GDPR(通用数据保护条例)
2018 年 5 月 25 日,Cambridge Analytica 丑闻持续发酵之际,GDPR 正式生效。这部被称为「史上最严格」的数据保护法规,在生效首日就收到了包括 Google、Facebook 在内的多起投诉。之后的五年里,GDPR 罚没金额累计超过 40 亿欧元,其中 Amazon 被罚 7.46 亿欧元、Google 被罚 5 亿欧元。但这还不是最重要的——真正让企业焦虑的是,GDPR 的长臂管辖原则使得任何处理欧盟居民数据的境外企业都可能被追责。
无论你的服务器在哪里,只要你处理欧盟居民的个人数据,GDPR 就适用于你。
GDPR 的背景与适用范围
立法背景
GDPR 的前身是 1995 年发布的《数据保护指令》(Data Protection Directive 95/46/EC)。二十多年过去,互联网从 Web 1.0 演进到移动互联网时代,数据处理方式发生根本性变革,旧指令已无法应对云服务、大数据分析、精准广告等新型处理场景。
GDPR 在立法层面实现了三个突破:统一性——欧盟成员国不再各自立法,一个条例覆盖全欧盟;长臂管辖——任何处理欧盟居民个人数据的组织,无论所在地在哪里,都受 GDPR 约束;严苛处罚——违规最高罚款可达全球年营业额的 4% 或 2000 万欧元,取较高者。
适用范围
GDPR 适用于以下场景的个人数据处理:
地域范围:处理欧盟境内数据主体的个人数据,无论处理者位于欧盟还是第三国。例如,一家中国公司的美国站点的德国用户数据,受 GDPR 约束。
实体范围:GDPR 适用于「数据控制者」和「数据处理者」。控制者是决定数据处理目的和方式的实体;处理者是代表控制者处理数据的实体。云服务提供商作为处理者,同样受 GDPR 约束。
数据范围:个人数据(Personal Data)是与已识别或可识别的自然人相关的任何信息。匿名化数据不算个人数据,但去匿名化后的数据重新受 GDPR 约束。
GDPR 的核心原则
GDPR 第 5 条定义了数据处理的核心原则,这是所有合规要求的法律基础:
合法性与公平性:数据处理必须有合法的依据��且处理方式对数据主体是透明的。
目的限制:数据收集必须有明确、合法、不变的处理目的。数据不得用于与收集目的不相容的新目的,除非符合再识别的例外条件。
数据最小化:收集的个人数据应当仅限于与处理目的相关的最小数据集。「尽可能少收集」而非「先收集再删除」。
准确性:个人数据应当准确,并在必要时及时更新。不准确的数据应当被删除或更正。
存储限制:数据的存储时间应当仅限于实现处理目的所必需的期限。需要建立数据留存策略,定期清理过期数据。
完整性与保密性:数据处理应当采用适当的安全措施,确保数据不被未经授权访问、使用或泄露。
问责制:控制者应当能够证明其数据处理活动符合上述原则。这要求企业建立完整的文档记录。
数据主体的权利
GDPR 赋予数据主体八项权利,控制者必须提供相应的技术实现:
访问权
数据主体有权向控制者查询自己的个人数据是否正在被处理,并获取相关信息的副本。控制者必须在一个月内响应请求(可延长至两个月,复杂情况下)。
技术实现通常包括:用户自助查询门户、API 接口、或者客服工单系统。请求需要验证身份,防止冒名顶替。
更正权
数据主体有权要求控制者更正不准确的个人数据,或补充不完整的数据。这一权利要求系统具备数据编辑和更新能力。
删除权(被遗忘权)
在特定条件下,数据主体有权要求控制者删除其个人数据。触发条件包括:数据不再必要、数据主体撤回同意、处理非法、或者数据主体行使拒绝权。
删除权不是绝对的。如果处理具有公共利益、法定职责、或法律诉讼需要,删除权受限。
可携带权
数据主体有权以结构化、常用、机器可读的格式接收其提供的个人数据,并有权将这些数据无阻碍地传输给其他控制者。
这一权利催生了数据导出功能的需求。技术上需要将分散在各系统中的用户数据聚合后输出。
限制处理权
数据主体有权要求控制者限制其数据的处理。限制期间,数据仍被存储,但不用于其他目的。
拒绝权
数据主体有权基于其特定情况拒绝处理其数据(基于合法利益或公共任务)。控制者必须证明其合法利益凌驾于数据主体的权利之上。
不受自动化决策权
数据主体有权不受仅基于自动化处理(包括画像)做出的、对其产生法律效果或类似重大影响的决定的约束。
撤回同意权
当数据处理基于同意时,数据主体有权随时撤回同意。撤回不得影响撤回前基于同意的处理的合法性。
数据处理者的义务
作为数据控制者,企业承担以下核心义务:
数据处理记录
控制者必须维护数据处理活动的记录(Record of Processing Activities, ROPA),包括:处理目的、数据类别、数据接收者、跨境传输信息、安全措施、留存期限。
