GDPR评注学习笔记(22)--A.4定义(全)

来源:数据何规

文章摘要
‍ 考虑到定义数量比较多,为了推进更新进度,本篇一次性将定义更新完毕,只说要点,具体分析结合条文在出现时再展开。


考虑到定义数量比较多,为了推进更新进度,本篇一次性将定义更新完毕,只说要点,具体分析结合条文在出现时再展开。
1、个人数据

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

(1)“个人数据”是指与已识别或可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人;


简析:个人数据的定义是非常重要的,取决于个人数据保护相关规则是否适用。通常非个人数据会称为匿名数据,将个人信息变为非个人信息的过程被称为匿名化。尽管GDPR不适用于非个人数据,但也有其他法律规制,如:《非个人数据自由流动条例》(Regulation (EU) 2018/1807),规制各成员国立法限制非个人数据自由流动。
个人数据保护的基本目标是保护自然人隐私及相关利益,尤其是在互联网信息环境中。在欧洲,保护该等权利被视为基本权利与自由的一部分。因此,欧盟数据保护法倾向于扩大个人数据的定义范围,从而更好地实现高层次的数据保护。
2、数据处理

(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

(2)“数据处理”是指对个人数据进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、结构化、存储、改编或修改,恢复、查询、使用、传输、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作;


简析:GDPR旨在规范数据处理周期的所有或大多数阶段,包括个人数据的收集、存储、检索和传播。为此,GDPR第4条第2款提供了对“处理”的广泛定义。该定义的开放措词(“任何操作或一系列操作”)反映了立法者意图,使其技术中立,以防止规避适用的风险,并确保无论使用何种技术处理数据都会被GDPR调整。
3、处理限制

(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;

(3)“处理限制”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为;


简析:“处理限制”旨在协调数据主体与控制者的利益,在双方就是否应该更正或删除数据主体的个人数据存在分歧时。
一方面,它允许控制者在评估数据主体的请求期间保留数据。
另一方面,限制确保在控制者评估数据主体的请求期间或直到争议以其他方式解决期间,有争议的个人数据不会受到任何进一步处理(存储除外)。
4、用户画像

(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

(4)“用户画像”是指为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估或预测该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可信度、行为方式、位置或行踪而进行的处理;


简析:在制定GDPR的立法审议过程中,对于用户画像,尤其是自动化决策过程和在线追踪,给予了相当多的关注。儿童被特别指出需要在用户画像实践中获得特别保护。因此,GDPR的许多条款中都提到了用户画像,这就需要对该术语给出一个具体的定义。
5、假名化

(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

(5)“假名化”是指在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式,且该额外信息应当单独保存,并以技术与组织措施确保个人数据不能关联到某个已识别或可识别的自然人。


简析:假名化是一种通过替换数据集中的个人识别信息(例如,姓名、社会保险号、出生日期等)为另一属性(例如,随机分配的代码)来隐藏身份的过程。
将这一术语及其相关定义纳入GDPR旨在结束对“假名化数据”是否属于受欧盟数据保护规则约束的个人数据的常见误解和长期讨论:经过“假名化”的个人数据仍受GDPR规则的约束。
在法规中引入这一术语还旨在鼓励使用假名化技术作为一种手段:
(1)降低数据主体的风险,因为假名化减少了数据集与原始数据主体的关联性;以及
(2)帮助控制者和处理者履行其在GDPR下的义务,因为假名化可以促进证明遵守法规的某些要求。
6、数据存档系统

(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

(6) “数据存档系统”是指依据特定标准可进行访问的结构化的个人数据集,无论它们在功能上或在地理上是集中的、非集中的还是完全分散的;


简析:一、相关公权力机关履行法定义务收集数据时不被视为数据接收方,但是相关请求应为书面、理由充分且偶发的,不得涉及存档系统的系统对接。
二、此概念延续DPD中的定义,表明保留这一概念旨在将欧盟数据保护规则的应用限制在可以不费太大劲就能与特定个人关联的数据上,因为正是与这类数据相关的,数据保护利益的风险主要存在。保留这一概念也反映出一种关切,即防止数据保护规则在实际的、监管意义上过度扩张。
7、数据控制者

