欧洲机构

Compare European institutions

1、EU(European Union 欧盟)：27个成员国，经济与政治联盟，拥有以下的隐私与数据保护法：

Charter of Fundamental Rights of the EU(CFREU)：欧盟基本权利宪章
Treaty on the Functioning of the EU(TFEU)：欧盟条约
Lisbon Treaty：里斯本条约
General Data Protection Regulation(GDPR)：通用数据保护条约
ePrivacy Directive：电子隐私指令
National data protection laws across Europe：欧洲各国数据保护法

2、COE(Council of Europe 欧洲委员会)：46个成员国（包含欧盟的26个），没有立法能力，但能影响法律的执行和方向。制定的公约或机构有：

European Convention of Human Rights(ECHR)：欧洲人权公约，用于保护人权、民主和法治
European Court of Human Rights(ECtHR)：欧洲人权法院，用于监督遵守欧洲人权条约
CoE Convention：欧洲委员会公约(108公约)，关于个人数据自动处理的公约

3、European Economic Area(EEA 欧洲经济区)：经济区域，包含欧盟成员国和冰岛、挪威、列支敦士登（非欧盟国家在EEA要采纳欧盟关于单一市场的立法），立法核心如下：

Agreement of European Economic Area（1994）：1994欧洲经济区协议
Allow European Free Trade Association(EFTA)participate internal market：欧洲自由贸易协会成员完参与内部市场

注：瑞士不是EEA协议的一部分，采取的是双边协议

Compare CFREU of ECHR

Charter of Fundamental Rights of the EU	European Convention of Human Rights
欧盟	欧洲委员会
依据里斯本条约确定基本权利	以1948-12-10通过的世界人权宣言为基础
满足于欧盟	欧洲的基本权利文件（不仅是欧盟）
确定数据保护的单独权利	包括数据保护（私人生活）的权利

整体来说，欧盟基本权利宪章不得违反欧洲人权公约，人权公约相比于欧盟基本权利宪章要包括的更广泛，但欧盟基本权利宪章可以提供更高的保护水平。

Article 8 is considered open-ended provisions for European Convention of Human Rights ：第 8 条被称为最开放性的条款，8.2中划定个人数据保护的例外情况，平衡了个人数据保护和公共利益：

Public security and safety：国家或公共安全
Economic well-being of country：国家经济福祉
Prevention of disorder of crime：防止混乱与犯罪
Protection of health and morals：保护健康与道德
Protection of rights and freedoms of others：保护他人的权利与自由

Compare CJEU of ECtHR

Court of Justice of the EU	European Court of Human Rights
欧盟的司法机构	欧洲委员会机关之一
欧盟法律问题和执行决定	执行欧洲人权公约和108公约
欧洲法院(ECJ)：欧盟最高法院，裁决欧盟法律争议，初审法院(CFI)：审理自然人或法人提起的诉讼以及欧共体和雇员争议	以个人身份任职，不代表任何国家
成员国相关案件中的数据保护	个人信息权的条件细化为合法性、合目的性、合比例性的干涉三要件的相关保护
Based in Lusembourg(卢森堡)	Based in Strasbourg upholds(斯特拉斯堡)

The rights for EU Institutions

欧洲理事会（European Council）

构成：由欧盟所有国家的国家元首或政府首脑、欧洲理事会主席、欧盟委员会主席组成。
职能：确定欧盟的优先事项，为欧盟设定政治方向。

欧盟委员会（European Commission）

构成：每个成员国各有一名委员，委员需承诺遵守欧盟条约。
职能:
- 执行欧盟的决定和政策。
- 拥有广泛职能，包括立法提案权。
- 在数据保护方面，是历史上最活跃的欧盟机构。

欧盟理事会（Council of the EU）

构成：每个成员国派一名部长，根据讨论的政策问题而变动。
职能:
- 与欧洲议会共同进行立法决策。
- 立法通常由欧盟委员会提出，再由欧盟理事会和欧洲议会审议。

欧洲议会（European Parliament）

性质：唯一由成员直接选举产生的欧盟机构。
职能:
- 主要负责立法制定、对其他机构进行监督以及编制预算。
- 在数据保护和隐私问题上，通过立法程序发挥最大影响力。
共同决策程序（Co - decision Procedure）：欧盟理事会和欧洲议会就立法达成一致的程序

