他山之石 | 欧盟GDPR之镜鉴中国个人信息安全规范

Original 周洋任雨晴中伦视界 2022-08-01

欢迎点击上方 中伦视界 关注我们

《欧盟通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）已经欧洲议会通过并将于2018年5月25日实施。届时这一条例将会在所有欧盟成员国内直接适用，取代先前的《数据保护指令》(Data Protection Directive)，成为欧盟个人信息保护的核心法律。

在我国个人信息保护领域，于2018年5月1日开始实施的GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称“《规范》”）是目前在个人信息保护方面最细致的官方文件。虽然《规范》性质上属于推荐性国家标准不具有法律强制力，但其由全国信息安全标准化技术委员会提出并归口，一定程度上反映了我国监管机关的态度，对企业合规具有指导意义。

因此，为帮助企业更好地理解和运用《规范》，我们将GDPR和《规范》及《网络安全法》（以下简称“《网安法》”）相关规定作了如下对比。由于篇幅的限制，我们仅摘取了GDPR中与个人信息保护有关的部分，省略了GDPR中与跨境传输相关的部分。通过对比可以看出，《规范》一方面借鉴了GDPR等国外立法，另一方面，《规范》基于《网安法》中与个人信息保护有关的法律框架（比如根据《网安法》的要求规定了安全事件应急预案制度[1]、申诉管理制度[2]等），并结合我国个人信息保护现状，进行了调整和创新（比如规定了“明示同意”格式和展示方式上的要求、规定了企业内部劳动关系处理的细节[3]，个人信息公开披露规则[4]等）。

以下对比栏目中，左栏灰色背景的是GDPR条文[5]，右栏为我们以GDPR为参照对《规范》的评注。

I.总则部分

A.适用范围：规定管什么？

个人数据控制者和处理者的个人数据处理活动，若该控制者或处理者（即代表控制者处理数据的主体）[6]：

1. 在欧盟，无论该处理活动是否在欧盟进行；

2. 向在欧盟的个人提供商品或服务（不论是否有偿），或者监视其在欧盟内的行为；

3. 不在欧盟内，但根据国际公法适用欧盟成员国法律（例如欧盟成员国的使馆或领事馆）。

《规范》规定适用于信息处理活动，也适用于监管机构、评估机构的监管和评估[7]，但未写明是否有域外效力。

B.“个人信息”是指哪些信息？

“个人信息”指与可识别的或者已经识别的自然人有关的任何信息。

可识别的自然人指可以直接或间接识别的自然人，特别是通过识别标志，比如姓名、证件号、定位数据、在线身份识别，或者就该自然人的身体、生理、基因、精神、经济、文化或社会身份而言特定的一个或多个因素。[8]

《网安法》定义的“个人信息”，以单独或结合可以“识别”自然人个人身份为特征[9]。

《规范》定义的“个人信息”，不仅包括《网安法》定义的个人信息（即“可识别”的信息），还包括了“关联”的信息，即已识别的特定个人产生的信息，从而较《网安法》扩大了个人信息的范围。[10]不过《规范》语境下的“身份”和《网安法》一致，比GDPR下“身份”的范围狭窄很多。

II. 原则部分

A.个人信息处理的基本原则是什么？

1. 合法、公平、透明处理；

2. 目的限制——以特定、明确、正当的目的收集；

3. 数据最小化——应充分、相关且就实现处理目的而言为必要；

4.准确性——准确、必要更新；采取所有合理步骤确保不准确数据及时删除或更正；

5. 存储限制——数据以可识别主体的形式保存的时间不应超过就处理数据而言必要的时间；

6. 完整、保密——处理的时候应确保个人信息的恰当安全保证措施，包括防止未授权、非法的处理、意外丢失、毁灭、伤害，使用恰当的技术和管理措施。[11]

