最近，收到了一些針對(duì)歐盟通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的一些問(wèn)詢，其中還涉及到了所謂的“GDPR認(rèn)證”的問(wèn)題，感覺(jué)在對(duì)GDPR法規(guī)的理解上有不少人都與筆者存在著或多或少的差異。

所以，筆者簡(jiǎn)單地梳理了一下手頭的GDPR相關(guān)材料，稍微做了個(gè)總結(jié)，大致分成了三個(gè)主題：GDPR基礎(chǔ)簡(jiǎn)介、GDPR與汽車市場(chǎng)準(zhǔn)入、GDPR的認(rèn)證。計(jì)劃近期編輯一下留存在這里，同時(shí)也作為對(duì)于本公眾號(hào)大約兩個(gè)月的懶散態(tài)度的一種補(bǔ)償。

以下是第一個(gè)部分，主要介紹了通用數(shù)據(jù)保護(hù)法中，與個(gè)人和企業(yè)相關(guān)的且影響比較大的那些規(guī)定。最后對(duì)應(yīng)近期已經(jīng)淡去的“開(kāi)盒事件”，進(jìn)行了簡(jiǎn)要的分析。

GDPR法規(guī)是什么？

通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）是歐盟制定的、在2016年5月份生效的一項(xiàng)與個(gè)人數(shù)據(jù)處理有關(guān)的法規(guī)，法規(guī)號(hào)是Regulation (EU) 2016/679。

該法規(guī)替代了之前的指令Directive 95/46/EC，其主要目的是規(guī)范私營(yíng)企業(yè)和公共部門(mén)對(duì)于個(gè)人數(shù)據(jù)的處理活動(dòng)，以有效地保護(hù)自然人作為數(shù)據(jù)主體的正當(dāng)權(quán)利。

從指令到法規(guī)

GDPR法規(guī)是歐盟數(shù)據(jù)保護(hù)改革的結(jié)果，它適應(yīng)了社會(huì)的進(jìn)步和變革，在歐盟范圍內(nèi)統(tǒng)一了對(duì)個(gè)人數(shù)據(jù)處理活動(dòng)的規(guī)則。

GDPR法規(guī)使自然人能更好地對(duì)其個(gè)人數(shù)據(jù)進(jìn)行控制，即便這些數(shù)據(jù)被掌握在其他企業(yè)或公共部門(mén)手中。

GDPR法規(guī)建立了一個(gè)完全獨(dú)立的監(jiān)管體系，由獨(dú)立的監(jiān)管機(jī)構(gòu)負(fù)責(zé)監(jiān)督和實(shí)施。

GDPR法規(guī)與執(zhí)法過(guò)程中的自然人保護(hù)指令Directive (EU) 2016/680和官方機(jī)構(gòu)在處理個(gè)人數(shù)據(jù)時(shí)的自然人保護(hù)法規(guī)Regulation (EU) 2018/1725共同構(gòu)成了歐盟在個(gè)人（數(shù)據(jù)）保護(hù)方面的完整法律框架。

GDPR法規(guī)有哪些需要關(guān)注的要點(diǎn)？

(1)個(gè)人權(quán)利

GDPR法規(guī)強(qiáng)化了指令Directive 95/46/EC中賦予自然人的權(quán)利，同時(shí)還增加了新的權(quán)利、規(guī)定了更多的控制權(quán)。包括：

方便地訪問(wèn)自己的個(gè)人數(shù)據(jù)，為此法規(guī)要求管理者（Controller）和處理者（Processor）提供更多的有關(guān)如何處理個(gè)人數(shù)據(jù)的信息。

可移植自己的個(gè)人數(shù)據(jù)，從而使自然人能更容易地在服務(wù)提供商之間進(jìn)行選擇和切換。

刪除自己的個(gè)人數(shù)據(jù)的權(quán)利，自然人可以要求刪除個(gè)人數(shù)據(jù)以緩解未來(lái)可能發(fā)生的數(shù)據(jù)泄露或?yàn)E用風(fēng)險(xiǎn)。

有權(quán)知道個(gè)人數(shù)據(jù)被泄露的情況，在發(fā)生了嚴(yán)重的數(shù)據(jù)泄露時(shí)，相關(guān)方不僅需要通知數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)，必要時(shí)還必須通知受影響的自然人。