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

(7) “数据控制者”是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构;这里个人数据处理的目的和方式应由欧盟或成员国法律决定,数据控制者或其任命的具体标准也可由欧盟或成员国法律规定


简析:控制者是数据保护法实施中的关键行为者,因为他们是对数据主体承担法律规定的义务的主要承担者。因此,确定获得控制者角色的标准对于理解法律的应用至关重要。
在欧盟数据保护法下,这些标准的应用倾向于广泛且灵活,从而使获得控制者地位的门槛相当低。这反映出一种基本考量,即确保承担实施数据保护措施的责任,从而确保对数据主体的基本权利的尊重。
正如WP29所指出的,“控制者概念的首要角色是确定谁应对遵守数据保护规则负责,以及数据主体如何在实践中行使权利。换句话说:分配责任。”
8、数据处理者

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

(8)“数据处理者”:是指代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构;


简析:“处理者”,即《个保法》的个人信息受托处理者,是数据保护法运作中的主要参与者之一,因此需要具体定义。
实际上,随着GDPR赋予处理者比DPD下更广泛的义务和责任,这一角色的重要性有所增加。技术与组织发展进一步提高了处理者角色的重要性。外包安排的使用增加,特别是涉及云计算的情况,很好地说明了这一点。提供云服务的供应商通常是数据保护法意义上的处理者。
9、数据接收者

(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

(9)“数据接收者”是指作为个人数据的披露对象的自然人、法人、公共权力机关、代理机构或其他机构,而不论其是否为第三方主体;但依据欧盟或成员国法律在特定调查范围内实施数据接收行为的 公共权力机关不被视为数据接收者;公共权力机关对该部分数据的处理行为应当根据该处理行为的目的遵循可适用的数据保护规则;


简析:“接收者”这一术语的定义首次出现在DPD中,并在GDPR中基本保持不变。这主要是为了补充“第三方”的定义,并澄清可能披露数据的人员类别,因此,必须在隐私声明中提及,或者应数据主体的请求通知给数据主体。
10、第三方

(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

(10)“第三方”指数据主体、数据控制者、数据处理者以及根据数据控制者或数据处理者的直接授权而处理数据的人之外的任何自然人或法人、公共权力机关、代理机构或其他机构;


简析:GDPR保留了在DPD的第2(f)条中发现的“第三方”概念。这一概念在DPD中被引入,以便可以更清晰地区分与处理“无关”的实体和个人与接收处理数据的各种“接收者”。这种理由似乎也适用于GDPR。
11、数据主体同意

(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

(11)“数据主体同意”是指数据主体依据其个人意愿,自由、明确 、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意;


简析:个人对与其有关的数据处理表示同意,是个人自主和隐私理念的核心,尤其是当这些理念以“信息自决”为基础时。要求数据主体同意的规则还构成了数据保护法的一个一般核心原则,即数据主体影响力原则,该原则认为个人应该能够参与并对他人对其数据的处理产生一定的影响。
相关法规特别提到数据主体同意作为处理个人数据的合法基础,因为缺乏同意往往在确认这些条款中规定的权利受到干涉时扮演着关键角色——如果不是为了正当理由,这种干涉可能构成对相关权利的侵犯。
GDPR规定了数据主体同意作为处理个人数据的几种备选前提条件之一,处理特别敏感数据,完全自动化决策制定和分析,以及向第三国和国际组织转移个人数据。换句话说,数据主体同意在多种数据处理环境中都是一个问题。这就促成了GDPR第4条(11)中对其的定义。
同时,关于数据主体同意的性质和有效要求存在争议和不确定性。在这方面的争论点包括为了使同意成为“知情同意”所需的信息量、是否可以基于数据主体未对处理提出反对而推定其同意(即“被动同意”),以及“明确”同意的要求究竟意味着什么。GDPR的起草者非常清楚这些问题以及解决它们的必要性。例如,委员会在导致GDPR通过的改革过程中宣布了其“澄清和加强同意规则”的意图——这一意图也得到了议会和理事会的共享。因此,GDPR第4条(11)中对同意的定义也应该从这个意图的角度来看。
12、个人数据泄露

(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

(12)“个人数据泄露”是指破坏数据的安保措施导致转移中的、存储的或其他处理中的个人数据被意外或非法的销毁、丢失、修改、未经授权的披露或访问;


