译文|欧盟 GDPR《一般数据保护法案》 编者按:2016 年 4 月 14 日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018 年 5 月 25 日正式生效。GDPR 的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。 新法案由 11 章共 99 条组成,中文译本由中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)组织翻译。 第一章 一般规定 第 1 条 主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。 2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。 第 2 条 适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。 2. 本法不适用于以下个人数据的处理: (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第 2 章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。 3. 欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第 45/2001 号条例。 根据本法第98 条,处理个人数据适用第45/2001 号条例和其他联盟法律法规的,应当符合本法的原则和规则。 4. 本法不影响2000/31 / EC指令的适用,特别是该指令第12 条至第15条中的中间服务提供商的责任规则。 第 3 条 地域范围 1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。 2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为: (a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或 (b) 是对数据主体发生在欧盟内的行为进行的监控的。 3. 本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法...
