欧盟GDPR合规指引.pdf-得力文库

资源描述

《欧盟GDPR合规指引.pdf》由会员分享，可在线阅读，更多相关《欧盟GDPR合规指引.pdf（71页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、欧盟 GDPR 合规指引二一九年五月欧盟 GDPR 合规指引编写团队编写单位：中国信息通信研究院安全研究所对外经济贸易大学数字经济与法律创新研究中心奋迅律师事务所科文顿柏灵律师事务所京东集团北京大学法治与发展研究院编写组成员：（姓氏笔画为序）于智精、许可、严少敏、罗嫣、陈湉、吴薇、洪延青、胡翔、葛鑫、鲍治、魏亮欧盟 GDPR 合规指引版权声明本白皮书版权属于中国信息通信研究院安全所、中国信息通信研究院安全研究所、对外经济贸易大学数字经济与法律创新研究中心、奋迅律师事务所、科文顿柏灵律师事务所、京东集团、北京大学法治与发展研究院，并受法律保护。转载、摘编或利用其它方

2、式使用本报告文字或者观点的，应注明“来源：欧盟 GDPR 合规指引 ” 。违反上述声明者，将追究其相关法律责任。欧盟 GDPR 合规指引 1 序言如何把握欧盟的通用数据保护条例（GDPR）？如果不拘泥于具体条文的话，我总觉得答案其实就蕴含于这座烧毁断残的雕像之中。这座雕像位于荷兰乌特勒支大学学术大厅的走廊。保留至今为的是纪念二战期间五名荷兰学生的英雄之举。 1942 年 12 月 12 日深夜， Gijs den Besten、 Frits Lordens、Geert Lubberhuizen、Anne Maclaine Pont 和 Rutger Marthijsen 潜入这座雕像

3、背后的学生管理部，将大学当时保存的学生档案一把火全部烧毁，避免了当时占领荷兰的德国纳粹通过详尽的学生档案锁定并杀害犹太学生。 “即便在最黑暗的时刻，我们仍然知道存在着永恒的原则” （In de zwartste uren bleven wij weten, dat er eeuwige beginselen zijn）。乌特勒支大学教授 dr. P. C. A. Geyl 这句总结，连同焦黑断裂的雕像，给每个驻足探究的人，欧盟 GDPR 合规指引 2 包括当时即将博士论文答辩的我，深深的震撼和思考。如果德国纳粹掌握了这些学生档案（其实就是学生的个人数据），会有多少人将因此而丧生；但当时欧洲

4、范围内又有多少人像乌特勒支大学中的犹太学生那般幸运，能够有机会销毁自己的个人数据二战血和泪的经历显然在欧洲人的心中刻下了一个教训：人人都应当享有个人数据受保护这项基本人权；个人数据泄露或滥用所造成的危害，绝非财产上的损失，而是事关个人的尊严和人格，乃至生命。就此，我们不难理解 GDPR 这样严格的个人数据处理活动法律框架，为什么会诞生于欧洲。从本质上来说，GDPR 代表了欧盟所作出的价值判断：个人数据无论是为政府还是企业所掌握，难免出错；GDPR 不仅是为了最大程度降低“重蹈覆辙”的风险，更是面对未来科技迅猛发展的基本立场人是科技的主人，科技应当在尊重人类福祉的框架中发展进步。沿着这

5、样的脉络，我们就能掌握 GDPR 所设立的基本原则和具体的制度设计，例如开展个人数据处理活动首先需要一个合法性基础；对处理活动非常高的透明性和文档化要求：事先明确数据处理的目的；仅能收集目的所需的最小化的个人数据；个人数据的存储不应超过实现目的所必需的时间；开展高风险的个人数据处理活动前应当开展影响评估；产品或服务在开发设计阶段就应落实数据保护的要求；对违法处理活动施加高额的罚款等等。除了“不信任”对开展个人数据处理活动的组织，GDPR 还赋予了个人在个人数据方面的前所未有权利。在经典的查询、更正、删除权利的基础上，个人还拥有更强的反对、免受系统完全自动化决定的权利，以及崭新的被遗忘

