GDPR (欧盟通用数据保护条例)

什么是 GDPR

GDPR (General Data Protection Regulation - EU 通用数据保护条例) 是全面规定 EU 域内个人数据保护的法律框架。2018 年 5 月 25 日生效，被认为是世界上最严格的数据保护法之一。

GDPR 的特点在于其广泛的适用范围。不仅适用于在 EU 域内设有据点的组织，还适用于向 EU 域内个人提供服务或监控 EU 域内个人行为的组织。也就是说，日本企业如果处理 EU 居民的个人数据，也受 GDPR 约束。

违规时的罚款最高可达全球年营业额的 4% 或 2000 万欧元 (取较高者)，金额极为巨大。实际案例中 Meta (原 Facebook) 被罚 12 亿欧元，Amazon 被罚 7.46 亿欧元。

GDPR 的基本原则与数据主体权利

GDPR 规定了个人数据处理的 7 项基本原则。

• 合法性、公正性和透明性：数据处理需要法律依据，且必须对数据主体透明
• 目的限制：仅为明确、合法的目的收集数据，不得超出该目的使用
• 数据最小化：仅收集目的所需的最少数据
• 准确性：保持数据准确且最新
• 存储限制：不超过目的所需期限保留数据
• 完整性和保密性：以适当的安全措施保护数据
• 问责制：能够证明遵守上述原则的体制

数据主体 (个人) 享有以下权利。

• 访问权：了解自己的数据如何被处理的权利
• 更正权：要求更正不准确数据的权利
• 删除权 (被遗忘权)：在一定条件下要求删除数据的权利
• 数据可携权：以机器可读格式接收自己的数据并转移到其他服务的权利
• 异议权：对包括画像分析在内的特定数据处理提出异议的权利

Cookie 同意横幅与 GDPR

访问 EU 网站时显示的 Cookie 同意横幅基于 GDPR (及 ePrivacy 指令) 的要求。

GDPR 要求在设置跟踪 Cookie 之前获得用户的明确同意。重要要点如下。

• 选择加入方式：默认启用 Cookie 让用户选择退出的方式不被允许。仅在用户主动同意时才能设置 Cookie
• 同意的自由：仅突出"全部同意"按钮而使拒绝变得困难的设计 (暗黑模式) 被视为违规
• 撤回同意：用户可随时撤回同意，撤回手段必须与同意同样便捷
• 必要 Cookie 的例外：网站基本功能所需的 Cookie (会话管理、购物车等) 可在未经同意的情况下设置

日本的个人信息保护法中，Cookie 本身通常不属于个人信息，但 2022 年修订将其作为"个人关联信息"加强了监管。

对日本企业的影响与应对

GDPR 具有适用于 EU 域外企业的"域外适用"条款，因此日本企业也不能置身事外。

GDPR 适用的情况

• 以日语以外的语言 (英语、法语等) 向 EU 居民提供商品或服务时
• 跟踪 EU 居民的行为时 (访问分析、广告定向等)
• 在 EU 域内设有分公司或办事处时

日本的充分性认定

日本于 2019 年获得 EU 的"充分性认定"，从 EU 向日本的个人数据转移原则上无需额外保护措施即可进行。这意味着 EU 认可日本的个人信息保护法具有与 GDPR 同等的保护水平。但基于充分性认定的转移需要遵守"补充规则"。

实务应对要点

• 完善隐私政策：制定满足 GDPR 要求的高透明度隐私政策
• Cookie 同意管理：对来自 EU 的访问显示符合 GDPR 的 Cookie 同意横幅
• 应对数据主体权利：建立能够处理访问权、删除权等请求的体制
• 实践数据最小化：将收集的数据控制在最小限度，明确规定保存期限

常见误解

GDPR 与日本企业无关

向 EU 居民提供服务或跟踪其行为的日本企业受 GDPR 约束。如果在全球范围内运营 Web 服务，有来自 EU 的访问就可能成为适用对象。

显示 Cookie 同意横幅就符合 GDPR 了

仅显示横幅是不够的。必须在用户同意前不设置跟踪 Cookie (选择加入方式)、使拒绝与同意同样便捷、保留同意记录等，满足实质性要求。

GDPR 与日本个人信息保护法的比较

相关术语