欧盟GDPR《一般数据保护法案》译文.docxVIP

译文｜欧盟 GDPR 《一般数据保护法案》 编者按： 2016 年 4 月 14 日，欧洲议会投票通过了商讨四年的《一般数据 保护法案》（  General Data Protection Regulation  ， GDPR），该法案将于 2018 年 5 月 25 日正式生效。 GDPR 的通过意味着欧盟对个人信息保护及其监 管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR 对于我国 业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚， 以及对我国与数据相关的法学研究都具重要意义。 新法案由 11 章共 99 条组成，中文译本由中国政法大学互联网金融法律 研究院（ Internet financial law research institute of CUPL ,IFLRI ）组织翻译。 第一章 一般规定 第 1 条 主题与目标 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。 第2条适用范围 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。 本法不适用于以下个人数据的处理： (a) 发生在联盟法律范围之外的活动过程中  ; (b) 由成员国在欧洲联盟条约第五卷第  2 章范围内进行活动时  ; (c) 由自然人在纯粹的个人或家庭活动的过程中  ; 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第 45/2001 号条例。 根据本法第 98 条，处理个人数据适用第  45/2001  号条例和其他联盟法律 法规的，应当符合本法的原则和规则。 4. 本法不影响  2000/31 / EC  指令的适用，特别是该指令第  12 条至第  15 条中的中间服务提供商的责任规则。 第3条地域范围 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为： 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或 是对数据主体发生在欧盟内的行为进行的监控的。 3. 本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用 地的控制者对个人数据的处理。 第4条定义 为本法之目的： 个“人数据 ”是指任 何指向一个 已识 别或可 识别的自然人（ “数据主体 ”）的信息。该可 识别的自然人 能够被直接 或间接地识 别，尤其是通过 参照诸如姓名、身份证 号码、定位 数据、在 线身份识 别这类标识 ，或者是通过 参照针 对该自然人一个或 多个如物理、生理、 遗传、心理、经济、文化或社会身份的要素。 （ 2） “处理 ”是指 针对个人数据或个人数据集合的任 何一个或一系 列操作 ，诸如收 集、 记录 、组织、 建构、 存储 、自适应或 修改 、检索 、咨询 、使用、 披露、传播 或其他的利用， 排列 、组合、限制、 删除或 销毁，无论此 操作是否 采用自动 化的手段。 3） “处理限制 ”是指对 已存储 的个人数据的 标识，用于在将 来限制他 们的处理行为； 4） “剖析 ”是指为 评估 与自然人相关的 某些 个人情况 ，对个人数据进行 任何自动 化处理、利用的方式，特别是 针对与自然人的 工作表现 、经济状况 、健康状况 、个人 偏好、兴趣、信度、 习性、位置 或行 踪相关的分 析和预测。 （ 5） “匿名化 ”是一 种使个人数据在不使用 额外信息的 情况 下不指向特 定 数据主体对 待个人数据处理方式。该处理方式将个人数据与其他 额外信息分别存储，并且 使个人数据 因技术 和组织 手段而 无法指向一个可 识别和 已识别的自然人。 6） “整理汇集系统 ”是一 种依照特定标准 ，如集中、分 散或功能分布或地域基准存取 个人数据的 结构化集合。 7） “控制者 ”是 能单独 或联合 决定 个人数据的处理目的和方式的自然人、 法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方 式，以及控制者或控制者 资格的具体 标准由欧盟或其成员国的法律 予以规定。 8） “处理者 ”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他 非法人组织。 （ 9） “接收 者 ”是指 接收 到被传递 的个人数据的，无论其是否是第 三方的自然人、法人、公共机构、行政机关