譯文｜歐盟GDPR《一般數(shù)據(jù)保護(hù)法案》（一）

來(lái)源：互聯(lián)網(wǎng)金融監(jiān)管 時(shí)間：2017-02-09 10:59:55 作者：IFLRI

?編者按：2016年4月14日，歐洲議會(huì)投票通過(guò)了商討四年的《一般數(shù)據(jù)保護(hù)法案》（General Data Protection Regulation，GDPR），該法案將于2018年5月25日正式生效。GDPR的通過(guò)意味著歐盟對(duì)個(gè)人信息保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，堪稱(chēng)史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案。 GDPR對(duì)于我國(guó)業(yè)務(wù)范圍涉及歐盟成員國(guó)領(lǐng)土及其公民的企業(yè)進(jìn)行合規(guī)運(yùn)營(yíng)、避免高昂處罰，以及對(duì)我國(guó)與數(shù)據(jù)相關(guān)的法學(xué)研究都具重要意義。

?新法案由11章共99條組成，中文譯本由中國(guó)政法大學(xué)互聯(lián)網(wǎng)金融法律研究院（Internet financial law research institute of CUPL ,IFLRI）組織翻譯。

第一章 一般規(guī)定

第1條 主題與目標(biāo)

?1. 本法就對(duì)與個(gè)人數(shù)據(jù)的處理相關(guān)的自然人的保護(hù)及個(gè)人數(shù)據(jù)的自由流動(dòng)訂立規(guī)則。

?2. 本法保護(hù)自然人的基本權(quán)利和自由，尤其是自然人的個(gè)人數(shù)據(jù)保護(hù)權(quán)。

?3. 不得以保護(hù)與處理的個(gè)人數(shù)據(jù)相關(guān)的自然人為由，限制或禁止個(gè)人數(shù)據(jù)在歐盟內(nèi)部的自由流動(dòng)。

?第2條 適用范圍

?1. 本法適用于完全或部分以自動(dòng)方式對(duì)個(gè)人數(shù)據(jù)的處理，構(gòu)成或擬構(gòu)成整理匯集系統(tǒng)一部分的自動(dòng)方式除外。

?2. 本法不適用于以下個(gè)人數(shù)據(jù)的處理：

?(a) 發(fā)生在聯(lián)盟法律范圍之外的活動(dòng)過(guò)程中;

?(b) 由成員國(guó)在歐洲聯(lián)盟條約第五卷第2章范圍內(nèi)進(jìn)行活動(dòng)時(shí);

?(c) 由自然人在純粹的個(gè)人或家庭活動(dòng)的過(guò)程中;

?(d) 由主管當(dāng)局為預(yù)防、調(diào)查、偵查或起訴的刑事犯罪，執(zhí)行的刑事處罰的目的，包括防范和阻止公共安全受到威脅。

?3. 歐盟機(jī)構(gòu)、委員會(huì)、辦事處和專(zhuān)業(yè)行政部門(mén)（代理機(jī)構(gòu)）處理個(gè)人數(shù)據(jù)，適用第45/2001號(hào)條例。

?根據(jù)本法第98條，處理個(gè)人數(shù)據(jù)適用第45/2001號(hào)條例和其他聯(lián)盟法律法規(guī)的，應(yīng)當(dāng)符合本法的原則和規(guī)則。

?4. 本法不影響2000/31 / EC指令的適用，特別是該指令第12條至第15條中的中間服務(wù)提供商的責(zé)任規(guī)則。

第3條 地域范圍

?1. 本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，無(wú)論其處理行為是否發(fā)生在歐盟內(nèi)。

?2. 本法適用于對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理，即使控制者和處理者沒(méi)有設(shè)立在歐盟內(nèi)，其處理行為：

?(a) 發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中，無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià)；或

?(b) 是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的監(jiān)控的。

?3. 本法適用于設(shè)立在歐盟之外，但依據(jù)國(guó)際公法歐盟成員國(guó)法律可適用地的控制者對(duì)個(gè)人數(shù)據(jù)的處理。

第4條 定義

?為本法之目的：

?(1) “個(gè)人數(shù)據(jù)”是指任何指向一個(gè)已識(shí)別或可識(shí)別的自然人（“數(shù)據(jù)主體”）的信息。該可識(shí)別的自然人能夠被直接或間接地識(shí)別，尤其是通過(guò)參照諸如姓名、身份證號(hào)碼、定位數(shù)據(jù)、在線身份識(shí)別這類(lèi)標(biāo)識(shí)，或者是通過(guò)參照針對(duì)該自然人一個(gè)或多個(gè)如物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的要素。

?（2）“處理”是指針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的任何一個(gè)或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲(chǔ)、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷(xiāo)毀，無(wú)論此操作是否采用自動(dòng)化的手段。

?（3）“處理限制”是指對(duì)已存儲(chǔ)的個(gè)人數(shù)據(jù)的標(biāo)識(shí)，用于在將來(lái)限制他們的處理行為；

?（4）“剖析”是指為評(píng)估與自然人相關(guān)的某些個(gè)人情況，對(duì)個(gè)人數(shù)據(jù)進(jìn)行任何自動(dòng)化處理、利用的方式，特別是針對(duì)與自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個(gè)人偏好、興趣、信度、習(xí)性、位置或行蹤相關(guān)的分析和預(yù)測(cè)。

?（5）“匿名化”是一種使個(gè)人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體對(duì)待個(gè)人數(shù)據(jù)處理方式。該處理方式將個(gè)人數(shù)據(jù)與其他額外信息分別存儲(chǔ)，并且使個(gè)人數(shù)據(jù)因技術(shù)和組織手段而無(wú)法指向一個(gè)可識(shí)別和已識(shí)別的自然人。

?（6）“整理匯集系統(tǒng)”是一種依照特定標(biāo)準(zhǔn)，如集中、分散或功能分布或地域基準(zhǔn)存取個(gè)人數(shù)據(jù)的結(jié)構(gòu)化集合。

?（7）“控制者”是能單獨(dú)或聯(lián)合決定個(gè)人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。其中個(gè)人數(shù)據(jù)處理的目的和方式，以及控制者或控制者資格的具體標(biāo)準(zhǔn)由歐盟或其成員國(guó)的法律予以規(guī)定。

?（8）“處理者”是指為控制者處理個(gè)人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。

?（9）“接收者”是指接收到被傳遞的個(gè)人數(shù)據(jù)的，無(wú)論其是否是第三方的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。但是，政府因在歐盟或其成員國(guó)法律框架內(nèi)特定調(diào)查接收到個(gè)人數(shù)據(jù)的，不得被視為“接收者”；政府處理這些數(shù)據(jù)應(yīng)當(dāng)根據(jù)數(shù)據(jù)處理的目的，遵循可適用的數(shù)據(jù)保護(hù)規(guī)則。

?（10）“第三方”是指數(shù)據(jù)主體、控制者、處理者以及在控制者或處理者直接授權(quán)處理個(gè)人數(shù)據(jù)者以外的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。

?（11）數(shù)據(jù)主體的“同意”是指數(shù)據(jù)主體依照其意愿自愿做出的任何指定的、具體的、知情的及明確的指示。通過(guò)聲明或明確肯定的行為作出的這種指示，意味著其同意與他或她有關(guān)的個(gè)人數(shù)據(jù)被處理。

?（12）“個(gè)人數(shù)據(jù)外泄”是指?jìng)€(gè)人數(shù)據(jù)在傳輸、存儲(chǔ)或進(jìn)行其他處理時(shí)的安全問(wèn)題引發(fā)的個(gè)人數(shù)據(jù)被意外或非法破壞、損失、變更、未經(jīng)授權(quán)披露或訪問(wèn)。

?（13）“基因數(shù)據(jù)”是指與自然人先天或后天的遺傳性特征相關(guān)的個(gè)人數(shù)據(jù)。這類(lèi)數(shù)據(jù)傳達(dá)了與該自然人生理機(jī)能或健康狀況相關(guān)的獨(dú)特信息，并且上述數(shù)據(jù)往往來(lái)自于對(duì)該自然人生物樣本的分析結(jié)果。

?(14) “生物識(shí)別數(shù)據(jù)”是通過(guò)對(duì)自然人的物理、生物或行為特征進(jìn)行特定的技術(shù)處理的得到的個(gè)人數(shù)據(jù)。這類(lèi)數(shù)據(jù)生成了那個(gè)自然人的唯一標(biāo)識(shí)，比如人臉圖像或指紋識(shí)別數(shù)據(jù)。

?（15）“有關(guān)健康的數(shù)據(jù)”是指與自然人身體或精神健康有關(guān)的個(gè)人數(shù)據(jù)，包括能揭示關(guān)于他或她的健康狀況的健康保健服務(wù)所提供的數(shù)據(jù)。

?（16） “主營(yíng)業(yè)地”意味著：

?(a)對(duì)于營(yíng)業(yè)機(jī)構(gòu)在多個(gè)成員國(guó)的的控制者，除非控制者在歐盟內(nèi)的另一個(gè)營(yíng)業(yè)機(jī)構(gòu)能夠決定并有能力貫徹個(gè)人數(shù)據(jù)的處理目的和方式，否則其在歐盟內(nèi)的主要管理者所在地被視為主營(yíng)業(yè)地。

?(b) 對(duì)于營(yíng)業(yè)機(jī)構(gòu)在多個(gè)成員國(guó)的處理者，其在歐盟內(nèi)的主要管理者所在地，在本法下承擔(dān)特定義務(wù)；如果處理者在歐盟內(nèi)沒(méi)有主要管理者，在處理者的營(yíng)業(yè)機(jī)構(gòu)的營(yíng)業(yè)范圍內(nèi)進(jìn)行主要處理行為的營(yíng)業(yè)地，在本法下承擔(dān)特定義務(wù)。

