【爱恨交加谈欧盟】: （欧盟个人隐私）数据保护总则（RGPD）: 欧盟的装甲车开动了

朱元发 博士

---

2018年5月25日，欧盟保护私人数据的装甲车发动，进驻欧盟成员国内各自为政的领地，装甲车上满载的是欧盟通过颁布的一项高于成员国法律的欧盟总则 : （私人）数据保护总则 : 法文RGPD - Le Règlement général sur la protection des données ，英文 GDPR - General data protection regulation 。

温故而知新。1978年由法国制定颁布人人皆知的所谓计算机法: 《1978年1月6日关于计算机，文件与自由法》（La loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés）。该法律的主要宗旨是管制个人数据资料的自动化处理问题。在法国生活，在填写各种表格时，常常看到表格末尾用特小字体提到该法律。

1995年欧共体颁布《欧共体95/46关于保护个人数据条例》（Directive 95/46/CE sur la protection des données personnelles）。

2016年欧盟通过数据保护总则（Le règlement no 2016/679, dit règlement général sur la protection des données  - RGPD）。该法律已于2018年5月25月生效, 不用其它法律转入程序，在欧盟领土内及与欧盟居民有关的国土上即可直接实施。

是否遵守该法律？当事者走着瞧吧 : 行政罚款的上限并不低 : 一千万至二千万欧元之间，也可以是企业全球营业额的2% - 4%。更可怕是该总则规定按上限罚款。

不怕一万，只怕万一。切莫以身试法！以卵击石啊！

个人隐私数据 必须明白的若干概念和事理

风过留痕，雁过留声，人过留名。数码时代，数码资料满天飞。在铺天盖地的社交网络平台上，在职业信息处理系统中，在芸芸众生的日常生活中，使用的各种实用信息系统（银行，购物，旅游）中，我们每个人都有意的，抑或无意的，自愿的，抑或被迫地留下了个人隐私的几乎所有数据。更不用说各国政府和军情机构的超先进的窃听，截获，跟踪和分析。

“短短二十年，个人隐私数据问题已从（简单的，孤立的）文件（fichier）跨入（无处不在的）痕迹”。这是2000年时任法国著名的国家计算机与自由委员会（CNIL）主席米歇尔·让朵（Michel Gentot，1932年1月8日生）的经典总结，而众所周知，让朵先生在法国可是位颇有远见的人物 : 公法专家，高级公务员，行政法院法官，巴黎政治学院院长（1979年 - 1987年）。

大数据处理时代，我们的一切的一切都赤裸裸地暴露在满目皆是上亿的，接云阵排列的，超强的计算机自动化处理系统之中。要想人不知，除非己莫为。纸永远是包不住火的。侥幸的幻想早该荡然无存了。

然而，对欧洲人来说 : 个人隐私是神圣不可侵犯的。鉴于此，欧盟的立法者在制定《数据保护总则（RGPD）》时，充分考虑到了数据主体的同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等。该法津内容甚多，概念和条款的理解和解释绝非一般人可以驾轻就熟的。笔者在部里因工作需要也得研究研究，另外特意参加了微软的法律权威所作的专业讲座，如此这般才理出一个比较明确的头绪，区区几千字是说不清楚的。在此，笔者竭诚告诫相关者务必咨询专业人士，求万全之策，以备万一！

 

 

提纲挈领，掌握四大概念

个人性质数据的定义 :  任何走向一个立即识别或可识别的自然人（“数据主体”）的信息。该可能被识别的自然人能够被直接地或间接地识别，尤其是通过某些参照元素，诸如姓名、身份证号码、注册号码、电话号码、照片、出生日期、居住市、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

数据处理 :  指针对个人数据或个人数据集合实施任何一种操作和一系统的操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。换句话说，手工操作和处理也在《数据保护总则（RGPD）》火眼金睛的窥视之下。别以为没有传奇中的运转飞快的服务器和大型计算中心就高枕无忧了。另外，不论企业大小，只要企业里收集和处理具有个人隐私性质的数据就脱不了干系。

