通过易捷航空（EasyJet）数据泄露事件重温...

正如前文所述，GDPR具有一定的域外适用效力，GDPR适用于在EEA内设立的数据控制者和数据处理者对于个人数据的处理。同时，如果数据控制者和数据处理者设立于EEA外，但其在向位于EEA内的数据主体提供商品或服务、或监控位于EEA内的数据主体的行为时处理了该数据主体的个人数据，那么GDPR也同样适用。

GDPR的保护对象为数据主体，即已识别的或可识别的自然人。GDPR旨在赋予数据主体相关权利并为其提供相关保护。相关权利包括知情权（即数据主体有权得知其个人信息被收集及使用）、删除权（即数据主体有权要求个人数据被删除）以及信息获取权（即数据主体有权获取其个人数据及其他相关信息）等。

GDPR仅适用于个人数据，其并不适用于除自然人外的任何其他法律实体的数据。个人数据是一个非常宽泛的概念，包括了任何与数据主体相关的信息，例如：

姓名

身份证件编号

定位信息

网络身份识别信息

其他任何有关个人身份的信息

除了上述个人数据之外，GDPR还适用于“特殊种类”的个人数据（以下简称“特殊数据”），例如涉及到数据主体的种族、民族、政治倾向、宗教信仰、基因信息、生物信息和健康方面的数据。如果企业需要处理任何特殊数据，那么除了需要建立数据处理的合法基础外（详见下文），还需要确保GDPR规定的额外条件得以满足，常见的额外条件包括取得数据主体的明示同意。

广义地说，GDPR下责任与义务的承担主体为任何位于EEA内的，或在满足一定条件时位于EEA外的，处理个人数据的自然人或法人。

如果要明确企业是否处理个人数据，企业需要充分了解企业对个人数据所实施的任何单一或一系列的行为。GDPR中列举了一些属于数据处理的行为，其中甚至包括对个人数据进行储存、限制及销毁等行为。

如果根据GDPR的规定企业确实涉及到处理个人数据的，那么企业所负的义务将取决于企业在处理个人数据过程中所扮演的角色。如果企业可以决定个人数据处理的目的和方法，那么其将被归类为“数据控制者”。而如果企业仅代表数据控制者来处理个人数据，那么企业则被归类为“数据处理者”。如果企业在代表数据控制者处理个人数据的同时，又可以自主决定个人数据处理的目的和方法，则企业很可能既是“数据控制者”也是“数据处理者”。

一旦企业明确了其在处理个人数据过程中所扮演的角色及其所负的相应义务后，企业应当考虑如何建立并实施GDPR合规制度。

在简要介绍企业应如何建立GDPR合规制度之前，需要注意的是，无论企业是数据控制者还是数据处理者，均须遵守以下GDPR中的数据保护原则。

(1) 合法、公正和透明原则 – 即个人数据的处理必须合法、公正和透明。

(2) 目的限制原则 – 即个人数据收集的目的必须明确且合法，且个人数据的使用必须与该目的保持一致。

(3) 数据最小化原则 – 即个人数据必须充分且有相关性并限制在数据处理目的所必需的范围内。

(4) 准确性原则 – 即个人数据必须准确且及时更新。

(5) 存储限制原则 – 即个人数据的存储期限不得长于实现其处理目的所必需的时间。

(6) 完整性和保密性原则 –即个人数据必须通过安全的方式被处理，包括防止个人数据被未经授权地处理或非法地处理以及个人数据被意外丢失、破坏及损毁等。

(7) 问责制度原则 – 即数据控制者既要遵守上述原则，又要能够证明其行为符合上述原则。

遵守上述原则不仅可以确保企业GDPR合规，还可能降低企业受到ICO高额罚款[1]的风险。

如上文所述，根据GDPR，处理个人数据必须合法。因此企业在处理个人数据时，必须满足下列至少一项法定要求：

(1) 数据主体的“同意”；

(2) 为达成数据控制者或第三方所寻求的合法利益所必要；

(3) 为履行数据主体作为合同一方的合同所必要；

(4) 为履行数据控制者的法定义务所必要；

(5) 为保护某一自然人（包括数据主体）的重大利益所必要；以及

(6) 为了实现公共利益而执行任务或履行数据控制者的公职所必要 。

一直以来，数据主体的“同意”是企业在处理个人数据时依据的主要法定要求。但自GDPR生效以来，其大幅度地提高了“同意”标准的门槛，使达到GDPR项下“同意”的标准更加困难。很多企业已经不再将数据主体的“同意”作为其处理个人数据时所依据的默认合法基础，转而寻找其他可依据的法定要求。

即便企业能够基于“同意”这一法定要求来处理个人数据，其还需注意“同意”必须明确并有针对性，且是经数据主体在充分知情的情况下自由作出。此外，数据主体表示其“同意”的行为必须明确且主动，例如勾选相关选项或者点击相关链接。