6、权、限制处理权和数据可携带权。在这些权利的“武装”之下，个人不再是被动地“受制于”控制其数据的组织，而能及时、简便、深入地参与、介入，甚至于干预组织所开展的数据处理活动。除非有法定事由等少许例外情形，组织无法将个人拒之门外。一边给开展个人数据处理活动的组织带上了沉重的“镣铐” ，一边大幅度给个人赋权，GDPR 通过上述“双保险” ，以管控个人数据处理活动对个人合法权益可能带来的负面风险。这样的设计是欧盟国家集体作出的抉择，是欧盟价值观的逻辑展开。反观中国，个人信息保护法的立法工作已经吹响了号角。我们与欧洲有着不同的历史和传统，处于不同的发展阶段，形成了不同的政治、社会和经济结构。欧盟 GD

7、PR 合规指引 3 显然，中国无需追随欧盟的步伐，但这并不意味着将 GDPR“掰开揉碎”搞清楚没有意义。至少，GDPR 针对普适性问题提出的解决方案，我们可以批判、借鉴，并在此基础上创新。本着这样的根本目的，同时为满足在欧盟运营的我国企业的实际需求，一群来自于高校、政府智库、企业、律所等方面的专家在中国信息通信研究院安全研究所提供的平台上齐聚一堂，根据自己的研究和实践经验，并经过长达半年的准备、讨论、撰写、修改、审校，集体创作出这份GDPR 合规指引。这份指引共分四章，分别包括 GDPR 概述、合规体系、疑难点及合规建议，以及 GDPR 与我国法律的比较及冲突应对。我们希望能为有合规需求

8、的企业指明方向，更希望能为关心个人信息保护的同仁提供一份针对 GDPR 准确、客观、扎实的介绍，进而为我国开展个人信息保护工作贡献绵薄之力。GDPR 合规指引目录一、GDPR 概述. 1 （一）GDPR 立法背景及进程 . 1 （二）GDPR 制度要点概述 . 1 （三）GDPR 执法行动及评估 . 5 二、GDPR 合规体系 . 11 （一）风险评估 . 11 （二）组织架构保障 . 17 （三）合规体系设立与执行 . 21 （四）合规培训及宣讲 . 29 （五）合规体系执行的监督和审计 . 31 三、GDPR 疑难点及合规建议 . 34 （一）GDPR 的域外适用 . 34 （二）个

9、人数据的范围 . 34 （三）如何理解数据处理的 6 个合法事由？ . 35 （四）如何理解数据主体的几个权利？. 37 （五）数据控制者和数据处理者的区别. 38 （六）数据控制者和数据处理者的责任. 39 （七）个人数据出境的合法事由 . 42 （八）主监管机构的理解 . 42 四、GDPR 与我国法律的比较及冲突应对 . 45 （一）中国个人信息保护法律规则与 GDPRGDPR 的比较 . 45 （二）中国个人信息保护规则与 GDPR 的区别 . 50 （三）GDPR 与我国法的实质性矛盾 . 55 附件一隐私声明政策示例 . 59 欧盟 GDPR 合规指引 1 一、一、GDPR 概述

10、概述（一）（一）GDPR 立法背景及进程立法背景及进程欧盟的个人信息保护起源于传统隐私保护，发展至今先后历经以1981 年个人数据保护公约、 1995 年个人数据保护指令（以下简称“95 指令” ）以及2016 年通用数据保护条例（英文简称 “GDPR” ）为主要表现形式的三个阶段。在互联网和大数据崛起的新环境下，欧盟认为 95 指令不能切实保护数据主体的权利和自由，也不能对成员国之间的个人数据保护法加以协调。因此，自 2009年开始，欧盟启动个人数据保护框架的改革工作。此次数据保护改革的宗旨在于强化数据主体权利的保护，并统一欧盟各成员国的数据保护立法。经过公众意见咨询、利益相关