《网络安全法》有合法、数据最小化和完整保密原则[12]。

《规范》补充了“公开透明”[13]、目的明确原则[14]。

《规范》有具体规定反映“存储限制”，比如保存期限应为实现目的所需最短时间，超过期限后删除或匿名化处理[15]。

但《规范》没有将“准确性”作为原则。

B.在什么情况下可以合法处理个人信息？

仅在以下情况下数据处理为合法：

1. 同意——数据主体已经同意为一个或多个特定目的而处理其个人信息；

2. 合同（或签订合同的意愿）——处理是履行数据主体作为一方的合同必要的行为，或是基于数据主体在签订合同前的请求；

3. 法定义务——处理是为履行控制者的法定义务；

4. 个人重大利益——处理是为了保护数据主体或其他自然人的重大利益；

5. 公共利益或官方职权——处理是为了公共利益或履行数据控制者的官方职权；

6. 合法利益——为了数据控制者或第三方的合法利益，但数据主体的利益或基本权利、自由超越前述利益，从而应该保护个人数据的情形除外，特别是数据主体是儿童的情况下。不过这一条不适用于公共机关履行职权的情形。[16]

《网安法》规定了个人信息收集应征得收集者同意[17]。

《规范》除了同意外，还补充规定了无需征得信息主体同意的情形，大致对应了GDPR中的合同、法定义务、公共利益、官方职权等除同意外的合法性基础[18]，以及GDPR中特殊的数据处理情形[19]（如《规范》提到的新闻单位开展新闻报道、学术机构进行学术研究不需征得同意等）。

除了GDPR列出的合法性基础外，《规范》还规定了收集个人自行公开的信息也无需同意[20]。作为对比，GDPR仅规定收集处理个人自行公开的“特定种类信息”合法。

另外，《规范》还罗列了一些消极的合法性要求，比如不得欺诈、诱骗信息主体提供个人信息等等[21]。

C.基于什么样的“同意”处理个人信息是合法的？

数据主体的“同意”是指数据主体自愿作出的具体的、知情的、没有歧义的愿望表示，即通过声明或者明确的肯定性动作，表明同意处理与其相关的个人数据。[22]

如果同意以书面声明方式作出、且书面声明涉及其他事项的，则该同意应可清楚区别于其他事项，易懂易读，使用清晰日常的语言。如果该等声明的任何部分违反本规定，则该部分无效。[23]

评价同意是否自愿作出，除了其他因素外，最主要考虑的是，合同的履行（包括提供服务）是否以同意处理对于履行合同来说不是必需的个人信息为条件。[24]

数据主体可随时撤回同意。撤回不影响基于之前给出的同意进行的数据处理。撤回应和给出同意一样容易。[25]

《规范》没有定义“同意”，也未将默示同意排除在“同意”的范围外，并定义了“明示同意”[26]。

《规范》对“明示同意”仅包含形式要求，并且通过举例说明（比如主动勾选、点击同意）“肯定性动作”。《规范》没有要求“同意”是知情、自愿给出的，也没有涉及如何判断是否自愿给出。[27]

《规范》也规定了信息主体有权撤回同意和撤回的效力，但仅要求信息控制者应提供撤回同意的方式，没有要求撤回同意的方法和给出同意在难易程度上相当[28]。

D.特定种类的个人信息

1.特定种类的个人信息是指哪些信息？

1. 透露人种、种族出身，政见，宗教或哲学信仰，工会成员的信息，

2.为特定识别自然人的基因信息、生物识别信息，

3.健康信息，

4. 与性生活、性取向有关的信息。[29]

《规范》对应的规定为“个人敏感信息”，但没有穷尽列举，而是给出判断标准——“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”，范围较GDPR广，且不确定。《规范》举的例子和GDPR类似，不过《规范》将14岁以下（含）儿童的个人信息也作为了“个人敏感信息”。[30]