1743218751266

发展历程

An evolving harmonised approach

1、Organisation for Economic Co - operation and Development：经济合作与发展组织在1980年发布了《The protection of Privacy and Transborder Flow of Personal Data》隐私保护与个人数据跨境流动准则，作用如下：

Nonbinding：不具有法律强制约束力，但为成员国及相关方在数据保护方面提供了重要指引。
Protection of personal data in global economy：着眼于全球经济环境下的个人数据保护。
introduction of key principles on collection an use：引入了个人数据收集和使用的关键原则，比如限制收集原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、公开性原则、个人参与原则以及责任原则等。这些原则为后续各国和地区制定数据保护法规奠定了基础，2013 年该准则进行了修订，以适应不断发展的数字环境。

2、1981年Convention 108/CoE Convention也称为Convention for the Protection of Individuals with Regard to the Automatic Processing of Personal Data，作用如下：

Leaglly binding：对欧洲委员会成员国具有法律约束力的条约（也向非成员国开放）。
Limited to automatic processing of personal data：限定于个人数据的自动化处理。
涵盖数据收集限制原则（应合法、公平收集数据）、数据质量原则（数据应准确、完整且及时更新）、目的明确原则（收集数据目的应明确且合法）等。2018 年 10 月推出《第 108 号公约＋》

3、1995年The EU Data Protection Directive 欧盟数据保护指令，作用如下：

Leaglly binding：具备法律约束效力。
EU Member required to transpose and implement them：设定了通用的数据保护原则与义务。欧盟成员国需将其转化为国内法并实施，这推动了欧盟内部在数据保护领域的统一规范。

4、2000年颁布欧洲基本权利宪章(CFREU)与电子商务指令，作用如下：

CFREU：直至2007年《里斯本条约》才具有了法律约束力，旨在强化和完善欧盟的核心架构，助力欧盟更高效地运作。

The E-Commerce Directive of 2000：主及信息社会服务在欧盟内部市场的特定法律方面，尤其是电子商务领域。它规范了诸如在线服务提供商的责任、服务提供的规则、商业信息传播等方面，为欧盟内部电子商务的有序开展提供法律框架。明确将个人数据处理相关问题排除在其适用范围之外。这意味着在处理电子商务活动中的个人数据时，不能依据该指令。

5、2002年颁布ePrivacy Directive 电子隐私指令

管辖范围：关注电子通信领域的个人数据处理和隐私保护。在电子通信行业快速发展、数据流通频繁的背景下，该指令为规范行业数据处理行为、保护用户隐私提供依据。
具体规则：针对互联网服务提供商（ISPs），制定了营销活动、Cookie 使用以及安全漏洞通知等方面的特定规则。比如规定网站使用 Cookie 时需向用户告知并获得同意，ISP 在发现安全漏洞时要及时通知相关方式等

6、2006年颁布The EU Data Retention Directive(欧盟数据保留指令)

范围：规定互联网服务提供商（ISP）和电信公司有义务留存通信元数据。留存这些数据是为了在执法需要时能够获取相关信息。
争议：2014 年在 Digital Rights Ireland案中，欧盟法院对该指令的有效性提出质疑并将其推翻。这是因为该指令在实施过程中，可能存在对公民基本权利，如隐私权等的过度干预，引发了广泛争议。

6、2007年颁布The Treaty of Lisbon，直至2009年生效。

赋予宪章约束力：《里斯本条约》在 2009 年生效后，使《欧盟基本权利宪章》（CFREU ）成为具有强制力的法律
推动数据保护法发展：该条约对欧盟数据保护法的发展起到推动作用。它从整体法律框架层面为欧盟在数据保护领域的立法和执法提供了支撑

7、2016年颁布GDPR，于2019年生效。

GDPR

统一规则：GDPR目标是为所有欧盟成员国提供一套统一的数据保护规则，成员国法律需与 GDPR 保持一致，要么废除不符合的法律，要么进行修订，约 50 项条款允许成员国法律进行细化说明或规定例外情况。