简析:GDPR定义了“个人数据泄露”,以明确哪些类型的安全事件触发了通知主管国家监管机构的义务,以及在某些情况下,通知受影响的数据主体。这一义务基于电子隐私指令(EPD)第4(3)条中规定的类似通知要求,该要求仅适用于公开提供电子通信服务的提供商(例如电话和互联网服务提供商)。
正如欧洲委员会所解释的:数据泄露通知要求背后的理由是,一方面,泄露披露要求使个人能够做出反应,从而防止可能的欺诈(或身份盗窃)案件,另一方面,为运营商提供额外的激励措施,以确保其服务和网络的适当安全水平——或者至少,在发生泄露时,面临来自受影响终端用户的投诉,或者至少面对不良公关的不利后果。
因此,数据泄露的通知被视为增强遵守数据保护规则的工具。
13、基因数据

(13) ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

(13)“基因数据”是指自然人先天继承和后天获得的有关基因 特征的数据;该数据可以提供该 自然人独特的生理或健康信息,该信息 尤其可以通过对该自然人的 生物样本进行分析而得;


简析:GDPR特别强调对这类数据的保护,因为它们能够提供深刻的个人信息,包括健康状况、种族起源、家族遗传病等。
GDPR为处理遗传数据设定了严格的条件。只有在某些特定情况下,如当事人明确同意、为了重大公共利益、或出于预防或诊断医学目的时,才允许处理遗传数据。此外,GDPR还要求数据控制者和处理者采取适当的技术和组织措施来保护数据的安全性。
通过这些规定,GDPR旨在平衡促进科学和技术进步的需求与保护个人隐私权和减少滥用风险之间的关系。
14、生物特征数据

(14) ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

(14)“生物特征数据”是指通过对自然人的身体、生理或行为特征进行特定技术处理而得的个人数据,并能够识别自然人的身份,诸如面部图像或指纹数据(dactyloscopic data);


简析:欧盟通用数据保护条例(GDPR)明确规定了生物识别数据的处理。在GDPR的最终版本中,生物识别数据被列为特殊数据类别,需遵守特定规则。初版GDPR提案中并未将生物识别数据纳入特殊数据类别,但后来在欧洲议会的坚持下,这一点发生了改变。GDPR还对生物识别数据的定义进行了微调,强调了技术处理和个人识别的要素。
15、健康数据

(15) ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

(15)“健康数据”是指与个人身体和心理健康相关的数据,包括显示自然人健康状况的医疗保健服务中的信息;


简析:自然人的健康数据(“健康数据”)传统上被视为敏感数据。这反映在长期以来用于保护医生保存的病人医疗记录的保密规则上,这些规则早于现代数据保护法的出现。健康数据的敏感性与人们普遍持有的看法有关,即这些数据揭示了我们最私密、最核心的脆弱面,并因此担心如果这些数据被广泛披露,可能导致羞耻感和不公平的歧视。从更实用的角度来看,还有人担心如果数据泄露,人们可能不会寻求医疗保健、与医疗保健提供者坦诚沟通,或愿意参与健康研究项目。
欧盟数据保护法一直将健康数据列为需要特殊保护的敏感数据。GDPR延续了这一传统。
16、主要营业场所

(16) ‘main establishment’ means:

(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

(16)“主要营业场所”:

(a)对于数据控制者在多个成员国内设有营业场所的,将其位于欧盟境内的管理中心视为主要营业场所。但是如果对于个人数据处理的目的和方式的决策是由数据控制者位于欧盟境内的另一营业场所作出,且该营业场所具有执行上述决策的权力时,将做出这类决策的营业场所视为主要营业场所;

(b)数据处理者在多个成员国内设有营业场所的,将其位于欧盟境内的管理中心视为主要营业场所;如果数据处理者在欧盟境内没有管理中心,则将其在欧盟境内以受本条例具体义务约束的处理活动为主要活动的营业场所视为其主要营业场所。