(2)企業(yè)規(guī)則

GDPR法規(guī)通過(guò)制定在歐盟范圍內(nèi)統(tǒng)一的規(guī)范，既有利于企業(yè)以較低的管理成本實(shí)現(xiàn)合規(guī)運(yùn)營(yíng)，也有利于企業(yè)在更大程度上獲得消費(fèi)者或客戶的信任。

GDPR法規(guī)為在歐盟運(yùn)營(yíng)的所有公司創(chuàng)造了公平的競(jìng)爭(zhēng)環(huán)境，它遵循了技術(shù)中立的原則，并且鼓勵(lì)創(chuàng)新。包括：

在歐盟范圍內(nèi)實(shí)施統(tǒng)一的數(shù)據(jù)保護(hù)規(guī)則，提高了法規(guī)的確定性，減輕了行政負(fù)擔(dān)。

要求公共部門(mén)和大規(guī)模處理個(gè)人數(shù)據(jù)或核心活動(dòng)是處理特殊類別數(shù)據(jù)的企業(yè)指定數(shù)據(jù)保護(hù)官（Data Protection Officer），對(duì)個(gè)人數(shù)據(jù)的保護(hù)負(fù)責(zé)。

提供一站式服務(wù)，企業(yè)只需與所在的歐盟成員國(guó)的監(jiān)管機(jī)構(gòu)打交道。不同成員國(guó)的監(jiān)管機(jī)構(gòu)之間，將會(huì)在歐洲數(shù)據(jù)保護(hù)管理局的框架內(nèi)進(jìn)行合作以處理跨境案件。

適用于非歐盟公司，總部位于歐盟以外的公司如果在歐盟境內(nèi)向自然人提供服務(wù)或商品時(shí)，也必須滿足相同的法規(guī)要求。

鼓勵(lì)創(chuàng)新，可以在產(chǎn)品和服務(wù)的開(kāi)發(fā)階段，通過(guò)設(shè)計(jì)和默認(rèn)保護(hù)的方法實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的保護(hù)。

改善了跨境數(shù)據(jù)傳輸?shù)暮弦?guī)方式，在將數(shù)據(jù)傳輸?shù)綒W盟以外的區(qū)域時(shí)，可通過(guò)獲得歐盟委員會(huì)決議、按照經(jīng)批準(zhǔn)的（標(biāo)準(zhǔn)）合同條款或者公司章程、行為準(zhǔn)則以及認(rèn)證等方式來(lái)保障合規(guī)運(yùn)營(yíng)。

從“開(kāi)盒事件”看GDPR法規(guī)中的角色轉(zhuǎn)換和傳遞

如果在歐盟的企業(yè)之間發(fā)生了類似于“開(kāi)盒事件”的話，那么隨著事情的發(fā)展，一個(gè)企業(yè)可能會(huì)在不同的階段扮演不同的“角色”，從而需要履行不同的義務(wù)。（注:GDPR不適用于個(gè)人行為，因此下面所述均為企業(yè)行為）

1) 從信息來(lái)源說(shuō)起

信息的來(lái)源企業(yè)A，是GDPR法規(guī)中定義的管理者(Controller)或者處理者(Processor)。

企業(yè)A管理的個(gè)人信息被企業(yè)B獲得的過(guò)程，應(yīng)滿足GDPR法規(guī)的規(guī)定。

然而，作為相對(duì)方的企業(yè)B，無(wú)論以何種方式獲得開(kāi)盒信息以及這個(gè)過(guò)程是否合規(guī)，都不是GDPR管理的范圍。

2) 信息的開(kāi)盒處理

一旦獲得了開(kāi)盒信息，企業(yè)B就成了新的管理者(Controller)。

“開(kāi)盒”是企業(yè)B對(duì)個(gè)人信息的處理活動(dòng)，應(yīng)滿足GDPR法規(guī)的規(guī)定。

3) 開(kāi)盒的影響

在“開(kāi)盒"過(guò)程中獲得個(gè)人信息的任何企業(yè)C，立刻就成為了GDPR法規(guī)中的新的管理者(Controller)。其后續(xù)的處理活動(dòng)應(yīng)滿足GDPR法規(guī)的規(guī)定。

嗯，這個(gè)結(jié)尾似乎有點(diǎn)啰嗦，但是筆者認(rèn)為還是有助于理解之后的GDPR與汽車市場(chǎng)準(zhǔn)入。因?yàn)樵谄嚿?，汽車生產(chǎn)企業(yè)并非總是有意地要去獲取這些或者那些個(gè)人信息，所以也可能會(huì)發(fā)生無(wú)意中成為Controller而不自知的情況。