昨天学习了GDPR的立法背景,今天开始学相关条文的演变进程,类似《个保法》一审稿、二审稿与正式稿的对比。其实修改的内容也正是最能够体现立法者思路变化的内容。相当于在正式逐条学习前,先学一遍重点内容吧。
今日学习GDPR适用范围部分的条文变迁(P145-147)
1.实体适用范围(A. 2)
1.1 纯粹个人行为(A.2(2)(c))
GDPR译文:自然人实施纯粹个人或家庭活动公众处理个人数据的,不适用本条例。
《个保法》:第72条第1款 自然人因个人或者家庭事务处理个人信息的,不适用本法。
自然人处理个人信息除外适用的规定在Data Protection Directive 95/46(DPD)中也有类似规定。最初在GDPR草案中,该条款还有一个限制“without any gainful interest”,其原因是担心豁免范围过大,将网络社交行为也豁免了。另一个最终也被删去的条件是“为个人或家庭事务处理的个人数据可被不特定大多数人访问则不能豁免适用”。这体现了欧盟法院在the Lindqvist案中的观点。
《个保法》在此处与GDPR的规定完全一致。
1.2 执法行为(A.2(2)(d))
GDPR译文:有权机关为达预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的目的,包括防范或预防对公共安全的威胁,进行的个人数据处理,不适用本条例。
《个保法》:第13条第1款第(3)项 为履行法定职责所必需,可处理个人信息,不需取得个人同意。
第35条国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
先前的DPD亦未将,各国因司法内政处理个人数据的行为纳入管辖,因此成员国各国的立法并不一致。最理想状态是在GDPR层面进行统一的立法,因为大部分履行公共职能处理个人数据的行为都被GDPR所覆盖了。然而由于政治上不现实,GDPR依然对该等行为作出豁免规定。
相较之下,我国《个保法》直接对国家机关履行法定职责处理个人信息作出相关规定,更为合理。规定了何时可以豁免同意,何时豁免告知。
2.地域适用范围(A.3)
2.1 本土适用(A.3(1))
GDPR译文:本条例适用于任何在欧盟领域内所设立的数据控制者和数据处理者的个人数据处理行为,无论相关数据处理行为是否发生于欧盟域内。
《个保法》对应条款:第3条第1款 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
本条GDPR和《个保法》有很大的不同。GDPR更像是属人原则,只要你是欧盟内的自然人或者在欧盟内登记设立的机构则处理个人数据均适用GDPR。而《个保法》则是属地原则,不管你是什么人,哪国机构,只要在境内处理个人信息,就受个保法调整。
2.2 域外适用(A.3(2))
GDPR译文:本条例适用于在欧盟境内未设立机构的数据控制者或数据处理者对欧盟境内数据主体的个人数据进行的与以下事项相关的数据处理活动:
(1)向欧盟境内的数据处理主体提供商品或服务,无论数据主体是否需要支付对价;或
(2)监控数据主体的行为,只要其行为发生在欧盟领域内。
《个保法》:第3条第2款 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
提供商品或服务(“the offering of goods or services”)的表述在草案中的表述引用了欧盟法院在
Pammer中的表述为指导活动(“directing activities”,好抽象的表述)。本条内容最初在DPD中并没有,是Albrecht议员在其所作报告中强调的。
本处《个保法》和GDPR的规定几乎一致,细微差别在于《个保法》使用“分析、评估”而GDPR用了“监控”,但在实践中二者差距并不大。
GDPR评注学习笔记(2)--条文变迁(适用范围)
作者:何琛来源:数据何规

昨天学习了GDPR的立法背景,今天开始学相关条文的演变进程,类似《个保法》一审稿、二审稿与正式稿的对比。其实修改的内容也正是最能够体现立法者思路变化的内容。相当于在正式逐条学习前,先学一遍重点内容吧。