天哪，数据裸奔违法啦!？

我们，就像是无可遁形的透明人，在大数据时代里裸奔。

想找人给咱出口气，泱泱大国竟找不到一部数据相关的立法。倒是向来龟速的欧盟，在2016年领先全球颁布了《一般数据保护条例》。

全球首发，来探个究竟：

2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation），该条例将在欧盟官方杂志公布正式文本的两年后（2018年）生效。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护条例。

新条例将取代1995年发布的《欧盟数据保护指令》（Directive 95/46/EC），并直接适用于欧盟各成员国。它旨在加强对自然人的数据保护，并一统此前欧盟内零散的个人数据保护规则，同时降低企业的合规成本。

新条例由11章共99条组成，其中关于数据主体（data subject）的权利以及数据控制者（data controller）和数据处理者（data processor）的义务的条款特别需要企业进行深入研究，确保在条例生效前完成合规更新工作。

 

简单解读几条重要条款：

1. 处理个人数据的原则（第5条）

处理个人数据应当：

（1）合法、正当、透明；

黑客们，金盆洗手转行吧。

 

（2）处理数据的目的是有限的；

宝宝就搜一下，谁要你推荐了

（3）仅处理为达到目的的最少数据；

网购注册还要做程序题，那能顺便把对象给俺解决一下吗

 

（4）确保数据准确、时新；

（5）储存数据的期限不得长于为达到目的所需的时间；

（6）采取技术和管理措施以保护数据的安全；

当我们的数据还留存在企业平台时，企业有责任和义务给出一定的工作方法、按照一定的协议标准、相关技术人员应该按照一定的职称标准管理数据库来达到彼此的信任哦。

（7）数据控制者有责任并应能够证明其做到了以上几点。

 

2. 合法处理数据（第6条）

至少满足以下中的一项，处理数据才是合法的：

（1）数据主体同意为特定目的处理其数据；

也就是说我们拥有所创造的数据，只有通过我们的允许，企业或商家才可以对数据进行处理；

（2）处理数据是为签订或履行合同所需的；

（3）处理数据是为遵守法定义务所需的；

（4）处理数据是为了保护数据主体或其他自然人的至关重要的利益；

（5）处理数据是为了公共利益或行使政府授予的权力；

（6）处理数据是为追求数据控制者的合理利益，但不得损害数据主体的利益。

 

狗头某东你好，最近生意不错啊，年年不盈利，还能市值过亿，那都是XX用户贡献的数据价值。然而各位某东用户，你们分享到这些实实在在的收益了吗？

还不是我们这亿亿万万的傻白甜们无私地奉献出了我们的数据？可是，手里拿着我们这亿万人民的数据者给我们回报了么？年底给我们发红包了么？

 

3. 儿童个人数据的处理（第8条）

处理16岁以下的儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整，但是不得低于13岁。

那些追着产妇往家里推销婴儿用品的，喂，你们都违法啦。

 

4. 处理特别类型的个人数据（第9条）

禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。

但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

 

5. 被遗忘权（第17条）

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。

如果该数据被传递给了任何第三方（或第三方网站），数据控制者应通知该第三方删除该数据。

举个栗子就是说，我们有权要求某宝删除我们的购物数据

 

6. 可携带权（第20条）

数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。

数据可以像钱一样，想存哪里存哪里。

 

7. 个人数据泄露通知（第33、34条）

数据控制者应在72小时内向监管机构报告个人数据的泄露情况。

当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误地通知数据主体，以便数据主体及时采取措施。

 

8. 设置数据保护官（第37、38、39条）

为确保数据保护合规并处理数据保护相关事务，数据控制者和数据处理者（提供数据数据服务的机构）需设置数据保护官（data protection officer）。

 

9. 巨额罚款（第83条）

对于一般性的违法，罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%（两者中取数额大者）；对于严重的违法，罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%（两者中取数额大者）。

欧盟此次通过的《一般数据保护条例》对1995年的《欧盟数据保护指令》进行了大刀阔斧的改革：将适用的主体范围扩大到了境外的企业；增加了透明原则、最少够用原则等一般性保护原则；开创性地引入了被遗忘权、可携带权等；并且对于违规活动进行严格的处罚，全面提升了对个人数据的保护力度。此外，欧盟将设立“一站式”投诉服务，以便于消费者在欧盟内跨境投诉。

此次改革以保护公民的基本权利为理念，在提高个人数据保护标准的同时，也会增加企业的合规成本。业界也有人担心这种严格的数据保护将会阻碍对数据商业价值的开发。因此，在实践中面对纷繁复杂的情况时，需要找到其中的平衡点。

对于欧盟以外的国家，新条例无疑树立了一个高标准的个人数据保护法律模板。鉴于欧盟对于数据跨境传输的严格要求，其他国家可能需要跟上欧盟的步伐，以免在数据利用方面受到限制。

当越来越多的国家提高了对个人数据的保护力度，落后者可能会被禁闭在无限网络的狭小空间之内。