《数据保护总则》适用范围 : 设于欧盟领土上的企业，组织和协会等。公司与组织设于欧盟之外，但也收集和处理欧盟公民的个人隐私数据。例美国公司，日本公司和中国公司等等。

共同责任性 : 《数据保护总则》引入了共同责任性的原则 : 一方面，一个企业和组织在收集和处理个人隐私数据时，对遵守该总则具有不可推卸的法律义务，另一方面，该企业和组织的承包商（le sous-traitant）亦责无旁贷，肩负同样的法律义务。

保护个人隐私数据人人有责，数据掌握者理应循规蹈矩妥善处事

数据主体的六大权力神圣不可侵犯

《（欧盟个人隐私）数据保护总则（RGPD）》旗帜鲜明地赋予每个人保护其隐私数据的，不可异化的基本权。总则从15至20条作了明确的列举:

数据访问权 : 数据主体，即其数据被收集者有权从管理者处打听该主体的个人数据是否正在被处理。

纠正权 : 数据主体应当有权要求数据收集和控制者无不当延误地纠正有关其不准确的个人数据。

被遗忘权 : 数据主体有权要求控制者无不当延误地删除有关其的个人数据。

限制处理权  在某些情况之下，数据主体应当有权限制控制者处理（数据）。

关于纠正或删除个人数据或限制处理的通知义务 : 一般来说 ，控制者应当将个人数据进行的任何纠正、删除或者处理限制，传达给已向其披露个人数据的接收者。

反对权 : 一般情况下，数据主体有权拒绝有关其的个人数据被处理，包括根据这些规定进行概况分析。

数据乱，剪不断，理还原，审时度势高枕无忧

既然欧盟立法已赋予了数据主体六大神圣不可侵犯的权力，那么数据主体随时都可能行使其权力。

遵守欧盟法律，保护个人隐私数据， 既不能是孤陋寡闻，更不能置之惘闻。谈到数据保护，人人往往会想到身怀绝技，技术水平一流的电脑工程师，抑或说得天花乱坠，频频许诺，信誓旦旦的上门服务公司。非然也！解决数据保护的头疼问题，首先是一个组织问题，法国最权威的机构计算机与自由全国委员慎重建议脚踏实地做六件事，或者说下六步棋。要知道，做了如下六件事，至少说明态度正确（bonne foi）, 即使偶遭法律诉讼，定会从宽处理，吃官司时，才赔银子。

第一步棋 任命数据保护代表（DPO）。在企业和组织内任命一位数据保护代表（délégué à la protection des données），负责管理有关信息沟通，精通相关法律，提供专家性的管理建议，对企业与组织内部工作流程进行审计。另外，与上下左右周旋，防患于未然。

第二步棋 列出数据处理清单。老老实实地列出所有个人数据处理的清单（文后附后法国计算机与自由全国委员会推荐使用的表格，也可以在CNIL下载）。有了白字黑字的清单，就很容易估计《数据保护总则（RGPD）》对企业的影响，特别是遵守该法律的成本计算。古言云 :知己知彼，百战不殆。

第三步棋 决定轻重缓急之事。数据乱，剪不断，理还乱。决定轻重缓急乃为上策。

第四步棋 注意风险管理。所有的聪明且资深的项目管理者时时刻刻，昼昼夜夜都有幽灵缠绕 : 风险管理。若一旦发现个人数据的收集与处理有损于个人的权力和自由，务必分析研究令人头疼，但必须面对的问题 : 一旦诉讼上门，经济损失是否惨重？

第五步棋 组织内部操作工艺 。在企业和组织内保证长期的稳定可靠的数据保护措施，唯一有效的方法是制定操作工艺，否则后患无穷。

第六步棋 编撰备忘录。口说无凭，有字据为证。表明企业与组织遵守《数据保护总则（RGPD）》的法律依据是数据保护备忘录。该备忘录应该审时度势更新，存档。找上门的法官是要看的。

