来源：中国信息通信研究院

一、

GDPR合规体系

01

风险评估

两个重点：（1）GDPR是否适用；（2）GDPR所涉及的业务领域及其数据的收集、使用、处理、保存和跨境传输的状态。

02

组织构架保障

董事会、高管人员对数据合规的重视与支持；DPO的设置、选任、职责范围以及与现有组织架构的衔接整合等。

03

合规体系设立与执行

企业内部GDPR合规制度的设立与健全；GDPR项下外部文本的调整与完善；GDPR合规的流程控制。

04

合规培训及宣讲

定期对企业的董事、高管、雇员和第三方开展多元化的GDPR培训。

05

合规体系执行的监督和审计

针对特定业务模块的监督和审计；定期全面审计；对合规制度和业务流程的改进和优化；对内部文本和第三方文本的进一步调整和更新。

二、

GDPR疑难点及合规建议

1.GDPR的域外适用

Q：在中国境内的欧盟的个人数据管不管？

A：若信息的采集和处理过程均是在欧盟境外完成，则GDPR不适用，但是，如果数据是企业通过提供面向欧盟的服务而在线收集而来，则适用。例如，某App有法语版本，并在法国宣传其可为法国游客在中国旅行提供服务，则该法国用户的数据受GDPR管辖。

2.个人数据的范围

Q：GDPR中的个人数据指的是哪些数据？

A：个人数据是指任何已识别或可识别的自然人的信息。

该可识别的自然人能够被直接识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线活动或者是通过参照针对该自然人一个或多个如物理、生理、遗传、文化或社会身份的要素。实践中，个人数据还包括通过任意一种方式或可被分配给某人的所有数据。例如，电话号码、个人的信用卡或人员编号、账户数据、号牌、外貌和客户号或地址，均属于个人数据。

经过假名化处理的数据可以使识别个人更加困难，从而降低隐私风险，但其仍属于个人数据。如果个人数据可以被真正地匿名化处理，那么经过匿名处理的数据不受GDPR规制。

在GDPR下，数据保护并不适用于有关诸如公司、基金会以及机构等法律实体的信息。

除了一般的个人数据以外，还有特殊类别的个人数据（也被称为敏感个人数据）。这些数据包括基因、生物识别和健康数据，以及可被归于某一个人的种族和族裔血统、政治意见、宗教或意识形态信念或某一社群组织的成员关系的个人数据。

//////////

Q：在线活动标志符（OnlineIdentifier）具体包括什么？

A：GDPR在个人信息的定义中特别地包括了“在线活动识别符”这一概念，其包括与个人使用的设备、应用、工具及互联网协议等相关的信息。

GDPR序言第30条中对在线活动识别符进行了一个非穷尽式的列举：

?互联网协议地址（IP地址）

?Cookie识别符

?射频识别（RFID）标签等其他识别符

其他可能属于个人数据的在线活动识别符包括：

?MAC地址

?广告ID

?像素标签

?设备指纹

对于上述在线活动识别符所留下的与服务器所接收的特殊识别符或其他信息相结合后，可以用来识别个人。

在评估个人是否可识别时必须考虑在线活动识别符自身或者与其他信息结合后是否会被用来其他人区分，区分的方法可能是对用户进行画像以识别个人。

3.如何理解数据处理的6个合法事由？

Q：什么是履行合同之必要？

A：GDPR第6条规定了处理数据的6种合法事由，其中包括数据主体为履行合同之必要，或者在合同订立前应数据主体的要求而采取某些与订立合同相关的行动而处理数据。

通常在以下两种情况下，可以将履行合同之必要作为合法事由：

?企业与个人之间存在着一份合同，为了履行该合同项下的义务，企业需要处理某些数据主体的个人数据。

?企业与个人之间尚未达成一份合同，但数据主体要求企业采取某些行为作为第一步（例如，提供一个报价），为了完成数据主体所要求的行为，企业需要处理其个人数据。

//////////

Q：什么场景下可以使用数据控制者的正当利益作为数据处理合法事由？

A：正当利益是GDPR下的另一事由。GDPR第6条规定，如果个人数据的处理对于控制者或第三方正当利益是必要的，企业可以处理个人信息，除非要求对个人数据进行保护的数据主体利益或基本权利及自由超过了上述正当利益，尤其是数据主体为儿童时。正当利益事由可以被拆解成以下三个层面加以理解：

?目的测试：企业所追求的是否是正当利益？

?必要性测试：对于该目的而言，个人数据处理是否必要？

?权衡测试：个人权益的保护是否胜过企业追求的正当利益？

GDPR尤其将“对于客户或雇员数据的使用”、“推广营销”、“欺诈防护”、

“集团内部转移”或“IT安全”列为潜在的正当利益，但这并非穷尽式的列举。

GDPR还规定，向政府机关披露与可能的刑事犯罪行为或安全威胁有关的信息，对企业来说也构成正当利益。

4.数据控制者和数据处理者的区别

Q：数据控制者和数据处理者的义务有何区别？

A：

5.个人数据出境的合法事由

Q：中国企业可适用的数据出境方式是什么？

A：根据GDPR的规定，将欧盟境内个人数据转移至其他司法管辖区时应区分安全和非安全两类第三方司法管辖区。安全的第三方司法管辖区是指欧盟委员会已经确认的具有充分数据保护水平的司法管辖区，其国内法提供了与欧盟法相匹配的数据保护程度。目前，通过上述充分性认定的司法管辖区包括：安道尔、阿根廷、加拿大（仅包括商业组织）、法罗群岛、根西岛、以色列、马恩岛、瑞士、乌拉圭和美国（如果数据接受者适用隐私盾）。对上述司法管辖区的数据转移被明确允许。年1月，欧盟与日本之间达成个人数据跨境传输充分性框架，可以在欧盟与日本之间实现个人数据的双边传输。

对于其他司法管辖区，应确保数据接口提供充分的数据保护。相关机制包括签署标准合同条款、集团公司“约束性公司规则”、遵守欧盟委员会公布的通常适用的行为规则或处理程序认证。

对于中国企业，常见的方式是由欧盟境内的主体与境外数据接收主体签订标准合同条款，并根据此条款进行数据跨境转移。

三、

GDPR与我国法律的比较及冲突应对

1.中国个人信息保护法律规则与GDPR的共通点

主要体现在共通的个人信息的界定标准、趋同的个人信息保护原则和权利保护框架、同意的例外与对企业合法利益的考量、引入以风险控制为中心的个人信息保护理念。

2.中国个人信息保护规则与GDPR的区别

主要体现在对于个人敏感信息范围和处理限制的区别、“同意”的区别、数据主体权利形式范围的区别等。

3.GDPR与我国法的实质性矛盾

主要体现在数据权利的法律限制、数据本地化存储、跨境传输限制、数据存储期限等。

GDPR检查单（光曦国际建议）

（完）

光曦国际e

著作权声明：本文内容仅代表作者本人观点，不代表光曦国际公司出具的正式咨询建议或结论。任何渠道如需转载或引用文章中任何内容，请与合规官

转载请注明:http://www.hafeiqichec.com/gjdl/22686.html