经过欧盟议会长达四年的讨论，欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）在2018年5月25日也就是今天生效。条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理，并对医疗健康数据的定义和处理进行明确。

条例不仅对于AI、大数据及其他数据处理进行明确规范，还多处涉及”个人数据”、“档案系统”、“基因数据”、“生物性识别数据”、“和健康相关的数据”等医疗健康相关数据，不仅给予相关定义，还提出“对于基因数据、生物性识别数据或健康相关数据的处理，成员国可以维持原有规定，或者作出新的规定，包括对处理基因数据、生物性识别数据或健康相关数据进行限定。”对于医疗健康领域数据探索充分给与包容。

隐私安全决定“数据游戏”的合法性

“GDPR关注的是作为系统输入的数据，以及作为处理结果共享数据的人。”ICAN咨询公司Can Huzmeli说，“只要你的数据处理方式在隐私方面是安全的，你就可以使用任何算法。”这种情况下，只要你有输入的合法依据，也不非法共享算法的输出，那么就是安全的。

Huzmeli也说，这确实给机器学习系统带来了额外的负担，因为它们通常使用爬虫来收集数据。但是，他们已经使用过滤器来清理数据。因此，GDPR中添加的唯一额外一项规定是在数据集结束之前过滤敏感数据。“GDPR正将必要的意识引入到生态系统中，并通过提醒公司在隐私领域承担多大的责任来引导它们。”

为提高机构和实体对于数据保护的认识和执行力度，GDPR提出公共机构或公共实体等数据控制或处理者应当委任“数据保护官”，对于体系内部数据使用进行监管和建议。“数据保护官”的职责涉及：对个人数据的收集；对个人数据进行匿名化处置；提供给公众与数据主体的信息；数据主体权利的行使...全程监督机构和实体在数据处理过程中对于数据使用的合法性。

最严惩罚力度：2000万欧元或全球营业额的4％

之所以被称为“史上最严”数据保护条例，因为GDPR规定，对违规收集个人信息、没有保障数据安全的互联网公司，最高可罚款2000万欧元或全球营业额的4％（以较高者为准）。

举例来说，亚马逊2017年的收入为1779亿美元，如果亚马逊非法收集用户数据，那么罚款2000万欧元就太少了，应该是年收入的4％，即70亿美元。百度2017年的利润是28.1亿美元，对亚马逊的罚款相当于是2.5个百度。

一般数据保护条例

第一章  一般条款

第二章  原则

第三章  数据主体的权利

第四章  控制者和处理者

第五章  将个人数据转移到第三国或国际组织

第六章  独立监管机构

第七章  合作与一致性

第八章  救济、责任与惩罚

第九章  和特定处理情形相关的条款

第十章  授权法案与实施性法案

第一章  一般条款

第1条 主要事项与目标

1．本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人  数据自由流动的规则。

2．本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据  保护的权利。

3．不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据  的自由流动进行限制或禁止。

第2条 适用范围

1．本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成  或旨在形成用户画像的非自动个人数据处理。

2．本条例不适用以下情形：

(a)欧盟法管辖之外的活动中所进行的个人数据处理；

(b)欧盟成员国为履行《欧盟基本条约》（TEU）第2章第5款所规定的活动而进行的个人数据处理；

(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理；

(d) ）有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。

3．欧盟机构、实体、办事处和规制机构所进行的个人数据处理，适用(EC)第 45/2001条例。根据本条例第98条，(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整，以符合本条例的原则和规则。

4．本条例不影响2000/31/EC指令的适用，特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。

第3条 地域范围

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第4条 定义

就本条例而言：

(1)“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。

(3)“限制处理”是指对存储的个人数据进行标记，以限制此后对该数据的处理行为。

(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。

(5)“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。

(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体；如果此类处理的方式是由欧盟或成员国的法律决定的，那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。

(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。

(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否为第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。

(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。

(11)数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。

(12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。

(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据，这些数据可以提供自然人生理或健康的独特信息，尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。

(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。

(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据，包括和卫生保健服务相关的服务。

(16)“主要营业机构”指的是：

(a)如果控制者在不止一个成员国内有多处营业机构，那么其在欧盟的管理中心所在地是主要营业机构，除非个人数据处理的目的与方式是由控制者的另一个机构决定的，并且这一机构有权实施此决定，在这种情况下，做出此类决定的机构应当被认为是主要营业机构；