监管机构：2018 年，欧洲数据保护委员会（EDPB）取代了原有的第 29 条工作组(WP29)，WP29 是依据之前的欧盟数据保护指令设立的，主要由各成员国数据保护监管机构代表组成。

Interplay between the ePrivacy and GDPR

范围界定：：ePrivacy Directive 适用于电子通信服务、电子通信网络，以及在欧盟公开提供的服务和网络，比如网站运营者（涉及 Cookie 等）或从事直接营销等业务的主体；GDPR 则覆盖 任何形式的个人数据处理，无论使用何种技术 。

特别法优先：特殊规定优先于一般规则。如 GDPR 第 6 条规定了一系列数据处理合法依据，但电子通信服务提供商处理流量数据时，ePrivacy Directive 第 6 条明确限制了包括个人数据在内的流量数据处理条件，此时应优先适用 ePrivacy Directive 。

互补关系：ePrivacy Directive 的多项条款对 GDPR 起到补充作用，例如在个人数据泄露通知义务方面，ePrivacy Directive 的相关规定可进一步细化和补充。

一般法适用（lex generalis）：当特别法优先原则不适用时，将适用一般规则，即GDPR。

数据保护机构的职责：当个人数据同时触发GDPR和ePrivacy Directive适用范围时，数据保护机构要审查相关数据，需要国家法律授权，才能依据ePrivacy Directive 的法律赋予的监督权利，审查受国内 ePrivacy 规则管辖的数据处理操作。

个人数据

four step test personal data

如何判断是否数据个人数据，在GDPR第4条第1款中给出了四步测试法，标准都需要满足，如下：

第一步：判断是否属于任何信息。明确哪些内容能被认定为信息，这是判定个人数据的基础，只有符合信息范畴，才可能进一步成为个人数据。
第二步：确定信息是否与个人存在关联，比如涉及个人的行为、特征、活动等方面，建立起信息和个人之间的联系纽带。
第三步：确认是否涉及已识别或可识别的……。可通过直接方式或者间接方式识别到个人数据。
第四步：确定是否指向自然人。明确个人数据所关联的对象是具有自然生命的个体，而非法人等其他主体

personal data element

个人数据要素构成了个人信息的数据片段，分为一般个人数据要素和关联个人数据要素，由于个人数据要素的种类繁多，聚合起来使个人数据更加非常，也更难去标识化 。

General personal data element: 包含性别、年龄、出生日期、国籍、语言、婚姻状况等，是能反映个人基本属性的信息。

Relational personal data element: 涵盖实际地址、电话号码、电子邮件地址、内部编号、政府颁发的证件号码、身份验证信息等，多与个人在社会活动、组织关联中的身份识别有关。

Anonymous and Pseudonymous

匿名化数据: 个人信息经过处理无法识别自然人且不能复原过程，在GDPR中不属于个人数据，不受到保护。比如从病历中删除患者姓名等个人信息，仅保留疾病诊断、检查结果等通用医学数据用于研究。

假名化数据:以某种方式处理个人数据，个人数据无法再通过不使用附加信息的方式归属于特定数据主体，前提是附加信息被单独存储，并采取技术性和组织性措施确保个人数据不会被归属于已识别或可识别的自然人，受到GDPR的保护。

Personal Data categories

特殊类别的个人数据因为对个人隐私权利的影响深远，在GDPR中会拥有更高的保护标准，一般禁止处理，除数据主体明确同意或与公共利益等相关。

Personal data revealing racial or ethnic origin:宗教或族裔出身等。

Political opinions，religious or philosophical beliefs，or trade-union membership:政治观点、宗教或哲学信仰、工会会员资格。

Genetic or biometric data for the purpose of uniquely idensssstifying a natural person:用于唯一识别自然人的基因或生物特征数据。

Data concerning health，sex life or sexual orientation:健康状况、性生活或性取向的数据。

Data related to criminal convictions and offences:刑事定罪和犯罪行为相关的数据，仅在官方机构控制下进行并且仅在官网机构控制下保存。

