是歐盟在1995年制定的《計算機(jī)數(shù)據(jù)保護(hù)法》。

2018年5月25日，歐洲聯(lián)盟出臺了《通用數(shù)據(jù)保護(hù)條例》。2019年7月8日，英國信息監(jiān)管局發(fā)表聲明說，英國航空公司因為違反《一般數(shù)據(jù)保護(hù)條例》被罰1.8339億英鎊（約合15.8億元人民幣），創(chuàng)初期最高處罰紀(jì)錄。

條例全文

歐盟《通用數(shù)據(jù)保護(hù)條例》

目次

壹。序言。

貳. GDPR的地域適用范圍。

叁。個人敏感數(shù)據(jù)。

肆。問責(zé)機(jī)制—從設(shè)計著手隱私保護(hù)和默認(rèn)隱私保護(hù)。

伍. 數(shù)據(jù)主體的權(quán)利（知情權(quán)）。

陸。數(shù)據(jù)主體的權(quán)利（訪問權(quán)、更正權(quán)和可攜權(quán)）。

柒。數(shù)據(jù)主體的權(quán)利（刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策相關(guān)權(quán)利）。

捌。數(shù)據(jù)處理者。

玖。數(shù)據(jù)泄露和通知。

拾. 數(shù)據(jù)保護(hù)官。

拾壹. GDPR下的數(shù)據(jù)處理者。

壹

序言

歐盟議會于2016年4月14日通過的《通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulations）》（“GDPR”）將于2018年5月25日在歐盟成員國內(nèi)正式生效實施。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機(jī)構(gòu)組織均受該條例的約束。比如，即使一個主體不屬于歐盟成員國的公司（包括免費服務(wù)），只要滿足下列兩個條件之一：

（1）為了向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息。

（2）為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。

貳

GDPR的地域適用范圍

歐洲隱私法律的地域適用范圍正在通過GDPR不斷擴(kuò)大。而正是由于這種適用范圍的擴(kuò)大，位于歐盟境外、不受現(xiàn)行歐洲隱私法律規(guī)制的許多組織也將隨著GDPR的實施而不得不適用歐盟隱私法律。GDPR要求這些組織及時對GDPR的“合規(guī)”要求作出回應(yīng)。

第一，GDPR適用于在歐盟境內(nèi)設(shè)有業(yè)務(wù)機(jī)構(gòu)（establishment）的組織，只要這些組織在業(yè)務(wù)機(jī)構(gòu)在歐盟境內(nèi)的活動中處理個人數(shù)據(jù)（而不論此類處理行為是否實際發(fā)生在歐盟境內(nèi)）。

對“場地（location）”這一概念的解釋必須寬泛、靈活。要求是通過可持續(xù)場地進(jìn)行有效、真實的活動（小型活動即可）。法律形式（例如分公司或具有法人資格的子公司）并不是決定性因素。因此，在歐盟境內(nèi)設(shè)有唯一代表即足以符合適用條件。

并不要求個人數(shù)據(jù)處理行為必須由該業(yè)務(wù)機(jī)構(gòu)自身進(jìn)行。但是要求此類處理行為必須是在業(yè)務(wù)機(jī)構(gòu)的活動中發(fā)生的（通常是同時具備上述兩個特點，但必須始終滿足此句所述條件）。如果業(yè)務(wù)機(jī)構(gòu)的活動與母公司的活動密不可分（例如，業(yè)務(wù)機(jī)構(gòu)存在的目的就是為了母公司的經(jīng)濟(jì)效益），則相關(guān)的個人數(shù)據(jù)處理行為就應(yīng)當(dāng)受到GDPR的規(guī)制。

因此，如果業(yè)務(wù)機(jī)構(gòu)（例如分公司或聯(lián)絡(luò)代理）的活動與位于歐盟境外的組織進(jìn)行的個人數(shù)據(jù)處理密不可分，則應(yīng)當(dāng)適用GDPR。

第二，如某一組織雖不在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)，但卻處理歐盟境內(nèi)個人的個人數(shù)據(jù)，并且此類處理行為與向歐盟境內(nèi)個人提供商品或服務(wù)相關(guān)，無論該等商品或服務(wù)是否收費，則也應(yīng)當(dāng)適用GDPR。