?(17) “代表”指由控制者和處理者依照第27條書(shū)面指定的，代表控制者和處理者分別履行本法規(guī)定的義務(wù)的歐盟內(nèi)的自然人、法人。

?(18) “企業(yè)”是指參與經(jīng)濟(jì)活動(dòng)的自然人或法人，無(wú)論其為何種組織形式，可以包括合伙或經(jīng)常性參與經(jīng)濟(jì)活動(dòng)的協(xié)會(huì)。

?(19) “企業(yè)團(tuán)體”是指一個(gè)管控性的企業(yè)以及受其管控的企業(yè)群。

?(20) “約束性企業(yè)規(guī)則”是指成員國(guó)領(lǐng)土上的控制者和處理者通過(guò)事業(yè)集團(tuán)或企業(yè)集團(tuán)進(jìn)行的聯(lián)合經(jīng)濟(jì)活動(dòng)，而致個(gè)人數(shù)據(jù)傳輸或系列傳輸?shù)揭粋€(gè)或多個(gè)第三方國(guó)家的控制者或處理者時(shí)必須遵循的個(gè)人數(shù)據(jù)保護(hù)政策。

?(21) “監(jiān)管機(jī)構(gòu)”是指一個(gè)獨(dú)立的，由成員國(guó)依據(jù)第51條設(shè)立的公權(quán)力機(jī)構(gòu)。

?(22) “有關(guān)監(jiān)管機(jī)構(gòu)”是與人數(shù)據(jù)處理有關(guān)的監(jiān)管機(jī)構(gòu)，因?yàn)?

?(a) 控制者或處理者是建立在監(jiān)管機(jī)構(gòu)所在的成員國(guó)領(lǐng)土上的；

?(b) 居住在監(jiān)管機(jī)構(gòu)所在成員國(guó)的數(shù)據(jù)主體被或可能被處理行為嚴(yán)重影響；或

?(c) 一個(gè)由監(jiān)管機(jī)構(gòu)提交的申訴；

?(23)“跨境處理”是指以下情形之一：

?(a) 個(gè)人數(shù)據(jù)處理發(fā)生在一個(gè)歐盟內(nèi)的設(shè)立在多個(gè)成員國(guó)的控制者或處理者在多個(gè)成員國(guó)的營(yíng)業(yè)機(jī)構(gòu)的活動(dòng)中。

?(b) 個(gè)人數(shù)據(jù)的處理發(fā)生在一個(gè)歐盟內(nèi)的控制者或處理者的唯一營(yíng)業(yè)機(jī)構(gòu)的活動(dòng)中，但是這種處理嚴(yán)重影響或可能會(huì)嚴(yán)重影響多個(gè)成員國(guó)的數(shù)據(jù)主體。

?(24) “相關(guān)與合理異議”是指一種關(guān)于是否存在違反本法情況，或是控制者或處理者是否存在遵守本法的預(yù)設(shè)行為的異議。這個(gè)異議清晰地表明了有關(guān)數(shù)據(jù)主體的基本權(quán)利和自由的決議草案所造成的風(fēng)險(xiǎn)的重要影響，以及此種異議也適用于歐盟內(nèi)的個(gè)人數(shù)據(jù)自由流動(dòng)。

?(25) “信息社會(huì)服務(wù)”是指歐洲議會(huì)和理事會(huì)的指令（歐盟）2015/1535 的第一條（1）款的（b）項(xiàng)中定義的服務(wù)。

?(26) “國(guó)際組織”是指依照國(guó)際公法設(shè)立的組織及其下屬機(jī)構(gòu)，或依據(jù)或以兩個(gè)或更多國(guó)家之間達(dá)成的協(xié)議為基礎(chǔ)建立的其他機(jī)構(gòu)。

?第二章 原則

第5條 與個(gè)人數(shù)據(jù)處理相關(guān)的原則

?1. 個(gè)人數(shù)據(jù)應(yīng)：

?(a) 以合法、公正、透明的方式處理與數(shù)據(jù)主體有關(guān)的（“合法性、公平性和透明性”）;

?(b) 為特定的、明確的、合法的目的收集，并且不符合以上目的不得以一定的方式進(jìn)行進(jìn)一步的處理；為公共利益、科學(xué)，或歷史研究目的，或統(tǒng)計(jì)目的而進(jìn)一步處理，按照第89條第（1）款，不應(yīng)被視為不符合初始目的（“目的限制”）；

?(c) 充分、相關(guān)以及以該個(gè)人數(shù)據(jù)處理目的之必要為限度進(jìn)行處理（“數(shù)據(jù)最小化”）；

?(d) 準(zhǔn)確，必要，及時(shí)；為了個(gè)人數(shù)據(jù)被毫不延遲地處理、刪除或修正的目的，必須采取一切合理的步驟確保個(gè)人數(shù)據(jù)是不精確的（“精度”）；

?(e) 在不超過(guò)個(gè)人數(shù)據(jù)處理目的之必要的情形下，允許以數(shù)據(jù)主體以可識(shí)別的形式保存；為了保護(hù)數(shù)據(jù)主體的權(quán)利和自由，依據(jù)第89條（1）予以實(shí)施本法所要求的適度的技術(shù)和組織措施，只要個(gè)人數(shù)據(jù)將僅僅以為達(dá)到公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)的目的而處理，個(gè)人數(shù)據(jù)能被長(zhǎng)時(shí)間存儲(chǔ)（“存儲(chǔ)限制”）。

?(f) 以確保個(gè)人數(shù)據(jù)適度安全的方式處理，包括使用適當(dāng)?shù)募夹g(shù)或組織措施來(lái)對(duì)抗未經(jīng)授權(quán)、非法的處理、意外遺失、滅失或損毀的保護(hù)措施（“完整性和機(jī)密性”）。

?2. 控制者應(yīng)該負(fù)責(zé)，并能夠證明符合第一項(xiàng)(“問(wèn)責(zé)制”)。

?第6條 處理的合法性

?1. 只有在適用以下至少一條的情況下，處理視為合法：

?（a）數(shù)據(jù)主體同意他或她的個(gè)人數(shù)據(jù)為一個(gè)或多個(gè)特定目而處理;

?（b）處理是為履行數(shù)據(jù)主體參與的合同之必要，亦或處理是因數(shù)據(jù)主體在簽訂合同前的請(qǐng)求而采取的措施；

?（c）處理是為履行控制者所服從的法律義務(wù)之必要；

?（d）處理是為了保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的切身利益之必要；

?（e）處理是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要；

?（f）處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護(hù)個(gè)人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利以及自由覆蓋的除外，尤其是數(shù)據(jù)主體為兒童的情形下。

?前第一款（f）項(xiàng)不適用于政府當(dāng)局在履行其職責(zé)時(shí)進(jìn)行的處理。

?2.成員國(guó)可以維持或引入更具體的規(guī)定來(lái)適應(yīng)本法關(guān)于處理的條款應(yīng)用，通過(guò)設(shè)定包括在第九部分中規(guī)定的其他具體處理情形，設(shè)定更準(zhǔn)確具體的處理要求和其他措施來(lái)確保合法和公平的處理，以遵守第一款的(c)項(xiàng)和(e)項(xiàng)，

?3.第一款的(c)項(xiàng)和(e)項(xiàng)所指的處理的依據(jù)如下：

?（a）歐盟法律；或

?（b）控制者所屬的成員國(guó)法律。

?處理的目的應(yīng)當(dāng)依據(jù)法律確定，或者根據(jù)第一款（e）項(xiàng)中所指之處理，即應(yīng)當(dāng)為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要。法律依據(jù)可以包括具體條款以此來(lái)適應(yīng)本法條款的應(yīng)用，特別是：調(diào)整控制者處理合法性的一般條件；被處理的數(shù)據(jù)類(lèi)型；與數(shù)據(jù)主體相關(guān)的；個(gè)人數(shù)據(jù)可能被披露的實(shí)體和目的；目的限制；存儲(chǔ)期限；以及處理操作和處理程序，包括確保合法和公平處理的措施，諸如那些在第九部分提及的其他具體處理情況。歐盟或成員國(guó)法律應(yīng)當(dāng)符合公共利益的目標(biāo)以及與追求的正當(dāng)目標(biāo)相稱(chēng)。

?4. 當(dāng)處理不是為了個(gè)人數(shù)據(jù)被收集時(shí)的那個(gè)目的，并且這個(gè)目的不是基于數(shù)據(jù)主體的同意，亦非基于在民主社會(huì)構(gòu)成一個(gè)必要且適當(dāng)措施來(lái)保障第23條（1）款所指之目標(biāo)的歐盟或成員國(guó)法律，控制者應(yīng)當(dāng)為了查明為其他目的進(jìn)行的處理是否與個(gè)人數(shù)據(jù)最初被收集時(shí)的目的相一致而考慮，特別是：

?（a）任何在個(gè)人數(shù)據(jù)被收集時(shí)的目的和預(yù)期進(jìn)一步處理的目的之間的聯(lián)系；

?（b）個(gè)人數(shù)據(jù)被收集時(shí)的情形，尤其是關(guān)于數(shù)據(jù)主體和控制者的關(guān)系的；

?（c）個(gè)人數(shù)據(jù)的性質(zhì)，尤其不管是依據(jù)第9條被處理的特殊類(lèi)別的個(gè)人數(shù)據(jù)，還是依據(jù)第10條與刑事定罪和罪行有關(guān)的個(gè)人數(shù)據(jù)；