控制者与处理者

Data Protection roles

数据保护的角色主要分为四类，如下：

Data Subject(数据主体): 个人信息处理对象

Data controller(数据控制者):决定处理个人信息目的和方式的组织或个人

Data processor(数据处理者): 代表数据控制者处理信息的组织或个人

DPA(数据保护机构): 负责执行隐私或数据保护的实体特定司法辖区的保护法律和法规。

Controller

控制者：单独或与他人共同决定个人数据的目的和手段的自然人、法人、公共当局、机构或其它实体。

控制者不一定需要访问正在处理的数据才能被视为控制者，控制者主要是确定处理的目的和方式：

处理的目的决定了为何处理
处理的方式决定了如何处理
处理哪些数据
数据保留多长时间以及由谁保留
数据存诸和传输在哪里
谁处理数据

当两个或两个以上的控制器共同决定处理的目的和方式时，称为共同控制器(joint controllers)，在GDPR第26条中明确了共同决定处理个人数据的控制器义务：

联合数据控制者需以透明方式确定各自在遵守条例义务方面的责任：

数据主体访问请求
数据主体权利行使
为数据主体提供联系点
数据主体知晓 “安排的实质内容” 。数据主体可针对任一联合控制者行使权利，无论相关安排条款如何

EDPB(欧洲数据委员会)发布的指南可以知悉：

Join Controller形式如下：
- 两个或多个实体共同做出决定。比如多家企业联合开展市场调研项目，共同决定收集哪些消费者个人数据、如何使用这些数据等
- 两个或多个实体做出趋同决定。即各方决定虽不完全相同，但在关键方面趋于一致，都对数据处理的目的和方式产生影响。
决定的互补性：各方决定相互补充，是数据处理得以进行的必要条件。任何一方的决定缺失，都可能影响数据处理的合法性和完整性
对处理目的和方式确定的实质影响：联合控制者的参与对确定数据处理的目的和方式有切实影响。若无双方参与，数据处理无法进行，说明双方在数据处理中紧密相连，缺一不可。

Processor

Processor:代表控制者处理个人数据的自然人、法人、公共当局、机构或其他实体。在GDPR中，数据处理者会分担职责和责任，但数据保护主要责任仍在数据控制者。

处理依据：依据GDPR第 28 条，数据处理者仅根据书面指示处理个人数据。需获得授权，并通过数据处理协议明确与数据控制者的关系条款。比如企业委托第三方数据处理公司分析客户数据，双方需签订协议，规定处理的具体要求、范围等

服务提供：为数据控制者提供服务，协助控制者并在发现 GDPR 违规情况时通知控制者。例如，若处理过程中发现数据泄露风险，处理者要及时告知控制者。

数据保护：

安全措施：根据第 28 条，需采取措施保护个人数据，确保数据保密性，运用适当技术和组织措施。像使用加密技术保护数据存储安全，建立严格的访问控制制度。
合规记录：依照第 30 条，要记录代表控制者进行的各类个人数据处理活动。如记录数据处理的时间、方式、涉及的数据类别等，便于追溯和合规审查。

在EDPB中，判定Processor的标准如下：

独立实体：是与数据控制者分离的独立实体。
代表处理：代表数据控制者处理个人数据。
指令裁量：在控制者指示下有一定裁量权。

注：在GDPR中，如果Processor自行决定个人数据处理的目的和方式，从而违反条例。那么该处理者可能被视为controller，关键在于谁做出处理决策，这种决策行为的影响力高于法律规定本身。

Compare Controller and processor

责任要求	Controllers	Processor
Roles are interchangeable depending on the procession operation(角色可互换)	✔	✔
Data compliance with international data transfer rules	✔	✔
Subject to large administrative fines(行政处罚) if obligations are not met	✔	✔
Subject to compensation claims from individuals if obligations are not met	✔	✔
Record-keeping	✔	✔
Legally responsible for data protection	✔	✔
Ultimate accountability for data protection	✔	❌
Makes decisions that relate to the purpose of processing personal data	✔	❌

