欧盟通用数据保护——GDPR合规实践

译者序：

信息时代，大数据应用“乱花渐欲迷人眼”，人类在享受一波波技术红利的同时，也日陷技术矩阵构建的“元宇宙”。这一宇宙的秩序还未完备，而人的权利关系已在其中发生了剧烈的扭变。欧盟2018年颁布《通用数据保护条例》（GDPR）是信息时代人的权利被梳理和确立的一个标志性事件。该条例对业已突出的个人数据及隐私问题尝试做了体系化的规定。自此这一议题在世界范围内开始得到前所未有的关注与重视。各国纷纷加快其相关的立法进程，相继颁布了各自的专项法律来应对新的信息环境下“个人”所面对的种种问题。截至本书付梓前，我国的《个人信息保护法》也已生效，国内的个人信息保护正迎来全新的局面。

通过比较世界主要国家和地区的相关法规，不难发现GDPR在其中起到的标杆作用，后续面世的很多法规在相当多的地方都借鉴了GDPR的立法精神和立法原则，有关研究也表明我国的《个人信息保护法》在框架和思路上同GDPR也有大量异曲同工之处。“他山之石可以攻玉”，前人以GDPR合规为目标的研究成果与实践，为国内企业的出海合规乃至境内合规都提供了很好的镜鉴。

本书来自国际知名的IT治理、风险管理与合规领域的知识服务商——IT治理出版社（IT Governance Publishing）的领域专家艾伦·考尔德（Alan Calder）领导的隐私小组（Privacy Team）所完成的一部针对隐私、数据保护与GDPR合规的专业著作，其目前已再版至第4版（本书已对应至该版）。本书内容涵盖了涉及GDPR合规有关的法律要点、隐私合规框架、数据保护的组织和技术手段以及风险管理和事故响应等核心主题内容，是一部兼具理论性与实操性的合规实践指南。国际信息科学考试学会（EXIN）将它作为其数据保护官（DPO）认证的指定用书也是对该书权威性和实用性的一个证明。

EXIN的数据保护官（DPO）认证是面向全球有志于从事个人信息及隐私保护领域工作的从业者量身打造的以GDPR合规为驱动、以体系化的专业知识和经验培训为保障的专业认证。目前各国、各地区的相关法规都强调了要积极通过认证来推动合规化的工作，而该认证恰好为众多有明确合规要求的企业提供了一个极好的有关人才培养和证明合规的解决方案。

本书从接到原稿到交付终译稿，历经数轮校订与修改，其间还经历了因原书发布新版而对译稿的回炉重造，个中艰辛与快慰已不足为道。但即便如此，译者对其中的问题仍不免挂一漏万，如读者发现本书翻译上的纰漏，恳请读者不吝批评，指出相应问题或给予相关意见建议（联系邮件：lohoso@qq.com），我们将在后续版本中对本书做出进一步改进。

在此感谢对本书的交付给予帮助和支持的所有朋友。感谢EXIN亚太区总经理孙振鹏对于此书的有力运筹，感谢山竹科技的向丽对我成书进度的不断鞭策，感谢清华大学出版社责编张立红对本书细致的审核，更要感谢国内早一批的DPO学员对我的鼓励，是你们给了我承接此任的勇气。

后，还想提醒读者一点的是：当我们谈论亚当·斯密的《国富论》，需记得他还有一部《道德情操论》；当我们还在为维克托·迈尔-舍恩伯格的《大数据时代》中所描绘的前景而激动时，记得看看他的另一本书《删除》。事物总是在矛盾对立中发展，人类对技术的应用也需攻守兼备。希望本书能为你和你的组织在一手执矛的同时提供一副能保护好你用户的好盾。