?（d）預(yù)期進(jìn)一步處理給數(shù)據(jù)主體可能造成的后果；

?（e）適當(dāng)?shù)目赡馨用芑蚰涿谋Ｕ洗胧┑拇嬖凇?/p>

?第7條 同意的要件

?1. 如處理是基于同意，則控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理他或她的個(gè)人數(shù)據(jù)。

?2. 如數(shù)據(jù)主體通過(guò)書(shū)面聲明的方式作出同意，且書(shū)面聲明涉及其他事項(xiàng)，那么同意應(yīng)以易于理解且與其他事項(xiàng)顯著區(qū)別的形式呈現(xiàn)。構(gòu)成違反本法的聲明的任何部分，均不具約束力。

?3. 數(shù)據(jù)主體有權(quán)隨時(shí)撤回他或她的同意。同意的撤回不應(yīng)影響在撤回前基于同意作出的合法的數(shù)據(jù)處理。在作出同意前，數(shù)據(jù)主體應(yīng)被告知上述權(quán)利。撤回同意應(yīng)與作出同意同樣容易。

?4. 當(dāng)評(píng)估同意是否是自由作出時(shí)，應(yīng)盡最大可能考慮，還應(yīng)考慮合同的履行，包括服務(wù)的提供是否是基于對(duì)履行合同不必要的個(gè)人數(shù)據(jù)的同意。

?第8條 關(guān)于信息社會(huì)服務(wù)適用于兒童同意的條件

?1. 如適用第6條第1款（a）項(xiàng)，關(guān)于直接向兒童提供信息社會(huì)服務(wù)的，對(duì)16周歲以上兒童的個(gè)人數(shù)據(jù)的處理為合法。兒童未滿16周歲時(shí)，處理只有在征得父母責(zé)任的主體同意情形下，或授權(quán)兒童同意的范圍內(nèi)合法。

?如低齡不低于13周歲，則成員國(guó)可以通過(guò)法律為那些目的向低齡提供。

?2. 考慮到現(xiàn)有技術(shù)，控制者應(yīng)當(dāng)作出合理的努力，去核實(shí)在此種情況下，父母責(zé)任的主體同意或授權(quán)。

?3. 第1款不應(yīng)影響成員國(guó)的一般合同法律，諸如與兒童有關(guān)的合同效力、構(gòu)成或?qū)嵭小?/p>

?第9條 特殊種類(lèi)的個(gè)人數(shù)據(jù)處理

?1.對(duì)揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰，工會(huì)成員的個(gè)人數(shù)據(jù)，以及以唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理應(yīng)當(dāng)被禁止。

?2.如果符合以下情形，則第1款不適用：

?(a) 數(shù)據(jù)主體對(duì)以一個(gè)或數(shù)個(gè)特定目的對(duì)上述個(gè)人數(shù)據(jù)的處理給予了明確同意，但依照歐盟或者成員國(guó)的法律規(guī)定，第1款規(guī)定的禁止情形不能被數(shù)據(jù)主體援引的除外。

?(b)數(shù)據(jù)處理為實(shí)現(xiàn)控制者或數(shù)據(jù)主體在工作、社會(huì)保障以及社會(huì)保障法的范疇內(nèi)履行義務(wù)、行使權(quán)利之目的，則是必要。應(yīng)當(dāng)在歐盟或成員國(guó)的法律認(rèn)可下，或者依據(jù)成員國(guó)對(duì)數(shù)據(jù)主體的基本權(quán)利和利益提供適當(dāng)?shù)谋Ｕ系姆梢?guī)定訂立的集體協(xié)議的范圍內(nèi)實(shí)施。

?(c) 數(shù)據(jù)處理是對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的切身利益之必要，但數(shù)據(jù)主體物理上或法律上無(wú)法給予同意時(shí)；

?(d) 數(shù)據(jù)處理是由政治、哲學(xué)、宗教、工會(huì)性質(zhì)的協(xié)會(huì)、組織或其他非營(yíng)利組織在有適當(dāng)安全保障的合法活動(dòng)中實(shí)施的，處理應(yīng)當(dāng)僅僅與該組織的成員或前成員或與該組織依組織宗旨為聯(lián)系的定期聯(lián)系人相關(guān)，并且相關(guān)個(gè)人數(shù)據(jù)未經(jīng)數(shù)據(jù)主體同意不得向組織外的人披露。

?(e) 處理被數(shù)據(jù)主體明顯地公開(kāi)的個(gè)人數(shù)據(jù)；

?(f) 數(shù)據(jù)處理為合法訴求的成立、行使或辯護(hù)或者法庭司法權(quán)的行使之必要；

?(g) 為了實(shí)質(zhì)的公共利益，數(shù)據(jù)處理是必要的。依據(jù)歐盟或者成員國(guó)的法律，追求該目的是適當(dāng)?shù)模瑧?yīng)當(dāng)尊重?cái)?shù)據(jù)保護(hù)的基本權(quán)利，應(yīng)當(dāng)提供適當(dāng)、特定的措施來(lái)保障數(shù)據(jù)主體的基本權(quán)利和利益；

?(h) 為實(shí)現(xiàn)以下目的，數(shù)據(jù)處理是必要的。為了預(yù)防醫(yī)學(xué)和職業(yè)醫(yī)學(xué)，為了雇員的工作能力評(píng)估，醫(yī)療診斷，提供衛(wèi)生社會(huì)保健或治療或衛(wèi)生社會(huì)保健體系以及服務(wù)的構(gòu)建，應(yīng)當(dāng)依據(jù)歐盟或成員國(guó)的法律或者依據(jù)與保健專(zhuān)業(yè)人士的合同，并且遵守第3款要求的條件和保障。

?(i) 在公共健康的領(lǐng)域?yàn)榱斯怖娴目剂?，?duì)于特定專(zhuān)業(yè)秘密的數(shù)據(jù)處理是必要的。譬如，抵御嚴(yán)重的跨境衛(wèi)生威脅，確保衛(wèi)生保健、藥品或醫(yī)療器械高標(biāo)準(zhǔn)的質(zhì)量和安全，依據(jù)聯(lián)盟或成員國(guó)的法律規(guī)定以適當(dāng)?shù)?、特定的措施?lái)保障數(shù)據(jù)主體的權(quán)利與自由；

?(j) 為了公共利益、科學(xué)或歷史研究的目的，或者統(tǒng)計(jì)的目的，依照第89條第（1）款基于聯(lián)盟或者成員國(guó)的法律，追求該目的是適當(dāng)?shù)?，?yīng)當(dāng)尊重?cái)?shù)據(jù)保護(hù)的基本權(quán)利，應(yīng)當(dāng)提供適當(dāng)、特定的措施來(lái)保障數(shù)據(jù)主體的基本權(quán)利和利益。

?3.為實(shí)現(xiàn)第2款（h）項(xiàng)中的目的，第1款中的個(gè)人數(shù)據(jù)可能被處理，那些數(shù)據(jù)應(yīng)當(dāng)被一個(gè)依據(jù)歐盟或者成員國(guó)的法律或國(guó)家法定機(jī)構(gòu)制定的規(guī)則負(fù)有保守專(zhuān)業(yè)秘密的義務(wù)的專(zhuān)業(yè)人士處理，或者說(shuō)這是他的責(zé)任；或者由另一個(gè)同樣依據(jù)歐盟或者成員國(guó)的法律或國(guó)家法定機(jī)構(gòu)制定的規(guī)則遵守保密義務(wù)的人處理。

?4. 成員國(guó)可以保持或者引進(jìn)進(jìn)一步的條件，包括指向基因數(shù)據(jù)、生物特征數(shù)據(jù)或者健康數(shù)據(jù)的個(gè)人數(shù)據(jù)處理的限制。

?第10條 有關(guān)刑事定罪和罪行的個(gè)人數(shù)據(jù)的處理

?有關(guān)刑事定罪和罪行的，或有關(guān)基于第6條第1款的安全措施的個(gè)人數(shù)據(jù)的處理應(yīng)當(dāng)在公務(wù)職權(quán)的控制下開(kāi)展，或者被歐盟或成員國(guó)法律授權(quán)為保護(hù)數(shù)據(jù)主體的自由和權(quán)利而提供保護(hù)措施的處理。任何刑事定罪的綜合登記應(yīng)當(dāng)只能在公務(wù)職權(quán)的控制下保存。

?第11條 無(wú)需認(rèn)證的處理

?1.如果控制者不需要或者不再需要認(rèn)證其所掌控的個(gè)人數(shù)據(jù)的數(shù)據(jù)主體，那么若僅僅根據(jù)本章程的要求和規(guī)定，控制者就沒(méi)有義務(wù)保存、獲取或者處理額外的信息來(lái)認(rèn)證數(shù)據(jù)主體。

?2.如果有本條第一款所提到的情況，那么在可能的情況下，控制者應(yīng)當(dāng)告知數(shù)據(jù)主體，說(shuō)明自己并無(wú)對(duì)數(shù)據(jù)主體進(jìn)行認(rèn)證的職責(zé)。只有在數(shù)據(jù)主體出于行使自身權(quán)利需要，而且提供額外的身份證明信息的情況下，第15條至第20條才能得以適用。