根据GDPR，当数据控制者收集个人数据时，数据控制者需要告知数据主体其个人数据将会被如何处理，以符合GDPR所要求的合法、公平及透明的原则。

因此，当作为数据控制者的企业在收集个人数据时，应当向数据主体（如企业的客户或顾客）提供其个人数据将被如何处理的相关信息。通常企业会通过一份简洁易懂且易于获取的“隐私声明”提供相关信息。该隐私声明可以以书面或电子的形式提供给数据主体。

根据Privacy and Electronic Communications Regulations 2003，如果作为数据控制者的企业的网站使用了cookies[2]，除某些例外情况外，企业应当告知数据主体cookies的存在并向数据主体解释cookies存在的目的以及使用cookies的原因。一份详细的cookies政策可以帮助企业实现上述目的，但企业在数据主体的电子设备（如电脑、智能手机等）上放置cookies之前，还须获得数据主体的同意。通常，使用cookies的网站都会设计一个弹窗，当网站访问者访问网站时，窗口自动弹出，并询问访问者是否同意网站对其cookies信息的采集。网站访问者可以通过该弹窗主动表示是否同意cookies的设定。

为符合GDPR项下的“问责”原则，作为数据控制者的企业不仅要遵守GDPR，还需要进一步证明其行为符合GDPR的规定。

为满足这个条件，企业应当采取适当的技术和管理措施。常见的措施之一就是根据企业的实际情况制定并实施企业内部与GDPR相关的政策与程序。除此之外，企业可以根据实际情况自愿地设置数据保护官（Data Protection Officer）并定期对员工开展培训，使员工了解GDPR的相关内容和企业内部与GDPR相关的政策与程序从而提高企业员工的GDPR合规意识。企业可能实施的GDPR政策与程序包括（但不限于）：

(1) 提供给企业员工的隐私声明；

(2) 与数据保护相关的企业员工义务政策；

(3) 数据泄露事件处理流程；

(4) 关于数据保存与清除的政策；以及

(5) 员工作为数据主体获取其个人数据的流程。

作为责任主体，企业应当持续遵守“问责”原则，因此企业应当定期审核、调整并更新这些措施。

需要提示的是，根据GDPR的规定，“共享”数据也是“处理”数据的一种形式。在共享个人数据之前，企业至少应当考虑以下几个方面：

(1) 企业可以基于哪些法定要求与第三方共享个人数据？

(2) 企业是否已经告知了数据主体其个人数据将被共享？

(3) 企业为何需要共享个人数据?

(4) 企业将要共享何种类别的个人数据？

(5) 企业将与哪些第三方共享个人数据？

(6) 接受共享的个人数据的第三方是否在欧盟境内？

(7) 企业期待接受个人数据的第三方将会如何使用共享的个人数据？

(8) 接受个人数据的第三方是否采取了适当技术和管理措施以满足GDPR的要求？

如果企业会与第三方共享个人数据，那么企业需要明确其与该第三方在个人数据共享过程中分别扮演的角色，即明确数据控制者和/或数据处理者，因为这关系着企业与该第三方在GDPR项下的义务分配，同时也决定着哪些条款应当被包括在企业与该第三方关于个人数据共享的协议中。

此外，企业只有在满足GDPR要求的、关于数据传输的相关规定时，才能将个人数据传输至EEA之外的国家（例如中国）。如果在英企业希望将其全部数据（包括收集到的个人数据）传输至其位于中国的总部，或是希望使用位于中国的云端服务器来处理（包括存储）数据，那么企业必须在数据跨境传输前提供适当的保障，并且确保数据主体可以行使GDPR所赋予其的权利并得到救济。签订一份包含欧盟委员会（European Commission）认可的标准合同条款的合同为大多数企业选择的做法，以满足提供适当的保障的要求。

企业在处理个人数据之前，应当首先明确企业本身以及其处理个人数据的行为是否受GDPR的规制。在确认GDPR适用于该企业后，企业需要建立并落实一套切实可行的GDPR合规制度，以确保其GDPR合规。

为建立GDPR合规制度，企业首先应当根据自身开展的商业活动，分析其进行个人数据处理的目的，确定可依据的法定要求，并计划个人数据处理的方式及流程。该过程有助于该企业明确其在个人数据处理过程中所扮演的角色，以及其应当履行的GDPR项下的相关义务。

GDPR合规制度建立的基础是GDPR中的数据保护原则，企业在收集和处理数据时应始终遵循GDPR中的数据保护原则。在收集个人数据之前，企业可以通过一份“隐私声明”，充分告知数据主体其个人数据将被如何处理的相关信息。在数据处理的过程中，企业需确保数据处理行为与告知数据主体的数据处理目的相一致，同时确保数据主体的相关权利得以保护。为符合GDPR项下的“问责”原则，企业应当采取适当的技术及管理措施，在实施相关内部数据保护政策和程序的同时，还需要定期对员工进行GDPR合规培训以增强其合规意识。当企业计划将个人数据与位于EEA外的第三方共享，企业应当为数据的跨境传输提供“适当的保障”。