如果企业有超过 250 名员工,处理记录是强制性的。对于中小企业,记录义务适用于高风险处理活动。
合法性基础
每项数据处理活动必须有明确的合法性基础(Legal Basis)。GDPR 第 6 条规定了六种合法性基础:
数据保护影响评估(DPIA)
当数据处理可能对数据主体权利和自由产生高风险时,控制者必须在处理前进行 DPIA。触发条件包括:系统性分析个人数据、大规模处理特殊类别数据、或者系统性监控公共区域。
DPIA 包含:描述处理活动、评估必要性、数据保护风险评估、应对措施。
数据保护官(DPO)
DPO 的角色
GDPR 要求在以下情况下任命数据保护官:核心活动涉及大规模系统化监控个人数据,或核心活动涉及大规模处理特殊类别数据。
DPO 的职责是:告知并建议数据处理者履行 GDPR 义务、监控合规状况、提供关于 DPIA 的建议、作为监管机构的联络点。
DPO 是独立角色,不能因为履行 DPO 职责而被解雇。DPO 直接向最高管理层报告。
DPO 与 DPO 团队
对于大型企业,DPO 通常是一个团队的负责人。团队职责包括:合规培训、投诉处理、DPIA 执行、监管机构对接。
数据泄露通知
通知要求
当发生个人数据泄露时,控制者必须在知悉后 72 小时内通知监管机构( supervisory authority),除非泄露不太可能对数据主体的权利和自由造成风险。
如果延迟通知,必须说明延迟理由。
通知内容
通知必须包含:泄露的性质、包括数据类别和大致数量; DPO 或其他联络点的联系方式;可能的 consequences;采取或计划采取的缓解措施。
数据主体通知
当泄露可能对数据主体权利和自由产生高风险时,必须同时通知数据主体。通知必须使用清晰、简单的语言。
跨境数据传输机制
向欧盟以外传输个人数据需要特定的法律机制:
充分性认定(Adequacy Decision)
欧盟委员会认定目标国家或地区具有「充分」数据保护水平后,数据可以自由传输。目前已认定:加拿大(商业组织)、阿根廷、美国(受限框架)以及部分其他国家。
标准合同条款(SCC)
在没有充分性认定的国家,控制者可以使用欧委会批准的标准合同条款作为传输机制。SCC 是合同条款,数据接收方必须签署并承诺遵守。
2021 年 Schrems II 判决后,单独签署 SCC 不再足够,还需要评估目的地国家的法律环境是否会影响条款的有效执行。
有约束力的公司规则(BCR)
multinational 企业集团内部可以通过有约束力的公司规则进行数据传输。BCR 需要获得主管监管机构的批准。
认证机制
通过特定的数据保护认证机构认证,也是有效的跨境传输机制。
GDPR 罚款
GDPR 设定了两个层级的罚款:
上层:违反基本原则、合法性基础、跨境传输、数据主体权利等核心要求——最高可达全球年营业额的 4% 或 2000 万欧元,取较高者。
下层:违反管理义务、技术要求、通知义务等程序性要求——最高可达全球年营业额的 2% 或 1000 万欧元,取较高者。
罚款的计算基础是上一财政年度的全球营业额,而非发生地。Meta 2022 年被罚款 17 亿美元,就是以其全球营业额为基数。
思考题
问题 1:一家中国SaaS公司,为欧洲客户提供服务并存储其个人数据在AWS法兰克福区域。请分析该公司需要满足哪些 GDPR 要求,以及如何设计合规方案。
参考答案
该公司是 GDPR 定义下的数据控制者,需要满足以下主要义务:指定欧盟代表(如果在中国没有设立机构);建立处理活动记录(ROPA);确保每项处理有合法基础(如合同履行或合法利益);实施技术安全措施(加密、访问控制);提供数据主体权利的响应机制��访问、更正、删除);签订数据处理协议(DPA)与 AWS;建立数据泄露通知流程(72小时内报告)。架构建议:在 AWS 中启用加密(静态加密 + 传输加密);配置 CloudTrail 日志审计;部署 WAF 防护;使用 IAM 细粒度控制;在欧盟区域存储数据,避免数据流出。
问题 2:用户在注册时同意了营销邮件,但后来反悔要求删除其所有数据。此时删除权与合法利益(保留数据用于统计分析)冲突,应该如何处理?
参考答案
当删除权与合法利益冲突时,需要进行「平衡测试」:评估数据控制者的合法利益是否凌驾于数据主体的权利之上。在这个场景下,用于统计的匿名化数据已经不对应具体用户,可以采用「数据最小化」策略——将个人数据匿名化处理后保留用于统计,同时满足删除权要求。具体做法是:删除直接标识符,保留统计相关的聚合数据;记录匿名化操作和日期;验证匿名化数据的不可逆性。如果匿名化不可行,则需要完全删除,放弃统计分析需求。关键是在产品设计阶段就考虑「分离分析数据和个人标识」,避免后期冲突。