如果非歐盟組織機(jī)構(gòu)意圖向歐盟境內(nèi)個人提供商品或服務(wù)，則其將被視為在歐盟境內(nèi)提供商品或服務(wù)。僅僅是能從歐盟境內(nèi)訪問網(wǎng)站或其聯(lián)系方式或使用該組織設(shè)立國家常用的語言原則上不足以被視為有上述意圖。使用一個或多個成員國的語言和/或貨幣、來自歐盟客戶（例如在網(wǎng)站上）的推薦、使用搜索引擎中針對一個或多個成員國的廣告和/或使用頂級域名（例如.eu或.nl）可能導(dǎo)致商品或服務(wù)被視為在歐盟境內(nèi)提供。

第三，GDPR適用于非歐盟組織處理歐盟境內(nèi)個人的個人數(shù)據(jù)，只要此類處理行為涉及對這些個人的行為進(jìn)行監(jiān)控，且該處理行為發(fā)生在歐盟。

如果（尤其是）為了作出與這些個人有關(guān)的決定或者為了分析或預(yù)測其個人喜好、行為和態(tài)度，而在互聯(lián)網(wǎng)上追蹤這些個人，且在此過程中使用了處理技術(shù)來形成畫像等，則構(gòu)成監(jiān)控行為。

目前尚不清楚監(jiān)控行為到何種程度才適用GDPR。原則上，使用所謂的“追蹤cookies”和監(jiān)控使用的應(yīng)用程序的網(wǎng)站在GDPR的適用范圍內(nèi)（只要該等網(wǎng)站處理個人數(shù)據(jù)）。歐洲法院最近裁定，在某些情況下，動態(tài)IP地址也可視為個人數(shù)據(jù)。因此，存儲動態(tài)IP地址日志數(shù)據(jù)的網(wǎng)站的所有者也可能受GDPR的規(guī)制。

后續(xù)措施

各類組織最好確認(rèn)其活動是否在GDPR的地域適用范圍內(nèi)。鑒于“業(yè)務(wù)機(jī)構(gòu)”和“提供商品或服務(wù)”標(biāo)準(zhǔn)的解釋較為寬泛，所以更應(yīng)如此。貫徹落實GDPR需要大量的時間、規(guī)劃和資源。

同意——處理個人數(shù)據(jù)的正當(dāng)理由

根據(jù)荷蘭《個人數(shù)據(jù)保護(hù)法》（Personal 數(shù)據(jù) Protection Act，“DPA”），“同意”是處理個人數(shù)據(jù)的六項法律依據(jù)之一。在沒有法律依據(jù)的情況下處理個人數(shù)據(jù)是不被允許的。歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，“GDPR”）也規(guī)定，“同意”是數(shù)據(jù)處理的法律基礎(chǔ)。GDPR的多個部分都提到了同意機(jī)制?；诖?，本文主要對DPA和GDPR在以下方面的差異進(jìn)行闡述：（1）同意機(jī)制的法律框架和（2）有效同意的構(gòu)成要件。

同意的法律框架

DPA下“同意”的概念完全依照歐盟第95/46/EC號指令中的定義，即“數(shù)據(jù)主體的同意是指：數(shù)據(jù)主體依照其意愿自由作出的特定的、知情的指示。通過該等指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個人數(shù)據(jù)。”

法律框架由多個可廣泛解釋的條款構(gòu)成，這使其產(chǎn)生了法律不確定性。因此，一個由歐洲隱私監(jiān)管機(jī)構(gòu)組成的獨立咨詢顧問機(jī)構(gòu)——第29條工作組，在2011年7月對“同意”概念作出了全面分析。工作組的意見解釋了同意機(jī)制相關(guān)法律框架的幾個關(guān)鍵要素。這些要素是，并且一直是歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)解釋“同意”概念的重要指南。簡而言之：

同意必須是自由作出的。這意味著數(shù)據(jù)主體在作出同意時，其選擇是真實的，例如，不存在受到脅迫或者欺詐的風(fēng)險。如果數(shù)據(jù)主體會受到數(shù)據(jù)控制者的影響（例如，數(shù)據(jù)控制者是數(shù)據(jù)主體的雇主，或者是一個公共權(quán)威），則考慮到此類關(guān)系的性質(zhì)，同意并不當(dāng)然被認(rèn)為是自由作出的。

同意必須是特定的。無明確目的的概括式的同意是無效的。同意應(yīng)當(dāng)清晰準(zhǔn)確地指明數(shù)據(jù)處理的范圍和結(jié)果。特定的同意條款需要與一般條款相區(qū)分。