近两年来，号称对付《数据保护总则（RGPD）》的各种灵丹妙方在网上铺天盖地，鱼目混珠者居多。最省事，可靠的办法就是访问计算机与自由全国委员会的网站CNIL。

---

结论 : 切莫以卵击石，以身试法

本文题为《（欧盟个人隐私）数据保护总则（RGPD）: 欧盟的装甲车开动了》，为什么说势如破竹的装甲车开动了？绝非时下流行的耸人听闻的，妓院拉客式的标题党捆绑有点好奇心读者的流氓搞法。

欧盟起草颁布的，凌驾于欧盟成员国之上的（法律）总规五花八门，成千上万，弄懂其来龙去脉，每个条款的深刻法律含义和实用细则绝非是芸芸众生的力所能及之事。因此，芸芸众生常常嗤之以鼻，置若罔闻，似乎不了了之。但是〖欧盟〗数据保护总规则与众不同，切莫以卵击石，道理有四 :

A.个人隐私与个人数据保护是欧洲极其敏感的话题。这不仅是一个文化问题，而且是一个基本的人权问题。

B. 在欧洲，特别是在法国，一方面，捍卫人权的各种协会多如牛毛，协会里的理想主义者为理想向来义无反顾，奋勇向前，欲借人道事业出更大名，无偿打官司的专业律师团挺胸拍背，跃跃欲试，大有与天斗，与人斗其乐无穷之势。另一方面，在实施《〖欧盟〗数据保护总规（RGPD）中，允许集体诉讼（action de groupe, Class Action），受害者与愤怒者一起相互勉励，互相撑腰，定会闹得天翻地覆慨而慷！

C. 不怕一万，只怕万一。众所周知，法国有三分一的法律虽然已在《政府公报》颁布生效，但无法具体实施，因为缺少实施细则（décret d'application）。然而，一旦某条法律实施细则出台了，那么执行法律的具体权力就掌握在法官手里了，一旦有了诉讼立案，法官就必须审判，否则就是法官自己吃官司了。大骂法官厚此薄彼，铁面无私解决不了问题。到头来倒霉的是自己。

D. 欧盟的立法者为了显示《〖欧盟个人隐私〗数据保护总则（RGPD）的威慑力量，将经济罚款限额幅度设置得超高 : 一千万至二千万欧元之间，也可以是企业全球营业额的2% - 4%。总则规定按上限罚款。钱永远是让人遵守法律的最有效的法官。

小心驶得万年船！切莫被《〖欧盟〗数据保护总规（RGPD）装甲车的履带碾得粉身碎骨！

******

 

*******

EXEMPLE DE REGISTRE de CNIL

Registre des activités de traitement de [Nom de l’organisme]

Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE)	Ex : NOM prénom du responsable légal Adresse CP VILLE Téléphone Adresse de messagerie
Nom et coordonnées du délégué à la protection des données (si vous avez désigné un DPO)	Ex : NOM prénom du DPO Société (si DPO externe) Adresse CP VILLE Téléphone Adresse de messagerie

Activités de l’organisme impliquant le traitement de données personnelles

Listez ici les activités pour lesquelles vous traitez des données personnelles.

Activités	Désignation des activités (exemples)
Activité 1	Gestion de la paie
Activité 2	Gestion des prospects
Activité 3	Gestion des fournisseurs
Activité 4	Vente en ligne
Activité 5	Sécurisation des locaux
Activité 6
Activité 7
Activité 8
Activité 9

Vous devrez créer et tenir à jour une fiche de registre par activité. Le modèle de fiche de registre est disponible sur la page suivante.

***********

Fiche de registre de l’activité 1
(Reprise de l’activité 1 de la liste des activités)

Date de création de la fiche
Date de dernière mise à jour de la fiche
Nom du responsable conjoint du traitement (dans le cas où la responsabilité de ce traitement de donnée est partagée avec un autre organisme)
Nom du logiciel ou de l’application (si pertinent)

 

Objectifs poursuivis

Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Exemple : pour une activité « formation des personnels » : suivi des demandes de formation et des périodes de formation effectuées, organisation des sessions et évaluation des connaissances

....................................................................................................................................................................................

