欧盟数据保护法规汇编

　　作为世界重要经济体之一，欧盟在全球经济发展浪潮中始终处于前列。近年来，欧盟通过了“单一数字市场战略”的一系列举措，力争抓住数字革命重大机遇，助力数字经济发展。数据作为数字经济发展中的关键因素，成为欧盟数字战略中的关键领域。一方面，欧盟承袭长期以来“人权保护”的传统，大力加强个人数据保护力度。另一方面，欧盟积极促进内部数据自由流动与开放，推动数据交易和数据产权保护，充分发挥数据经济价值。为此，欧盟积极建立数据相关法律制度，以《欧盟一般数据保护条例》（GDPR）为基础，形成了数据相关配套规则，对全球个人数据保护和数字产业实践具有积极借鉴意义。

　　习近平总书记在中央政治局就实施国家大数据战略的集体学习中作出重要指示，指出大数据是信息化发展的新阶段，要推动大数据技术产业创新发展，构建以数据为关键因素的数字经济，运用大数据提升国家治理现代化水平、促进保障和改善民生。近年来，我国高度重视大数据发展，围绕建设网络强国、数字中国、智慧社会，全面实施国家大数据战略，逐步实现经济从高速增长转向高质量发展。为进一步完善数据立法体系，我国相继出台了《网络安全法》《电子商务法》等法律，并将《数据安全法》《个人信息保护法》列入立法日程。

　　为充分介绍欧盟数据相关法律制度构建情况，中国信息通信研究院政策与经济研究所与集团携手，全面梳理了欧盟在个人数据保护、数据流动、数据跨境等方面的法律规定，并将其译成中文出版。

　　制度建设是经济健康有序发展的重要保障。中国正在积极构建数据相关法律制度，促进数字经济持续繁荣发展。衷心希望本书能够作为我国数据相关立法的参考之一，为全面实施国家大数据战略法治建设贡献绵薄之力。

中国信息通信研究院政策与经济研究所所长　辛勇飞

欧盟一般数据保护条例

　　欧盟一般数据保护条例关于个人数据处理的自然人保护及个人数据自由流动的法律法规，《欧盟议会和欧盟理事会95/46/EC指令》即行废止。

　　根据普通立法程序欧洲议会2014年3月13日发布（未在欧洲官方公报发表），欧盟理事会2016年4月8日一读（未在欧洲官方公报发表）。欧洲议会2016年4月14日发布。，

　　鉴于：

　　（1）自然人在个人数据处理过程中获得保护是一项基本权利。《欧盟基本权利宪章》（以下简称《宪章》）第8条第1款和《欧盟运行条约》（TFEU,以下简称《条约》）第16条第1款均规定，人人均享有就其个人数据获得保护的权利。

　　（2）涉及个人数据处理的自然人保护的原则和规则规定，无论其国籍或者居住地，均应当尊重个人的基本权利和自由，特别是保护个人数据的权利。本条例致力于实现自由、安全、公平的空间和经济联盟，推动经济与社会进步，加强欧盟内部市场的经济融合，以及维护自然人的福祉。

　　（3）《欧洲议会和欧盟理事会欧洲议会和欧盟理事会于1995年10月24日发布的指令95/46/EC，关于个人数据处理及数据自由流动的个人保护（OJ L 281,23 11 1995,p 31）。95/46/EC号指令》（以下简称《95指令》）旨在对个人数据处理活动中自然人基本权利和自由的保护的要求作出统一规定，并确保个人数据在成员国之间的自由流动。

　　（4）个人数据的处理应服务于人类。保护个人数据的权利不是权利，须结合考虑其社会功能并依据比例原则与其他基本权利保持平衡。依据《条约》，本条例尊重所有基本权利并遵守《宪章》确认的自由和原则，特别是在私人与家庭生活、住居与通信、个人数据保护、思想、良心及宗教自由、表意与信息自由、从业自由、提请有效救济的权利与接受公正审判的权利，以及文化、宗教和语言多样性等方面。

　　（5）内部市场运行带来的经济社会一体化使得个人数据跨境流动显著增加。公共和私人参与者（包括欧盟内的自然人，协会和企业）之间的个人数据交换越加频繁。欧盟法律号召成员国政府的有关机构开展合作并交换个人数据以便成员国政府能够履行其职责或能够代表其他成员国政府的有关部门执行任务。

　　（6）科技发展及全球化加快给个人数据保护带来了新的挑战。个人数据的收集与共享规模显著增加。科技使私营企业和公权力机构能够以前所未有的规模利用个人数据开展活动。自然人越来越多地在全球范围的公共领域使用个人数据。技术改变了经济和社会生活，应在个人数据得到高水平保护的同时，进一步促进欧盟内个人数据的自由流动及向第三国或者国际组织的传输。

