编者按:2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
新法案由11章共99条组成,中文译本由中国政法大学互联网金融法律研究院(Internet Financial Law Research Institute of CUPL ,IFLRI)组织翻译。
欧盟GDPR《一般数据保护法案》全文翻译(二)
第三节 数据保护影响评估以及事先咨询
第35条 数据保护影响评估
1.鉴于一种数据处理方式,尤其是使用新技术进行数据处理,统筹考虑处理过程的性质、范围、内容和目的,(不难得知)这很可能对自然人权利和自由带来高度风险。在进行数据处理之前,控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。一个单一的评估方法也许能够对目前的相似的高风险状况,提供相类似的一组操作方式。
2.当进行数据保护影响评估时,受委任的控制者可以向数据保护局寻求帮助。
3.以下情形尤其适用于第一款所说的数据保护:
(a)对自然人个人情况评估所进行的系统和广义上的理解也是基于自动处理(包括分析)以及基于依据
(b)第9条第一款提到的大范围的数据处理或者第十条提到的关于刑事定罪和罪行相关的个人信息。
(c)一个大规模的公共可访问区域的系统性监测。
4.监督机构应当根据第一款,建立并且公布一套数据处理机制,使其符合评估影响的需要。监管机构应当就这些与第68条所提到的董事会进行交流。
5.监督机构也可以建立以及向公众发布并不强制要求数据评估保护的处理机制种类。监管机构应当就此与董事会进行交流。
6.在采取第四款第五款的措施之前,监管机构应当应用63条的监管机制,包括与货物提供、服务提供、数据主体或者某些成员国的行为管控相关或者与可能会实质上影响到个人数据自由运动相关的处理活动。
7.评估至少包括以下内容:
(a)对于所设想机制以及处理目的(包括数据应用、控制者追求的立法利益)的系统性描述;
(b)对与处理目的相关的处理机制必要性的评估;
(c)对第一款所提到的数据主体的权利自由的风险性评估;
(d)所设想的处理风险的举措,包括保障措施、安全措施、确保个人数据保护安全的机制以及说明数据主体权利和立法利益方面的合规性举措。
8.在评估处理机制影响的过程中,对于40条所规定的相关管理者以及处理者行为的合法性应当考虑在内,尤其是关于数据保护评估目的的部分。
9.合适的情况下,管理者应当寻求数据主体或者他们在预期处理方面的代表的观点,不能对商业利益保护、个人利益保护或者处理机制的安全保护持有偏见。
10.依据第六条第一款(c)项或(e)项的处理,有联盟法律或者成员国国内法的依据,在这些法律之中,管理者是一方主体。这些法律规制了具体的处理方式或者一系列仍受争议的的机制。数据保护影响评估方式已经被当做是一般影响评估的一个部分得到实施。第一款到第七款不能得到适用,除非成员国认为处理活动的事先评估确有必要。
11.必要时,如果处理方式是根据数据保护影响评估所作出的,在处理机制的风险出现变化的时候,处理管理者应当对评估进行审查。
第36条 事先咨询
1.第35条下的数据保护影响评估表明,如果控制者没有采取措施减少风险,那么处理过程将会是高风险的。因而,控制者应当在处理之前向监督机构进行咨询。
2.第一款中监管机构预期处理在控制者没有完全认定或者减少风险的情况,是对第一款规定的违反。监督机构应当至迟在8周以内向控制者提出书面建议,也可以使用第58条所规定的权力。考虑到预期处理的复杂性,这一期限可以延迟六周。监管机构应当就任何延长期间的情况通知控制者以及处理者,并且说明迟延理由。这些期间可以中止,直到监管机构实现它所要求的咨询目的。
3.根据第一款向监管机构咨询时候,管理者应当提供:
(a)控制者,控制者和处理者的联合部门的代表职责,尤其是关于处理过程的企业团体;
(b)预期处理的目的和手段;
(c)根据本法保护数据主体权利自由的保障措施;
(d)应用时,数据保护局的联系方式;
(e)35条所规定的数据保护影响评估;
(d)其他。
4.成员国应当在准备方案期间向监管机构咨询国家议会所指定的立法措施,或者基于这些立法措施且和数据处理有关的规章。
5.根据第一款,成员国的法律也许需要先向控制者咨询,对于涉及公共利益(包括社会保护和公众健康)的处理程序,应当获得监管机构的预先授权。
第四节 数据保护局
第37条 数据保护局人员的指派
1.在以下情况下,控制者和处理者应当指派数据保护人员:
(a)公共当局或者机构施行的处理措施,而非法院基于行使司法权进行的;
(b)控制者或者处理者数据处理机制的核心活动是性质、范围和(或者)目的,需要进行定期和系统的大规模数据主体监控;
(c)根据第9条的大规模特殊种类数据处理方式 以及第10条的刑事指控和犯罪,控制者和处理者的核心活动构成大规模的特殊数据种类;
2.如果可以在企业指派数据保护人员,企业团体可以任命一个独立的数据保护人员。
3.鉴于控制者和肩负按部门是一种公共的部门或者机构,考虑到它们的组织结构和规模,独立的数据保护人员可以被一些这样的部门或者机构所指派。
4.除了第一款所涉及的情况,控制者、处理者、处理协会、其他代表不同种类的部门或者根据联盟或者成员国法律应当设立的部门,应当指派数据保护人员。数据保护人员可以根据这些机构以及代表控制不嗯或者处理者的其他主题进行活动。
5.数据保护人员的指派应当给予职业能力,尤其是关于数据保护法律的专业知识以及39条所提到的完成任务的经验和能力。
6.数据保护人员可以是控制者或者处理者的成员,他们基于一种服务上的联系完成任务。
7.控制者或者处理者应当公布数据保护人员的联系方式,并且将名旦告知监管机构。
第38条 数据保护人员的地位
1.在进行个人数据保护的任何相关活动时,控制者和处理者应当保证数据处理人员的参与是合适的而且及时的。
2.控制者和处理者应当对数据保护人员根据第39条所执行的活动予以支持(通过提供执行任务的必要资源、接触个人数据和处理机制的必要方式以及个人专业知识的培训)
3.控制者和处理者应当确保对数据保护人员不下达任何指令,他们不能因为执行任务的原因而被解雇或者受到刑事处罚。数据保护人员直接向最高管理者报告工作。和
4.数据主体可以就所有关于自身数据以及本章程规定下的自身权利问题,与数据保护人员进行联系。
5.根据联盟法律或者成员国法律,数据保护人员应当对其执行的任务内容进行保密。
6.数据保护人员也可以执行其他的任务,履行其他职责。控制者或者处理者应当确保这些执行活动不会导致利益冲突。
第39条 数据保护人员的任务
1.数据保护人员的任务至少包括:
(a)向控制者、处理者以及根据本章程或者根据其他联盟法律成员国法律规定的义务进行数据处理的人员,提出通知和建议。
(b)和监控本章程、其他联盟成员国法律、控制者处理者关于个人数据的相关政策(包括职责、意识提高、人员培训)以及相关审计活动的合规性;
(c)根据35条提出对于数据保护影响评估和监控的建议;
(d)和监管机构合作;
(e)作为监管机构与处理活动的连接点,包括36条提到的事先咨询或者其他咨询活动。
2.数据保护人员应当适当考虑他们的任务以及和处理机制有关的风险(考虑到处理活动的性质、范围、内容以及目的)。
第5章 行为法规和认证
第40条 行为法规
1.为了本章程得到更好地应用,成员国、监管机构、董事会和委员会应当鼓励行为法规的起草。起草应当考虑不同的处理者的具体特点,以及小微企业和中等规模企业的具体需要。
2.为了使得本法得到具体应用,协会和其他代表不同种类的主体可以为行为法规的制定、修订、扩充做准备:
(a)公平透明的处理程序;
(b)在具体情形下,控制者的立法利益;
(c)个人数据收集;
(d)个人数据的虚假信息;
(e)向公众和其他数据主体提供的信息;
(f)数据主体权利的行使;
(g)关于儿童保护以及父母抚养责任持有人同意的方式的信息收集;
(h)第24条和第25条提到的保护措施以及32条提到的确保安全措施;
(i)向监管机构以及其他数据主体进行个人数据泄露的通知;
(j)向第三国或者国际组织传输个人数据;
(k)根据第77条、第79条,不违背地看待数据主体权利,重视关于控制者和其他数据主体冲突解决的庭外程序以及其他冲突解决程序。
3.控制者和处理者应当制作有约束力和强制力的承诺,在保障数据主体的权利时作为保障。
4.第二款所说的行为法规应当包括使得41条第一款所提到的主体在进行强制监控时能够应用的守则。守则应当根据第55条或者第56条,不受监管机构权力制约,不偏不倚地得到执行。
5.本条第二款所说的协会和其他意图准备修订或者扩充现有守则的主体,应当根据第55条提交守则草案,修正案。监管机构应当提出草案、修正案是否符合本章程规定的意见,如果具备充分合理的保障,监管机构应当予以批准。
6.当符合第五款的草案或者修正案已经获得批准,且与成员国所进行的处理活动没有联系的时候,监管机构应当登记公开守则。
7.关于一些成员国处理活动的行为法规草案,根据第55条,监管机构应当在批准守则草案、修正案之前,依据63条的程序向董事会进行提交,而且应当附有草案、修正案是否合规的意见,根据第3款的情况提出合理的保障措施。
8.根据第七款的意见,提出合理的保障措施,董事会应当向委员会提交意见。
9.委员会可以通过采取措施来决定根据第八款提交的批准的行为法规、修正案在联盟内具有普遍的有效性。实施行为应当符合第93条第2款的规定。
10.委员会应当保证对符合第九款规定具有有效性的守则进行信息公开。
11.董事会会应当对行为法规、修正案进行整理和登记,并且采用合适的方式进行信息公开。
第41条 为法规的合法性监控
1.监管机构依据第57条和第58条的规定,不违背规定,执行任务和行使权力。可以由某个机构主体对根据第40条所施行的活动的加以合法性监控。
2.第一款所说的主体一种可以被认可的监督合规性主体。应当负责进行如下行为:
(a)说明它关于守则主体问题的独立性和专业性,以求获得监管机构的同意;
(b)建立能让其取得管理者和处理者评估资格的程序,对于行为合法性的加农以及对自身机制进行的阶段性复审;
(c)建立处理对违反守则或者控制者、处理者以前及现在对守则的执行情况的控告程序和结构。让程序和结构透明化和公开化;
(d)向负责的监管机构说明它的任务和职责的履行不会造成利益冲突。
3.负责的监管机构应当根据63条向董事会提交本条第一款所说相关主体的标准化草案。
4.第一款所提到的主体应当遵从合理的保障机制,在违反行为法规时采取合理措施,包括暂停或者排除管理者或处理者的管理权力。此外,应当将负责这些行动的相关监督主体以及行动原因进行通知。
5.如果主体行为违反或者不再满足资格,监管机构应当撤销主体资格。
6.本条不适用于公共部门和主体。
第42条 认证
1.出于数据保护保密标志以及说明管理者处理者处理机制合法性的需要,成员国、监管机构,委员会的董事应当尤其在联盟内激励数据保护认证机制。特别需要考量小微企业以及中等规模企业的特殊要求。
2.数据保护认证机制和根据本条第五款的密封标志可以基于说明控制者、处理者行为合理性的目的而建立。这些控制者或者处理者应当做出有约束力和强制力的承诺,包括关于数据主体的相关权利。
3.认证应当出于自愿,程序应当透明。
4.管理者、处理者的职责不能因为根据本条进行的认证而减少,必须不违背第55条或者第56条,得到监管机构的授权。