?第三章 數(shù)據(jù)主體權(quán)利

第一節(jié) 信息透明度和信息機(jī)制

第12條 數(shù)據(jù)主體行使權(quán)利的透明度、交流和模式

?1.控制者應(yīng)當(dāng)以一種簡(jiǎn)單透明、明晰且容易獲取的方式，通過(guò)清楚明確的語(yǔ)言，采取合適措施提供第13條和第14條所提到的任何信息，以及根據(jù)第15條到第22條和第34條所提及的關(guān)于數(shù)據(jù)主體處理過(guò)程的溝通信息（尤其是關(guān)于兒童的任何信息）?？刂普邞?yīng)當(dāng)提供書(shū)面材料，在其他情況下，若有必要，可以采用電子方式。如果數(shù)據(jù)主體能夠通過(guò)其他方式得到認(rèn)證，那么在數(shù)據(jù)主體的要求下，能夠以口頭方式提供信息。

?2.控制者應(yīng)當(dāng)根據(jù)第15條到第22條的規(guī)定幫助數(shù)據(jù)主體行使權(quán)利。在第11條第2款的情形下，除非控制者說(shuō)明自己不具有數(shù)據(jù)主體的認(rèn)證職責(zé)，否則，對(duì)于數(shù)據(jù)主體根據(jù)第15條至第22條行使自身權(quán)利的要求，控制者不能拒絕。

?3.控制者應(yīng)當(dāng)及時(shí)（在任何情況下不得超過(guò)一個(gè)月）提供根據(jù)第15條至第22條采取的行動(dòng)信息。考慮到要求的復(fù)雜性和數(shù)量，在必要的時(shí)候，這一期限可以再延長(zhǎng)兩個(gè)月。對(duì)于延期提供信息的任何情況，控制者都應(yīng)當(dāng)通知數(shù)據(jù)主體相關(guān)情形和延遲原因。在可能的情況下，這些信息能夠以電子方式提供，除非數(shù)據(jù)主體對(duì)提供方式有特殊要求。

?4.如果控制者沒(méi)有根據(jù)數(shù)據(jù)主體的要求采取行動(dòng)，控制者應(yīng)當(dāng)及時(shí)通知（至遲不超過(guò)一個(gè)月）數(shù)據(jù)主體未采取行動(dòng)的原因、向監(jiān)督機(jī)構(gòu)提起申訴以求尋求司法救濟(jì)的可能性。

?5.根據(jù)第13條和第14條所提供的信息以及根據(jù)第15條至第22條和第34條提供的任何溝通行動(dòng)都應(yīng)當(dāng)免費(fèi)提供。在數(shù)據(jù)主體提出的要求無(wú)法查明、超出提供范圍，尤其是重復(fù)提起要求的情形下，控制者也可以：

?（a）考慮到提供信息、交流或者采取行動(dòng)的行政成本，行政部門(mén)可以收取合理的費(fèi)用；

?（b）拒絕受理數(shù)據(jù)主體的請(qǐng)求。

?控制者應(yīng)當(dāng)承擔(dān)說(shuō)明那些無(wú)法查明或者居于其提供范圍之外的數(shù)據(jù)的責(zé)任。

?6.在不違背第11條的前提下，控制者在對(duì)自然人依據(jù)第15條到第22條所提出的要求持有合理懷疑時(shí)，可以要求數(shù)據(jù)主體提供額外的必要的信息來(lái)證明身份。

?7.根據(jù)第13條和第14條的要求，控制者應(yīng)當(dāng)采用標(biāo)準(zhǔn)化的圖標(biāo)，以簡(jiǎn)潔明了、清晰可視、曉暢易讀的方式向數(shù)據(jù)主體提供信息。這些圖標(biāo)以電子方式呈現(xiàn)，這樣就可以以機(jī)讀的方式進(jìn)行信息的讀取工作。

?8.歐盟委員會(huì)應(yīng)當(dāng)被授予根據(jù)第92條的規(guī)定采取措施來(lái)制定標(biāo)準(zhǔn)化圖標(biāo)的信息和程序的權(quán)利。

?第2節(jié) 個(gè)人數(shù)據(jù)信息和獲取

第13條 數(shù)據(jù)主體收集的個(gè)人數(shù)據(jù)的提供

?1.鑒于數(shù)據(jù)主體能夠獲取與自身有關(guān)的個(gè)人數(shù)據(jù)，控制者應(yīng)當(dāng)在獲取個(gè)人信息時(shí)，向數(shù)據(jù)主體提供以下信息：

?（a）控制者的身份和詳細(xì)聯(lián)系方式，適當(dāng)時(shí)還要提供代表人的身份和詳細(xì)聯(lián)系方式；

?（b）適當(dāng)時(shí)提供數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式；

?（c）個(gè)人信息處理的目的以及處理的法律基礎(chǔ)；

?（d）當(dāng)處理過(guò)程是依據(jù)（f）項(xiàng)和第6條第一款的規(guī)定進(jìn)行的，應(yīng)當(dāng)說(shuō)明控制者或者第三方追求的立法利益；

?（e）如果可以，應(yīng)當(dāng)提供個(gè)人數(shù)據(jù)接收方或者接受方的種類(lèi)；

?（f）在適當(dāng)?shù)那闆r下，應(yīng)當(dāng)提供控制者意圖將個(gè)人數(shù)據(jù)向第三國(guó)或者國(guó)家組織進(jìn)行傳輸?shù)氖聦?shí)、委員會(huì)是否就此問(wèn)題做出過(guò)充分決議、第46、47條或者第49條第1款第二小段提及情形的相關(guān)信息。此外，還包括所采取的保護(hù)個(gè)人信息的合理安全措施以及獲取復(fù)印件的方式。

?2.除了第一款提到的信息，控制者在獲取個(gè)人數(shù)據(jù)時(shí)，出于證實(shí)處理過(guò)程的公正和透明的需要，在必要的情況下，應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信息：

?（a）個(gè)人數(shù)據(jù)的儲(chǔ)存階段，在無(wú)法提供的情形下，應(yīng)當(dāng)提供階段劃分的決定標(biāo)準(zhǔn)；

?（b）有資格處理數(shù)據(jù)主體權(quán)利要求的，能夠獲取、修正、刪除個(gè)人信息或者管制數(shù)據(jù)權(quán)利的控制者的信息；

?（c）根據(jù)第6條（a）項(xiàng)或者第9條第2款（a）項(xiàng)所進(jìn)行的在不觸犯法律的前提下，處理過(guò)程信息、任意取消滿意度的相關(guān)信息；

?（d）向監(jiān)督機(jī)構(gòu)提起申訴的權(quán)利；

?（e）個(gè)人數(shù)據(jù)條款是否應(yīng)當(dāng)在法律條文中、在合同契約中規(guī)定。還是應(yīng)當(dāng)作為締結(jié)合同的必要條件進(jìn)行規(guī)定。此外，還應(yīng)當(dāng)包括數(shù)據(jù)主體是否有義務(wù)提供個(gè)人數(shù)據(jù)以及無(wú)法提供數(shù)據(jù)情形下的可能的后果的信息；

?（f）自動(dòng)的決策機(jī)制，包括第22條第1款以及第4款提到的分析過(guò)程所涉及的邏輯程序以及對(duì)數(shù)據(jù)主體的處理過(guò)程的重要意義和設(shè)想結(jié)果。

?3.鑒于控制者進(jìn)一步處理個(gè)人信息的意圖，控制者應(yīng)當(dāng)在此之前向數(shù)據(jù)主體提供與第2款有關(guān)的信息。

?4.當(dāng)數(shù)據(jù)主體已經(jīng)獲得這些信息時(shí)，第1款、第2款、第3款不能得以適用。

?第14條 并非從數(shù)據(jù)主體處獲取的個(gè)人數(shù)據(jù)的提供

?1.當(dāng)個(gè)人信息并非從數(shù)據(jù)主體處獲得時(shí)，控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信息；

?（a）控制者的身份和詳細(xì)聯(lián)系方式，適當(dāng)時(shí)還要提供代表人；

?（b）適當(dāng)時(shí)提供數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式；

?（c）個(gè)人信息處理的目的以及處理的法律基礎(chǔ)；

?（d）相關(guān)個(gè)人數(shù)據(jù)的種類(lèi)；

?（e）個(gè)人數(shù)據(jù)接收方或者接受方的種類(lèi)；

?（f）在適當(dāng)?shù)那闆r下，應(yīng)當(dāng)提供控制者意圖將個(gè)人數(shù)據(jù)向第三國(guó)或者國(guó)家組織進(jìn)行傳輸?shù)氖聦?shí)、委員會(huì)是否就此問(wèn)題做出過(guò)充分決議、第46、47條或者第49條第1款第二項(xiàng)提及情形的相關(guān)信息。此外，還包括所采取的保護(hù)個(gè)人信息的合理安全措施以及獲取復(fù)印件的方式。

?2.除了第一款提到的信息，控制者在獲取個(gè)人數(shù)據(jù)時(shí)，出于證實(shí)處理過(guò)程的公正和透明的需要，在必要的情況下，應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信息：

?（a）個(gè)人數(shù)據(jù)的儲(chǔ)存階段，在無(wú)法提供的情形下，應(yīng)當(dāng)提供階段劃分的決定標(biāo)準(zhǔn)；

?（b）鑒于第6條第1款（f）項(xiàng)的處理過(guò)程，控制者或者第三方追求的立法利益；

?（c）有資格處理數(shù)據(jù)主體權(quán)利要求的，能夠獲取、修正、刪除個(gè)人信息或者管制數(shù)據(jù)權(quán)利的控制者的信息；

?（d）根據(jù)第6條第1款（a）項(xiàng)或者第9條第2款（a）項(xiàng)所進(jìn)行的在不觸犯法律的前提下，處理過(guò)程信息、任意取消滿意度的相關(guān)信息；