....................................................................................................................................................................................

...................................................................................................................................................................................

Catégories de personnes concernées

Listez les différents types de personnes dont vous collectez ou utilisez les données.
Exemples : salariés, usagers, clients, prospects, bénéficiaires, etc.

1. ..............................................................................................  2.  .............................................................................

3. ............................................................................................... 4.  .............................................................................

 

Catégories de données collectées
Listez les différentes données traitées

Etat-civil, identité, données d'identification, images (nom, prénom, adresse, photographie, date et lieu de naissance, etc.)

..........................................................................................................................................................................................
Vie personnelle (habitudes de vie, situation familiale, etc.)

..........................................................................................................................................................................................

 

Vie professionnelle (CV, situation professionnelles, scolarité, formation, distinctions, diplômes, etc.)

............................................................................................................................................................................................

Informations d’ordre économique et financier (revenus, situation financière, données bancaires, etc.)

...........................................................................................................................................................................................

Données de connexion (adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d'horodatage, etc.)
………………………………………………………………………………………………………………………………..……
Données de localisation (déplacements, données GPS, GSM, …)
………………………………………………………………………………………………………………………………..……
Internet (cookies, traceurs, données de navigation, mesures d’audience, …)
………………………………………………………………………………………………………………………………..……
Autres catégories de données (précisez) :
………………………………………………………………………………………………………………………………..……
………………………………………………………………………………………………………………………………..……
………………………………………………………………………………………………………………………………..……

Des données sensibles sont-elles traitées ?

La collecte de certaines données, particulièrement sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l'origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d'identification national unique (NIR ou numéro de sécurité sociale).

Oui                                                                                Non

Si oui, lesquelles ? : ………….………………………………………………………………………..…………………..

 

Durées de conservation des catégories de données

Combien de temps conservez-vous ces informations ?

.………………….…………………………. jours                                mois                                           ans

Autre durée

 

Si vous ne pouvez pas indiquer une durée chiffrée, précisez les critères utilisés pour déterminer le délai d’effacement (par exemple, 3 ans à compter de la fin de la relation contractuelle).
…………………………………………..………………………..………………………..………………..……………………………..
…………………………………………..………………………..………………………..………………..……………………………..
…………………………………………..………………………..………………………..………………..……………………………..
Si les catégories de données ne sont pas soumises aux mêmes durées de conservation, ces différentes durées doivent apparaître dans le registre.

Catégories de destinataires des données

Destinataires internes
(exemples : entité ou service, catégories de personnes habilitées, direction informatique, etc.)

1. …………………………………………………………… 2. .……………………………………………………….

3 …………………………………………………………… 4. .……………………………………………………….
Organismes externes
(Exemples : filiales, partenaires, etc.)
1. …………………………………………………………… 2. .……………………………………………………….

3 …………………………………………………………… 4. .……………………………………………………….
Sous-traitants
(Exemples : hébergeurs, prestataires et maintenance informatiques, etc.)

1. …………………………………………………………… 2. .……………………………………………………….

3 …………………………………………………………… 4. .……………………………………………………….

 

Transferts des données hors UE

Des données personnelles sont-elles transmises hors de l’Union européenne ?

Oui                                                                                                            Non

Si oui, vers quel(s) pays : ………….………………………………………………………………………..…………………..
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la CNIL.

Mesures de sécurité

Décrivez les mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent des garanties de base à prévoir et peuvent devoir être complétés.

*    Contrôle d'accès des utilisateurs
Décrivez les mesures :

……………………………………..………………………..………………………..………………..……………………………..

……………………………………..………………………..………………………..………………..……………………………..

*   Mesures de traçabilité

Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation :
……………………………………..………………………..………………………..………………..……………………………..……………………………………..………………………..………………………..………………..……………………………..
*    Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)
Décrivez les mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..

*   Sauvegarde des données
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
*   Chiffrement des données
Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
*   Contrôle des sous-traitants
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
*   Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..

……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..…………………………….

***