(b)如果处理者在不止一个成员国内具有多处机构，那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心，那么在处理者需要遵守本条例所规定的特殊责任的前提下，其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。

(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任，代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。

(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人，包括经常进行经济活动的合伙企业或协会；

(19)“企业集团”的含义是控股企业和被控股企业；

(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者，为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者，所遵循的个人数据保护政策。

(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。

(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构：

(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的；

(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响；或者

(c)该监管机构已经收到一项申诉；

(23)“跨境处理”指的是：

(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者

(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主体具有实质性影响。

(24)“相关和合理的异议”指的是对是否存在违反本条例的情形，或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明，这种初步设想的决定会对数据主体的基本权利和自由，以及在某些情形下对欧盟的个人数据的自由流通会带来风险。

(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第1（1）条（b）点所定义的服务。

(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。

1．本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或

(b)对发生在欧洲范围内的数据主体的活动进行监控。

3．本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。

第二章  原则

第5条 个人数据处理原则

1．对于个人数据，应遵循下列规定：

(a)对涉及到数据主体的个人数据，应当以合法的、合理的和透明的方式来进行处理（“合法性、合理性和透明性”）；

(b)个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。根据第89（1）条，因为公共利益、科学或历史研究或统计目的而进一步处理数据，不视为违反初始目的（“目的限制”）；

(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的（“数据最小化”）；

(d)个人数据应当是准确的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人数据，即违反初始目的的个人数据，及时得到擦除或更正（“准确性”）；

(e)对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间；超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施。（“限期储存”）；

(f) 处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失（“数据的完整性与保密性”）。

2．控制者有责任遵守以上第1段，并且有责任对此提供证明。（“可问责性”）。

第6条 处理的合法性

1．只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理：

(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理；

(b)处理对于完成某项数据主体所参与的契约是必要的，或者在签订契约前基于数据主体的请求而进行的处理；

(c) 处理是控制商履行其法定义务所必需的；

(d)处理对于保护数据主体或另一个自然人的核心利益所必要的；

(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的；

(f)处理对于控制者或第三方所追求的正当利益是必要的，这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由，特别是儿童的优先性利益或基本权利与自由。

第1段（f）点不适用公共机构在履行其任务时的处理。

2．对于第1段（c）和（e）所规定的处理，成员国可以维持或新制定更多具体条款，以适应本条例规则的适用，成员国为了确保合法与合理处理，可以制定更为明确的规定，包括第9章所规定的其他特定的处理情形。

3．第1段（c）和（e）所规定的处理的基准应当通过如下法律进行规定：

(a)欧盟法；或者

(b)控制者所属的成员国的法律。

处理的目的应当在此法律基准上进行确定，而对于第1段（e）所规定的处理，处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款，以适应对本条例规则的适用：对控制者处理的合法性进行监控的一般条件；可以被处理的数据类型；相关数据主体；个人数据公开的目的，以及其可能被公开给的对象；目的限定；储存期限；包括第9章所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标，且应当与实现正当目的成比例。

4．若处理是出于收集个人数据以外的其他目的，如果该目的未经数据主体同意或并非是基于联盟或成员国的法律（在一个民主社会中，若要实现第23（1）条中的目的，法律是必要且合适的），那么为确保该目的与初始目相容，控制商应当考虑以下因素，但不限于以下因素：

(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性；

(b)个人数据收集时的语境，特别是数据主体与控制者之间的关系；

(c)个人数据的性质，特别是某些特定类型的个人数据是否符合第9条的规定，或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定；

(d) 数据主体计划进一步处理可能造成的结果；

(e)是否具有加密与匿名化措施等恰当保护措施；

第7条 同意的条件

1．当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。

2．如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的，请求获得同意应当完全区别于其他事项，并且应当以一种容易理解的形式，使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。

3．数据主体应当有权随时撤回其同意。在撤回之前，对于基于同意的处理，其合法性不受影响。在数据主体表达同意之前，数据主体应当被告知这点。撤回同意应当和表达同意一样简单。

