网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚，以及对我国与数据相关的法学研究都具重要意义。

新法案由11章共99条组成，中文译本由中国政法大学互联网金融法律研究院（Internet financial law research institute of CUPL ,IFLRI）组织翻译。 转载请注明。

指导老师：李爱君

翻译成员：方颖、方宇菲、任依依、李廷达、王璇、姚岚 

General Data Protection Regulation（GDPR）

2016年4月14日欧盟会议通过，2018年5月25日正式实行

第一章

一般规定

第1条

主题与目标

1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。

2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。

3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。

第2条

适用范围

1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。

2. 本法不适用于以下个人数据的处理：

(a) 发生在联盟法律范围之外的活动过程中;

(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;

(c) 由自然人在纯粹的个人或家庭活动的过程中;

(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。

3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

根据本法第98条，处理个人数据适用第45/2001号条例和其他联盟法律法规的，应当符合本法的原则和规则。

4. 本法不影响2000/31 / EC指令的适用，特别是该指令第12条至第15条中的中间服务提供商的责任规则。

第3条

地域范围

1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。

2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：

(a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或

(b) 是对数据主体发生在欧盟内的行为进行的监控的。

3. 本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

第4条

定义

为本法之目的：

(1) “个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

（2）“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。

（3）“处理限制”是指对已存储的个人数据的标识，用于在将来限制他们的处理行为；

（4）“剖析”是指为评估与自然人相关的某些个人情况，对个人数据进行任何自动化处理、利用的方式，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。

（5）“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

（6）“整理汇集系统”是一种依照特定标准，如集中、分散或功能分布或地域基准存取个人数据的结构化集合。

（7）“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式，以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。

（8）“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。