11、者对话和备选政策的影响效果评估，欧盟委员会最终决定以条例形式取代 95 指令，并于 2012 年 1 月正式发布 GDPR 草案。经过长达四年的立法程序， 2016 年 4 月，欧盟理事会和欧洲议会表决通过了 GDPR，并随后在 2016年 5 月 4 日正式在欧盟官方公报发布。根据 GDPR 第 99 条关于生效和适用的规定，GDPR 自官方公报发布满 20 日，即 2016 年 5 月 24 日生效，并自其生效后满两年，即 2018 年 5 月 25 日直接适用于欧盟全体成员国，以“一个大陆、一部法律”实现在欧盟 28 个成员国内部建立起统一的个人信息保护和流动规则。由于 GDPR 的

12、域外适用效力，被称为史上最严数据保护法的 GDPR 在全球范围内引起广泛关注。（二）（二）GDPR 制度要点概述制度要点概述相较于 95 指令 GDPR 在地域适用范围、权利义务配置、监管体系设计等方面进行了较大调整。1、扩张域外适用效力、扩张域外适用效力相较于 95 指令依据传统管辖权原则确认适用范围，为应对网络空间无国界的特征和数据跨境流动常态化的现状，GDPR 超越了一般以属地管辖为主、属人管辖为辅的原则，而从更为抽象的意义上将所有涉及欧盟地区数据主体个人数据处理的行为均纳入了管辖范围。GDPR 在第 3 条中规定了“属人” 、 “属地” 、 “保护” 、 “国际公法”等多种管辖权适

13、用依据：其一，第 3 条（1）规定 GDPR 适用于数据控制者或处理者在欧盟境内的实体机构实施的个人数据处理行为，不论数据处理行为是否发生在欧盟境内。根据 GDPR 序言第 22 条，对于是否存在欧欧盟 GDPR 合规指引 2 盟境内实体机构或营业场所的判断，只要是通过稳定的安排能够真正有效的开展活动即可，不拘泥于分支机构抑或是子公司的法律形式。同时，欧盟法院 Google 被遗忘权一案中认为明确此时数据处理活动不限于实体机构自身实施，而只要是在实体机构“活动背景下” （in the context of the activities）实施即可。欧洲数据保护委员会（European Da

14、ta Protection Board）认为只要实体机构与数据控制者或处理者之间存在着“无可摆脱的联系” ，则数据控制者或处理者实施的数据处理行为（无论是否发生在欧盟境内）均应受 GDPR 的拘束。其二，第 3 条（2）依据保护原则规定即便数据处理者、控制者以及数据处理行为均不发生在欧盟境内，但为了保护欧盟及欧盟境内居住的数据主体的合法权益，只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为，均应受到 GDPR 的拘束。其三，第 2 条（3）条规定虽然数据控制者设立在欧盟境外，但依据国际公法，其所在地区适用欧盟成员国法律时，其行为也受到 GDPR 拘束。 2、扩张数据主体权利、

15、扩张数据主体权利 GDPR 第三章专章（第 12 条-第 23 条）规定了数据主体的权利，包括透明度及模式、知情与对数据的访问、更正与删除、反对权和自动化决策、权利限制等五个部分的内容。相较于 95 指令所规定的数据主体权利，GDPR 在以数据主体“知情同意”为基本框架，保留、细化并拓展了 95 指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系，并新增了被遗忘权、限制处理权和数据可携带权。具体来看，第 12-15 条构成数据主体的知情权体系，第 12 条规定透明性原则明确数据主体有权要求数据控制者以易于获取和易于理解的形式及时提供数据处理的相关信息，构成数据主体其他逐