4．分析同意是否是自由做出的，应当最大限度地考虑一点是：对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。

第8条 信息社会服务中适用儿童同意的条件

1．在第6（1）条（a）适用的情形下，对于为儿童直接提供信息社会服务的请求，当儿童年满16周岁，对儿童个人数据的处理是合法的。当儿童不满16周岁，只有当对儿童具有父母监护责任的主体同意或授权，此类处理才是合法的。

2．对于年满13周岁的情形，成员国的法律可以降低年龄要求。

3．控制者应当采取合理的努力，结合技术可行性，确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。

第1段不应影响成员国的一般合同法，例如关于儿童的合同有效性、形成与效力的规则。

第9条 对特殊类型个人数据的处理

1．对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理。

2．如果具有如下条件之一，第1段将不适用：

(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据，但依照欧盟或成员国的法律规定，数据主体无权解除第1段中所规定的禁令的除外；

(b)处理对于控制者履行责任以及行使其特定权利是必要的，或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的；

(c)数据主体因为身体原因或法律原因而无法表达同意，但处理对于保护数据主体或另一自然人的核心利益却是必要的；

(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理，并且已经采取了恰当的保护措施；或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关，并且个人数据在未经数据主体同意前不对实体外的人公开；

(e)对数据主体已经明显公开的相关个人数据的处理；

(f)当处理对于提起、行使或辩护法律性主张必要时，或者法院在其所有的司法活动中所进行的处理；

(g)处理对实现实质性的公共利益必要的，建立在欧盟或成员国的法律基准之上、对实现目标是相称的，尊重数据保护权的核心要素，并且为数据主体的基本权利和利益提供合适和特定的保护措施；

(h)处理对于预防性医学或临床医学目的是必要的，或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律，或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的；

(i)在公共健康领域，处理是为了实现公共利益所必要的，例如，在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上，处理对于预防严重的跨境健康威胁是必要的，或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的；或者

(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的，处理采取了与其期望目的所相称的处理，尊重数据保护权的核心要素，并且对数据主体的基本权利与利益采取了合适与特定的措施。

3．根据欧盟或成员国的有权机构所制定的法律或规则而具有保守职业性秘密责任的职业主体，或者根据欧盟或成员国的有权机构所制定的法律或规则而具有保守秘密责任的自然人，可以为了第2段（h）点所规定的目的而处理第1段所规定的个人数据。

4．对于基因数据、生物性识别数据或健康相关数据的处理，成员国可以维持原有规定，或者作出新的规定，包括对处理基因数据、生物性识别数据或健康相关数据进行限定。

第10条 处理涉及犯罪定罪与违法的个人数据

处理和犯罪定罪与违法相关的个人数据，或处理第6（1）条规定的与安全措施相关的个人数据，只有如下情形才能被允许：当个人数据处理为官方机构控制，或者当欧盟或成员国的法律授权进行处理，并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪定罪的全面性登记只能由官方机构进行。

第11条 不需要识别的处理

1．如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别，控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。

2．对于第1段所规定的情形，如果控制者能够证明其不适合识别数据主体，如有可能，数据控制者应当告知数据主体。在此类情形下，除非数据主体为了行使第15至20条所规定的权利，需要提供额外信息而使得对其识别变得可能，第15至20条将不应适用。

第三章  数据主体的权利

第一部分 透明性与模式

第12条 信息、交流与模式的透明性——保证数据主体权利的行使

1．对于和个人信息处理相关的第13和第14条规定的所有信息、或者第15条至22条以及34条所规定的所有交流，控制者应当以一种简洁、透明、易懂和容易获取的形式，以清晰和平白的语言来提供；对于针对儿童的所有信息，尤其应当如此。信息应当以书面形式或其他形式提供，包括在合适的情况下通过电子方式提供。若数据主体的身份可通过其他途径得到证实，那么控制者可依主体申请以口头方式提供相关信息。

2．控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第11（2）条所规定的情形，当数据主体请求其行使第15至22条的权利，控制者不应拒绝，除非控制者能够证明其并不适宜识别数据主体。

