歐盟GDPR(又稱《通用數據保護條例》)的出臺,使得數據保護特別是個人數據保護的規則有了明確的依據。在其第一章中,一般條款規定了歐盟GDPR的主要事項與目標、該條例的適用範圍、地域範圍以及該條例所涉及的專業名詞的應有定義。可以說,一般條款對整個歐盟GDPR的適用具有綱領性作用。因此,在對歐盟GDPR的解讀中,首先必須對一般條款的內容予以明晰。
一、 歐盟GDPR一般條款之主要事項與目標
在對歐盟GDPR的解讀中,首先必須明確該條例的主要事項與目標,以確定該條例所解決的問題。一般條款的第一條明確指出,該條例所制定的規則,針對的是關於處理個人數據中對自然人進行的保護,以及個人數據的自由流動問題。可見,歐盟GDPR作為數據保護條例,其聚焦的重點為自然人個人的數據,其對數據的態度也是從保護出發,明確保護自然人的基本權利與自由,儘可能達到對自然人的個人數據形成完整的保護。同時,歐盟GDPR明確不得以任何理由,包括保護處理個人數據在內為理由,對其內部的個人數據自由流動進行任何限制。可見,在個人數據保護及自由流動問題上,歐盟GDP秉持十分明確的保護態度。
二、 歐盟GDPR一般條款之適用範圍
歐盟GDPR對該條例的適用事項作出了明確規定,也即該條例並非適用於一切與個人數據相關的問題。其適用範圍可具化為以下幾個問題:全自動個人數據處理、半自動個人數據處理、形成或旨在形成用戶畫像的非自動個人數據處理。同時,該條例對其所不適用的問題也進行了列舉式的說明,具體包括歐盟法律管轄之外的事項、為履行TEU(《歐盟基本條約》)而進行的活動以及純粹個人或者家庭活動中涉及的個人數據處理、處理社會公共安全以及歐盟各機構依法進行的個人數據處理等。同時,歐盟GDPR還對其與其他指令相互衝突時應如何適用作出約定,提供了十分明晰的範圍指導。
三、 歐盟GDPR一般條款之地域範圍
根據條例規定,歐盟GDPR適用於一切在歐盟內部設立的數據處理活動,不考慮其實際上的處理行為是否在歐盟內部進行。同時,對於事實上與歐盟相關,但數據控制者或處理者不在歐盟境內的情形,歐盟GDPR也明確了對其進行管轄的態度,採用列舉的方式將特定情形予以明確。可見,歐盟GDPR在個人數據處理問題上,整體圍繞歐盟自身出發,但同時任何實際上可能與歐盟內部產生聯繫的行為,均可能在其管轄範圍之內,必須遵守歐盟GDPR對於個人數據處理及自由流動問題的法律規定。
四、 歐盟GDPR一般條款之定義
在歐盟GDPR中,涉及大量與數據有關的專有名詞,而對類似“個人數據”這類詞彙的解釋,在一定程度上劃定了該條例的適用對象。因此,歐盟GDPR在一般條款中,對該條例涉及的主要詞語均進行了嚴格的解釋,以使得該條例在實際運用時能夠保證最大的清晰度,也更符合該條例的制定目的。歐盟GDPR將“個人數據”定義為能夠識別自然人的關鍵信息,將包括收集、記錄、更改、檢索在內的一系列活動納入“處理”的界定範圍。同時也對包括“限制處理”、“用戶畫像”、“匿名化”、“檔案系統”等諸多在個人數據處理及自由流動過程中可能涉及的詞彙作出了權威性解讀,使得其在具體的情形認定中更為高效便捷。
歐盟GDPR的出臺,再次對個人信息數據問題進行了嚴密的規制,更好地保護了個人信息的私密性及使用的合理性。同時,該條例的施行對於我國與歐盟日益頻繁的商貿往來以及信息交流同樣有重要影響,相關主體必須在掌握歐盟GDPR的基礎上,更好地處理與歐盟內部就個人信息問題達成的合作。
嚴正聲明:本文章內容為佑碧艾商務諮詢(上海)有限公司(以下簡稱LEB)原創作品,LEB對該作品享有全部著作權。歡迎轉發,如需以任何形式轉載請註明作品出處及標註作者(LEB)署名,違者將承擔相應法律責任。特此聲明。
閱讀更多 LEB企業法務智庫 的文章