刘合翔

2021.11

于杭州

这本书对GDPR进行了详细的评论，解释了您需要对数据保护和信息安全制度进行的更改，并确切地告诉您需要采取什么措施以避免严重的经济处罚。产品概述EU GDPR ?C实施和合规性指南是此新数据保护法的清晰而全面的指南，解释了该法规，并以您可以理解的术语列出了数据处理者和控制者的义务。任何组织中接触个人数据的的人员都应该掌握相关知识。

作者：

IT Governance隐私小组，是全球IT治理、风险管理和合规方面内容的领先供应商，在隐私、数据保护、合规和信息安全方面积累了大量的经验。基于对欧盟《通用数据保护条例》背景信息的详尽理解，结合自身的实践经验，以及讲师和咨询顾问团队的多方努力，出版了《欧盟通用数据保护条例（GDPR）的实施与合规指南》。。

译者：

刘合翔，北京大学博士，EXIN专家组成员，DPO 2019授权讲师，DPO 网络论坛主理人。曾参与国内相关立法的意见征求，培训了国内早期一批获数据保护官认证的领域从业者，曾任国家政府研究机构的研究员和互联网上市公司高管。现任职于杭州电子科技大学，从事大数据治理有关的科研与实践工作。

引言001

部分     GDPR的核心考量009

章    范围、控制者和处理者009
GDPR的适用范围009
控制者和处理者010
数据控制者010
联合控制者012
数据处理者012
作为处理者的控制者013
欧盟以外的控制者和处理者013
处理记录014
证明合规016

第二章    六项数据处理原则018
原则1：公平、透明和合法019
原则2：目的限制023
原则3：数据小化023
原则4：准确024
原则5：存储限制025
原则6：完整与保密026
问责与合规027

第三章    数据主体权利030
公平处理030
查阅权031
更正权033
被遗忘权033
限制处理权034
数据携带权035
反对权036
与自动决策有关的权利037

第二部分    建立合规038

第四章    隐私合规框架038
属事范围040
属地范围041
治理042
目标043
关键程序044
个人信息管理系统047
ISO/IEC 27001:2013049
选择与执行一个合规框架053
框架实施054

第五章    信息安全作为数据保护的一部分056
个人数据泄露057
数据泄露分析057
攻击地点058
保护信息安全059
ISO 27001059
NIST 标准060
网络安全的十大步骤060
网络安全基础061
信息安全政策062
证明信息安全062
信息安全治理063
组织外的信息安全064

第六章    合法性及同意065
同意概述065
撤回同意067
同意的替代067
同意的实际运作069
儿童070
个人数据的特殊类别071
有关刑事定罪和犯罪的数据072

第七章     主体查阅请求073
接收请求073
提供信息074
数据携带074
数据控制者的责任075
流程与程序076
用以确认请求者身份的可选方案077
可查阅的记录078
时间和费用079
批量主体查阅请求的处理079
拒绝的权利079
响应流程079

第八章    数据保护官的角色081
自愿指定DPO的情况084
共享DPO的情况085
基于服务合同的DPO085
DPO联系方式的公布086
DPO的职责087
必要的资源087
独立行事088
对DPO的保护089
利益冲突090
DPO 的职位要求090
DPO的职责091
DPO与组织的关系094
DPO与监管机构的关系094
数据保护影响评估与风险管理095
内聘或外包096

第九章    绘制数据地图097
目标和产出097
数据流的四要素098
数据地图绘制、DPIA和风险管理099
你想收集什么099
绘制数据地图的方法100

第三部分    数据保护影响评估与风险管理103

第十章   数据保护影响评估的要求103
DPIA104
征询利益相关者110
谁需要参与111
基于设计和默认的数据保护112

第十一章    风险管理与DPIA114
作为风险管理一部分的DPIA114
风险管理标准与方法论115
风险应对120
风险关系122
风险管理及个人数据123

第十二章     执行124
DPIA的五个关键阶段124
确认对DPIA的需求125
目标和产出126
咨询127
描述信息流128
识别隐私及相关风险129
确定和评估隐私解决方案131
签署与记录结果133
将DPIA纳入项目计划134