简析:GDPR第4条(16)款中“主要设立地”的定义主要旨在确定在特定跨境执法案件中,应由哪个国家的监管机构作为“主导监管机构”,这适用于在多个欧盟/欧洲经济区国家拥有设立地的控制者或处理者。
GDPR第56条将“主导监管机构”定义为负责处理某一跨境数据处理活动的主要机构,这是根据“一站式”机制来实现的。后者是一种执法方案,旨在确保在多个欧盟/欧洲经济区国家拥有设立地的控制者和处理者,或其活动在多个欧盟/欧洲经济区国家的数据主体中产生了实质性影响的,只有一个监管机构作为其唯一的跨境数据保护合规事务对话方。
这种“一站式”机制的引入是为了帮助解决由于欧盟数据保护规则在跨境实施时的不一致性而产生的法律不确定性和成本问题。这些问题通常被认为是数据保护指令(DPD)的主要缺陷之一。
“主要设立地”的概念是构建“一站式”机制的基石。事实上,如果在欧盟/欧洲经济区没有“主要设立地”(或单一设立地,其中的处理活动实质性影响或可能实质性影响多个成员国的数据主体),则该机制不适用。
鉴于上述情况,WP29指出:正确识别主要设立地符合控制者和处理者的利益,因为它明确了他们在GDPR下的各项合规职责必须处理的监管机构。这些可能包括,在相关情况下,指定一名数据保护官员或就控制者无法通过合理手段减轻风险的处理活动进行咨询。GDPR的相关条款旨在使这些合规任务可管理。
17、代表

(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;

(17)“代表”是指由数据控制者或数据处理者依照第27条的规定书面指定的,代表数据控制者或数据处理者履行本条例义务的,设立于欧盟境内的自然人或法人;


简析:GDPR第27条要求,作为一般规则,未在欧盟(或欧洲经济区)设立的控制者和处理者,如果其活动属于GDPR领土适用范围(参见GDPR第3条(2)款),则必须在欧盟(或欧洲经济区)指定一名“代表”。
如GDPR第27条(4)款所述,这种强制性指定的主要目的是为了使监管机构和数据主体能够与在欧盟/欧洲经济区设立的人员互动,从而促进与非欧盟/欧洲经济区控制者和处理者的联系。事实上,可以假设在欧盟/欧洲经济区的个人和机构通常更愿意与身边了解他们习俗并会说他们语言的人互动。
在欧盟/欧洲经济区指定代表也是增强对GDPR的合规性和促进执法的工具,因为该条例设想了被指定代表在控制者或处理者不合规的情况下可能受到执法程序的可能性。在这方面,欧洲数据保护委员会(EDPB)指出:
代表的概念正是为了确保对GDPR第3条(2)款下的控制者或处理者执行GDPR而引入的。为此,执法者打算能够像对控制者或处理者那样,对代表采取执法行动。这包括施加行政罚款和处罚的可能性,以及追究代表的责任。
18、企业

(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

(18)“企业”是指以任何组织形式从事经济活动的自然人或法人,包括持续从事经济活动的合伙企业或协会;


简析:“企业”这一术语在GDPR的英文版本中主要在两个背景下被运用:
(1)作为控制者或处理者的“微型、小型及中型企业”(简称“中小企业”)的简化要求;
(2)约束公司规则(简称“BCR”)的使用。
就前一背景而言,GDPR包含了几项旨在减轻中小企业监管负担的条款,或帮助它们履行GDPR下的义务。
就后一背景而言,GDPR建立的BCR方案涵盖了属于同一“企业集团”或“从事联合经济活动的企业集团”之间的数据传输。
如下所述,“企业”和“经营主体”(undertaking)这两个术语应被视为同义词,GDPR的大多数语言版本并不区分它们。这意味着“企业”这一术语也在特别涉及“经营主体”的背景中得到运用。如上所述,其中一个背景涉及BCR。另一个这样的背景涉及行政罚款的计算。
19、企业集团

(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;

(19)“企业集团”是指居于控制地位的控制公司和被其控制的公司 ;


简析:GDPR的许多条款在起草时考虑到了跨国公司集团(例如,关于约束公司规则和为一系列公司指定单一数据保护官的条款)。
因此,GDPR经常提到“企业集团”的概念,因此在第4条(19)款中对其进行了定义。
20、公司约束规则

(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

(20)“公司约束规则”是指为规范某一联合经济活动中的企业集团向一个或多个第三方国家的数据控制者或处理者进行一次或一系列的个人数据转移活动,在某一成员国境内设立的数据控制者或处理者所要遵守的个人数据保护政策;


