欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

主题和目标 1. 该条例规定了有关在处理个人数据方面保护自然人的规则以及有关个人数据自由流动的规则。 2. 本条例保护自然人的基本权利和自由，特别是保护个人数据的权利。 3. 个人数据在联盟内的自由流动不得因与个人数据处理方面保护自然人有关的原因而受到限制或禁止。

材质范围 1. 本条例适用于全部或部分通过自动化方式处理个人数据，以及以自动化方式以外的方式处理构成归档系统一部分或旨在构成归档系统一部分的个人数据。 2. 本法规不适用于以下个人数据的处理： (一) 进行不属于欧盟法律范围的活动； (二) 成员国在开展属于 TEU 第五章第 2 章范围内的活动时； (三) 由自然人在纯粹的个人或家庭活动过程中进行； (四) 主管当局为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚，包括防范和防止对公共安全的威胁。 3. 对于欧盟机构、机构、办公室和机构对个人数据的处理，适用第 45/2001 号法规 (EC)。第 45/2001 号法规 (EC) 和适用于此类个人数据处理的其他欧盟法律行为应根据第 98 条适应本法规的原则和规则。 4. 本法规不应影响 2000/31/EC 指令的适用，特别是该指令第 12 至 15 条中中介服务提供商的责任规则。

领土范围 1. 本条例适用于欧盟控制者或处理者机构活动中的个人数据处理，无论处理是否在欧盟境内进行。 2. 本条例适用于非欧盟境内的控制者或处理者对欧盟境内数据主体的个人数据的处理，其中处理活动涉及： (一) 向欧盟内的数据主体提供商品或服务，无论是否需要数据主体付款；或 (二) 监控他们的行为，只要他们的行为发生在联盟内。 3. 本条例适用于未在欧盟境内设立、但在根据国际公法适用成员国法律的地方设立的控制者对个人数据的处理。

定义 就本条例而言： (1) “个人数据”是指与已识别或可识别的自然人（“数据主体”）相关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，特别是通过参考诸如姓名、身份证号码、位置数据、在线标识符等标识符或该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素； (2) “处理”是指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动化方式，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁； (3) “限制处理”是指对存储的个人数据进行标记，以限制将来对其进行处理； (4) “分析”是指对个人数据进行任何形式的自动处理，包括使用个人数据来评估与自然人相关的某些个人方面，特别是分析或预测有关该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或活动的方面； (5) “假名化”是指以这样的方式处理个人数据，即在不使用附加信息的情况下，个人数据不再能够归属于特定数据主体，前提是此类附加信息单独保存，并受到技术和组织措施的约束，以确保个人数据不会归属于已识别或可识别的自然人； (6) “归档系统”是指根据特定标准可访问的任何结构化个人数据集，无论是集中式、分散式还是在功能或地理基础上分散； (7) “控制者”是指单独或与他人共同确定个人数据处理的目的和方式的自然人或法人、公共当局、机构或其他团体；如果此类处理的目的和方式由联盟或成员国法律确定，则控制者或其提名的具体标准可由联盟或成员国法律规定； (8) “处理者”是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他机构； (9) “接收者”是指向其披露个人数据的自然人或法人、公共机构、代理机构或其他机构，无论是否为第三方。但是，根据联盟或成员国法律可能在特定调查框架内接收个人数据的公共机构不应被视为接收者；这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则； (10) “第三方”是指除数据主体、控制者、处理者以及在控制者或处理者直接授权下被授权处理个人数据的人员之外的自然人或法人、公共机构、机构或团体； (11) 数据主体的“同意”是指数据主体自由给出的、具体的、知情的和明确的意愿，通过声明或明确的肯定行动，表明同意处理与其相关的个人数据； (12) “个人数据泄露”是指导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞； (13) “遗传数据”是指与自然人遗传或获得的遗传特征有关的个人数据，这些数据提供有关该自然人的生理或健康的独特信息，特别是通过对有关自然人的生物样本进行分析而产生的数据； (14) “生物识别数据”是指通过与自然人的身体、生理或行为特征相关的特定技术处理而产生的个人数据，这些数据允许或确认该自然人的唯一身份，例如面部图像或指纹数据； (15) “有关健康的数据”是指与自然人的身体或心理健康有关的个人数据，包括提供医疗保健服务，这些数据揭示了有关其健康状况的信息； (16) “主要机构”是指： (一) 对于在多个成员国设有机构的控制者，其在欧盟的中央管理机构所在地，除非关于个人数据处理的目的和方式的决定是在控制者在欧盟的另一个机构中做出的，并且后一个机构有权执行此类决定，在这种情况下，做出此类决定的机构将被视为主要机构； (二) 对于在多个成员国设有机构的处理者，其中央管理机构在欧盟的所在地，或者，如果处理者在欧盟没有中央管理机构，则在处理者机构活动范围内的主要处理活动发生地的欧盟内设立处理者，前提是处理者须遵守本条例规定的具体义务； (17) “代表”是指在联盟内设立的自然人或法人，由控制者或处理者根据第 27 条书面指定，代表控制者或处理者履行本条例规定的各自义务； (18) “企业”是指从事经济活动的自然人或法人，无论其法律形式如何，包括经常从事经济活动的合伙企业或协会； (19) “企业集团”是指控股企业及其受控企业； (20) “具有约束力的公司规则”是指在成员国境内设立的控制者或处理者在向从事联合经济活动的企业集团或企业集团内的一个或多个第三国的控制者或处理者传输或一组个人数据时遵守的个人数据保护政策； (21) “监管机构”是指成员国根据第 51 条设立的独立公共机构； (22) “有关监管机构”是指因以下原因而涉及个人数据处理的监管机构： (一) 控制者或处理者设立在该监管机构成员国境内； (二) 居住在该监管机构成员国的数据主体受到或可能受到处理的重大影响；或 (三) 已向该监管机构提出投诉； (23) “跨境处理”是指： (一) 在欧盟控制者或处理者在多个成员国设立的机构的活动中进行的个人数据处理，其中控制者或处理者设立在多个成员国；或 (二) 在欧盟境内单一控制者或处理者机构的活动范围内进行的个人数据处理，但对多个成员国的数据主体产生重大影响或可能产生重大影响。 (24) “相关且有理由的反对”是指对决定草案是否违反本条例，或与控制者或处理者有关的设想行动是否符合本条例的反对，这清楚地表明了该决定草案对数据主体的基本权利和自由以及（如适用）个人数据在欧盟内的自由流动构成的风险的重要性； (25) “信息社会服务”是指欧洲议会和理事会指令 (EU) 2015/1535 第 1(1) 条 (b) 点定义的服务（ 1 ）； (26) “国际组织”是指受国际公法管辖的组织及其附属机构，或由两个或多个国家之间的协议设立或根据协议设立的任何其他机构。