Vendor Management

GDPR中关于供应商风险管理也有一定的要求，但是理论要求在实际操作中存在一定的挑战，如下：

第三方评估范围：控制者需明确在合同签订前后评估第三方（包括进行审计）的程度。例如与新供应商合作，要确定审计频率、范围等，确保供应商合规处理数据，但尺度难把握
合同条款复杂： GDPR相关合同条款复杂，增加理解和执行难度
力量差异： 双方的谈判力量不平等或来自欧盟与非欧盟辖区，谈判合同困难。如大型跨国企业与小型供应商，地位不对等，谈判难达成平衡数据保护与商业利益的合同
云计算场景复杂: 涉及云计算时，难随时确切知晓数据处理操作性质。
离岸外包：很多控制者 - 处理者关系中，数据会跨境传输。GDPR规定，若接收第三国获充分性认定（有足够数据保护水平），可传输；若无，需采取适当保障措施，如标准合同条款、监管机构批准的临时合同、经批准的处理者约束性公司规则

若数据控制者未充分尽职确保处理者采取适当数据保护措施，最终需承担责任。强调控制者在供应商风险管理中积极作为，监督处理者保护数据。可使用清单梳理合同签订前尽职调查需考虑问题及采取必要步骤的证据。

Pre-contractual due-diligence

关于处理者的义务，前面有提到：

问责性：处理者需履行 GDPR 规定的义务，具备可问责性。比如要做好记录保存工作，留存数据处理活动相关记录等，适用情况下可任命DPO
数据主体权利：回应数据主体权利请求，如访问、更正、删除数据等请求
安全性：控制者要将安全置于与潜在处理者合作关系的优先地位
数据保护措施：控制者要确保有足够的控制措施来保护数据

在评估处理者的时候，至少要提出以下问题：

目前是否正在接受数据保护监管机构的调查？
如果聘请了欧洲经济区以外的次级处理者，是否在该任命中采取了适当的合规措施？
他们是否聘请次级处理者？是否有次级处理者入职的程序？次级处理者位于何处？
关于数据保护的政策框架是什么样的？
他们是否获取了任何形式的认证，支持其遵守适当的数据保护标准或安全标准？如获得 ISO 27001 等相关信息安全管理体系认证
最近他们是否遭受过任何数据泄露？
他们是否进行培训并有具体的数据保护政策？

Components and terms of a contract

当Controller雇佣了数据处理器、控制者有义务签订数据处理协议，协议要包含如下内容：

数据处理的主题、期限和性质

个人数据的类型和数据主体类别

控制者的义务和权利

处理者的责任

关于合同条款，参与的Processor一般需要遵循如下：

仅在书面控制者的指示下处理个人数据，包括跨境数据传输
处理器员工签署了保密协议，确保有权处理数据的人员承诺保密
适当的技术保护和组织措施
次级处理者需获取控制者同意并接受所有的合同条款
协助控制者向监管机构和受影响个人报告通知数据泄露的情况
协助控制者应对个人数据权利行使要求
在控制者指示下，删除或返回个人数据
向控制者提供所有的必要信息以证明符合GDPR的要求
接受包括检查在内的审计要求

数据处理

任何对个人数据或个人数据集合进行操作或一组操作，无论是否通过自动化手段，例如手机、记录、组织、结构化、存储、调整或修改、检索、咨询、使用、披露、对齐、限制、删除或销毁。

Data processing principles

Data quality：个人数据应于使用目的相关，并在必要范围内保持准确、完整和最新。
Accountability：数据控制者必须对遵守上述原则和所涉及的措施负责。
Purpose specification：收集个人数据的用途最晚在收集数据时规定，并且后续使用受限于实现这些目的并与这些目的相兼容，能在变更时再次予以规定。
Openness：应有一项关于个人数据开发、实践和政策的一般开放政策，应有简便的方法确认个人数据是否存在以及数据的性质与用途，以及数据控制者的身份和通常居住地。
Individual partcipation：个人主体对数据应有以下权利：
- 从数据控制者或其他方式确认数据控制者是否持有其数据
- 在合理的时间内，以合理的方式和易于理解的形式获取到相关的数据
- 如果提出的请求被拒绝，获取拒绝理由并有权挑战拒绝
- 挑战与其相关的数据，如果挑战成果，有权删除、更正、补充和修改数据
Collection limitation：限制个人数据的收集，此类数据应以合法、公平方式收集，必要时获得数据主体的知情或同意。
Use limitation：个人数据不应用于除根据目的规定的用途之外的其它用途，除非数据主体同意或法律授权。
Security safeguards：个人数据得到合理的安全保障，防止数据丢失，未授权访问，破坏、使用、修改或披露等风险。