第四部分    国际传输与事故管理135

第十三章    跨国管理个人数据135
关键要求136
充分性认定137
保障措施138
约束性企业规则140
标准合同条款140
有限的传输141
云服务141

第十四章    事故响应的管理与通报142
通知142
事件与事故144
事故类型145
网络安全事故响应计划145
事故管理中的关键角色146
准备147
响应147
跟进148

第五部分    执法与合规过渡151
第十五章    执法151
权力机关层级151
一站式机制152
监管机构的职责152
监管机构的权力153
欧洲数据保护委员会的职责与权力154
数据主体的救济权利154
行政罚款155
GDPR对其他法律的影响157

第十六章    合规过渡与证明158
过渡框架158
通过政策以证明合规159
行为守则和认证机制162

附录一    条例索引164
附录二    欧盟/欧洲经济区各国的监管机构169
附录三    实施问答170
附录四    认证备考指南219
附录五    考试样卷236

这本书对GDPR进行了详细的评论，解释了您需要对数据保护和信息安全制度进行的更改，并确切地告诉您需要采取什么措施以避免严重的经济处罚。产品概述EU GDPR ?C实施和合规性指南是此新数据保护法的清晰而全面的指南，解释了该法规，并以您可以理解的术语列出了数据处理者和控制者的义务。任何组织中接触个人数据的的人员都应该掌握相关知识。

作者：

IT Governance隐私小组，是全球IT治理、风险管理和合规方面内容的领先供应商，在隐私、数据保护、合规和信息安全方面积累了大量的经验。基于对欧盟《通用数据保护条例》背景信息的详尽理解，结合自身的实践经验，以及讲师和咨询顾问团队的多方努力，出版了《欧盟通用数据保护条例（GDPR）的实施与合规指南》。。

译者：

刘合翔，北京大学博士，EXIN专家组成员，DPO 2019授权讲师，DPO 网络论坛主理人。曾参与国内相关立法的意见征求，培训了国内早期一批获数据保护官认证的领域从业者，曾任国家政府研究机构的研究员和互联网上市公司高管。现任职于杭州电子科技大学，从事大数据治理有关的科研与实践工作。

EXIN DPO国际认证学员代表 推荐语

本书系统性地阐述了隐私保护的实践体系，也是企业DPO的实践指南，这使得企业在践行隐私保护的各个环节真正做到有法可依，有技可循。

——张伟（IBM Consulting大中华区安全与隐私服务总监）

优秀的DPO要懂法律、懂技术和懂管理，利用技术措施、管理措施实现数据保护符合法律要求。EXIN DPO-PDPP认证指南作为DPO认证官方指定教材，系统阐述数据保护体系、数据保护组织化，还提供了数据保护实践，是帮助DPO构建数据保护法律体系的教材。EXIN DPO-PDPF与EXIN DPO-PDPP形成理论与实务的完美结合，帮助DPO快速搭建法律、技术和管理，令我受益匪浅。

——胡海斌（深信服科技股份有限公司法务总监）

公司业务涉及公共数据开放与行业应用，即如何在合规框架下更好地成为公共数据与社会数据融合应用的窗口，促进大数据产业发展，形成更多的创新融合应用。经过两年的成长，我现在成为厦门大数据公司的副总经理兼首席数据官，DPO体系课程从理论到实践一直都伴随着我的成长。这本书作为EXIN DPO-PDPP官方指定参考教材，给我的工作带来了极大的帮助，包括给政府类App做隐私保护体系。现在国内《网络安全法》《数据安全法》《个人信息保护法》的落地实践也是按照这套体系方法论去实施的。

