安全合规GDPR--8--GDPR条例中的术语定义.pdf

安全合规/GDPR--8--GDPR条例中的术语定义 《通用数据保护条例》中的术语定义： 数据主体：终端用户的数据（就是个人用户的数据） 控制者：个人用户数据的直接对接者。以我司为例，涂鸦智能APP是直接对接用户的， 使用涂鸦智能的隐私政策，此时涂鸦智能就是控制者。如果是客户OEM的APP ，那用户 个人数据对接的是客户OEM的那个APP ，使用客户的隐私政策，此时客户是控制者。处 理者：处理控制者的数据。以我司为例，客户OEM的APP 的数据会上传到涂鸦云进行处 理（不是他们自己处理），所以在这个场景中，客户是控制者，涂鸦智能是处理者。 DPA：数据处理协议（Data Processing Agreement） PTA：隐私阈值分析（Parent Teacher Association ） PIA：隐私影响评估（Privacy Impact Assessment） DPIA：数据保护影响评估（Data Protection Impact Assessment） SCC：标准合同条款 / 跨境传输协议 (1) “个人数据”指的是任何已识别或可识别的自然人( “数据主体”)相关的信息;一个可 识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编 1 号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、 精神性、经济性、文化性或社会性身份而识别个体。 (2) “处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为， 不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、 使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销 毁而公开等自动化方式。 (3) “限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4) “用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处 理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、 行为方式、位置或行踪而进行的处理。 (5) “匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就 不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方 式确保个人数据不能关联到某个已识别或可识别的自然人。 (6) “档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、 功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。 (7) “控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理 目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式 是由欧盟或成员国的法律决定的，那么对控制者的定义或确定控制者的标准应当由 欧盟或成员国的法律来规定。 (8) “处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规 制机构或其他实体。 (9) “接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体， 不论其是否为第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框 架而接收个人数据，则不应当被视为接收者;公共机构对此类数据的处理，应当根 据处理目的遵循可适用的数据保护规则。 (10) “第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授 权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。 2 (11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行 动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的 意愿。 (12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据 被意外或非法损毁、丢失、更改或未经同意而被公开或访问。 (13) “基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些 数据可以提供自然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分 析而可以得出的独特信息。 (14) “生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为 特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸 部形象或指纹数据。 (15) “和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个 人健康状况信息的个人数据，包括和卫生保健服务相关的服务。 (1