### 欧盟《一般数据保护条例》GDPR核心知识点详解
#### 一、概述
**欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)**是一部旨在保护欧盟公民个人数据和隐私权的重要法规,于2018年5月25日正式生效。GDPR对全球范围内涉及欧盟公民个人数据的企业和个人都具有约束力,其覆盖范围之广、规定之严格,在全球数据保护领域中具有里程碑意义。
#### 二、主要事项与目标
1. **个人数据保护**:GDPR的主要目标之一是保护自然人的基本权利与自由,特别是个人数据保护的权利。它旨在确保个人数据的处理过程中,自然人的隐私得到充分保护。
2. **个人数据自由流动**:该条例还旨在促进欧盟内部个人数据的自由流动,不得因数据保护目的而限制或禁止这种流动。
#### 三、适用范围
1. **全自动与非自动处理**:GDPR适用于所有类型的个人数据处理,包括但不限于全自动处理、半自动处理以及用于创建用户画像的非自动处理。
2. **例外情况**:
- 欧盟法管辖之外的活动。
- 成员国为履行《欧盟基本条约》第2章第5款规定的活动。
- 自然人在纯粹个人或家庭活动中进行的个人数据处理。
- 主管部门为预防、调查、侦查、起诉刑事犯罪等活动而进行的个人数据处理。
#### 四、地域范围
1. **欧盟内部设立的实体**:如果数据控制者或处理者在欧盟内部设立,则无论数据处理行为是否在欧盟内进行,均适用GDPR。
2. **向欧盟提供商品或服务**:即使数据控制者或处理者不在欧盟设立,只要其活动涉及向欧盟内的数据主体提供商品或服务,或监控数据主体的活动,同样适用GDPR。
3. **国际公法成员国**:对于在欧盟之外设立但基于国际公法成员国的法律对其有管辖权的数据控制者,GDPR同样适用。
#### 五、关键定义
1. **个人数据**:指任何与已识别或可识别的自然人相关的个人信息。
2. **处理**:指对个人数据进行的任何操作,如收集、记录、组织、存储等。
3. **限制处理**:指对存储的个人数据进行标记,以限制其后续处理。
4. **用户画像**:指为了评估自然人的某些条件而对个人数据进行的自动化处理,如评估其工作表现、经济状况等。
5. **匿名化**:指通过对个人数据进行处理,使其无法与特定的自然人相联系。
6. **档案系统**:指按照特定标准组织的、可访问的个人数据的结构化集合。
7. **控制者**:指决定个人数据处理目的和方式的自然人或法人。
8. **处理者**:指为控制者处理个人数据的自然人或法人。
9. **接收者**:指接收个人数据的自然人、法人等实体。
#### 六、总结
GDPR是一项全面的法规,旨在通过规范个人数据处理过程中的各种行为,实现对个人数据的有效保护。其规定了广泛的适用范围、严格的地域限制以及明确的个人数据定义,为企业和个人提供了清晰的操作指南。同时,GDPR强调了数据主体的权利,包括获取、更正、删除个人数据等权利,并对违规行为设定了严厉的惩罚措施。在全球范围内,GDPR被视为数据保护的黄金标准,对其他国家和地区的数据保护立法产生了深远的影响。