2.这些特定种类的个人信息是否允许处理？如果允许处理，要注意什么？

禁止处理特定种类的个人信息。但以下情形除外：

1. 不被成员国法律禁止前提下，数据主体明确同意；

2. 履行或保护数据控制者或数据主体在劳动法、社会保障法、和依法签订以保障数据主体基本权益的集体合同下的义务或权利；

3. 在数据主体实际上或法律上无法给出同意的情形下，为保护数据主体或其他自然人重大利益；

4. 基金会、协会、或其他有政治、哲学、宗教或工会目的的非营利组织处理其（前）成员或者平常有联系的个人的信息，且这些个人信息不得对外透露；

5. 处理数据主体明显公开的信息；

6. 合法诉求的成立、行使、辩护，或法庭司法权行使的必要；

7. 公共利益需要；

8. 为了预防、职业病的目的，为了评估雇员的工作能力、医疗诊断、提供医疗健康或社会福利或治疗，或管理医疗健康或社会福利系统和服务；

9. 为了公众健康领域的公共利益，例如应对严重的跨境健康威胁、保证医疗服务、药品、医疗器械的质量和安全；

10. 为公共利益、科学、历史研究或统计目的进行存档。[31]

《规范》没有禁止收集和处理个人敏感数据，但提高了“同意”的标准，大致与GDPR对“同意”的要求相同[32]：

1. 要求“明示同意”，并且补充要求同意需知情和自愿；

2. 借鉴了GDPR对“同意”中的“自愿”的判断标准，区分对待产品或服务的核心功能所需还是附加功能所需，并且规定不应以拒绝提供核心服务为要挟来要求数据主体提供附加功能需要的个人敏感信息。

除此之外，《规范》对个人敏感数据的处理没有显著额外要求，仅强调了加密、技术处理等技术保护要求，并推荐在角色权限控制的基础上，根据业务流程需求触发操作授权[33]。

III.数据主体拥有的权利

A.数据主体行使本规定中的权利，信息控制者应怎样回应？

信息控制者应当：

1. 在收到请求后立即响应数据主体的请求，无特殊情况最迟不超过1个月（需说明理由）；[34]

2. 免费提供信息；[35]

在数据主体提出的要求无法查明、超出提供范围，尤其是重复提起请求的情形下，控制者可以收取合理费用，或决绝受理数据主体的请求。[36]

数据控制者或处理者适用的欧盟或成员国法律可以限制上述权利和数据处理基本原则的范围，以及数据泄露后通知数据主体的权利义务：

1. 国家安全；

2. 防卫；

3. 公共安全；

4. 刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行，包括对公共安全威胁的防范和预防；

5. 联盟或一个成员国一般公共利益的其他重要目标，特别是联盟或成员国的重要经济或财政利益，包括货币、预算和税收等事项、公共卫生和社会保障；

6. 司法独立与司法程序的保护；

7. 违反职业道德规范的预防、调查、侦查和起诉；

8. 监督、检查或相关的监管职能，甚至偶尔行使官方权力在涉及到以上各项的情形下；

9. 对数据主体或其他人的权利与自由的保护。

10. 民事诉讼赔偿的执行。[37]

《规范》规定的响应机制基本与GDPR一致。[38]

GDPR将限制数据主体权利范围的权力交给了成员国，《规范》规定了可以不响应信息主体要求行使权利请求的情形，比如涉及公共安全、与犯罪侦查起诉相关的，涉及商业秘密的，充分证据表明个人信息主体存在主观恶意或滥用权利的，等等。不过GDPR并未规定根据“个人信息主体存在主观恶意或滥用权利”可以限制数据主体的权利或数据处理基本原则。[39]

B.数据主体有知情权，那么数据控制者应告知哪些内容？

数据控制者从数据主体处收集数据的，或者从其他来源获得信息的，应当向数据主体提供以下信息（但数据主体已经知晓的，无需重复提供[40]）：

1. 数据控制者的身份、联系方式、代表（如适用）；

2. 数据保护官的联系方式（如适用）；

3. 处理个人数据的目的、法律基础；

4. （如从数据主体处收集信息的）说明相关个人信息的类别，如基于合法利益处理数据的，说明该合法利益；

5. 接收人或者接收人的类别（如有）；

6.（如传输给第三个国家或者国际组织的）传输的事实，委员会作出的充分性决议（或缺省），或者在不是依据充分性决议，而是依据充分安保措施或约束性公司规定进行跨境传输的情况下，说明相应的充分或适当的保障措施，以及获取个人信息副本的方式或者地点。[41]