在GDPR中，原则与OECD大致相同，主要规定如下：

合法性、公平性和透明度
目的限制
最小化数据：仅处理对于目的而言相关和必要的个人数据
数据质量和准确性
数据保留限制
完整性和保密性
责任制

Three criteria of personal data

GDPR列出了数据处理适用于其的三项标准，包括地域范围和实质性范围，只需要满足任何一项，GDPR即适用。

地域范围：

当数据处理与欧盟内控制者或处理者机构的活动相关（无论实际处理是否在欧盟境内）
针对欧盟境内的个人数据主体的数据处理，与提供商品或服务或在欧盟境内监控其行为相关（当控制者和处理者不在欧盟境内时）
依据国际公法，在欧盟以外但在成员国法律适用的地方由数据控制者处理个人数据。

实质性范围：

自动化处理：全部或部分通过自动化手段进行的个人数据处理，指无需或部分无需人类干预的处理操作。需注意与自动化决策区分，自动化决策在 GDPR 下有严格限制。
非自动化但构成档案系统部分的处理：即便不是通过自动化手段处理，只要个人数据构成档案系统的一部分，也在实质性范围内。这里强调只要数据是档案系统一部分，无论处理手段如何都受规管。
排除情形：
- 欧盟法律范围外的活动（如国家安全活动）。
- 执法和公共安全活动。
- 纯粹的个人或家庭活动。这些活动不在 GDPR 关于个人数据处理实质性范围的约束内。

Lawful grounds for controllers

同意（Consent）：数据主体明确、自愿且知情地同意数据控制者处理其个人数据。这是常见合法基础，例如用户注册软件时勾选同意隐私政策，就是给予同意。
履行合同（Performance of a contract）：当处理个人数据是履行与数据主体所签合同的必要条件，或者数据主体为订立合同主动请求处理时适用。如电商处理消费者收货信息用于发货，就属于履行合同范畴。
法律义务（Legal obligation）
- 解释：指数据控制者需遵守欧盟及成员国法律规定的法律义务。
- 范围限定：仅适用于欧盟及成员国法律要求，不包括合同约定的法律义务，也不涉及欧盟以外第三国法律规定的义务。例如企业按欧盟税务法规要求处理员工薪资数据，就符合该合法依据。
重大利益（Vital interest）：通常涉及保障生命安全等至关重要的情况，比如紧急医疗救治时处理患者个人数据。
公共利益（Public interest）：基于公共利益需求处理个人数据，如政府部门为公共卫生防疫追踪密切接触者信息。
合法利益（Legitimate interests）：
- 适用情况：为数据控制者或第三方的合法利益所必需（但不能凌驾于数据主体的利益、权利或自由之上，特别是当数据主体为儿童时）。常作为在缺乏其他合法处理依据时的兜底选项。
- 使用注意：虽有时比获取同意更具现实可操作性，但使用时需谨慎评估，确保不损害数据主体权益。

注意：对于儿童数据的处理，需要更加严格，当孩子未满13-16岁时，必须获取父母或监护人的同意。

Special categories of personal data

对于特殊类别的个人数据，除了以下的情况，禁止处理：

数据主体明确、自愿、具体且知情的同意和肯定行为
政治、哲学和宗教目的
敏感数据由数据主体自愿公开
雇佣、就业需要
提起、行使或维护法律诉求
重大的公共利益
医药和社会医疗
公共健康
公共档案、科学或历史研究或统计资料

~ ~ The End ~ ~

首页|Aiwin

GDPR学习笔记