一般数据保护条例（GDPR） 第一章 一般条款 第二章 原则 第三章 数据主体的权利 第四章 控制者和处理者 第五章 将个人数据转移到第三国或国际组织 第六章 独立监管机构 第七章 合作与一致性 第八章 救济、责任与惩罚 第九章 和特定处理情形相关的条款 第十章 授权法案与实施性法案 第十一章 最后条款 译者 丁晓东，中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长。中山大学电子与 通信工程专业学士，北京大学、耶鲁大学法学博士、中国人民大学法学博士后。转载请注明译者和出 处。由于译者精力、时间和水平所限，本译稿的疏漏之处在所难免，欢迎对本译稿提出批评和意见， 联系邮箱：dingruc@163.com 来源：人大法学院未来法治研究院 第一章 一般条款 第 1 条 主要事项与目标 1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人 数据自由流动的规则。 2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据 保护的权利。 3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。 第 2 条 适用范围 1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自 动个人数据处理。 2．本条例不适用以下情形： (a)欧盟法管辖之外的活动中所进行的个人数据处理； (b)欧盟成员国为履行《欧盟基本条约》（TEU）第 2 章第 5 款所规定的活动而进行的个人数据处理； (c)自然人在纯粹个人或家庭活动中所进行的个人数据处理； (d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁 而进行的个人数据处理。 3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第 45/2001 条例。根据本 条例第 98 条，(EC)第 45/2001 条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符 合本条例的原则和规则。 4．本条例不影响 2000/31/EC 指令的适用，特别是 2000/31/EC 指令第 12 至 15 条所规定的中间 服务商的责任规则的适用。 第 3 条 地域范围 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为 是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人 数据处理。 第 4 条 定义 就本条例而言： (1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的 自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识 或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份 而识别个体。 (2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作 行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、 散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 (3)“限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。 (4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为 了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进 行的处理。 (5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据 主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某 个已识别或可识别的自然人。 (6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是 基于地理而设置的——而可以访问的个人数据的结构化集合。 (7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自 然人或法人、公共机构、规制机构或其他实体；如果此类处理的方式是由欧盟或成员国的法律决定的， 那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。 (8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实 体。 (9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否为第 三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为 接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。 (10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之 外的自然人或法人、公共机构、规制机构或组织。 (11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、 充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。 (12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法 损毁、丢失、更改或未经同意而被公开或访问。 (13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些数据可以提供自 然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。 (14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人 数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。 (15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息 的个人数据，包括和卫生保健服务相关的服务。 (16)“主要营业机构”指的是： (a)如果控制者在不止一个成员国内有多处营业机构，那么其在欧盟的管理中心所在地是主要营业机 构，除非个人数据处理的目的与方式是由控制者的另一个机构决定的，并且这一机构有权实施此决定， 在这种情况下，做出此类决定的机构应当被认为是主要营业机构； (b)如果处理者在不止一个成员国内具有多处机构，那么其在欧盟的管理中心所在地是主要营业机构。 如果处理者在欧盟没有管理中心，那么在处理者需要遵守本条例所规定的特殊责任的前提下，其在欧 盟的主要处理活动发生地的机构应当被视为主要营业机构。 (17)“代表”指的是控制者或处理者根据第 27 条在欧盟书面委任，代表控制者或处理者承担本条例 所规定的相应责任的自然人或法人。 (18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人，包括经常进行经济活 动的合伙企业或协会； (19)“企业集团”的含义是控股企业和被控股企业； (20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者，为了在企业集团内部或进 行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或 处理者，所遵循的个人数据保护政策。 (21)“监管机构”指的是成员国根据第 51 条而设立的独立性公共机构。 (22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构： (a)控制者或处理者是在某监管机构所在的成员国的境内所设立的； (b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响；或者 (c)该监管机构已经收到一项申诉； (23)“跨境处理”指的是： (a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者 (b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主 体具有实质性影响。 (24)“相关和合理的异议”指的是对是否存在违反本条例的情形，或者某项和控制者或处理者相关的 初步设想是否符合本条例的异议——已有证据表明，这种初步设想的决定会对数据主体的基本权利 和自由，以及在某些情形下对欧盟的个人数据的自由流通会带来风险。 (25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535 指令在第 1（1）条（b）点 所定义的服务。 (26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。 1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为 是否在欧盟内进行。 2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立： (a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。 3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人 数据处理。 第二章 原则 第 5 条 个人数据处理原则 1．对于个人数据，应遵循下列规定： (a)对涉及到数据主体的个人数据，应当以合法的、合理的和透明的方式来进行处理（“合法性、合 理性和透明性”）； (b)个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。 根据第 89（1）条，因为公共利益、科学或历史研究或统计目的而进一步处理数据，不视为违反初始 目的（“目的限制”）； (c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的（“数据最小化”）； (d)个人数据应当是准确的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人数据， 即违反初始目的的个人数据，及时得到擦除或更正（“准确性”）； (e)对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间；超过此 期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的， 为了保障数据主体的权利和自由，并采取了本条例第 89（1）条所规定的合理技术与组织措施。（“限 期储存”）； (f) 处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处 理或遭到非法处理，避免数据发生意外毁损或灭失（“数据的完整性与保密性”）。 2．控制者有责任遵守以上第 1 段，并且有责任对此提供证明。（“可问责性”）。 第 6 条 处理的合法性 1．只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理： (a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理； (b)处理对于完成某项数据主体所参与的契约是必要的，或者在签订契约前