5.基于根据第58条第三款监管机构制定的标准或者基于根据第63条董事会所制定的标准,认证必须由第43条所提到的认证主体进行。如果标准由董事会制定,将由欧洲数据保护局来进行认证。
6.控住部门、处理者依照认证机制提交其处理过程时,应当提供43条所说认证主体或者负责的监管机构的信息以及具体处理活动,这些对于执行认证程序很有必要。
7.控制者、处理者的认证时间最长不超过三年,但是,如果有继续进行的需要,在相同的情况下,期间可以重新计算。当认证主体或者相关负责的监管机构不再符合条件时,认证程序将会被取消。
8.董事会应当将所有认证机制、数据保护密封标志进行整理和注册,并以任何合理的方式对公众进行公开。
第43条 认证主体
1.对于有关数据保护问题有一定程度经验的认证主体,在为了行使依据第58条获得的权力通知监管机构之后,可以公布及更新认证。成员国应当确定这些主体应当被以下至少一个机构授权:
(a)第55条或者第56条体积的监管机构;
(b)符合欧洲议会通过的EC第765/2008规定、委员会通过的EN-ISO/IEC 17065/2012规定以及依据第55条或第56条监管机构所制定的额外要求的国际证人主体。
2.第一款提到的认证主体只有在以下情况下才能得到授权:
(a)根据监管机构的要求,说明他们在数据主体相关问题上的独立性和经验性;
(b)承诺遵照第42条第5款提到的标准以及获得第55条、第56条或者是第63条所说的董事会的监管机构的认可;
(c)建立公开、阶段性复审以及取消数据保护认证,保密标志的程序;
(d)建立处理对违反守则或者控制者、处理者以前及现在对守则的执行情况的控告程序和结构。让程序和结构透明化和公开化;
(e)向负责的监管机构说明它的任务和职责的履行不会造成利益冲突。
3.第一款和第二款所提到的认证主体的授权必须基于第55条、第56条或者是第63条所说的董事会的监管机构的认可。在符合本条第一款所述条件下,应当根据欧洲议会通过的EC第765/2008规定以及描述认证主体认证方法和程序的技术要求,对相关要求进行补充。
4.第一款所说的认证主体应当对导致认证开始或者取消的合理的评估负责。鉴定合格最长应当在五年内进行公布,如果满足本条所列条件,在相同的情况下,期间可以重新起算。
5.第一款所说的数据主体应当向监管机构提供准予认证和撤销认证的理由。
6.第三款所说的要求以及第42条第5款所说的标准应当以一种简便的方式向公众公开。监管机构也应当向董事会传达具体要求和标准。董事会应当将所有认证机制、数据保护密封标志进行整理和注册,并以任何合理的方式对公众进行公开。
7.遵照第八章的规定,负责的监管机构或者国际鉴定主体在认证主体的行为违反规定或者认证条件不满足或者不再满足的情况下,应当撤销认证。
8.委员会应当被授权依据第92条,为了实现具体化认证要求的目的,来采取一些被授权进行的行动(考虑到第42条第一款所提到的数据保护认证机制)
9.委员会可以采取措施规定认证机制和数据保护密封标志的技术性标准。行动应当根据第93条第2款的规定进行实施。
第五章 个人数据向第三国或者国际组织的传输
(未完)
由于篇幅有限,了解《一般数据保护法案》的全部内容,请关注即将出版的《金融创新法律评论》第2辑。
【指导老师】
李爱君
【翻译成员】
方颖、方宇菲、任依依、李廷达、王璇、姚岚
【相关链接】
第一章 一般规定
第1条 主题与目标
1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。
2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。
3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。