歐盟《一般數據保護條例》GDPR（漢英對照）

歐盟的《一般數據保護條例》（General Data Protection Regulation, GDPR）則是在數據保護方面的另一重要立法。這部條例是在歐盟之前的立法基礎上（尤其是1995年的《數據保護指令》及相關成員國國內法）歷經4年多的協商和辯論後於2016年4月27日通過，並於2018年5月25日正式生效。超過兩年的準備期也從一個側面說明了GDPR本身的重要性和對相關方可能造成的影響。

GDPR創設和引入了若干重要性的理念，值得數據保護領域的相關方認真研究和應對。比如：

1.強化對數據主體的保護。GDPR要求數據主體的同意必須是具體的、清晰的，而且是在充分知情的前提下自由作出的。如果是涉及兒童的個人數據，必須獲得其父母或者其他監護人的同意。更重要的是，數據主體可以隨時撤回同意，數據控制者應為此提供便利。雖然GDPR允許在特定場合數據控制者出於其合法利益可以處理數據，但是必須證明其合法利益顯著高於個人權利和自由。此外，數據主體還明確擁有了知情權、反對權、被遺忘權以及數據可攜權。

2.數據控制者和處理者的義務。對於數據控制者，GDPR要求符合條件的控制者必須設立數據保護專員（Data Protection Officer）或者指定代表負責數據保護事宜。在設計產品和服務時必須嵌入數據保護（Compliance by Design和Compliance by Default）。對個人數據要採取安全保障措施，包括數據的假名化；對於高風險的數據處理活動，要進行數據保護影響評估和事先協商；在發生數據泄露時，要及時通知監管機構等。

3.監管。在監管方面，GDPR試圖統一監管機構，允許企業主營業機構所在地的監管機構實行一站式監管，減輕了跨國數據流動時企業的合規負擔。但同時，對於違反GDPR相關規定的處理行為，該條例設定了巨額的處罰措施。對於沒有取得用戶同意等行為，處罰高達2000萬歐元或者企業上一年度全球營業收入的4%（以較高者為準）。

對於中國企業來講，尤其要注意的是GDPR的適用範圍。一方面，對於中國企業在歐洲設立或者收購而成的子公司，無論其數據處理活動是否在歐盟境內，均需遵守GDPR。另一方面，如果中國企業為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息，或者為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息，也要受GDPR的管轄。因此，對於已經在歐盟進行戰略布局或者擬將業務網路拓展到歐盟的中國企業（尤其是銀行、電子商務、網際網路、IT企業和軟硬體生產商）來講，必須重視GDPR的合規，否則將會遭受重大的財務和聲譽上的損失。

瑞栢律師事務所長期從事跨國業務，有自己專門的法律專業團隊，為了向中國企業和政府機關提供更為精準的歐盟《一般數據保護條例》翻譯文本，特組織翻譯編寫了此書。本書收錄了歐盟《一般數據保護條例》的中英文全文（包括鑒於條款和正文），採取漢英對照的方式，不僅有利於讀者查詢對照，而且還能讓讀者接觸到法律英語的精準表達。

瑞栢律師事務所是獨立的中國律師事務所，也是普華永道全球網路的成員機構，致力於為客戶提供綜合性的解決方案與高品質的法律服務，覆蓋中國內地、亞洲及全球。我們與覆蓋地域廣的普華永道全球法律服務網路緊密聯繫，3,500多名律師團隊在90多個國家與地區提供專業服務，涵蓋亞太區12個國家與地區的20個辦公地點。