——姜山（厦门大数据有限公司副总经理兼首席数据官）

我是2021年初的EXINDPO数字化转型官认证学员。过年公司放假，我带着一群同学在总部大楼会议室学习隐私和数据保护从业者认证（PDPP），外加看窗外的风景。每当面对GDPR甚至其他个人信息保护的问题有疑问时，我都会翻翻这本书。后来，我推荐公司的其他小伙伴去学习这个课程。对于学习，我们是认真的；对于数据合规，我们是专业的；认证是对学习结果好的检验。

——Camille Chen（美的集团DPO、高级合规官）

我曾在一家欧洲企业担任亚太区数据保护官的工作。作为EXIN-DPO的指定教材，本书一直是我日常工作的案头工具书之一。将复杂的法律条文及合规要求转化为可落地和具有操作性的数据保护实践，是本书的特色。

——蔡俊磊（万向区块链首席安全官）

EXIN DPO作为全球个基于GDPR人员岗位认证，除了能够帮助企业风险、合规、法务、信息安全等工作人员快速全面地了解并构建隐私合规管理体系，还可以帮助管理人员提升对隐私文化的理解。本书作为DPO认证官方指定的材料，全面地介绍了GDPR核心概念、隐私合规框架、风险评估、跨境传输等知识领域，适合各行业隐私与数据保护人员快速掌握相关知识点，特此推荐！

——温略淦（某全球加密虚拟资产独角兽企业数据安全与隐私专家）

我是2020年10月的EXIN DPO和ISO（信息安全官）双认证学员。本书对GDPR进行全面阐释，不仅有助于认证考试，同时对出海企业的合规落地和律师如何履行DPO职责具有非常重要的实践指导意义。通过本书的学习，我打开了国际化视野，发现了新的服务蓝海，从传统律师转型为科技律师，在我20余年的职业生涯中起着非常重要的作用。

——李兰兰律师（卓建律师事务所高级合伙人、人民检察院民事和行政诉讼监督案件咨询专家）

我是2019年5月份的EXIN数据保护官DPO认证学员，学完后当年就做了个500万元标的的出海企业GDPR合规项目，到现在身兼六家企业的DPO，这本书一直都伴随着我的成长。从一开始接到出海项目没有任何资料可供参考，这本书作为EXIN DPO-PDPP官方指定参考教材，给了我极大的启示，例如，为企业建立信息安全隐私保护管理体系（PIMS），我就参考了此书的流程。现在国内《网络安全法》《数据安全法》《个人信息保护法》的落地实践也是按照这套体系方法论去实施的。

——顾源（上海傲彤信息技术服务有限公司首席安全顾问）

作为国内较早一批从事个人信息保护从业者，又有幸接触并学习了EXIN DPO数据保护官课程后，我成为国内EXIN DPO授权机构的CEO，致力于EXIN DPO课程在国内的推广以及数据合规的落地实践。非常感谢EXIN亚太区总经理孙振鹏先生、刘合翔博士为这本书做出的努力与贡献，让我们的学习不再困难。DPO讲师、同学们和我都是这本书的学习者、实践者、受益者，现将这本书推荐给国内更多的数据合规从业者，相信大家可以从中受益。

——向丽（珠海山竹科技有限公司创始人及CEO、中国DPO早期布道者）

以上推荐语由EXIN DPO中国授权培训机构——珠海山竹科技有限公司的DPO讲师和学员提供。

《欧盟通用数据保护——GDPR合规实践：EXIN数据保护官（DPO）认证》就像一座“灯塔”，在国内《个人信息保护法》出台之际，为我们这些在合规实践中摸爬滚打的一线律师提供了极其宝贵的指引，让我们能在数据的航海中找到参照系，是难能可贵的国际经验和底层数据合规的治理理念。EXIN DPO作为国际前沿的数据合规实战课程认证体系，在应对当下纷繁复杂、瞬息万变的数字时代的合规保护层面发挥着“排头兵”的作用，在国内法律法规政策下实践层面具有重大影响力和深远意义。

——高亚平（德恒上海律师事务所合伙人、专职新经济合规平台）