如有必要，数据控制者还需提供：

1. 个人数据保存时间，如果没有就提供确定时间的标准；

2. 查阅、更正、删除、限制处理、反对处理和数据可携权；

3. （如从其他来源获得信息的）如基于合法利益处理数据的，说明该合法利益；

如果处理是基于同意的，或者涉及特定类别信息的，告知可随时撤回同意的权利；个人信息的来源，是否公开信息（如适用）；

4. 向监管机关投诉的权利；

5. 提供个人数据是否是法定或合同约定的权利，是否是签订合同的前提，数据主体是否必须提供个人数据，如果不提供该等数据可能的后果；

6. 自动化决策的存在，包括用户画像，以及至少在自动化决策对个人产生重大法律后果或类似影响，以及自动化决策基于特定种类的信息的情形下，告知所涉及的逻辑中的有意义的信息，对数据主体而言该等处理的重要性，以及可预见的后果。[42]

从其他来源获得信息的，以下情形下无需披露上述信息：

1. 主体已经知晓的；

2. 不可能提供该等信息，或者需要不成比例的努力的，比如为公共利益、科学历史研究目的存档的；

3. 法律明确要求控制者获取或披露的；

4. 根据专业保密规定需要对该等个人信息保密的。[43]

《网安法》规定应公开收集、使用规则，明示收集、使用信息的目的、方式和范围。[44]

《规范》要求“隐私政策”涵盖的具体范围与GDPR要求的直接收集时的告知范围大致相同。[45]

在间接获取个人信息时，《规范》没有像GDPR一样规定获得个人数据的一方要告知数据主体并征得同意的义务，而是规定了发起共享、转让的一方的义务——其应当先进行个人信息安全影响评估，向数据主体告知并征得明示同意，同时承担造成损害的责任。[46]

《规范》也没有规定免于告知的情形。

C.数据主体有查阅权，可以查阅哪些内容？可以复制哪些内容？

查阅范围：

1. 个人数据处理目的；

2. 个人数据类别；

3. 个人数据已经或将要被披露的接受者或其类别，特别是第三国或国际组织的接收者；

4. 个人数据保存时间，如果没有就提供确定时间的标准；

5. 更正、删除、限制处理、反对处理权利

6. 向监管机关投诉的权利；

7. （如数据不是从数据主体处收集）关于数据来源的任何可用信息；

8. 包括用户画像，以及至少在自动化决策对个人产生重大法律后果或类似影响，以及自动化决策基于特定种类的信息的情形下，告知所涉及的逻辑中的有意义的信息，对数据主体而言该等处理的重要性，以及可预见的后果。[47]

数据控制者应提供正在处理中的个人数据的副本。[48]

《规范》下应数据主体的要求允许访问的范围远小于GDPR的范围，仅限于个人信息或类型、来源、目的、已经获得上述信息的第三方的身份或类型。[49]

不同于GDPR，《规范》规定，提供的副本仅包括个人基本资料、身份信息、健康生理资料和教育工作信息。[50]

而且，就信息主体的访问请求，《规范》规定控制者可以综合考虑后决定是否响应。[51]

D. 数据主体在哪些情形下有权要求删除已经提供的个人信息？控制者是否必须按信息主体的要求删除这些信息？

在以下情形中，数据主体有权要求、且数据控制者有义务及时删除个人信息：

1. 就收集或处理个人数据的目的而言，该个人数据不再必要；

2. （如数据处理以同意为基础的）数据主体撤回同意；

3. 数据主体反对处理，并且数据处理没有合法性依据的；

4. 数据处理不合法的；

5. 控制者为遵守欧盟或成员国法律所规定的法律义务，必须删除个人信息的；

6. 收集儿童的个人信息的。[52]