一般數據保護條例（立法法令）

鑒於條款 

第一章 一般規定 

第1條 主題與目標 

第2條 適用範圍 

第3條 地域範圍 

第4條 定義 

第二章 原則 

第5條 與個人數據處理相關的原則 

第6條 處理的合法性 

第7條 同意的要件 

第8條 關於信息社會服務相關的兒童同意的條件 

第9條 特殊種類的個人數據處理 

第10條 有關刑事定罪和犯罪的個人數據的處理 

第11條 無須識別個人數據的處理 

第三章 數據主體的權利 

第一節 信息透明度及其形式 

第12條 與數據主體行使其權利相關的透明信息、交流及其形式 

第二節 個人數據信息和獲取 

第13條 收集信息時應向數據主體告知的信息 

第14條 並非從數據主體處獲取個人數據時應向數據主體告知的信息 

第15條 數據主體的數據訪問權 

第三節 糾正權和刪除權 

第16條 糾正權 

第17條 刪除權（被遺忘權） 

第18條 限制處理權 

第19條 關於糾正或刪除個人數據或限制處理的通知義務 

第20條 個人數據的移植權 

第四節 拒絕權和自主決定權 

第21條 拒絕權 

第22條 自動化個人決定，包括數據畫像 

第五節 限制 

第23條 限制 

第四章 控制者和處理者 

第一節 一般義務 

第24條 控制者的義務 

第25條 自設計開始和默認的數據保護 

第26條 聯合控制者 

第27條 設立在歐盟之外的控制者或處理者的代表 

第28條 處理者 

第29條 在控制者或處理者的授權下處理 

第30條 處理活動的記錄 

第31條 和監管機構的合作 

第二節 個人數據的安全性 

第32條 處理過程的安全性 

第33條 向監管機構通知個人數據泄露 

第34條 就個人數據泄露與數據主體交流 

第三節 數據保護影響評估和事先諮詢 

第35條 數據保護影響評估 

第36條 事先諮詢 

第四節 數據保護專員 

第37條 任命數據保護專員 

第38條 數據保護專員的地位 

第39條 數據保護專員的職責 

第五節 行為準則和認證 

第40條 行為準則 

第41條 對已批准行為準則的監督 

第42條 認證 

第43條 認證機構 

第五章 向第三國或國際組織傳輸個人數據 

第44條 傳輸的一般原則 

第45條 基於充分性決議傳輸數據 

第46條 須採取適當保障的傳輸 

第47條 約束性企業規則 

第48條 歐盟法律未授權的傳輸或披露 

第49條 特定情形下的豁免 

第50條 個人數據保護的國際合作 

第六章 獨立監管機構 

第一節 獨立地位 

第51條 監管機構 

第52條 獨立性 

第53條 監管機構成員的一般條件 

第54條 監管機構設立規則 

第二節 管轄許可權、職責和權力 

第55條 管轄許可權 

第56條 主監管機構的管轄許可權 

第57條 職責 

第58條 權力 

第59條 活動報告 

第七章 合作和一致性 

第一節 合作 

第60條 主監管機構與其他有關監管機構之間的合作 

第61條 互助 

第62條 監管機構的聯合操作 

第二節 一致性 

第63條 一致性機制 

第64條 歐洲數據保護委員會的意見 

第65條 歐洲數據保護委員會的爭議解決 

第66條 緊急程式 

第67條 信息交流 

第三節 歐洲數據保護委員會 

第68條 歐洲數據保護委員會 

第69條 獨立性 

第70條 歐洲數據保護委員會的職責 

第71條 報告 

第72條 程式 

第73條 主席 

第74條 主席的職責 

第75條 秘書處 

第76條 保密 

第八章 救濟、責任和罰則 

第77條 向監管機構申訴的權利 

第78條 針對監管機構獲得有效司法救濟的權利 

第79條 針對控制者或處理者獲得有效司法救濟的權利 

第80條 數據主體的代表 

第81條 訴訟中止 

第82條 享有賠償的權利和責任 

第83條 處以行政罰款的一般條件 

第84條 罰則 

第九章 關於特定處理情形的規定 

第85條 處理與言論和信息自由 

第86條 處理和公眾獲得官方檔案的權利 

第87條 身份證號碼的處理 

第88條 雇用情境下的處理 

第89條 與為公共利益進行檔案管理、為科學、歷史研究或統計目的而處理個人信息相關的保障和豁免 

第90條 保密義務 

第91條 現有教會和宗教協會的數據保護規定 

第十章 授權法案和執行法案 

第92條 授權的行使 

第93條 歐盟委員會程式 

第十一章 終章 

第94條 廢止95/46/EC號指令 

第95條 與2002/58/EC號令的關係 

第96條 與先前訂立協定的關係 

第97條 歐盟委員會的報告 

第98條 審閱歐盟其他關於數據保護的法律行為 

第99條 生效和適用 

General Data Protection Regulation (Legislative acts)

Whereas 

CHAPTER I General provisions 

Article 1 Subject-matter and objectives 

Article 2 Material scope 

Article 3 Territorial scope 

Article 4 Definitions 

CHAPTER II Principles 

Article 5 Principles relating to processing of personal data 

Article 6 Lawfulness of processing 

Article 7 Conditions for consent 

Article 8 Conditions applicable to child's consent in relation to information society services 

Article 9 Processing of special categories of personal data 

Article 10 Processing of personal data relating to criminal convictions and offences 