16、项权利行使的前提条件；第 13 条、第14 条分别列举了在个人数据直接收集和间接收集的不同场景下，数据控制者应当为信息主体提供的各项信息的具体内容，构成对第 12 条透明性原则的细化和体现。第 15 条规定了数据主体的访问权，明确数据主体有权从数据控制者处明确是否对其个人数据进行了处理，并要求数据控制者提供正在处理的个人数据副本。第 16 条-第 20 条规定了数据主体的更正权和删除权体系。其中，第 16 条更正权是 95 指令中既已存在的权利，赋予数据主体纠正其错误个人信息的权利。第 17-第 20 条所规定的被遗忘权、限制处理权和数据可携带权，则是 GDPR 应因网络社会数据记录和处理自

17、动化的常态而新增的数据主体权利。被遗忘权（第欧盟 GDPR 合规指引 3 17 条）来源于 95 指令中的删除权，但又融入了数字时代的背景，其行使范围不限于传统删除权中数据存在错误或者欠缺法定或约定处理依据的情形，而是可以涵盖在合法基础上进行的数据处理，其判断标准在于数据相对于其处理目的是否为过时的、不相关的、不必要的信息，但其行使的范围受限于具体场景下与言论自由、公共利益等的利益平衡。限制处理权（第 18 条）则赋予数据主体在数据的准确性存疑需要进一步查证、数据处理并无合法依据但数据主体并不希望删除其数据等情形时，有权限制数据控制者对其个人数据的处理，一旦数据行使该项权利，则仅在数据

18、主体同意或者为保护其他自然人或法人的权利等特殊情形才得进一步处理个人数据。相较于被遗忘权，限制处理权提供了相对缓和的解决方案。可携带权（第 20 条）也旨在强化数据主体对其个人数据的控制权，其基本理念在于 “个人能够将其个人数据和资料从一个数据控制者处无障碍地转移至另一个数据控制者处” ，由于该权利大大降低了数据主体转移其个人数据的难度，也被认为能够进一步提升数据控制者之间的市场竞争程度，从而促进数据控制者的创新发展。第 21-22 条规定了数据主体的反对权和自动化决策相关内容。反对权（第 21条）是对 95 指令针对数据商业利用的反对权的保留和延伸，相较于原有 95 指令中的规

19、定， GDPR 对于反对权的规定放宽了适用情形，不再局限于商业利用场景，包括基于维护公共利益或数据控制者所追求合法利益所必需、基于直接营销目的、基于科学研究或统计目的的数据处理的场景，均有反对权的适用可能。免受自动化决策权（第 22 条）明确对数据主体具有法律影响或类似重大影响的基于数据自动化处理的相关决策，数据主体有权拒绝其约束。免受自动化决策权的基本出发点在于大数据时代数据自动化处理和对数据主体进行定向分析的数据画像日益增多，但算法不透明、算法歧视、数据源错误等风险难以避免，因此有必要在其对数据主体产生重大影响时，赋予数据主体免受其限制的权利。第 23 条则规定了数据主体权利的限制。

20、从数据主体权利与公共利益、他人合法利益等多元利益冲突格局出发，第 23 条赋予成员国在基于维护国家安全与防卫、公共安全等公共利益情形下，在符合基本权利的自由和本质并提供了必要适当保护措施的前提下，对数据主体的权利进行限制，以协调数据主体权利与诸项公共利益。欧盟 GDPR 合规指引 4 3、强化数据控制者、数据处理者问责、强化数据控制者、数据处理者问责 GDPR 在引入一站式监管机制降低数据控制者等企业日常合规负担的同时，也要求数据控制者、数据处理者内部建立完善的问责机制，更多地以企业内部合规性义务规定推进 GDPR 的落地。具体来说，该等规范主要体现在设置数据保护官、对数据处理活动实现文档

21、化管理、实行数据保护影响风险评估制度、对高风险数据处理活动向监管机构事先咨询、向监管机构和数据主体进行数据泄露事件的报告和通知、强调匿名化与假名化安全保障措施等等。除此之外，GDPR 与95 指令显著不同之处还在于 GDPR 考虑到大数据、云计算产业的诸多业务发展需求，在大多数情况下明确了数据处理者与数据控制者负有同等义务，并且明确数据处理者在数据安全、数据泄露、数据保护影响风险评估等方面对数据控制者负有协助义务，以及数据处理服务终止时的数据删除或返还义务。 4、丰富数据跨境流动机制、丰富数据跨境流动机制为应对日益增长的全球跨境流动和 95 指令体系下监管体制之间的不协调，欧盟在此次数据