但若因以下原因必须进行数据处理，则数据控制者无需删除个人数据：

1. 行使言论和信息自由权利；

2. 为了公共利益或履行数据控制者的官方职权；

3. 为了预防、职业病的目的，为了评估雇员的工作能力、医疗诊断、提供医疗健康或社会福利福利或治疗，或管理医疗健康或社会福利系统和服务；为了公众健康领域的公共利益，例如应对严重的跨境健康威胁、保证医疗服务、药品、医疗器械的质量和安全；

4. 为了公共利益、科学或历史研究或统计目的，删除可能使得该处理的目标无法实现或严重损害其实现；

5. 为了法律索赔或应诉。[53]

如果控制者已经公开信息，且应当删除个人数据的，则采用合理步骤和成本告知正在处理数据的控制者删除链接或删除个人数据的副本。[54]

《网安法》规定个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息[55]。

《规范》只包括了《网安法》两种情形下的删除权，而对于收集没有合法性依据、个人数据不再必要、儿童个人信息的收集没有给予删除权。当然，也没有规定无需删除的例外情形。[56]

《规范》在个人信息公开情况外，额外谈及了个人信息共享、转让情况和控制者停止运营的情形下的删除义务。[57]

E.什么是数据主体的限制处理权？

在一些情形下（如数据主体质疑数据准确性，数据控制者核实准确性的期间），数据主体可要求数据控制者停止处理数据，除非征得数据主体同意、或为了重要公共利益等原因。[58]

《规范》没有规定。

F.数据主体有数据可携权，可以要求控制者直接向另一个控制者传输哪些信息？

如果数据处理的合法性是基于同意或合同的，数据主体有权从数据控制者处获取其个人数据并传输给另一个数据控制者，而且有权要求前者直接传输给后者。[59]

《规范》规定了该权利，但可携范围仅限于个人基本资料、身份信息、健康生理信息和个人教育工作信息。[60]

G.数据主体什么情况下有反对权？可以反对处理什么？

1. （如果数据处理的合法性是基于公共利益，或者官方职权的，或者控制者或第三方的合法利益）数据主体可依据其自身情况反对数据处理，包括用户画像。此时数据控制者必须停止处理，除非其有极具说服力的、高于数据主体的权益和自由的理由，或者是为了法律索赔或应诉。[61]

2. 如果数据处理为了直接向消费者营销，数据主体有权随时拒绝与此目的有关的数据处理，包括与直接营销有关的用户画像。[62]

《规范》没有提及这一类反对权。GDPR规定的第一类反对权针对的是基于公共利益等合法性基础处理信息的情形，而《网安法》规定了同意是收集个人信息的前提，不存在基于其他基础收集个人信息的情形。因此《规范》中只有撤回同意权[63]，没有另外的反对权。

《规范》中第二类反对权的范围与GDPR相比较窄，不包括拒绝与直接营销相关的用户画像的权利。[64]

H.数据主体何时可以限制或拒绝自动化决策？

数据主体有权不受限于仅依据自动处理（包括用户画像）做出且产生与其有关或会显著影响其的法律效果的决定。[65]

但以下决定除外：

1. 该决定是数据主体和数据控制者签订合同或履行合同必需的；

2. 欧盟法律或成员国法律授权作出该决定，且该等法律提供了可适用的保障数据主体权利、自由、合法利益的措施；

3. 数据主体明确同意该决定。[66]

上述例外情形不包括根据特定种类的数据作出的决定，除非数据主体明确同意，或者是重大公共利益必需的，并且设置了保障数据主体权利、自由和合法利益的恰当措施。[67]

《规范》没有要求控制者给予个人反对的权利，只要求控制者提供申诉方法，也没有区别对待个人敏感数据。[68]

IV.控制者的义务

A.什么是联合控制者？怎么分配各自的合规责任？

如果有两个及以上的控制者共同决定处理的目的和手段，则为“联合控制者”[69]。

联合控制者应通过约定来决定各自在合规中的职责，除非法律已有规定。该约定的本质应向数据主体披露。[70]

