欧盟：通用数据保护法GDPR简介

最近，收到了一些针对欧盟通用数据保护法规（GDPR）的一些问询，其中还涉及到了所谓的“GDPR认证”的问题，感觉在对GDPR法规的理解上有不少人都与笔者存在着或多或少的差异。

所以，笔者简单地梳理了一下手头的GDPR相关材料，稍微做了个总结，大致分成了三个主题：GDPR基础简介、GDPR与汽车市场准入、GDPR的认证。计划近期编辑一下留存在这里，同时也作为对于本公众号大约两个月的懒散态度的一种补偿。

以下是第一个部分，主要介绍了通用数据保护法中，与个人和企业相关的且影响比较大的那些规定。最后对应近期已经淡去的“开盒事件”，进行了简要的分析。

GDPR法规是什么？

通用数据保护法规（GDPR）是欧盟制定的、在2016年5月份生效的一项与个人数据处理有关的法规，法规号是Regulation (EU) 2016/679。

该法规替代了之前的指令Directive 95/46/EC，其主要目的是规范私营企业和公共部门对于个人数据的处理活动，以有效地保护自然人作为数据主体的正当权利。

从指令到法规

GDPR法规是欧盟数据保护改革的结果，它适应了社会的进步和变革，在欧盟范围内统一了对个人数据处理活动的规则。

GDPR法规使自然人能更好地对其个人数据进行控制，即便这些数据被掌握在其他企业或公共部门手中。

GDPR法规建立了一个完全独立的监管体系，由独立的监管机构负责监督和实施。

GDPR法规与执法过程中的自然人保护指令Directive (EU) 2016/680和官方机构在处理个人数据时的自然人保护法规Regulation (EU) 2018/1725共同构成了欧盟在个人（数据）保护方面的完整法律框架。

GDPR法规有哪些需要关注的要点？

(1)个人权利

GDPR法规强化了指令Directive 95/46/EC中赋予自然人的权利，同时还增加了新的权利、规定了更多的控制权。包括：

方便地访问自己的个人数据，为此法规要求管理者（Controller）和处理者（Processor）提供更多的有关如何处理个人数据的信息。

可移植自己的个人数据，从而使自然人能更容易地在服务提供商之间进行选择和切换。

删除自己的个人数据的权利，自然人可以要求删除个人数据以缓解未来可能发生的数据泄露或滥用风险。

有权知道个人数据被泄露的情况，在发生了严重的数据泄露时，相关方不仅需要通知数据保护的监管机构，必要时还必须通知受影响的自然人。

(2)企业规则

GDPR法规通过制定在欧盟范围内统一的规范，既有利于企业以较低的管理成本实现合规运营，也有利于企业在更大程度上获得消费者或客户的信任。

GDPR法规为在欧盟运营的所有公司创造了公平的竞争环境，它遵循了技术中立的原则，并且鼓励创新。包括：

在欧盟范围内实施统一的数据保护规则，提高了法规的确定性，减轻了行政负担。

要求公共部门和大规模处理个人数据或核心活动是处理特殊类别数据的企业指定数据保护官（Data Protection Officer），对个人数据的保护负责。

提供一站式服务，企业只需与所在的欧盟成员国的监管机构打交道。不同成员国的监管机构之间，将会在欧洲数据保护管理局的框架内进行合作以处理跨境案件。

适用于非欧盟公司，总部位于欧盟以外的公司如果在欧盟境内向自然人提供服务或商品时，也必须满足相同的法规要求。

鼓励创新，可以在产品和服务的开发阶段，通过设计和默认保护的方法实现对个人数据的保护。

改善了跨境数据传输的合规方式，在将数据传输到欧盟以外的区域时，可通过获得欧盟委员会决议、按照经批准的（标准）合同条款或者公司章程、行为准则以及认证等方式来保障合规运营。

从“开盒事件”看GDPR法规中的角色转换和传递

如果在欧盟的企业之间发生了类似于“开盒事件”的话，那么随着事情的发展，一个企业可能会在不同的阶段扮演不同的“角色”，从而需要履行不同的义务。（注:GDPR不适用于个人行为，因此下面所述均为企业行为）

1) 从信息来源说起

信息的来源企业A，是GDPR法规中定义的管理者(Controller)或者处理者(Processor)。

企业A管理的个人信息被企业B获得的过程，应满足GDPR法规的规定。

然而，作为相对方的企业B，无论以何种方式获得开盒信息以及这个过程是否合规，都不是GDPR管理的范围。

2) 信息的开盒处理

一旦获得了开盒信息，企业B就成了新的管理者(Controller)。

“开盒”是企业B对个人信息的处理活动，应满足GDPR法规的规定。

3) 开盒的影响

在“开盒"过程中获得个人信息的任何企业C，立刻就成为了GDPR法规中的新的管理者(Controller)。其后续的处理活动应满足GDPR法规的规定。

嗯，这个结尾似乎有点啰嗦，但是笔者认为还是有助于理解之后的GDPR与汽车市场准入。因为在汽车上，汽车生产企业并非总是有意地要去获取这些或者那些个人信息，所以也可能会发生无意中成为Controller而不自知的情况。