简析:BCR是跨国公司为其企业集团内部个人数据的传输制定并遵循的内部规则,需得到主管监管机构的批准。因此,BCR可被视为一种企业行为守则。然而,它们的目的和性质与GDPR第40条中更传统的行为守则不同。这反映在立法者选择使用与“行为守则”不同的术语来指称它们。
BCR是在数据保护指令(DPD)下作为数据保护机构(DPA)和WP29的实践事项,基于对DPD第25条和26条的广泛解释而发展起来的,旨在促进在全球范围内运营的跨国公司集团内的数据传输。然而,诸如成员国对BCR采取的不一致方法等若干缺陷经常使公司对使用它们感到气馁。因此,欧盟立法者决定在GDPR中正式化并重组BCR的使用,作为改进欧盟管理国际数据传输程序的努力的一部分,特别是为了确保欧盟对第三国采取更统一和协调的方法。结果,GDPR的多个条款中提及了BCR,因此需要对该术语进行特定定义。
21、监管机构

(21) ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;

(21)“监管机构”是指成员国依据本条例第51条建立起的独立公共权力机构;


简析:欧洲数据保护法的一个显著特点是设立了特殊的监管机构来监督、鼓励并执行其规则的实施。在欧盟法律术语中,这些机构被称为“监管机构”。更普遍地,它们通常被称为“数据保护机构”(“DPA”)。这些机构通常被赋予广泛的权力来监控和规范公共和私营部门组织处理个人数据的行为。它们的职能包括处理投诉、提供咨询以及提升公众对数据保护事项的意识。
在欧盟法律中,独立的DPA的存在是数据保护实施的必要条件。正如数据保护指令(DPD)第62条考虑事项最初所述,GDPR第117条考虑事项重申,并由欧洲法院(CJEU)确认,“在成员国设立行使其职能时完全独立的监管机构,是保护个人在个人数据处理方面的基本组成部分”。GDPR第4条(21)款中“监管机构”的定义反映了这一特征。
22、有关监管机关

(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:

(a) the controller or processor is established on the territory of the Member State of that supervisory authority;

(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

(c) a complaint has been lodged with that supervisory authority;

(22)“有关监管机构”是指因为以下情况而作为个人数据处理行为的监管机构:

(a)数据控制者或处理者设立于监管机构所在国的境内;

(b)居住于监管机构所在国境内的数据主体实质上已经或可能受到该数据处理的影响 ;

(c)已向该监管机构提出投诉;


简析:“一站式”和“一致性”机制是GDPR引入的最重要的新颖性之一。“一站式”机制是一种执法方案,旨在确保涉及跨境处理活动的控制者和处理者受到统一监管。它围绕一个“主导监管机构”构建,该机构引领执法过程,并被授权发布最终执法决定,但必须与其他“有关监管机构”合作。
“一致性”机制旨在确保欧盟/欧洲经济区的监管机构以一致的方式解释和适用GDPR。这包括一个争端解决系统,在“一站式”机制的背景下“有关监管机构”持有不同观点时也应使用该系统。在“一致性”机制中,主要角色被赋予欧洲数据保护委员会(EDPB),该委员会被授权发布对监管机构具有约束力的决定。
在GDPR处理“一站式”和“一致性”机制的条款中提到的“有关监管机构”概念,以及其在第4条(22)款的定义,主要旨在确定应参与此类机制的监管机构。鉴于在这些机制背景下采纳的决定可能对不同欧盟/欧洲经济区国家的数据主体产生影响,因此“有关监管机构”的定义被有意地广泛起草,以尽可能确保受影响个人与相关决策过程之间的“接近度”。
23、跨境处理

(23) ‘cross-border processing’ means either:

(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or

(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

(23)“跨境处理”是指以下任一情况:

(a)数据控制者或数据处理者在多个成员国境内多个营业场所所开展的数据处理营业活动;或

(b)个人数据处理发生在位于欧盟境内的数据控制者或数据处理者的单一营业场所,但该活动实际上或可能会影响到多个成员国的数据主体;


