GDPR解读(1):简介与适用范围
转载自金汤智库:https://www.janusec.com/articles/privacy/1579926349.html
GDPR即General Data Protection Regulation(通用数据保护条例),由欧盟2016年5月4日公布的旨在保护自然人的个人数据及个人数据在欧盟境内自由流通的法律,已于2018年5月25日生效。GDPR全文包括173条序言,11个正文章节共99个条款(Article)。
GDPR英文版下载地址: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
GDPR适用于在EEA(European Economic Area,欧洲经济区)境内运营处理个人数据的组织,也适用于EEA以外为EEA公民提供商品或服务的组织,以及监控欧盟公民行为的组织。
1 直接管辖区域
EEA由欧盟28国,再加上冰岛、挪威、列支敦士登(位于瑞士和奥地利之间,面积160.5平方公里),共31个成员国构成。
欧盟,即欧洲联盟,总部位于比利时首都布鲁塞尔,目前有28个成员国,以英文首字母排序,包括:奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国。GDPR的直接管辖区域除了欧盟之外,还包括冰岛、挪威、列支敦士登这三个国家。
备注:无论是欧盟,还是EEA,上述清单在未来均有可能发生变化,比如英国脱欧。这里,需要单独提一下瑞士,瑞士虽然位于欧洲腹地(德国、法国、意大利之间),但它既不在欧盟,也不在EEA国家名单中,并不是GDPR直接适用的国家。不过,瑞士有自己的联邦数据保护法案(Swiss Federal Data Protection Act),在GDPR发布后,该法案参考GDPR做了修订,可认为是类似GDPR的法案。
2 域外效力
向EEA公民提供商品或服务的组织,以及监控欧盟公民行为的组织。
3 域外效力的典型问题:我的网站或APP是否适用?
这是目前困惑最大的一个问题了。如果你的企业在EEA境内开展业务,GDPR自然适用。如果不在EEA开展业务,则需要看是否面向EEA内的数据主体(即自然人,包括但不限于用户、客户、商业联系人、雇员、求职者等)提供商品或服务,或监控欧盟境内的个人活动。
这里有两个非常重要的关键词:“面向”、“监控”。涉及“监控”的场景比较少,需要Case by Case来分析,这里重点需要看一下什么是“面向”(Target)。
如何理解“面向欧洲用户”呢?就是以欧洲用户为目标,或瞄准欧洲市场提供服务。
按《数据安全架构设计与实战》一书的解读,如果该APP存在如下行为(一种或多种),可能会受到GDPR影响:
- 提供的产品或服务指定向欧盟或至少一个成员国提供(比如在Google Play应用市场的德国区发布)
- 在搜索引擎中投放面向欧盟用户的营销广告
- 提及欧盟境内的专用地址或专用电话号码
- 使用欧盟或成员国的顶级域名,如“.eu”、“.de”
- 提供从一个或多个欧盟成员国出发的旅行指令
- 使用一个或多个欧盟国家特定的语言文字(比如意大利语)或货币支付(比如欧元、英镑等)
- 提供欧盟成员国内的货物交付
- 面向欧盟用户的点击付费广告
- 内容存在向欧盟用户提供服务的暗示或证据(比如使用其产品或服务的欧盟客户名称或Logo)
上述特性或其组合可能会被认定为“向欧盟境内的数据主体提供商品或服务”,从而需要遵从GDPR要求。
如果您提供的是一个不在欧盟境内运营的中文或英文版的网站,向世界各地的人们提供无差别的服务,不具备上述提到的几种特性,则基本不受GDPR影响。
不过,您的网站可能受到其它隐私法律的影响,这些法律或多或少地受GDPR影响,很可能采用了跟GDPR相近或类似的原则。