欧盟《一般数据保护条例》.pdf

专注互联网业务安全 欧盟 《一般数据保护条例》 来源：公众号“数据法律资讯”（ID：DATA_AND_LAW；Email：dataprotection@163.com） 译作者：丁晓东 （中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院 长。中山大学电子与通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法 学博士后） 文档制作：公众号“顶象业务安全” （ID：dingxiang-tech） 第一章 一般条款 第1 条 主要事项与目标 1 ．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规 则。 2 ．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。 3 ．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限 制或禁止。 第2 条 适用范围 1 ．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画 像的非自动个人数据处理。 2 ．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第 2 章第 5 款所规定的活动而进行的个人数 据处理； (c) 自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共 安全威胁而进行的个人数据处理。 3 ．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第 45/2001 条例。 www.dingxiang - marketing@ 专注互联网业务安全 根据本条例第 98 条，(EC)第 45/2001 条例和其他适用于此类个人数据处理的欧盟法案应当 进行调整，以符合本条例的原则和规则。 4 ．本条例不影响2000/31/EC 指令的适用，特别是 2000/31/EC 指令第 12 至 15 条所规定的 中间服务商的责任规则的适用。 第3 条 地域范围 1 ．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据 处理行为是否在欧盟内进行。 2 ．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对 价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3 ．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制 者的个人数据处理。 第4 条 定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别 的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、 网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文 化性或社会性身份而识别个体。 (2) “处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论 该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通 过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动 化方式。 (3) “限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别 是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位 置或行踪而进行的处理。 (5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别 数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据 不能关联到某个已识别或可识别的自然人。 www.dingxiang - marketing@ 专注互联网业务安全 (6)“档案系统”指的是根据某