3．在数据主体根据第15至22条的规定提出请求后，控制者应当提供信息，不应无故拖延，在任何情形下应当在收到请求后一个月内提供信息。在必要的情形下，考虑到请求的复杂性和多样性，这个期限可以再延长两个月。如果有此类延长，控制者应当在收到请求的一个月内将此类延长以及延长原因告知数据主体。当数据主体以电子形式做出请求，在可行的情况下，对信息的提供也应当以电子形式提供，除非数据主体有不同请求。

4．如果控制者没有采取相应的行动对数据主体的请求做出回应，那么应当及时告知该数据主体其在收到请求后一个月内未能采取行动的具体原因，同时可向监管机构提出申诉，寻求司法救济。

5．第13和第14条所规定的信息以及第15至22条和34条所规定的所有交流与行为都应当是免费的。当数据主体的请求明显不具备正当理由或超过必要限度，特别是当请求是重复性的时候，控制者可以：

(a)结合提供信息、交流或相应行动的行政花费，收取一定的合理费用；或者

(b)拒绝对请求作出行动。

控制者有责任证明数据主体的请求明显是毫无根据的或过分的。

6．在不影响第11条的前提下，控制者可以对第15至21条中提出要求的自然人的身份有合理怀疑，要求数据主体提供必要的额外信息以确认数据主体的身份。

7．根据第13条和14条提供给数据主体的信息可以和标准化的图标一起提供，以便于数据主体以一种一目了然的、易懂的和清晰的方式对计划的数据处理有全盘理解。当图标以电子化的方式提供，它们必须是机器可读的。

8．对于确定图标所提供的信息以及提供标准化图标的程序，欧盟理事会将有权根据第92条制定授权行动。

第二部分 信息与对个人数据的访问

第13条 收集数据主体个人数据时应当提供的信息

1．当收集和数据主体相关的个人数据时，控制者应当为数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)数据保护官的详细联系方式，如果适用的话；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)当处理是基于（f）点或第6（1）条的时候，控制者或第三方的正当利益；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实，或者，在第46或47条或者第49（1）条的第二小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息：

(a)个人数据将被储存的期限，以及确定此期限的标准；

(b)数据主体所拥有的权利：可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理的权利；数据携带权；

(c)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(d)向监管机构进行申诉的权利；

(e)提供个人数据是一项制定法还是合同法的要求，是否对于缔结一项契约是必要的，数据主体是否有责任提供个人数据，以及没有提供此类数据会造成的可能后果。

(f)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

3．若控制者进一步处理个人信息的目的与收集个人信息的目的不一致，那么，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2段所规定的相关进一步信息。

4．在数据主体已经拥有信息的情况下，第1，2，3段不应当适用。

第14条 未获得数据主体个人数据的情形下，应当提供的信息

1．当个人数据还没有从数据主体那里收集，控制者应当向数据主体提供如下信息：

(a)控制者的身份与详细联系方式，以及如果适用的话，控制者的代表；

(b)如果适用的话，数据保护官的详细联系方式；

(c)处理将要涉及到的个人数据的目的，以及处理的法律基础；

(d)相关个人数据的类型；

(e)个人数据的接收者或者接收者的类型，如果有的话；

(f)如果适用的话，控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定，或者，在第46或47条或者第49（1）条的第二小段所规定的转移情形中，所采取的适当保障措施的参考资料、获取它们备份的方式，或者在那里可以获取它们。

2．除了第1段所规定的信息，控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息：

(a)个人数据将被储存的期限，或者如果不可能的话，用来确定此期限的标准；

(b)当处理是根据第6（1）条（f）点而进行的，控制者或第三方所追求的正当利益；

(c)数据主体存在如下权利，可以要求控制者提供对个人数据的访问、更正或擦除，或者限制或反对相关处理，数据携带权；

(d)当处理是根据第6（1）条或第9（2）条的（a）点而进行的，数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利；