同意必須是在知情的情況下作出的。根據(jù)DPA第33、34條，數(shù)據(jù)控制者必須向數(shù)據(jù)主體提供一定的關(guān)于數(shù)據(jù)處理的最低限度的信息。被提供的信息應(yīng)足以保證數(shù)據(jù)主體能夠作出充分知情的選擇。至于信息的質(zhì)量，信息提供必須使用數(shù)據(jù)主體能夠理解的語言。復(fù)雜的法律術(shù)語是不合適的。

而且，被提供的信息必須是清楚且足夠顯著的，以使數(shù)據(jù)主體不能輕易忽略。另外，信息必須是直接提供給數(shù)據(jù)主體的，僅指示可供訪問的信息的地址（例如，網(wǎng)絡(luò)上的“某處”）是不夠的。

同意還須結(jié)合DPA中提到的進(jìn)一步要求?；谕獾臄?shù)據(jù)處理，要求該同意是明確的。數(shù)據(jù)主體明確作出的指示，不能對其意愿留有不明確的空間。如果存在合理懷疑，則認(rèn)為不明確。

根據(jù)第29條工作組的意見，不明確的同意不適用于基于不作為或者沉默取得同意的方式（例如，不適用于預(yù)先勾選的選擇框）。

在處理特殊類別的數(shù)據(jù)（例如，健康數(shù)據(jù)）時，同意必須是明示的。需要數(shù)據(jù)主體給予積極回復(fù)。

GDPR下同意的法律框架

GDPR第4條第11款將“同意”定義為：“數(shù)據(jù)主體的同意是指，數(shù)據(jù)主體依照其意愿自由作出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為作出的該等指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個人數(shù)據(jù)。”

從該新法律框架看，歐洲立法者似乎在其對法律框架的整體評估中回應(yīng)了第29條工作組提出的某些修改。鑒于歐盟第95/46/EC號指令下“同意”的概念被一字不變地移植到DPA中，因此從荷蘭法的角度并沒有太多改動（與其他歐盟成員國相比）。該定義已變得更加規(guī)范，但大部分并非新內(nèi)容。最主要的修改如下：

同意必須以聲明或清晰肯定的行為作出。數(shù)據(jù)主體的行為是明確被要求的。包括，例如，點擊對話框和選擇特定的技術(shù)網(wǎng)絡(luò)瀏覽器設(shè)置。因此，預(yù)先勾選的選擇框并不構(gòu)成同意。

根據(jù)第29條工作組的分析，“同意”似乎要求數(shù)據(jù)主體作出行為，現(xiàn)在GDPR明確了這一要求。這就需要相關(guān)組織重新考慮其目前從數(shù)據(jù)主體處取得同意的方式。

GDPR下有效同意的要件

GDPR第7條規(guī)定了有效同意的要件，其中某些在DPA中沒有具體規(guī)定。有效同意的要件之一是，數(shù)據(jù)控制者必須能夠證明，數(shù)據(jù)主體確實同意處理其個人數(shù)據(jù)。書面聲明不是必須的，但推薦使用，因為證明責(zé)任在數(shù)據(jù)控制者這邊。網(wǎng)上作出同意的充分記錄（例如，通過在網(wǎng)站上的聯(lián)系方式）應(yīng)當(dāng)作為標(biāo)準(zhǔn)。

如果數(shù)據(jù)主體通過書面聲明的方式作出同意，且書面聲明涉及其他事項，那么同意應(yīng)以易于理解且與其他事項顯著區(qū)別的形式呈現(xiàn)。如果信息的提供不符合本規(guī)定，同意將可能無效。

根據(jù)DPA，數(shù)據(jù)主體有權(quán)隨時撤回其同意。撤回同意應(yīng)當(dāng)同給出同意一樣容易。GDPR的新規(guī)定為，數(shù)據(jù)主體必須在作出同意前被告知其撤回權(quán)。此外，數(shù)據(jù)主體還必須被告知撤回不影響在撤回前基于同意對其個人數(shù)據(jù)的處理。這不僅需要隱私政策的修訂，也可能需要相關(guān)組織內(nèi)部流程的改變，以確保撤回同意與給出同意同樣容易。