?（e）向監(jiān)督機(jī)構(gòu)提起申訴的權(quán)利；

?（f）個(gè)人數(shù)據(jù)獲取的來(lái)源，在合適的情況下，提供是否是通過(guò)公共方式獲取的信息；

?（g）自動(dòng)的決策機(jī)制，包括第22條第1款以及第4款提到的分析過(guò)程所涉及的邏輯程序以及對(duì)數(shù)據(jù)主體的處理過(guò)程的重要意義和設(shè)想結(jié)果。

?3.控制者應(yīng)當(dāng)根據(jù)第1款和第2款的規(guī)定提供信息：

?（a）在獲取個(gè)人數(shù)據(jù)之后的合理期限內(nèi)（至遲不超過(guò)一個(gè)月），提供與個(gè)人數(shù)據(jù)獲取具體情形有關(guān)的信息；

?（b）如果個(gè)人數(shù)據(jù)將要用于數(shù)據(jù)主體間的交流，那么信息提供時(shí)間最遲不超過(guò)第一次交流活動(dòng)；

?（c）如果可以披露接收方，那么信息提供時(shí)間最遲不晚于個(gè)人數(shù)據(jù)的首次披露時(shí)間。

?4.鑒于控制者進(jìn)一步處理個(gè)人信息的意圖，控制者應(yīng)當(dāng)在此之前向數(shù)據(jù)主體提供與第2款有關(guān)的信息。

?5.第1款至第4款在以下情形不得適用：

?（a）數(shù)據(jù)主體已經(jīng)獲得這些信息；

?（b）這些信息的提供是不可能的，尤其是根據(jù)第89條第1款規(guī)定或者本條第1 款提及的義務(wù)規(guī)定，出于公共利益、科學(xué)或者歷史調(diào)查和統(tǒng)計(jì)調(diào)查的目的所進(jìn)行的不均衡的努力。在這些情況下，控制者應(yīng)當(dāng)采取合適的措施去保護(hù)數(shù)據(jù)主體的權(quán)利和自由以及法律利益（包括公開(kāi)信息的措施）；

?（c）控制者應(yīng)當(dāng)根據(jù)聯(lián)盟或者成員國(guó)法律所規(guī)定的獲取或者披露個(gè)人信息的規(guī)定，采取合適的措施來(lái)保護(hù)數(shù)據(jù)主體的法律利益；

?（d）根據(jù)聯(lián)盟或者成員國(guó)法律以及保密法規(guī)定的職業(yè)保密制度，個(gè)人數(shù)據(jù)必須保密。

?第15條 數(shù)據(jù)訪問(wèn)權(quán)

?數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從管理者處確認(rèn)關(guān)于該主體的個(gè)人數(shù)據(jù)是否正在被處理，以及有權(quán)在該種情況下訪問(wèn)個(gè)人數(shù)據(jù)和以下信息：

?（a）處理的目的；

?（b）有關(guān)個(gè)人數(shù)據(jù)的類(lèi)別；

?（c）個(gè)人數(shù)據(jù)已經(jīng)被泄露或者將會(huì)被泄露給的接受者或接受者類(lèi)別，特別是第三國(guó)或國(guó)際組織的接受者；

?（d）在可能的情況下，預(yù)想的個(gè)人數(shù)據(jù)存儲(chǔ)期間；或者不可能時(shí)，用于確定該期間的標(biāo)準(zhǔn)；

?（e）有權(quán)要求管理者糾正或刪除該個(gè)人數(shù)據(jù)或者限制或拒絕處理關(guān)于該數(shù)據(jù)主體的個(gè)人數(shù)據(jù)；

?（f）向監(jiān)管機(jī)構(gòu)提出投訴的權(quán)利；

?（g）在個(gè)人數(shù)據(jù)并非由數(shù)據(jù)主體收集的情況下，關(guān)于其來(lái)源的任何可用信息。

?（h）自動(dòng)化決策，包括第22條第1款和第4款提到的概要，以及涉及到的至少在前述情況下有意義的邏輯方面的信息，和這種處理行為對(duì)數(shù)據(jù)主體而言的意義和預(yù)想的后果。

?如果將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)根據(jù)第46條獲得有關(guān)轉(zhuǎn)讓的適當(dāng)保障的通知。

?控制者應(yīng)提供正在處理的個(gè)人數(shù)據(jù)的副本。對(duì)于數(shù)據(jù)主體要求的任何進(jìn)一步的文本，控制者可以根據(jù)管理成本收取合理的費(fèi)用。如果數(shù)據(jù)主體通過(guò)電子方式提出請(qǐng)求，除非數(shù)據(jù)主體另有要求，信息應(yīng)當(dāng)以常用的電子形式提供。

?獲得第3款所指副本的權(quán)利不得對(duì)他人的權(quán)利和自由產(chǎn)生不利影響。

第16條 糾正權(quán)

?數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)要求控制者無(wú)不當(dāng)延誤地糾正有關(guān)其的不準(zhǔn)確個(gè)人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個(gè)人數(shù)據(jù)完整，包括通過(guò)提供補(bǔ)充聲明的方式。

第17條 擦除權(quán)（被遺忘權(quán)）

?數(shù)據(jù)主體有權(quán)要求控制者無(wú)不當(dāng)延誤地刪除有關(guān)其的個(gè)人數(shù)據(jù)，并且在下列理由之一的情況下，控制者有義務(wù)無(wú)不當(dāng)延誤地刪除個(gè)人數(shù)據(jù)：

?（a）就收集或以其他方式處理個(gè)人數(shù)據(jù)的目的而言，該個(gè)人數(shù)據(jù)已經(jīng)是不必要的；

?（b）數(shù)據(jù)主體根據(jù)第6條第1款（a）項(xiàng)或第9條第2款（a）項(xiàng)撤回同意，并且在沒(méi)有其他有關(guān)（數(shù)據(jù)）處理的法律依據(jù)的情況下；

?（c）數(shù)據(jù)主體根據(jù)第21條第1款反對(duì)處理，并且沒(méi)有有關(guān)（數(shù)據(jù)）處理的首要合法依據(jù)，或者數(shù)據(jù)主體根據(jù)第21條第2款反對(duì)處理；

?（d）個(gè)人數(shù)據(jù)被非法處理；

?（e）為遵守控制者所受制的聯(lián)盟或成員國(guó)法律規(guī)定的法定義務(wù)，個(gè)人數(shù)據(jù)必須被刪除；

?（f）個(gè)人數(shù)據(jù)是根據(jù)第8條第1款所提及的信息社會(huì)服務(wù)的提供而收集的。

?如果控制者已將個(gè)人數(shù)據(jù)公開(kāi)，并且根據(jù)第1款有義務(wù)刪除這些個(gè)人數(shù)據(jù)，控制者在考慮現(xiàn)有技術(shù)及實(shí)施成本后，應(yīng)當(dāng)采取合理步驟，包括技術(shù)措施，通知正在處理個(gè)人數(shù)據(jù)的控制者，數(shù)據(jù)主體已經(jīng)要求這些控制者刪除該個(gè)人數(shù)據(jù)的任何鏈接、副本或復(fù)制件。

?當(dāng)處理（數(shù)據(jù)）對(duì)于以下情形而言是必要的時(shí)，第1款和第2款不應(yīng)當(dāng)被適用：

?（a）為了行使言論和信息自由的權(quán)利；

?（b）為了遵守需要由控制者所受制的聯(lián)盟或成員國(guó)法律處理的法定義務(wù)，或?yàn)榱斯怖婊蛟谛惺贡皇谟杩刂普叩墓俜綑?quán)限時(shí)執(zhí)行任務(wù)；

?（c）根據(jù)第9條第2款（h）、（i）項(xiàng)以及第9條第3款，為了公共衛(wèi)生領(lǐng)域的公共利益的原因；

?（d）根據(jù)第89條第1款，為了公共利益的存檔目的、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的，只要第1款所述的權(quán)利很可能表現(xiàn)為不可能的或者很可能?chē)?yán)重?fù)p害該處理目標(biāo)的實(shí)現(xiàn)；

?（e）為了設(shè)立、行使或捍衛(wèi)合法權(quán)利。

?第18條 限制處理權(quán)

?在下列情況之一，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)限制控制者處理（數(shù)據(jù)）：

?（a）數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性提出爭(zhēng)議，且允許控制者在一定期間內(nèi)核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性；

?（b）該處理是非法的，并且數(shù)據(jù)主體反對(duì)刪除該個(gè)人數(shù)據(jù)，而是要求限制使用該個(gè)人數(shù)據(jù)；

?（c）控制者基于該處理目的不再需要該個(gè)人數(shù)據(jù)，但數(shù)據(jù)主體為設(shè)立、行使或捍衛(wèi)合法權(quán)利而需要該個(gè)人數(shù)據(jù)；

?（d）數(shù)據(jù)主體在核實(shí)控制者的法律依據(jù)是否優(yōu)先于數(shù)據(jù)主體的法律依據(jù)之前已根據(jù)第21條第1款反對(duì)處理。

?如果處理（行為）根據(jù)第1款受到限制，除儲(chǔ)存之外，這些個(gè)人數(shù)據(jù)只應(yīng)在數(shù)據(jù)主體同意的情況下，或?yàn)樵O(shè)立、行使或捍衛(wèi)合法權(quán)利，或?yàn)楸Ｗo(hù)其他自然人或法人的權(quán)利，或?yàn)榱寺?lián)盟或成員國(guó)的重要公共利益的原因被處理。