22、保护改革中着力数据跨境传输机制进行了完善，重点在于提升数据跨境流动监管政策的流动性，明确禁止成员国数据跨境流动监管许可的适用，并且注重发挥行业协会等社会监督和市场自律作用，最终形成了基于充分性决定、有拘束力公司规则、标准合同条款、经批准的行为准则、经批准的认证机制或标志等构成的多元数据跨境流动监管路径，实现用户隐私、数据安全与数据跨境流动需求之间的协调与平衡。 5、改革数据保护监管体制、改革数据保护监管体制为确保 GDPR 在适用过程中能实现对不同成员国之间的协调，相较于 95 指令的监管体系，GDPR 在监管机构、监管模式、监管手段等方面均作出了重大变革。在整个欧盟层面， GDPR

23、的首要变化在于设立欧盟数据保护委员会（European Data Protection Board，EDPB）取代 95 指令下的第 29 条工作组（WP29），EDPB由各成员国数据保护监管机构负责人和欧盟数据保护专员（EDPS）组成，负责代表整个欧盟层面发布有关个人数据保护的相关意见、指南，协调一站式监管机制并促进交流等，以确保 GDPR 在欧盟各成员国内适用的统一性。除此之外，GDPR 新增监管一致性机制，以应对跨境数据流动场景下涉及多个成员国监管机构的情形，减轻监管成本和企业合规成本，力图实现一站式管理服务。在一致性机制下，当涉及多个监管机构时，则需要区分主导监管机构和相关监管机

24、构，由欧盟 GDPR 合规指引 5 主要营业地的数据保护监管机关作为主导监管机关，数据控制者等监管对象只需向主导监管机构履行相关义务，由主导监管机构及时将相应监管事项通知其余相关监管机构，后者仅在有限的紧急情况下才得对其领土内的被监管对象采取措施，从而避免被监管对象对接多个成员国监管机构。（三）（三）GDPR 执法行动及评估执法行动及评估 1、GDPR 执法行动执法行动（1）EDPB 与各国监管机构的职能与权限与各国监管机构的职能与权限欧盟数据保护委员会（ “EDPB” ）是整个欧盟层面的数据保护机构，旨在保证欧盟整体数据保护规则的统一适用，以及促进各成员国数据保护监管机构之间的

25、合作，其主要政策工具为出台指南（Guidelines）、建议（Recommendations）、意见（Opinions）以及有约束力的决定（Binding decisions）。GDPR 正式生效后，EDPB 在 2018 年 5 月 25 日举行了第一次全体会议。会上集中完成 EDPB 的设立工作，经选举产生了委员会主席和副主席；同时会上还完成了 WP29 与 EDPB 的交接，批准了 16 个 WP29 与 GDPR 有关的指南。与 EDPB 相对，各国监管机构的职能与权限由本国数据保护法赋予，其权限主要包括调查权和矫正权。具体而言，监管机构可通过发出违规警告、开展

26、审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款等行使其权力。（2）EDPB 相关行动相关行动 2018 年 7 月 4 日5 日，EDPB 举行了第二次全体会议，会议涉及一站式（One-Stop-Shop）合作机制、ICANN、PSD2 指令、隐私盾等广泛主题。根据欧洲数据保护专员公署（EDPS，EDPB 的常设秘书处）目前的工作设想，后续执法要点主要包括： i. GDPR实施工作的基本立场是遵循欧盟委员会有关数字单一市场的总体安排，以保护欧盟公民和统一市场为直接目标指向； ii. 贯彻落实 GDPR 规范内容的主要切入点是里斯本条约等确认的个人数据权等“基本权利”的保护，由此后续