兒童的同意

對于向兒童提供信息社會服務(wù)（簡而言之：所有在線服務(wù)，無論是免費的或付費的，包括社交媒體），應(yīng)當(dāng)適用特殊的同意規(guī)則。原因是，兒童應(yīng)被給予額外的保護(hù)，因其一般都缺乏對風(fēng)險、保障措施和與處理個人數(shù)據(jù)相關(guān)權(quán)利的了解。這種特殊的保護(hù)應(yīng)適用于，當(dāng)服務(wù)被直接提供給兒童時，兒童的個人數(shù)據(jù)被用于市場營銷或創(chuàng)建個性/用戶模型，以及收集兒童的個人數(shù)據(jù)的情況。任何信息和溝通都應(yīng)當(dāng)以清晰且簡明的語言表達(dá)，使得兒童容易理解。

只有在兒童年滿16周歲時，基于同意的數(shù)據(jù)處理才是合法的。如果兒童未滿該年齡，則只有在有監(jiān)護(hù)權(quán)的父母同意（或授權(quán)）的情況下，數(shù)據(jù)處理才是合法的。歐盟各成員國可以規(guī)定更低的年齡門檻，但不得低于13周歲荷蘭將不會規(guī)定更低的年齡（據(jù)立法者稱，沒有理由改變目前的情況）。歐盟范圍內(nèi)的相關(guān)組織，在取得同意的基礎(chǔ)上處理兒童的個人數(shù)據(jù)時，應(yīng)了解歐盟各成員國在這方面的立法。

對于缺乏法律行為能力的其他數(shù)據(jù)主體，《GDPR荷蘭實施法案》（“實施法案”）規(guī)定，被接管（curatele）或置于保護(hù)令（mentorschap）之下的數(shù)據(jù)主體，也需要其法定代表人的同意（同意也可由法定代表人撤回）。

考慮到現(xiàn)有技術(shù)，數(shù)據(jù)控制者應(yīng)作出合理的努力，以證明同意實際是由法定代表人作出或授權(quán)的。

目前基于同意處理個人數(shù)據(jù)的相關(guān)組織

GDPR規(guī)定：“GDPR將取代歐盟第95/46/EC號指令。本條例施行之日已在進(jìn)行中的數(shù)據(jù)處理，須在本條例生效之日起兩年內(nèi)符合本條例的規(guī)定。若處理是基于歐盟第95/46/EC號指令下的同意，且該同意的形式符合本條例的規(guī)定，則數(shù)據(jù)主體不需要再次給出同意，以使數(shù)據(jù)控制者在本條例施行之后繼續(xù)處理。（…）”。

主要規(guī)則是，如果同意的取得符合GDPR規(guī)定，則不需要相關(guān)組織再次取得同意。然而，當(dāng)在DPA下取得的同意不符合GDPR的規(guī)定時，該同意是否將在2018年5月25日失去效力，并不完全清楚?？梢哉J(rèn)為，歐洲立法者最為重視處理的連續(xù)性：“以使數(shù)據(jù)控制者在本條例施行之后繼續(xù)處理”。另一方面，根據(jù)第171條的具體表述（“本條例施行之日已在進(jìn)行中的數(shù)據(jù)處理，須在本條例生效之日起兩年內(nèi)符合本條例的規(guī)定”以及“如果該同意的形式符合本條例的規(guī)定”）所得出的結(jié)論是：同意應(yīng)被重新取得。

作為對實施法案質(zhì)詢的一部分，這個問題被提交給了荷蘭立法者。其可能在下一版本實施法案（解釋備忘錄）中被進(jìn)一步澄清。

實務(wù)建議

將數(shù)據(jù)主體的同意作為數(shù)據(jù)處理活動的合法依據(jù)的相關(guān)組織，應(yīng)當(dāng)檢查當(dāng)前取得的同意是否符合GDPR的要求。如果不符合，內(nèi)部流程應(yīng)當(dāng)遵照這些要求，數(shù)據(jù)控制者也應(yīng)當(dāng)考慮按照GDPR的要求重新取得同意（以避免在2018年5月25日后同意失效的風(fēng)險）。此外，相關(guān)組織應(yīng)建立機(jī)制以證明同意是有效的，并確保同意可以被容易地撤回。

相關(guān)組織可以進(jìn)一步考慮，其他（也許更適當(dāng)?shù)模?shù)據(jù)處理的法律依據(jù)是否可行和理想。

相關(guān)組織未能履行新的義務(wù)，將面臨荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（de Autoriteit Persoonsgegevens）或者歐盟其他國家活躍的監(jiān)管機(jī)構(gòu)的嚴(yán)重行政罰款的風(fēng)險。