(e)向监管机构进行申诉的权利；

(f)个人数据的来源，以及如果适用的话，其来源是否可以是公开性的资源；

(g)存在自动化的决策，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

3．控制者应当按如下方式提供第1段和第2段所规定的信息：

(a)应当在获得个人数据后的一段合理期限内提供信息，如果考虑到个人数据处理的特定情形，应当至少在一个月以内；

(b)如果个人数据是被用来和数据主体进行沟通的，最晚应当在其和数据主体进行第一次沟通时提供信息；

(c)如果个人数据将被计划披露给另一个接收者，那么最晚应当在个人数据被第一次披露时提供信息。

4．当控制者因为与收集个人信息时不一致的目的进一步处理个人信息，控制者应当在进一步处理之前向数据主体提供此类目的的信息，以及提供第2段所规定的相关进一步信息。

5．在如下情形中，第1至4段不适用：

(a)数据主体已经拥有信息；

(b)此类信息的提供是不可能的，或者说需要付出某种不相称的工作，在如下情形中尤其不适用：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89（1）条所规定的合理技术与组织措施；或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中，控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益，包括使得信息可以公开获取；

(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律，并且已经对保护数据主体的正当利益制定了恰当的措施；

(d)当个人数据必须保密，必须遵守欧盟或成员国法律所规定的职业秘密责任，包括制定法上的保守秘密责任。

第15条 数据主体的访问权

1．数据主体应当有权从控制者那里得知，关于其的个人数据是否正在被处理，如果正在被处理的话，其应当有权访问个人数据和获知如下信息：

(a)处理的目的；

(b)相关个人数据的类型；

(c)个人数据已经被或将被披露给接收者或接收者的类型，特别是当接收者属于第三国或国际组织时；

(d)在可能的情形下，个人数据将被储存的预期期限，或者如果不可能的话，确定此期限的标准；

(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利；

(f)向监管机构进行申诉的权利；

(g)当个人数据不是从数据主体那里收集的，关于来源的任何信息；

(h)存在自动化的决策，包括第22（1）和（4）条所规定的数据分析，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。

2．当个人数据被转移到第三国或一个国际组织，数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。

3．控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份，控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求，且除非数据主体有其他请求，信息应当以通常使用的电子形式提供。

4．获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。

第三部分 更正与擦除

第16条 更正权

数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下，数据主体应当有权完善不充分的个人数据，包括通过提供额外声明的方式来进行完善。

第17条 擦除权（“被遗忘权”）

1．数据主体有权要求控制者擦除关于其个人数据的权利，当具有如下情形之一时，控制者有责任及时擦除个人数据：

(a)个人数据对于实现其被收集或处理的相关目的不再必要；

(b)处理是根据第6（1）条（a）点，或者第9（2）条（a）点而进行的，并且没有处理的其他法律根据，数据主体撤回在此类处理中的同意；

(c)数据主体反对根据第21（1）条进行的处理，并且没有压倒性的正当理由可以进行处理，或者数据主体反对根据第21（2）条进行的处理；

(d)已经存在非法的个人数据处理；

(e)为了履行欧盟或成员国法律为控制者所设定的法律责任，个人数据需要被擦除；

(f)已经收集了第8（1）条所规定的和提供信息社会服务相关的个人人数据。

2．当控制者已经公开个人数据，并且负有第1段所规定的擦除个人数据的责任，控制者应当考虑可行技术与执行成本，采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们，数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。

3．当处理对于如下目的是必要的，第1和第2段将不适用：

(a)为了行使表达自由和信息自由的权利；

(b)控制者执行或者为了执行基于公共利益的某项任务，或者基于被授予的官方权威而履行某项任务，欧盟或成员国的法律要求进行处理，以便履行其法律职责；

(c)为了实现公共健康领域符合第9（2）条（h）和（i）点以及第9（3）条的公共利益而进行的处理；

(d)如果第1段所提到权利会受严重影响，或者会彻底阻碍实现第89(1)条的公共利益目的、科学或历史研究目的或统计目的；或者

(e)为了提起、行使或辩护法律性主张。

第18条 限制处理权

1．当存在如下情形之一时，数据主体有权要求控制者对处理进行限制：

(a)数据主体对个人数据的准确性有争议，并给与控制者以一定的期限以核实个人数据的准确性；

(b)处理是非法的，并且数据主体反对擦除个人数据，要求对使用其个人数据进行限制；

(c)控制者不再需要个人数据以实现其处理的目的，但数据主体为了提起、行使或辩护法律性主张而需要该个人数据；

(d)数据主体根据第21（1）条的规定而反对处理，因其需要确定控制者的正当理由是否优先于数据主体的正当理由。

2．当处理受第1段的规定所限制，除了储存的情形，此类个人数据只有在如下情形中才能进行处理：获取了数据主体的同意，或者为了提起、行使或辩护法律性主张，或者为了保护另一个自然人或法人的权利，或者为了欧盟或某个成员国的重要公共利益。