27、设计更为具体的实施细则以及合规指南；欧盟 GDPR 合规指引 6 iii. 关于 GDPR 的具体执法力度，依据欧盟委员会目前确定的口径，总体强度将类似于欧盟目前有关反不正当竞争、反垄断领域的执法力度； iv. 在执法机制上，GDPR 的执法凭借主要是各国监管机构，但强调“一站式”执法模式，也即由某执法对象（例如跨国公司）主要营业地的成员国监管机构履行主要的监管职能； v. 在国际冲突博弈方面，由于 GDPR 的域外管辖条款是全新的制度设计，预计在实施过程中会遇到较大的反弹，目前主要外部压力来自美国和英国方面，为此 GDPR 实施过程中会根据实际情况进一步考虑弹性的执法机制，例如充分发挥“

28、公司规则”(Rules of Corporation)和“标准条款”（Standard Clause）两项机制的弹性功能，以减少法定强制条款（例如“充分性认定”机制）的适用情形。 2019 年 2 月，EDPB 发布 GDPR 实施情况首次概述，对各国相关监管机构的合作机制（Cooperation mechanism）与一致性机制（Consistency mechanism）的实施与执行情况进行总结。合作机制指利用一站式合作机制、互助、联合执法等工具支持跨境案件的执行。合作往往在各国监管机构层面开展，除非机构之间出现纠纷或者有紧急情况，EDPB 不会介入。为便于 GDPR 在欧洲层面的执

29、法，EDPB 利用内部市场信息 IT系统（ “IMI 系统” ）为各监管机构之间提供结构化且保密性的信息共享。根据 IMI系统，自 2018 年 5 月 25 日至 2019 年 2 月 26 日，跨境案件的总数为 281 起，主要涵盖数据主体权利行使、消费者权、数据泄露等主题。已经发起 642 个确定牵头监管机构与相关监管机构的初始程序，其中 306 起已完成并确定出牵头监管机构，尚未出现关于牵头监管机构确认的纠纷。14 家欧洲经济区国家的监管机构发起 45 个一站式程序，其中 23 个处于信息协商阶段， 16 个处于起草决定阶段，6 个已发布最终决定。可以预见，一站式程序的数量在

30、未来将稳定增长。在互助程序方面，18 家监管机构共发起 444 件互助请求（包括正式和非正式请求），其中 353 件请求在 23 日内得到回复。在联合执法方面，目前尚未有联合执法程序被发起。一致性机制涵盖 EDPB 为确保 GDPR 在各监管机构间适用与执行的一致性而出台的一般指南，以及意见、决定、争议解决与紧急决定等。迄今，EDPB 已发布六部指南（含征求意见稿），涵盖地域范围、认证机构、行为准则等主题；发布 28 个成员国应接受数据保护影响评估的处理主体名单的一致性意见，以及其他与金融监管机构个人数据传输行政安排、GDPR 与隐私与电子通讯指令欧盟 GDPR 合规指引 7 的关系等主

31、题相关的一致性意见。约束性公司规则、数据控制者与数据处理者协议相关的意见将后续发布。（3）各国监管机构执法行动各国监管机构执法行动在 GDPR 生效后过渡期和正式施行以来，欧盟内不少成员国也从国内立法和监管执法等方面作出回应。从立法层面上来看，为应对 GDPR 对 95 指令的改革和变化爱尔兰、奥地利、希腊等国家对现有个人数据保护法规作出修订，出台了相应的修订法案。从监管执法层面上来看，多数成员国监管机构收到的投诉以及发起的调查大幅增加，31 家监管机构报告的案件总数达 206,326 起，可分为基于投诉的案件、基于数据泄露报告的案件及其他类型案件，其中 51%的案件已结案，1%的案件