叁

個人敏感數(shù)據(jù)

本第三份關(guān)于《通用數(shù)據(jù)保護(hù)條例》的業(yè)務(wù)通訊將闡述，荷蘭《個人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act，“DPA”）所實施的《數(shù)據(jù)保護(hù)指令》（第95/46/EC號指令）和《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，“GDPR”）下個人敏感數(shù)據(jù)處理的差異。

乍看之下，在個人敏感數(shù)據(jù)處理方面，GDPR（較第95/46/EC號指令）的變化似乎是有限的。與DPA相似，原則上禁止處理個人敏感數(shù)據(jù)，并且，處理此類數(shù)據(jù)的依據(jù)也與DPA大致相同。

什么是個人敏感數(shù)據(jù)？

根據(jù)GDPR，涉及以下一種或一種以上類別的個人數(shù)據(jù)視為敏感數(shù)據(jù):

1.種族或民族出身

2.政治觀點

3.宗教/哲學(xué)信仰

4.工會成員身份

5.涉及健康、性生活或性取向的數(shù)據(jù)

6.基因數(shù)據(jù)（新）

7.經(jīng)處理可識別特定個人的生物識別數(shù)據(jù)（新）

除個人敏感數(shù)據(jù)明確包括基因數(shù)據(jù)和生物識別數(shù)據(jù)外。上述類別大致與DPA中的類別相似。

禁止處理敏感數(shù)據(jù)的例外

根據(jù)GDPR，敏感數(shù)據(jù)的處理僅在下列例外情況下才被允許：

1. 數(shù)據(jù)主體明示同意。該等同意應(yīng)當(dāng)是自由作出的，特定的，知情的且明確的（參見2017年2月的業(yè)務(wù)通訊）。需要注意的是，雇主對員工醫(yī)療數(shù)據(jù)的處理（包括藥物或乙醇測試）不能以員工的同意為依據(jù)。這是因為，考慮到雙方的層級關(guān)系，這種同意不被視為是自由作出的。

2. 在勞動法、社會保障法或社會保護(hù)法領(lǐng)域，雇主對此類數(shù)據(jù)的處理必須在歐盟或成員國法律或集體協(xié)議授權(quán)的范圍內(nèi)進(jìn)行。

3. 在數(shù)據(jù)主體因為身體上或法律上的原因（緊急情況）不能作出同意時，為保護(hù)數(shù)據(jù)主體或他人的重大利益之目的所必需的處理。

4. 處理是由具有政治、哲學(xué)、宗教或工會目的的非營利團(tuán)體進(jìn)行的，并且該等處理僅涉及團(tuán)體成員或前成員，同時，相關(guān)數(shù)據(jù)在未經(jīng)數(shù)據(jù)主體同意的情況下不會向第三方披露。

5. 涉及已由數(shù)據(jù)主體公開的個人數(shù)據(jù)的處理。

6. 為合法訴求的成立、行使或抗辯或法院行使其司法職能之目的所必需的處理。

7. 根據(jù)歐盟或成員國的法律，為重大公共利益所必需的處理。該處理所追求的目的應(yīng)當(dāng)是適當(dāng)?shù)模野侠淼臄?shù)據(jù)保護(hù)措施。

8. 根據(jù)歐盟或成員國的法律或與醫(yī)療專業(yè)人士的合同，為預(yù)防醫(yī)學(xué)或職業(yè)醫(yī)學(xué)，為評估雇員的工作能力，醫(yī)療診斷，提供衛(wèi)生或社會保健或治療或衛(wèi)生社會保健系統(tǒng)和服務(wù)管理之目的所必需的處理。

9. 根據(jù)歐盟或成員國法律規(guī)定以適當(dāng)?shù)?、特定的措施保障?shù)據(jù)主體的權(quán)利和自由，在公共健康領(lǐng)域中為公共利益之目的所必需的處理。例如抵御嚴(yán)重的跨境衛(wèi)生威脅，或確保醫(yī)療保健和醫(yī)藥產(chǎn)品或醫(yī)療器械的高標(biāo)準(zhǔn)。