　　（7）有鉴于在欧盟内部市场建立互信体系对促进数字经济发展的重要性，需要在欧盟建立一套强大的且更为统一的数据保护框架并使之有效施行。自然人应当对其个人数据有控制权。应当不断增强自然人、经济经营者和公权力机构对法律及其适用的确定性。

　　（8）凡本条例规定其规则须受成员国法律规范和限制的，为了保持一致性以及确保适用对象理解国家规定，成员国可将本条例的内容纳入其国内法。

　　（9）《95指令》的目标和原则依然合理有效，但其未能使公众普遍认知自然人保护，特别是线上活动的显著风险。公众普遍认为自然人数据保护尤其是线上活动相关的数据保护有很高的风险。各成员国对个人数据处理过程中自然人的权利和自由保护程度的差异，尤其是保护个人数据的权利方面的差异，可能会阻碍个人数据在欧盟内的自由流动。这些差异可能因此构成在欧盟层面开展经济活动的障碍，限制竞争并且妨碍政府机构根据欧盟法律履行职责。这种保护水平的不同主要是由于各成员国在执行和适用《95指令》时存在差异。

　　（10）为确保对自然人的保护维持在一致的高水平，消除个人数据在欧盟境内的流动障碍，与数据处理有关的自然人权利和自由保护水平应当在所有成员国都是同等的。应当在整个欧盟确保就与个人数据处理有关自然人的权利和自由保护规则适用的一致性和同一性。为了遵从法律义务或者以公共利益或以行使授予控制者职责为目的执行任务而处理个人数据时，应允许成员国维持或采用国家规定以进一步明确本条例规则的适用范围。结合有关执行《95/46/ED指令》的一般性和横向数据保护法，各成员国就需求更具体规定的领域制定了若干适用于特定行业的法律。本条例亦为各成员国提供了调整规则的余地，包括为处理特殊类别的个人数据（“敏感数据”）而作出调整。在此意义上，本条例不排除列明特殊处理情形（包括更加精确地指明合法处理个人数据的条件）的成员国法律。

　　（11）实现在欧盟境内个人数据的有效保护，要求强化并详细列明以下细节：数据主体的权利、处理或者决定个人数据处理的有关人员的义务，以及相应的监督并确保遵守个人数据保护规则的权利和在成员国违反本条例的相应制裁。

　　（12）《条约》第16条第2款规定授权欧洲议会和欧盟理事会制定与个人数据保护有关的自然人保护规则和有关个人数据自由流动的规则。

　　（13）为确保对欧盟境内自然人的统一保护，防止导致妨碍个人数据在内部市场中自由流动的分歧，条例必须向经营者，包括中小微型企业，提供确定和透明的法律；并且向所有成员国的自然人提供同等水平的合法且可执行的权利和规定控制者及处理者的义务，确保各成员国对个人数据处理的统一监督和同等处罚，促进不同成员国监管机构之间的有效合作。为实现欧盟内部市场的正确运行，个人数据在欧盟内部的自由流动不应因为与个人数据处理有关的自然人保护等原因而受限制或禁止。考虑到中小微企业的特殊情况，本条例规定了雇员人数不到250人的组织在保存记录方面的例外。此外，鼓励欧盟的机构和团体、成员国及其监管机构考虑中小微企业对于适用本条例的具体需求。中小微企业的定义参见欧盟委员会2003/361/EC2003年5月6日关于中小微企业的欧盟委员会建议稿［C(2013)1422］(OJ L 124,20 5 2003,p 36)。号建议附件第2条的规定。

　　（14）本条例提供的有关个人数据处理的自然人权利保护应当适用于所有自然人，不论其国籍和居住地。本条例不包括涉及法人特别是具有法人资格的事业单位的个人数据处理，包括法人的名称、形式以及法人的详细联系信息。

　　（15）为防止发生严重规避性风险，对于自然人的保护在技术上应当是中立的并且不依赖于所使用的技术。自然人保护应适用于自动化个人数据处理，若个人数据保存于或拟保存于存档系统内，则亦应适用于人工处理。未按照特定标准进行编排的文件或文件集及其封面，不适用本条例。

　　（16）本条例不适用于欧盟法律调整范围之外关于基本权利和自由的保护以及个人数据自由流动的事项，比如有关国家安全的活动。欧盟成员国就共同外交和安全政策开展活动所进行的个人数据处理活动不适用本条例。

　　（17）欧洲议会和欧盟理事会发布的（EC）No 45/2001欧洲议会和欧盟理事会2000年12月18日发布关于被欧共体机构处理的个人数据的个人保护和该数据的自由流动的条例(EC)No 45/2001(OJ L 8,12 1 2001,p 1)。号条例适用于欧盟机构、团体、办事处和代理机构对个人数据处理活动。（EC）No 45/2001号条例以及其他适用于个人数据处理的欧盟法案应当根据本条例原则和规则进行修订并依据本条例的精神予以适用。为在欧盟境内提供一个强大统一的数据保护框架，（EC）No 45/2001号条例应在本条例通过后，根据本条例的精神进行修订，从而实现与本条例的同时适用。