?根據(jù)第1款有權(quán)限制處理（數(shù)據(jù)）的數(shù)據(jù)主體應(yīng)當(dāng)在處理限制解除之前收到控制者的通知。

第19條 關(guān)于糾正或刪除個(gè)人數(shù)據(jù)或限制處理的通知義務(wù)

?除非被證明不可能完成或者包含不成比例的工作量，控制者應(yīng)當(dāng)將根據(jù)第16條、第17條第1款以及第18條對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何糾正、刪除或者處理限制，傳達(dá)給已向其披露個(gè)人數(shù)據(jù)的接收者。

?如果數(shù)據(jù)主體請(qǐng)求，控制者應(yīng)當(dāng)通知數(shù)據(jù)主體這些接收者。

?第20條 反對(duì)權(quán)

?數(shù)據(jù)主體有權(quán)基于與其特定情況有關(guān)的理由，在任何時(shí)候依據(jù)第6條第1款（e）項(xiàng)或（f）項(xiàng)拒絕有關(guān)其的個(gè)人數(shù)據(jù)被處理，包括根據(jù)這些規(guī)定進(jìn)行概況分析?？刂普卟坏迷偬幚碓搨€(gè)人數(shù)據(jù)，除非控制者證明其有關(guān)（數(shù)據(jù)）處理的強(qiáng)制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的利益、權(quán)利和自由，或者為了設(shè)立、行使或捍衛(wèi)其合法權(quán)利。

?如果為了直接營(yíng)銷(xiāo)的目的而處理個(gè)人數(shù)據(jù)，數(shù)據(jù)主體有權(quán)在任何時(shí)候反對(duì)有關(guān)其的個(gè)人數(shù)據(jù)為進(jìn)行此類(lèi)營(yíng)銷(xiāo)而被處理，其中包括與此類(lèi)直接營(yíng)銷(xiāo)相關(guān)的概況分析。

?如果數(shù)據(jù)主體反對(duì)以直接營(yíng)銷(xiāo)為目的的處理，則個(gè)人數(shù)據(jù)不得再為此目的而被處理。

?最遲在與數(shù)據(jù)主體第一次通信時(shí)，第1款和第2款中提到的權(quán)利應(yīng)當(dāng)明確提請(qǐng)數(shù)據(jù)主體注意，并應(yīng)清楚地、與任何其他信息分開(kāi)提交。

?第四節(jié) 拒絕權(quán)和自主決定權(quán)

?第21條 拒絕權(quán)

?1. 數(shù)據(jù)主體擁有拒絕權(quán)，在關(guān)于他/她的特定情形下，在任何時(shí)間處理關(guān)系到他/她第6條第1款第（e）或第（f）項(xiàng)規(guī)定的個(gè)人數(shù)據(jù)，包括基于這些條款的分析?？刂普卟荒芴幚韨€(gè)人數(shù)據(jù)，除非控制者能夠證明不顧數(shù)據(jù)主體的利益、權(quán)利和自由處理數(shù)據(jù)或者建立、行使或維護(hù)這種法律權(quán)利具有令人信服的正當(dāng)化理由。

?2. 個(gè)人數(shù)據(jù)因?yàn)橹苯訝I(yíng)銷(xiāo)的目的被處理的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)利拒絕在任何時(shí)間因?yàn)檫@種商業(yè)目處理關(guān)系到他/她的個(gè)人數(shù)據(jù)，這種商業(yè)目的包括分析達(dá)到有關(guān)這種直接營(yíng)銷(xiāo)的程度。

?3. 數(shù)據(jù)主體拒絕因直接的商業(yè)目的處理數(shù)據(jù)的，個(gè)人數(shù)據(jù)不應(yīng)該因任何這種目的被處理。

?4. 至少在與數(shù)據(jù)主體第一次溝通時(shí)，在第一款和第二款指代的權(quán)利應(yīng)該明確地提起數(shù)據(jù)主體的注意，應(yīng)該被清晰地呈現(xiàn)且與任何其他的信息相區(qū)分。

?5. 在信息社會(huì)服務(wù)使用的背景下，即使有歐共體2002年的指令，數(shù)據(jù)主體可以通過(guò)使用技術(shù)規(guī)范的自動(dòng)化方式行使他/她的拒絕權(quán)。

?6. 根據(jù)第89條第1款個(gè)人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計(jì)的目的被處理的，數(shù)據(jù)主體在關(guān)于他/她的特定情形下，有權(quán)利拒絕對(duì)他/她的個(gè)人數(shù)據(jù)進(jìn)行處理，除非這種處理對(duì)于一個(gè)因?yàn)楣怖娴娜蝿?wù)的履行是必要的。

?第22條 自主化的個(gè)人決策，包括分析

?1. 數(shù)據(jù)主體有權(quán)利不受一個(gè)僅僅依靠包括分析的自動(dòng)化處理的決定的限制，這會(huì)產(chǎn)生關(guān)于他/她或僅僅影響他/她的法律后果。

?2. 第一款不適用，如果這個(gè)決定：

?（a）對(duì)于數(shù)據(jù)主體和一個(gè)數(shù)據(jù)控制者之間的一個(gè)合同的建立和履行是必要的。

?（b）這個(gè)控制者是數(shù)據(jù)主體，以及確立保護(hù)數(shù)據(jù)主體權(quán)利、自由和正當(dāng)化利益的適當(dāng)措施是聯(lián)盟或成員國(guó)的法律所規(guī)定的；或

?（c）基于數(shù)據(jù)主體的明確同意。

?3. 在涉及到第2款第（a）和（c）項(xiàng)的情況下，數(shù)據(jù)控制者應(yīng)當(dāng)實(shí)施適當(dāng)?shù)拇胧┍Ｗo(hù)數(shù)據(jù)主體的權(quán)利、自由和正當(dāng)化利益，至少獲得對(duì)控制者部分的人為干預(yù)權(quán)，表達(dá)他/她的觀點(diǎn)和爭(zhēng)奪決定權(quán)。

?4. 在第二款涉及的決定不應(yīng)當(dāng)基于第9條第1款提及的個(gè)人數(shù)據(jù)的特殊分類(lèi)，除非適用第9條第2款的第（a）或（g）項(xiàng)和確立適當(dāng)?shù)拇胧┚S護(hù)數(shù)據(jù)主體的權(quán)利、自由和正當(dāng)化利益。

?第五節(jié) 限制

?第23條 限制

?1. 聯(lián)盟或成員國(guó)的法律規(guī)定數(shù)據(jù)控制者或處理者是主體，可以通過(guò)立法措施限制第12條至22條和第34條的權(quán)利與義務(wù)的范圍，以及第5條中與在第12條至22條的權(quán)利義務(wù)相對(duì)應(yīng)的條款。這樣一種限制尊重了基本權(quán)利和自由的本質(zhì)，是一種在民主社會(huì)必要的、相符合的措施，以此維護(hù)：

?（a）國(guó)家安全；

?（b）防衛(wèi)；

?（c）公共安全；

?（d）刑事犯罪的預(yù)防、調(diào)查、偵查、起訴或者刑事處罰的執(zhí)行，包括對(duì)公共安全威脅的防范和預(yù)防；

?（e）聯(lián)盟或一個(gè)成員國(guó)一般公共利益的其他重要目標(biāo)，特別是聯(lián)盟或成員國(guó)的重要經(jīng)濟(jì)或財(cái)政利益，包括貨幣、預(yù)算和稅收等事項(xiàng)、公共衛(wèi)生和社會(huì)保障；

?（f）司法獨(dú)立與司法程序的保護(hù)；

?（g）違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查、偵查和起訴；

?（h）監(jiān)督、檢查或相關(guān)的監(jiān)管職能，甚至偶爾行使官方權(quán)力在涉及到第（a）（b）（c）（d）（e）（f）和（g）項(xiàng)的情形下。

?（i）對(duì)數(shù)據(jù)主體或其他人的權(quán)利與自由的保護(hù)。

?（j）民事訴訟賠償?shù)膱?zhí)行。

?2. 特別是，在第1款所指的任何立法措施，應(yīng)至少包含具體的規(guī)定，有關(guān)的，如：

?（a）處理的目的或處理的分類(lèi)；

?（b）個(gè)人數(shù)據(jù)的分類(lèi)；

?（c）引入的限制范圍；

?（d）防止濫用或非法使用或轉(zhuǎn)讓的保障措施；

?（e）控制者的具體說(shuō)明或控制者分類(lèi)；

?（f）存儲(chǔ)期限和適用的保障措施，考慮到性質(zhì)、范圍和處理的用途或處理的分類(lèi)；

?（g）對(duì)數(shù)據(jù)主體權(quán)利和自由的威脅；和

?（h）數(shù)據(jù)主體被告知限制的權(quán)利，否則將不利于限制的目的。

?第四章 控制者和處理者

第一節(jié) 基本義務(wù)

第24條 控制者的義務(wù)

?1. 考慮到性質(zhì)、范圍、內(nèi)容和處理的用途以及處理給自然人的權(quán)利和自由帶來(lái)的不同可能性和嚴(yán)重程度的風(fēng)險(xiǎn)，控制者應(yīng)當(dāng)實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施，以確保并能夠證明，根據(jù)本條例進(jìn)行處理。這些措施應(yīng)在必要時(shí)進(jìn)行審查和更新。

?2. 有關(guān)處理活動(dòng)相稱(chēng)的，第1款所指的措施應(yīng)包括由控制者實(shí)施適當(dāng)?shù)臄?shù)據(jù)保護(hù)政策。