简析:GDPR引入的“一站式”机制是其最重要的新颖性之一。这是一个旨在确保对控制者和处理者进行统一监管,并在整个欧盟范围内一致应用GDPR的执法方案。在这种机制中,主要责任被赋予“主导监管机构”,根据第56条(1)款确定,该条款规定,主导机构负责监督“跨境处理”操作。因此,如WP29所指出,“确定主导监管机构只在控制者或处理者进行跨境个人数据处理时才相关”。这就促成了在第4条(23)款中对“跨境处理”术语的定义。
第56条(1)款中提及的“跨境处理”概念及其在第4条(23)款的阐述,可能旨在确保“一站式”机制仅适用于具有显著跨国元素的处理操作。在最初的GDPR委员会提案中,该机制仅涵盖在同一控制者或处理者在多个成员国领土上设立的机构的活动背景下的处理。然而,理事会后来决定扩大其范围,也涵盖在单一成员国设立的控制者或处理者的处理,这种处理显著影响(或可能显著影响)其他成员国的数据主体。这一决定导致在第4条(23)款中加入了“跨境处理”的定义,涵盖上述两种情况。
24、关联及合理的异议

(24) ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

(24)“关联及合理的异议”是指对是否存在违反本条例的侵权行为提出异议,或在决议草案已经清楚说明会对数据主体的基本权利和自由甚至会对个人数据在欧盟境内的自由流通造成巨大风险时,对数据控制者及数据处理者所计划的活动是否遵守本条例规定而提出异议。


简析:GDPR引入的主要新颖性之一在于建立了一个执法方案——称为“一站式”机制——根据该机制,从事跨境数据处理的控制者或处理者通常将有一个单一的监管机构作为其数据保护合规事项的对话方(GDPR第56条和60条)。这意味着这样的机构——被称为主导监管机构——被赋予了关于针对控制者或处理者采取决定的主要责任,包括施加行政罚款。然而,在采取决定之前,主导机构必须允许其他“有关监管机构”对草案决定发表意见(GDPR第60条(3)款)。
在这个背景下,每一个“有关监管机构”都可以对草案决定提出“相关且有理由的异议”。如果有机构这么做,主导机构只有两个选择:
(1)遵循异议;或
(2)将问题提交给欧洲数据保护委员会(EDPB)(GDPR第60条(4)款)。
虽然这一系统试图适应各个利益相关者的利益,但它也存在一个风险,即过多地将事项提交给EDPB可能导致决定制定的积压。这是欧盟立法者在GDPR中引入“有理由且相关的异议”的定义的主要考虑,该定义旨在限制可成功对主导机构根据GDPR第60条拟采取的草案决定提出的异议的主题范围。
25、信息社会服务

(25) ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council;

(25)“信息社会服务”是指欧盟议会及理事会颁布的《制定关于技术规范信息和信息社会服务规制的提供程序的指令》[Directive(EU)2015/1535]第1条第1款(b)项所定义的服务。


简析:GDPR中包含此定义的目的可能是为了确保“信息社会服务”这一术语在使用该术语的不同欧盟部门工具中被统一解释。
该定义对于明确GDPR所规定的针对儿童个人数据处理的特定保障措施的适用范围至关重要,特别是关于:
(1)与信息社会服务相关的儿童同意的适用条件;
(2)如果儿童就提供信息社会服务而同意处理其个人数据,随后希望在互联网上移除此类个人数据,他或她可能行使的删除权。
此外,这一定义有助于理解数据主体何时可以通过自动化方式行使其反对权,正如GDPR第21条(5)款所指定的,“在使用信息社会服务的背景下”可能发生。
26、国际组织

(26) ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.

(26)“国际组织”是指受国际公法调整的组织及其附属机构,或者是由两个或两个以上国家设立或建立在他们之间的协定基础之上的其他组织。


简析:在最初的GDPR委员会提案中,并未包含“国际组织”的定义,但后来由理事会引入。这可能是因为该术语在GDPR第五章关于数据转移的条款中被广泛使用。而数据保护指令(DPD)中的相应条款仅规范了向第三国的个人数据传输,GDPR的条款则同时涵盖了向国际组织的传输,就像欧盟数据保护法规(LED)和欧盟数据保护法规(EUDPR)中的相应条款一样。这种扩展的理由根植于防止GDPR所提供的保护水平被削弱的担忧。

技术驱动法律,专业成就未来