32、被上诉至国内法院。此外共 11 家监管机构根据 GDPR 第 58.2(i)条进行罚款，罚款总额达 55,955,871 欧元。 i. 爱尔兰爱尔兰根据爱尔兰数据保护监管机构 DPC 于 2019 年 2 月底发布的年度报告， DPC在 2018 年共收到 1,928 起 GDPR 相关投诉，其中 868 起已结案。大部分投诉通过友好协商方式解决，18 起投诉以 DPC 发布正式决定的方式结案。在数据泄露方面，共有 3,542 起数据泄露事件被记录在案，其中 38 起事件涉及 11 家跨国科技公司。此外，DPC 继续担任 11 家公司约束性公司规则申请的主要审阅机构。由于爱尔兰是包括多家大

33、型科技与社交媒体公司在内的许多跨国公司的欧洲总部（也即“主营业地” ）所在地，DPC 在对欧洲地区跨国公司的数据保护监管中特别是在一站式机制下发挥着重要作用。DPC 通过一站式机制接收的跨境投诉案件共有 136 起，其中关于“同意” 、 “删除权”和“访问权”的投诉占比较大。作为苹果、脸书、微软、推特、爱彼迎、领英等案件在一站式机制下的牵头监管机构，DPC 已发起 15 起涉及这些跨国科技公司的法定调查，且收到了 16起来自其他欧盟监管机构的与跨国科技公司相关的互助请求。DPC 开展调查所涉主要问题包括脸书涉嫌利用外部链接从第三方软件中转移个人数据至脸书即其合作方、微软利用 Office 产品

34、收集并处理遥测数据、WhatsApp 与其他脸书公司共享个人数据等等。欧盟 GDPR 合规指引 8 ii. 英国英国根据英国数据保护监管机构 ICO 官网数据，ICO 自 GDPR 生效以来共有 59项执法行动，其中 34 项为罚款，15 项为执行通知。 2018 年 10 月，ICO 向一家加拿大数据分析公司 Aggregate IQ 数据服务有限公司（ “AIQ” ）发出执行通知，要求其删除所有与英国公民相关的个人数据，并称若其不履行义务，将面临最高 2000 万欧元或上一年全球总营业额 4%的罚款。AIQ 是一家利用个人数据在社交软件定向投放政治广告的公司，由包括脱欧组织在内的政治

35、团体提供个人数据。 ICO 在执行通知中指出 AIQ 违反了 GDPR 第 5(1)条中的(a)至(c)款，与此同时，加拿大隐私监管机构也在以滥用个人数据对 AIQ进行调查。在 ICO 缩小了执行通知中的范围后，AIQ 撤销了上诉请求。在后续的执法行动中， ICO还对脱欧集团有限公司（Leave.EU Group Limited）、投票脱欧有限公司（Vote Leave Limited）的非法利用数据和发送信息行为处以罚款。 iii. 法国法国根据法国数据保护监管机构 CNIL 于 2019 年 4 月发布的 2018 年活动报告，2018 年 CNIL 共收到 11,077 起投诉（

36、相较于 2017 年上涨了 32.5%），其中 20%为一站式机制下来自其他监管机构的投诉。这些投诉主要涉及数据的互联网传播，尤其是要求个人数据的删除，涵盖线上声誉、市场/商业、人力资源等领域。在调查方面，CNIL 在 2018 年共发起 310 其调查；在发布命令与实施处罚方面，CNIL 在 2019 年发布的 49 项命令主要集中在保险领域和利用科技的广告定向投放领域，共实施了 11 项处罚，其中 10 项为罚款。 2019 年 1 月 21 日，CNIL 对谷歌作出了 GDPR 下至今最高额的罚款处罚5 千万欧元。CNIL 的处罚决定理由主要基于两方面，一是谷歌违反了 GDPR第 1

37、2 和 13 条规定的透明度要求，二是谷歌以广告定向投放为目的处理个人数据缺乏法律基础，即未获得数据主体的有效同意。此外，该决定认为谷歌在欧盟境欧盟 GDPR 合规指引 9 内的主营业地不在爱尔兰，而是没有主营业地，因此 CNIL 是实施处罚的适格主体。 iv. 其他各国其他各国 a) 德国监管机构 BfDI 基于数据泄露对一家社交媒体公司处以 2 万欧元罚款； b) 意大利监管机构 Garante 就两家公司车辆的定位监控系统问题发出执行通知要求其纠正违法行为； c) 葡萄牙数据监管机构（CNPD）认定 Barreiro 医院未区分临床数据的访问权限，并且在个人资料管理系统上存在缺陷，违反