3．那些根据第1段规定已经获取了对处理进行限制的数据主体，在限制被解除前，控制者应当告知数据主体。

第19条 关于更正或擦除或限制处理中的通知责任

对于所有根据第16、17（1）、18条而限制或擦除个人数据，或限制处理个人数据，控制者都应当将其告知个人数据已经被披露给的每个接收者——除非此类告知是不可能的，或者需要付出不相称的工作。如果数据主体提出要求，控制者应当将关于接收者的情形告知数据主体。

第20条 数据携带权

1．当存在如下情形时，数据主体有权获得其提供给控制者的相关个人数据，且其获得个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者：

(a)处理是建立在第6（1）条（a）点或9（2）条（a）点所规定的同意，或者6（1）条所规定的合同的基础上的；

(b)处理是通过自动化方式的。

2．在行使第1段所规定的携带权时，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。

3．行使第1段所规定的权利，不能影响第17条的规定。对于控制者为了公共利益，或者为了行使其被授权的官方权威而进行的必要处理，这种权利不适用。

4．第1段所规定的权利不能对他人的权利或自由产生负面影响。

第四部分 反对的权利和自动化的个人决策

第21条 反对权

1．对于根据第6（1）条（e）或（f）点而进行的关乎数据主体的数据处理，包括根据这些条款而进行的用户画像，数据主体应当有权随时反对。此时，控制者须立即停止针对这部分个人数据的处理行为，除非控制者证明，相比数据主体的利益、权利和自由，具有压倒性的正当理由需要进行处理，或者处理是为了提起、行使或辩护法律性主张。

2．当因为直接营销目的而处理个人数据，数据主体有权随时反对为了此类营销而处理相关个人数据，包括反对和此类直接营销相关的用户画像。

3．当数据主体反对为了直接营销目的而处理，将不能为了此类目的而处理个人数据。

4．至晚在和数据主体所进行的第一次沟通中，第1段和第2段所规定的权利应当让数据主体明确知晓，且应当与其他信息区分开来，清晰地告知数据主体。

5．在适用信息社会服务的语境中，尽管存在2002/58/EC指令的规定，数据主体仍可以使用技术性条件、通过自动化方式行使反对权。

6．当个人数据是为了第89（1）条所规定的科学目的或历史研究目的或统计目的，数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理，除非处理对于实现公共利益的某项任务是必要的。

第22条 自动化的个人决策，包括用户画像

1．数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。

2．当决策存在如下情形时，第1段不适用：

(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；

(b)当决策是欧盟或成员国的法律所授权的，控制者是决策的主体，并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益；或者

(c)当决策建立在数据主体的明确同意基础之上。

3．在第2段所规定的（a）和（c）点的情形中，数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益，以及数据主体对控制者进行人工干涉，以便表达其观点和对决策进行异议的基本权利。

4．第2段所规定的决策的基础不适用于第9（1）条所规定的特定类型的个人数据，除非符合第9（2）条（a）点或（g）点的规定，并且已经采取了保护数据主体权利、自由与正当利益的措施。

第五部分限制

第23条 限制

1．若控制者或处理者受欧盟法律或某成员国法律的调整，那么欧盟法律或该成员国法律可以通过立法手段限制第12至22条、34条以及第5条所赋予的责任范围与权利范围，只要其法律条款和第12至22条所赋予的责任与权利相对应。如果此类限制尊重基本权利与自由的核心要素，并且此类限制是实现如下民主社会中的目的所必要和成比例的措施，那么此类限制应当被允许：

