欧盟GDPR《一般数据保护法案》译文.pdf

译文 ｜欧盟 GDPR 《一般数据保护法案》 编者按：2016 年 4 月 14 日，欧洲议会投票通过了商讨四年的《一般数据 保护法案》 General Data Protection Regulation，GDPR ），该法案将于 2018 年 5 月 25 日正式生效。GDPR 的通过意味着欧盟对个人信息保护及其监 管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR 对于我国 业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚， 以及对我国与数据相关的法学研究都具重要意义。 新法案由 11 章共 99 条组成，中文译本由中国政法大学互联网金融法律 研究院 Internet financial law research institute of CUPL ,IFLRI ）组织翻译。 第一章 一般规定 1 第 条 主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动 订立规则。 2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据 在欧盟内部的自由流动。 2 第 条 适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整 理汇集系统一部分的自动方式除外。 2. 本法不适用于以下个人数据的处理： (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第 2 章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚 的目的，包括防范和阻止公共安全受到威胁。 3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据， 适用第 45/2001 号条例。 根据本法第 98 条，处理个人数据适用第 45/2001 号条例和其他联盟法律 法规的，应当符合本法的原则和规则。 4. 本法不影响 2000/31 / EC 指令的适用，特别是该指令第 12 条至第 15 条中的中间服务提供商的责任规则。 3 第 条 地域范围 1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其 处理行为是否发生在欧盟内。 2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者 没有设立在欧盟内，其处理行为： (a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品 或服务是否需要数据主体支付对价；或 (b) 是对数据主体发生在欧盟内的行为进行的监控的。 3. 本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地 的控制者对个人数据的处理。 4 第 条 定义 为本法之目的： (1) “个人数据”是指任何指向一个 已识别或可识别的自然人 “数据主体” ） 的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓 名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该 自然人一个或多个如物理、生理、遗传 、心理、经济、文化或社会身份的要素 。 2 ）“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作， 诸如收集、记