10. 根據(jù)歐盟或成員國法律，為公共利益，統(tǒng)計，科學(xué)或歷史研究之目的所必需的處理。該處理所追求的目的應(yīng)當(dāng)是適當(dāng)?shù)?，尊重?shù)據(jù)保護(hù)的基本權(quán)利，并采取了適當(dāng)?shù)?、特定的措施以保障?shù)據(jù)主體的基本權(quán)利和利益。

雖然在個人敏感數(shù)據(jù)的類型和數(shù)據(jù)處理的依據(jù)方面基本復(fù)制了DPA，但GDPR仍帶來了新的變化。

首先，上述第2，7，8，9，10項參照成員國法作為數(shù)據(jù)處理的法律依據(jù)，同時，GDPR允許歐盟成員國維持或引入更多條件，包括關(guān)于處理基因數(shù)據(jù)，生物識別數(shù)據(jù)或健康數(shù)據(jù)的限制。

因此，在這些方面，成員國之間的分歧可能會繼續(xù)存在，也可能進(jìn)一步加深。

最近，荷蘭政府發(fā)布了一項對于實施法案的提議。根據(jù)本實施法案，處理個人敏感數(shù)據(jù)的條件仍與DPA的規(guī)定相似。

第二，當(dāng)個人數(shù)據(jù)的處理可能給數(shù)據(jù)主體的權(quán)利或自由造成高風(fēng)險時，相關(guān)組織有義務(wù)進(jìn)行隱私影響評估（Privacy Impact Assessment，“PIA”）。PIA的目的是識別此類高風(fēng)險以及制定應(yīng)對風(fēng)險的措施。PIA必須在處理開始之前進(jìn)行。

GDPR明確規(guī)定，在對個人敏感數(shù)據(jù)或與刑事記錄和犯罪相關(guān)的個人數(shù)據(jù)進(jìn)行大規(guī)模處理前，必須進(jìn)行PIA。（我們將會在后續(xù)GDPR業(yè)務(wù)通訊中更詳細(xì)地論述PIA）

第三，個人敏感數(shù)據(jù)的大規(guī)模處理可能要求數(shù)據(jù)控制者（或處理者）委派一位數(shù)據(jù)保護(hù)專員（數(shù)據(jù) Protection Officer，“DPO”）。我們將在接下來的業(yè)務(wù)通訊中講解DPO和PIA。

實務(wù)建議

就個人敏感信息處理而言，GDPR的生效將不會對現(xiàn)行做法產(chǎn)生實質(zhì)性影響，乍看之下其變化似乎也是有限的。但是，這些變化可能會對相關(guān)組織處理個人敏感數(shù)據(jù)的方式產(chǎn)生影響。因此，涉及個人敏感數(shù)據(jù)處理的相關(guān)組織須審查現(xiàn)有的政策和做法，并確保：

1.在大規(guī)模處理個人敏感數(shù)據(jù)之前實施了PIA；

2.若基于同意處理個人敏感數(shù)據(jù)，則該等同意應(yīng)滿足GDPR項下的新要求。注意：在雇傭關(guān)系中，原則上，同意處理敏感數(shù)據(jù)不被認(rèn)為是自愿作出；

3.根據(jù)需要委派DPO；

4.個人敏感數(shù)據(jù)的處理須滿足相關(guān)成員國的條件（包括限制）。

內(nèi)容解讀

2018年5月25日，歐盟出臺了《通用數(shù)據(jù)保護(hù)條例》。

1.

對違法企業(yè)的罰金最高可達(dá)2000萬歐元（約合1.5億元人民幣）或者其全球營業(yè)額的4%，以高者為準(zhǔn)。

2.

網(wǎng)站經(jīng)營者必須事先向客戶說明會自動記錄客戶的搜索和購物記錄，并獲得用戶的同意，否則按“未告知記錄用戶行為”作違法處理。

3.

企業(yè)不能再使用模糊、難以理解的語言，或冗長的隱私政策來從用戶處獲取數(shù)據(jù)使用許可。

4.

明文規(guī)定了用戶的“被遺忘權(quán)”（right to be forgotten），即用戶個人可以要求責(zé)任方刪除關(guān)于自己的數(shù)據(jù)記錄。

全球影響

20 18年5月28日報道，F(xiàn)acebook和谷歌等美國企業(yè)成為GDPR法案下第一批被告。

參考資料 >

史上最嚴(yán)數(shù)據(jù)保護(hù)法來了 侵犯網(wǎng)民隱私可罰1.5億.finance.ifeng.com.2019-01-02