Article 11 Processing which does not require identification 

CHAPTER III Rights of the data subject 

Section 1 Transparency and modalities 

Article 12 Transparent information, communication and modalities for the exercise of the rights of the data Subject 

Section 2 Information and access to personal data 

Article 13 Information to be provided where personal data are collected from the data subject

Article 14 Information to be provided where personal data have not been obtained from the data subject 

Article 15 Right of access by the data subject 

Section 3 Rectification and erasure 

Article 16 Right to rectification 

Article 17 Right to erasure (‘right to be forgotten’) 

Article 18 Right to restriction of processing 

Article 19 Notification obligation regarding rectification or erasure of personal data or restriction of Processing 

Article 20 Right to data portability 

Section 4 Right to object and automated individual decision-making 

Article 21 Right to object 

Article 22 Automated individual decision-making, including profiling 

Section 5 Restrictions 

Article 23 Restrictions 

CHAPTER IV Controller and processor 

Section 1 General obligations 

Article 24 Responsibility of the controller 

Article 25 Data protection by design and by default 

Article 26 Joint controllers 

Article 27 Representatives of controllers or processors not established in the Union 

Article 28 Processor 

Article 29 Processing under the authority of the controller or processor 

Article 30 Records of processing activities 

Article 31 Cooperation with the supervisory authority 

Section 2 Security of personal data 

Article 32 Security of processing 

Article 33 Notification of a personal data breach to the supervisory authority 

Article 34 Communication of a personal data breach to the data subject 

Section 3 Data protection impact assessment and prior consultation 

Article 35 Data protection impact assessment 

Article 36 Prior consultation 

Section 4 Data protection officer 

Article 37 Designation of the data protection officer 

Article 38 Position of the data protection officer 

Article 39 Tasks of the data protection officer 

Section 5 Codes of conduct and certification 

Article 40 Codes of conduct 

Article 41 Monitoring of approved codes of conduct 

Article 42 Certification 

Article 43 Certification bodies 

CHAPTER V Transfers of personal data to third countries or international organisations 

Article 44 General principle for transfers 

Article 45 Transfers on the basis of an adequacy decision 

Article 46 Transfers subject to appropriate safeguards 

Article 47 Binding corporate rules 

Article 48 Transfers or disclosures not authorised by Union law 

Article 49 Derogations for specific situations 

Article 50 International cooperation for the protection of personal data 

CHAPTER VI Independent supervisory authorities 

Section 1 Independent status 

Article 51 Supervisory authority 

Article 52 Independence 

Article 53 General conditions for the members of the supervisory authority 

Article 54 Rules on the establishment of the supervisory authority 

Section 2 Competence, tasks and powers 

Article 55 Competence 

Article 56 Competence of the lead supervisory authority 

Article 57 Tasks 

Article 58 Powers 

Article 59 Activity reports 

CHAPTER VII Cooperation and consistency 

Section 1 Cooperation 

Article 60 Cooperation between the lead supervisory authority and the other supervisory authorities concerned 

Article 61 Mutual assistance 

Article 62 Joint operations of supervisory authorities 

Section 2 Consistency 

Article 63 Consistency mechanism 

Article 64 Opinion of the Board 

Article 65 Dispute resolution by the Board 

Article 66 Urgency procedure 

Article 67 Exchange of information 

Section 3 European data protection board 

Article 68 European Data Protection Board 

Article 69 Independence 

Article 70 Tasks of the Board 

Article 71 Reports 

Article 72 Procedure 

Article 73 Chair 

Article 74 Tasks of the Chair 

Article 75 Secretariat 

Article 76 Confidentiality 

CHAPTER VIII Remedies, liability and penalties 

Article 77 Right to lodge a complaint with a supervisory authority 

Article 78 Right to an effective judicial remedy against a supervisory authority 

Article 79 Right to an effective judicial remedy against a controller or processor 

Article 80 Representation of data subjects 

Article 81 Suspension of proceedings 

Article 82 Right to compensation and liability 

Article 83 General conditions for imposing administrative fines 

Article 84 Penalties 

CHAPTER IX Provisions relating to specific processing situations 

Article 85 Processing and freedom of expression and information 

Article 86 Processing and public access to official documents 

Article 87 Processing of the national identification number 

Article 88 Processing in the context of employment 

Article 89 Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes 

Article 90 Obligations of secrecy 

Article 91 Existing data protection rules of churches and religious associations 

CHAPTER X Delegated acts and implementing acts 

Article 92 Exercise of the delegation 

Article 93 Committee procedure 