?3. 遵守第40條提及的行為準(zhǔn)則或第42條提及的經(jīng)批準(zhǔn)的認(rèn)證機(jī)制，可以作為一個(gè)元素，以證明符合控制者的義務(wù)。

?第25條 通過(guò)設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)

?1. 考慮到現(xiàn)狀，執(zhí)行的成本和性質(zhì)，范圍，內(nèi)容和處理的用途以及處理給自然人的權(quán)利和自由帶來(lái)的不同可能性和嚴(yán)重程度的風(fēng)險(xiǎn)，控制者應(yīng)該在確定處理手段和在處理的同時(shí)，實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施，如匿名化，即目的是實(shí)施數(shù)據(jù)保護(hù)原則，如數(shù)據(jù)最小化，以有效的方式，在處理時(shí)實(shí)施必要的保障措施，以符合法律要求，保護(hù)數(shù)據(jù)主體的權(quán)利。

?2. 控制者應(yīng)該實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施以確保，在默認(rèn)情況下只有對(duì)每個(gè)特定處理目的有必要的個(gè)人數(shù)據(jù)才能被處理。該義務(wù)適用于收集的個(gè)人數(shù)據(jù)的數(shù)量，數(shù)據(jù)處理的程度，數(shù)據(jù)的存儲(chǔ)期限和數(shù)據(jù)的可及性。特別是，這些措施應(yīng)確保在沒(méi)有個(gè)人對(duì)無(wú)限數(shù)量自然人的干預(yù)下，個(gè)人數(shù)據(jù)在默認(rèn)情況是不可訪問(wèn)的。

?3. 根據(jù)第42條的經(jīng)批準(zhǔn)的認(rèn)證機(jī)制可以作為一個(gè)元素，以證明符合本條第1款和第2款的要求。

第26條 聯(lián)合控制者

?1. 當(dāng)由兩個(gè)或兩個(gè)以上的控制者共同決定處理的目的和手段時(shí)，他們就是聯(lián)合控制者。他們應(yīng)以明確的方式確定在監(jiān)管規(guī)定下各自的責(zé)任與義務(wù)，尤其是通過(guò)他們之間的安排，確定關(guān)于行使數(shù)據(jù)主體的權(quán)利和第13條和14條提及的他們各自的提供信息的職責(zé)，除非到目前為止，控制者各自的責(zé)任由聯(lián)盟或成員國(guó)法律確定哪些控制者是主體。這種安排可以指定數(shù)據(jù)主體的聯(lián)系點(diǎn)。

?2. 第一款提到的安排應(yīng)當(dāng)及時(shí)反映各自的角色和聯(lián)合控制者相對(duì)數(shù)據(jù)主體的關(guān)系。該安排的實(shí)質(zhì)，應(yīng)使數(shù)據(jù)主體得知。

?3. 不論在第1款所指的安排條款，數(shù)據(jù)主體可以根據(jù)本規(guī)定行使他或她的權(quán)利，不論是否與控制者一致。

第27條 未在聯(lián)盟中設(shè)立的控制者或處理者的代理人

?1. 如果適用第3條第2款的，控制者或處理者應(yīng)當(dāng)以書(shū)面形式指定聯(lián)盟中的代理人。

?2. 該義務(wù)不適用于：

?（a）偶然的處理，在一個(gè)大的范圍里，不包括對(duì)第9條第1款提及的數(shù)據(jù)的特殊類(lèi)別的處理，或者第10條提及的有關(guān)刑事定罪和處罰的個(gè)人數(shù)據(jù)的處理，而且考慮到處理的性質(zhì)、內(nèi)容、范圍和目的，這種處理不太可能導(dǎo)致自然人的權(quán)利和自由的風(fēng)險(xiǎn)；或者

?（b）一個(gè)公共權(quán)力機(jī)關(guān)或機(jī)構(gòu)。

?3. 代理人應(yīng)當(dāng)被建立在一個(gè)成員國(guó)中，這些成員國(guó)的數(shù)據(jù)主體及其個(gè)人數(shù)據(jù)根據(jù)提供給它們的貨物或服務(wù)被處理，或者它們的行為被監(jiān)控。

?4. 為確保遵守本條例的目的，代理人應(yīng)被控制者或處理者授權(quán)，以及特別是監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體的授權(quán)來(lái)處理所有的相關(guān)問(wèn)題。

?5. 控制者或處理者對(duì)代理人的指定，應(yīng)對(duì)于代理人可能做出的不利于控制者或處理者自身的法律行為無(wú)損權(quán)益。

?第28條 處理者

?1. 當(dāng)處理是以控制者的名義進(jìn)行的，控制者只使用處理者實(shí)施的適當(dāng)?shù)募夹g(shù)和組織措施提供充分保證，以這種方式使處理滿足法規(guī)的要求，確保對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)。

?2．如果未經(jīng)控制者特別的或一般的的事先書(shū)面授權(quán)，該控制者不能引入另一個(gè)控制者參與。在一般的書(shū)面授權(quán)的情況下，處理者應(yīng)該通知控制者任何有關(guān)增加或替換其他控制者的變化，以使控制者有機(jī)會(huì)應(yīng)對(duì)這樣的變化。

?3. 一個(gè)處理者的處理應(yīng)遵守聯(lián)盟或成員國(guó)法律下的在合同或其他法律行為，即控制者與處理者相結(jié)合，提出處理的主題和處理的期限，性質(zhì)和處理目的，個(gè)人數(shù)據(jù)的類(lèi)別、數(shù)據(jù)主體的分類(lèi)和控制者的權(quán)利義務(wù)。該合同或其他法律行為應(yīng)規(guī)定，特別是處理者：

?（a）處理個(gè)人數(shù)據(jù)只能基于控制者的書(shū)面指示，包括有關(guān)個(gè)人數(shù)據(jù)向一個(gè)第三世界國(guó)家或一個(gè)國(guó)際組織的轉(zhuǎn)移，除非聯(lián)盟或成員國(guó)法律所允許這樣做的，該處理者是主體；在這種情況下，處理者在處理之前，應(yīng)通知控制者有關(guān)法律的要求，除非法律由于重大公共利益的原因禁止提供這樣的信息；

?（b） 確保個(gè)人被授權(quán)處理個(gè)人數(shù)據(jù)，且已承諾保密或在適當(dāng)?shù)姆ǘūＣ芰x務(wù)下；

?（c）根據(jù)第32條要求的采取所有措施；

?（d）遵守第2款和第4款提到的引入其他處理者的條件；

?（e）考慮到處理的性質(zhì)，運(yùn)用適當(dāng)?shù)募夹g(shù)和組織措施協(xié)助控制者，因?yàn)榈侥壳盀橹惯@是可能的，為履行控制者的義務(wù)，以適應(yīng)第三章規(guī)定的行使數(shù)據(jù)主體權(quán)利的要求；

?（f）考慮到處理的性質(zhì)和處理者可得到的信息，協(xié)助控制者以確保其遵守第32條至36條規(guī)定的義務(wù)；

?（g）一旦選擇了控制者，就需要?jiǎng)h除或向該控制者返還所有的個(gè)人數(shù)據(jù)，在提供有關(guān)處理服務(wù)的最后，刪除現(xiàn)有的版本，聯(lián)盟或成員國(guó)法律允許存儲(chǔ)的個(gè)人數(shù)據(jù)除外；

?（h）提供給控制者所有必要的信息，以證明符合在本條中規(guī)定的義務(wù)，并允許和促進(jìn)審計(jì)，包括檢查，由控制者或由控制者授權(quán)的另一核數(shù)師進(jìn)行。

?關(guān)于第一項(xiàng)的第h項(xiàng)，處理者應(yīng)當(dāng)立即通知控制者，如果在其看來(lái)，一個(gè)指令違反了本條例或其他聯(lián)盟或成員國(guó)的數(shù)據(jù)保護(hù)規(guī)定。

?4. 在處理者引入其他處理者執(zhí)行代表控制者的特定處理活動(dòng)，第3款提及的控制者和處理者之間的合同或其他法律行為中的相同的數(shù)據(jù)保護(hù)的要求，應(yīng)通過(guò)聯(lián)盟或成員國(guó)法律在合同或其他法律行為施加給其他處理者，特別是實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施提供充分保證，以這樣的方式，確保處理能滿足本規(guī)范要求。其他處理者未能履行其數(shù)據(jù)保護(hù)義務(wù)的，最初處理者應(yīng)保持就其他處理者義務(wù)的履行對(duì)控制者承擔(dān)責(zé)任。

?5. 第40條所提及的一個(gè)處理者遵守的一個(gè)被認(rèn)可的行為準(zhǔn)則，或在第42條提及的一個(gè)經(jīng)批準(zhǔn)的認(rèn)證機(jī)制，可以作為一個(gè)元素用來(lái)證明本條的第1款和第4款中提到的充分保證。

?6. 在不損害控制者和處理者之間的單個(gè)合同情況下，在本條第3款和第4款提及的合同或其他法律行為，可能基于，本條第7款和第8款提及的標(biāo)準(zhǔn)化的合同條款的全部或部分，包括當(dāng)它們成為依據(jù)第42條和第43條授權(quán)給控制者和處理者的認(rèn)證的一部分。

?7. 歐盟委員會(huì)可就本條第3款和第4款所指的事項(xiàng)制定標(biāo)準(zhǔn)化的合同條款，并按照第93條第2款所指的審查程序。

?8. 監(jiān)督機(jī)關(guān)可以采用根據(jù)本條第3款和第4款所指事項(xiàng)的標(biāo)準(zhǔn)化的合同條款，并按照第63條所指的一致性機(jī)制。