38、了 GDPR 第 51)f)条的“完整性和保密性”原则与 51)c)条的“数据最小化”原则，对其处罚40 万欧元； d) 立陶宛监管机构 SDPI 对一家互联网支付公司处以 61,500 欧元罚款，理由包括不恰当处理数据、泄露个人信息以及未向监管机构报告数据泄露事件； e) 奥地利数据监管机构（DSB）因企业在其建筑物周边安装闭路监控设备监控、记录人行道人像数据等，而被认为未履行 GDPR 有关数据处理透明度的要求，对其处罚 4800 欧元； 2、GDPR 执法行动评估执法行动评估在 EDPB 与欧洲各监管机构执法合作方面， GDPR 下建立的合作与一致性机制进展相对顺利。鉴于 GDPR 仅

39、实施不到一年，很多工作仍有待完成，以改进程序、提高效率。对于一站式机制，由于在一站式机制下的案件数量和规模相对不大，尚未出现纠纷，因此 EDPB 还未行使过争议解决职能。对于一致性机制，EDPB 发布的意见主要集中在数据保护影响评估处理主体名单上，在其他领域发挥的一致性作用有限。未来 EDPB 计划对约束性公司规则、行为准则、标准合同、认证机制等问题作出澄清，以将一致性机制的作用拓展到其他领域。从各国监管机构年报也看的出其于 EDPB 之间保持着紧密联系与合作，例如对指南、意见等文件的制定和起草提供材料与建议。不过，一致性机制的开展比较消耗资源与时欧盟 GDPR 合规指引 10 间，

40、其要求各机构能够在短时间内完成各种转化，因此更多文件的出台需要更长的时间。在各监管机构的执法效果方面，一方面随着 GDPR 的生效，各监管机构的执法活动明显增多，执法力度也有所增强，另一方面，执法的实际效果仍有待观察和证实。 GDPR 的生效使得许多监管机构实现了权力的扩张和身份的转变，与以往被动的执法模式不同，后 GDPR 时代的监管机构倾向于积极主动的履行监管职能监督其管辖范围内机构的数据保护情况，即使尚未出现数据泄露等安全隐患。从现有执法活动来看，虽然各监管机构对大型科技公司显示出重点关注，中小型公司也未逃过其法眼。各监管机构不仅增加了罚款处罚的数量和数额，也积极利用矫正权，而后者

41、对企业经营与品牌的影响甚至比前者更大。此外，从企业数据保护官（Data Protection Officer）人数的增加以及各监管机构受理个人投诉数量的大规模增加可以看出，GDPR 在现实中提高了企业与个人对数据保护合规意识。 GDPR 执法活动对于数据主体权利的保护和各大企业数据合规的影响也存在质疑之声。正如欧洲著名数据权利非盈利组织 NOYB 发起人 Max Schrems 所指出， 2000万欧元或上一年全球总营业额4%的罚款对不同企业的威慑效果不同，尽管 GDPR 列明了罚款的考量因素，实践中也很难作出合理且有效的罚款处罚。再者，对 GDPR 所详尽规定的基础权利和义务的实际遵守效果也很难证实。此外，尽管有 EDPB 的协调和监督，鉴于各国执法路径与社会文化的不同，欧洲各国的数据保护执法水平不均衡的现状短期内很难得到较大改善。欧盟 GDPR 合规指引 11 二、二、GDPR 合规体系合规体系（一）风险评估（一）风险评估风险评估贯穿于企业 GDPR 合规制度的建立、实施以及更新完善的每一步，也是企业判断 GDPR 合规制度是否必要以及如何建设的首要步骤。合规初期，企业进行 GDPR 风险评估的重点主要为：（1）GDPR 是否适用

展开阅读全文