(a)国家安全；

(b)国防；

(c)公共安全；

(d)预防、调查、侦查、起诉刑事违法进行或者执行刑法，包括保障公共安全和预防对公共安全的威胁；

(e)其他些欧盟或某个成员国的重要一般公共利益，特别是欧盟或某个成员国的经济或金融利益，包括财政、预算、税收事项、公共健康和社会安全；

(f)司法独立和司法诉讼的保护；

(g)为了规制性职业而预防、调查、保护和起诉违反伦理的行为；

(h)和行使（a）（b）（c）（d）（e）（g）点中所规定的官方权威相联系的某项监控、调查或规制功能；

(i)保护数据主体或其他人的权利和自由；

(j)实施民事法律主张。

2．需要特别注意的是，至少在涉及到如下情形时，任何第1段所规定的立法措施都应当包含特定条款，规定：

(a)处理的目的或处理的类型；

(b)个人数据的类型；

(c)施加限制的范围；

(d)防止滥用或非法性访问或转移的措施；

(e)控制者的具体情况或控制者类型的具体情况；

(f)在考虑了处理的性质、范围和目的或处理类型之后所制定的储存期限和可适用的保障措施；

(g)数据主体的权利和自由所面临的风险；以及

(h)数据主体获知限制的权利，除非这种权利可能影响实现限制的目的。

第四章  控制者和处理者

第一部分 一般性责任

第24条 控制者的责任

1．在考虑了处理的性质、范围、语境与目的，以及考虑了处理对自然人权利与自由所带来的不同概率和程度的风险后，控制者应当采取恰当的技术与组织措施，保证处理符合本条例规定的，并且能够证明处理符合本条例规定。必要时，这些措施应当被审查。

2．第1段所规定的措施，当和处理活动成比例时，应当包括控制者所采用的合适的数据保护政策。

3．遵守第40条所规定的已生效的行为准则，或遵守第42条规定的已生效的认证机制，这可以被用以证明控制者责任的合规性。

第25条 通过设计的数据保护和默认的数据保护

1．在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者应当在决定处理方式时和决定处理时，应当采取合适的技术与组织措施，并且在处理中整合必要的保障措施，以便符合本条例的要求和保护数据主体的权利。例如，控制者可以采取匿名化，一种设计用来实施数据保护原则——比如数据最小化原则——的措施。

2．控制者有责任采取适当的技术与组织措施，以保障在默认情况下，只有某个特定处理目的所必要的个人数据被处理。这种责任适用于收集的个人数据的数量、处理的限度，储存的期限以及可访问性。尤其需要注意的是，此类措施必须确保，在默认情况下，如果没有个体介入，个人数据不能为不特定数量的自然人所访问。

3．根据第42条的某种已生效的认证机制，可以被用来证明本条第1段和第2段所规定的合规要求。

第26条 共同控制者

1．当两个或更多控制者联合确定处理的目的与方法，它们就是共同控制者。它们应当以一种透明的方式确定遵守本条例责任的相应责任，尤其当其涉及到行使数据主体个人权利，以及涉及控制者为数据主体——根据他们的合约安排——提供第13条和第14条所规定的信息的相应责任，除非欧盟或成员国的法律已经对对控制者施加了相应责任。

2．第1段所规定的合约安排应当恰当地反映相对于数据主体的共同控制者的相应角色和相互关系。数据主体应当可以知晓安排的实质。

3．不论第1段所规定的合约安排的条款如何，数据主体都可以向任一控制者主张其本条例所赋予的权利。

第27条 不在欧盟所设立的控制者或处理者的代表

1．在第3（2）条适用的情形下，控制者或处理者应当以书面形式在欧盟委任一名代表。

2．此项责任不应当适用于：

(a)除了第9（1）条所规定的特定类型数据的大规模处理，或者第10条所规定的和刑事定罪或违法相关的个人数据处理之外的偶尔性处理，以及考虑到处理的性质、语境、范围和目的，不太可能对自然人的权利与自由带来风险的处理；或者

(b)公共机构或实体。

3．为数据主体提供相关商品或服务，或者监控数据主体的行为，数据主体的所在国之一应当设立代表。

4．为了确保对本条例的遵守，对于所有涉及到处理的事项，控制者或处理者应当做出强制性规定，确保其代表能在控制者或处理者之外收到信息，或者替代控制者或处理者收到信息，对于监管机构和数据主体所要求的事项尤其如此。