?9. 第3款和第4款所指的合同或其他法律行為，應(yīng)當(dāng)以書(shū)面形式，包括電子形式；

?10. 在不損害第82條、83條和84條的情況下，如果一個(gè)處理者違反本條例的規(guī)定決定處理的目的和手段，該處理者可以在處理方面被認(rèn)為是控制者。

第29條 在控制者或處理者的權(quán)限下處理

?有權(quán)訪問(wèn)個(gè)人數(shù)據(jù)的處理者以及在控制者或處理者的權(quán)限下作為的任何人，除控制者指令外不得處理那些數(shù)據(jù)，除非聯(lián)盟或成員國(guó)法律允許這么做。

?第30條 處理活動(dòng)的記錄

?1. 每一位控制者，以及如適用控制者的代理人，應(yīng)當(dāng)依其職責(zé)保持處理活動(dòng)的記錄。那個(gè)記錄應(yīng)當(dāng)包括以下所有信息：

?（a）控制者以及如適用的聯(lián)合控制者、控制者代理人和數(shù)據(jù)保護(hù)員的姓名和聯(lián)系信息；

?（b）處理的目的；

?（c）數(shù)據(jù)主體的類(lèi)別和個(gè)人數(shù)據(jù)的分類(lèi)的描述；

?（d）個(gè)人數(shù)據(jù)已經(jīng)或?qū)⒁还_(kāi)的收件人的類(lèi)別，包括在第三世界國(guó)家或國(guó)際組織的收件人；

?（e）如適用，將個(gè)人數(shù)據(jù)向第三世界國(guó)家或國(guó)際組織的傳輸，包括該第三國(guó)或國(guó)際組織的鑒定，以及在第49條第1款第二款提及的傳輸?shù)那闆r下，對(duì)文檔采取適當(dāng)?shù)陌踩胧?/p>

?（f）如可能，則對(duì)擦除不同類(lèi)別的數(shù)據(jù)設(shè)定時(shí)間限制；

?（g）如可能，對(duì)第32條第1項(xiàng)提及的技術(shù)和組織安全措施進(jìn)行一般性描述。

?第31條 和監(jiān)督機(jī)構(gòu)的合作

?在事務(wù)執(zhí)行的過(guò)程之中，應(yīng)用控制者、應(yīng)用處理者以及它們的代表，應(yīng)當(dāng)根據(jù)要求與監(jiān)管機(jī)構(gòu)進(jìn)行合作。

第32條 處理過(guò)程的安全性

?1.統(tǒng)籌考慮最先進(jìn)的技術(shù)、實(shí)施成本、處理過(guò)程（包括其性質(zhì)、范圍、目的）以及自然人自由權(quán)利變化可能性和嚴(yán)重性的風(fēng)險(xiǎn)?？刂普摺⑻幚碚邞?yīng)當(dāng)執(zhí)行合適的技術(shù)措施和有組織性的措施來(lái)保證合理應(yīng)對(duì)風(fēng)險(xiǎn)的安全水平，尤其要酌定考慮以下因素：

?（a）個(gè)人數(shù)據(jù)的匿名化和加密；

?（b）數(shù)據(jù)系統(tǒng)保持持續(xù)的保密性、完整性、可用性以及彈性的能力；

?（c）在發(fā)生自然事故或者技術(shù)事故發(fā)的情況下，存儲(chǔ)有用信息以及及時(shí)獲取個(gè)人信息的能力；

?（d）定期對(duì)測(cè)試、訪問(wèn)、評(píng)估技術(shù)性措施以及組織性措施的有效性進(jìn)行處理，力求確保處理過(guò)程的安全性。

?2.安全賬戶的等級(jí)評(píng)估應(yīng)當(dāng)尤其重視處理過(guò)程中的風(fēng)險(xiǎn)問(wèn)題，特別是抵御意外和非法銷(xiāo)毀、損失、變更、未經(jīng)授權(quán)披露或者是個(gè)人數(shù)據(jù)的傳送、存儲(chǔ)和處理過(guò)程中的風(fēng)險(xiǎn)。

?3.參考第40條采取一種合法行為或者參考42條采取一種認(rèn)證機(jī)制，這可以用來(lái)說(shuō)明本條第一款要求的合規(guī)性。

?4.控制者以及處理者應(yīng)當(dāng)逐步采取措施，以求確保在部門(mén)規(guī)制之下操作個(gè)人數(shù)據(jù)的自然人不能對(duì)數(shù)據(jù)進(jìn)行處理，除非獲得控制者的指示，或者其根據(jù)聯(lián)邦或州憲法確有必要。

第33條 監(jiān)管機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)泄露的通知

?1.在個(gè)人數(shù)據(jù)泄露的情況下，控制者不能不當(dāng)延誤，而且至少應(yīng)當(dāng)在知道之時(shí)起72小時(shí)以內(nèi)，根據(jù)第55條向監(jiān)管機(jī)構(gòu)進(jìn)行通知，除非個(gè)人數(shù)據(jù)的泄露不會(huì)導(dǎo)致自然人權(quán)利和自由的風(fēng)險(xiǎn)。如果通知遲于72小時(shí)，需要對(duì)遲延原因進(jìn)行解釋。

?2.在控制者知道發(fā)生信息泄露而不當(dāng)延誤時(shí)，處理者應(yīng)當(dāng)通知控制者。

?3.第一款所說(shuō)的通知，至少應(yīng)當(dāng)包括：

?（a）對(duì)于所泄露的個(gè)人數(shù)據(jù)的性質(zhì)進(jìn)行描述，包括相關(guān)數(shù)據(jù)主體以及數(shù)據(jù)記錄的種類(lèi)和大致數(shù)量；

?（b）和數(shù)據(jù)保護(hù)局或者是其他獲取更多信息的聯(lián)系點(diǎn)交流名稱(chēng)和聯(lián)系方式；

?（c）描述個(gè)人信息泄露的可能情況；

?（d）重視個(gè)人數(shù)據(jù)泄露問(wèn)題，描述控制者采取的或者計(jì)劃采取的措施，包括在適當(dāng)情況下能夠減輕可能的負(fù)面影響的措施。

?4.只要沒(méi)有造成不適當(dāng)?shù)倪M(jìn)一步延誤，在信息不可能同時(shí)提供的情況下可以分階段進(jìn)行。

?5.控制者應(yīng)當(dāng)記錄任何個(gè)人數(shù)據(jù)泄露情況，包括和個(gè)人數(shù)據(jù)泄露有關(guān)的事實(shí)、影響和采取的補(bǔ)救性措施，這些可以使得監(jiān)管機(jī)構(gòu)驗(yàn)證行為的合規(guī)性。

第34條 關(guān)于數(shù)據(jù)主體的個(gè)人數(shù)據(jù)交流

?當(dāng)個(gè)人數(shù)據(jù)泄露可能對(duì)自然人權(quán)利和自由形成很高的風(fēng)險(xiǎn)時(shí)，控制者應(yīng)當(dāng)毫不延誤地就個(gè)人數(shù)據(jù)泄露的主體進(jìn)行交流。

?本條第一款提到的數(shù)據(jù)主體交流，應(yīng)當(dāng)至少應(yīng)當(dāng)包括第33條第三款的（b）（c）（d）三項(xiàng)所涉及的信息和建議，并且用清晰平實(shí)的語(yǔ)言描述個(gè)人數(shù)據(jù)泄露的性質(zhì)以及內(nèi)容。

?在一下這些情況下，不能適用第一款所提到的數(shù)據(jù)主體交流：

?（a）控制者已經(jīng)采取合適的技術(shù)性、組織性保護(hù)措施，而且此類(lèi)措施已經(jīng)被應(yīng)用于受到信息泄露影響的個(gè)人信息之中，尤其是那些未經(jīng)授權(quán)任何人都無(wú)法得知的技術(shù)，比如，數(shù)據(jù)加密技術(shù)；

?（b）控制者已經(jīng)采取能夠確保第一款所提到的（自然人）權(quán)利和自由不受侵犯的高風(fēng)險(xiǎn)不再可能實(shí)現(xiàn)的措施。

?（c）這會(huì)涉及到不相稱(chēng)的努力。在這樣的情況下，就應(yīng)當(dāng)有一個(gè)能夠使得數(shù)據(jù)主體獲得平等有效通知的公共交流機(jī)制或者相類(lèi)似的舉措。

?如果控制者并未就數(shù)據(jù)主體進(jìn)行個(gè)人數(shù)據(jù)交流，考慮到個(gè)人數(shù)據(jù)信息泄露的高度風(fēng)險(xiǎn)，監(jiān)管機(jī)構(gòu)可以要求其這樣做或者可以決定其符合第三款列出的任何條件。

?【指導(dǎo)老師】

?李?lèi)?ài)君

?【翻譯成員】

?方穎、方宇菲、任依依、李廷達(dá)、王璇、姚嵐

《一般數(shù)據(jù)保護(hù)法案》全文翻譯（二）

?注：本文來(lái)源于微信公眾號(hào)-互聯(lián)網(wǎng)金融監(jiān)管，轉(zhuǎn)載請(qǐng)注明出處！數(shù)據(jù)觀微信公眾號(hào)（ID:cbdioreview），欲了解更多大數(shù)據(jù)行業(yè)相關(guān)資訊，可搜索數(shù)據(jù)觀（中國(guó)大數(shù)據(jù)產(chǎn)業(yè)觀察網(wǎng)www.21jieyan.cn）進(jìn)入查看。

?

責(zé)任編輯：陳近梅