　　（18）本条例不适用于自然人在不涉及任何职业或商业活动的纯个人或家庭活动中对个人数据的处理活动。个人或家庭活动可以包括通信、保存地址，或者社交活动以及在类似活动背景下进行的线上活动。但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者。

　　（19）有权机关为了预防、调查、侦查或起诉刑事罪行或执行刑事处罚（包括保障和防止出现对公共安全及其相关数据自由流动的威胁）而进行的个人数据处理中，涉及自然人保护的，由联盟特别法调整。因此，本条例不适用于基于上述原因对个人数据进行处理的行为。然而，本条例要求公权力机构在基于上述目的对个人数据进行处理时，应适用更加具体的欧盟法律，即欧洲议会和欧盟理事会发布的（EU）2016/680欧洲议会和欧盟理事会2016年4月27日发布的指令(EU)2016/680，是关于主管当局为了预防、调查、侦查或起诉刑事罪行或执行刑事处罚对个人数据的处理的自然人保护和该数据的自由流动以及废除欧盟理事会框架性决定2008/977/JHA(详情见本欧盟官方公报的第89页)。号指令。成员国可以将任务委托给（EU）2016/680号指令中定义的主管机构，如果任务不是为了预防、调查、侦查或起诉刑事罪行或执行刑事处罚，包括保障和防止出现对公共安全及其相关数据自由流动的威胁有必要进行个人数据处理活动，而是为了其他目的，只要属于欧盟法所调整的范围，就应适用本条例。

　　主管机构基于本条例规定的目的而进行的个人数据处理，成员国应当维持或采取更加具体的规定来适用本条例规则。该等规定可在考虑不同成员国宪法、组织及行政结构的基础上，对主管机关有关个人数据的处理提出更为具体明确的要求。当私营机构对个人数据处理属于本条例管辖范围时，依据本条例，成员国可以在特定条件下通过法律限制特定的义务和权利，如果该限制是在民主社会实现保护特定重要利益而采取的必要且恰当的手段，包括公共安全以及预防、调查、侦查或起诉刑事罪行或执行刑事处罚，包括保障和防止出现对公共安全的威胁。例如，与反洗钱机制或法医实验室活动相关。

　　（20）当本条例适用于法院和其他司法机关的活动时，欧盟或成员国法律可以对有关法院和其他司法机关处理个人数据的操作和程序进行具体规定。为保障司法机关在履行包括做出裁判在内的司法职能时能保持司法独立,法院因履行司法职能而进行的个人数据处理活动不受监管机构监督管理，可允许各国将该种数据处理行为的合法监督授权予成员国司法系统内部的特定机构，从而确保本条例得以遵守、增强司法系统内成员承担有关本条例责任的意识，并且处理有关数据处理活动的投诉。

中国信息通信研究院互联网法律研究中心

　　中国信息通信研究院始建于1957年，是工业和信息化部直属科研事业单位。互联网法律研究中心是中国信息通信研究院设立的专业法律研究机构。中心挂靠中国信息通信研究院政策与经济研究所，充分发挥中国信息通信研究院和政经所专业融合优势，在信息通信法律法规、WTO相关国际规则、市场开放和体制改革等方面开展基础性和前瞻性研究，并为相关政府部门提供了有力的立法和政策建议。中心致力于构建政府、行业、企业沟通协作与研究探讨的平台，同国际组织、国内外学术团体和企业开展深入的交流与合作。

法律研究院

　　法律研究院是集团设立的法律和公共政策研究机构，依托在无界零售、智慧物流、科技创新等方面积累的丰富业务场景和案例，立足中国鲜活实践，放眼全球科技产业，聚焦前沿法律政策问题，以产业共赢为目标，为产业生态的健康、正向发展输出前瞻性研究成果。

欧洲联盟基本权利宪章

一般数据保护条例

关于个人数据处理以及保护电子通信行业的隐私

关于尊重私人生活和保护电子通信中的个人数据条例

欧洲数据保护主管职责执行情况的规定和一般条件

美国商务部发布的欧盟——美国隐私盾框架原则

关于欧盟非个人数据自由流动框架

　　全面梳理了欧盟在个人数据保护、数据流动、数据跨境等方面的法律规定，作为我国数据相关立法的参考，为全面实施国家大数据战略法治建设贡献绵薄之力

　　为充分介绍欧盟数据相关法律制度构建情况，中国信息通信研究院政策与经济研究所与*集团携手，全面梳理了欧盟在个人数据保护、数据流动、数据跨境等方面的法律规定，并将其译成中文出版。制度建设是健康有序发展的重要保障，中国正在积极构建数据相关法律制度，促进数字经济持续繁荣发展。衷心希望本书能够作为我国数据相关立法的参考之一，为全面实施国家大数据战略法治建设贡献绵薄之力。