5．控制者或处理者委任代表，不能影响控制者或处理者进行的法律行动。

第28条 处理者

1．处理者代表控制者进行处理，控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。

2．如果没有控制者之前的特别授权或一般书面授权，处理者不应聘用另一个处理者。在具有一般书面授权的情形下，对于涉及到补充或替换其他处理者的变动，处理者都应当告知控制者，以便使控制者有机会反对此类变化。

3．处理者的处理应当受某类合同或其他欧盟法与成员国法的约束，这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。此类合同或法律尤其应当对如下情形做出规定：

(a)只有在收到控制者的书面指示时才可以处理个人数据，在涉及到将个人数据转移到第三国或某个国际组织的事项中亦是如此，除非欧盟法或成员国法对处理者有要求；在这种情形下，处理者应当在处理之前将法律要求告知控制者，除非告知会影响重要的公共利益；

(b)对于被授权处理个人数据的人，确保其履行保密义务或法律上的适当保密责任；

(c)采取第32条所要求的所有措施；

(d)尊重第2段和第4段规定的聘用另一个处理者的条件；

(e)结合处理的性质，在可能的情形下，通过合适的技术与组织手段帮助控制者履行其责任，以便使得数据主体能够行使其第三章所规定的权利；

(f)结合处理的性质和处理者所能得到的信息，帮助控制者履行第32至36条所规定的责任；

(g)基于控制者的选择，在提供和处理相关的服务结束后，将个人数据删除或返还给控制者，并且删除已有备份，除非欧盟或成员国的法律要求储存个人数据；

(h)给控制者提供所有能够证明其已经遵循本条款规定责任的信息，以及有利于控制者或控制者委任的审计员进行审计和核查的信息。

关于第1段（h）点，如果处理者认为某项指示违反了本条例或其它欧盟或成员国的数据保护条款，其应当立即告知控制者。

4．当处理者代表控制者为了进行特定的处理活动而应聘另一处理者，第3段所规定的控制者和处理者之间的合同或其它法律条款所规定的数据保护责任应当通过合同或欧盟或成员国的法律条款而同等适用于另一处理者，尤其是应当采取充分的保障措施、恰当的技术与组织手段以满足本条例的要求。当另一个处理者无法完成其数据保护职责时，对其责任，处理者应当完全负担。

5．处理者遵守第40条所规定的已生效的行为准则，或者遵守第42条所规定的已生效的验证机制，这可以被作为证据之一，证明处理者已经采取了本条款第1段和第4段所规定的充分保障。

6．在不影响控制者和处理者之间的单独合同的前提下，第3段和第4段所规定的合同或法律条款可以全部或部分运用本条第7段和第8段所规定的格式合同条款，包括它们何时属于根据第42条和第43条规定的赋予给控制者或处理者的验证机制。

7．欧盟委员会可以对于本条第3段和第4段所规定的事项，根据第93（2）条所规定的检查程序而制定格式合同条款。

8．监管机构可以对本条第3段和第4段所规定的事项，根据第63条所规定的一致性机制而制定格式合同条款。

9．第3段和第4段所规定的合同或法律条款必须是书面的，包括以电子形式做出的书面记录。

10．在不影响第82、83、84条的情形下，如果某个处理者因为确定处理目的与方法方而违反了本条例，处理者应当在此次处理中被视为控制者。

第29条 代表控制者或处理者进行的处理

对个人数据有访问权的处理者或控制者、处理者的代表人，未经控制者允许，不得处理该个人数据。欧盟法律或成员国法律另有规定的除外。

第30条 处理活动的记录

1．每个控制者——以及如果有的话——每个控制者的代表，都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息：

(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式；

(b)处理的目的；

(c)对数据主体的类型以及个人数据的类型的描述；

(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型；

(e)如果适用的话，将个人数据转移到第三国或国际组织的记录，包括识别此第三国或国际组织的记录，以及在第49（1）条第二分段所提到转移的情形中，对适当保障措施的记录；

(f)如果适用的话，擦除不同种数据类型的预计期限；

(g)如果适用的话，对第32（1）条所规定的技术性与组织性安全措施的一般性描述。

2．每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录，包含如下信