尽管有该安排，数据主体可向任何控制者行使其权利。[71]

《规范》基本同GDPR的规定，但没有提及联合控制者对数据主体承担连带责任。[72]

B.控制者委托其他人处理个人数据，需要注意什么？

未经控制者的书面事先授权，处理者不得再聘请其他处理者。[73]

处理者和控制者之间应签订合同或有其他法定行为，并且该合同需要包括保密、有处理能力等内容。[74]

《规范》未规定委托合同必备内容，但另行规定了受托者需要及时向委托者反馈，并协助委托者处理数据主体的请求，再委托需征得委托人同意，同时委托人应对受托人进行监督等。[75]

C.控制者必须记录处理活动，需要记录什么？

控制者（及其代表）应记录处理活动，包括以下内容：

1. 控制者（及联合控制者、控制者的代表、数据保护官，如有）的姓名、联系方式；

2. 处理目的；

3. 数据主体类别的描述、个人数据类别的描述；

4. 数据接收者（已经和将会向其披露的），包括在第三个国家或国际组织；

5. （如适用）向第三个国家或国际组织传输个人数据的，第三个国家或国际组织的名称，以及保障措施的文件；

6. 如可能，数据种类删除的预计时间限制；

7. 如可能，技术和组织措施的一般描述。[76]

应监管机构要求，应向监管机构披露上述记录。[77]

处理者、处理者代表也应保存所有代表控制者进行的处理活动的记录，例如处理者的姓名、联系方式、处理类别等等。[78]

但是，雇佣员工少于250人的企业或组织没有记录义务，除非数据处理活动可能给数据主体的权利和自由带来风险，处理不是偶然的，或者处理包括特定种类的数据，或者个人数据涉及刑事犯罪。[79]

《规范》未要求记录处理活动，且对记录内容的类别要求较为概括，仅要求记录委托处理、共享转让、公开披露等情况。[80]

《规范》没有提及豁免250人以下企业的记录义务的情形。

D.数据泄露后控制者应怎样通知监督机构？

在发生个人数据泄露后，控制者在知晓后的72小时内应及时通知监管机构，内容包括：

1. 个人信息泄露的本质，包括涉及的数据主体的类别和大概数量，涉及的个人信息记录的种类和大概数量；

2. 数据保护官的姓名和联系方式；

3. 描述个人数据泄露的可能后果；

4. 控制者已经或计划采取的处理泄露的措施，包括减轻可能不利影响的手段。[81]

控制者应当记录所有的个人信息泄露，包括与个人信息泄露相关的事实、影响、采取的补救措施。这些文件应能使监管机关核实合规。[82]

《网安法》规定了向有关机关报告的义务[83]。

《规范》援引了《国家网络安全事件应急预案》，同时上报范围的规定与GDPR类似，但没有72小时或者类似的时间要求。[84]

E.数据泄露后控制者应怎样通知数据主体？

如果数据泄露可能对个人权利和自由造成较高的风险，控制者应及时通知数据主体。[85]

但以下情形中不要求通知数据主体：

1. 控制者对泄露涉及的个人数据已经采取了恰当的技术和管理保护措施，而且通过加密等手段使得未经授权的主体无法读取；

2. 控制者已经采取后续措施，确保对个人权利和自由造成的风险不会发生；

3. 通知需要不成比例的付出 – 此时可公告。[86]

《网安法》规定了告知用户的义务[87]。

《规范》没有像GDPR一样区分“较高风险”和其他的风险，而是要求全部情形下都应告知受影响的信息主体，而且没有规定GDPR中的豁免情形，因此企业的告知义务较GDPR更重。[88]

F.控制者何时需进行数据保护影响评估？

在进行数据处理前，对很有可能对个人的权利和自由带来风险的数据处理，控制者应进行影响评估。[89]

在以下情况下需要进行数据保护影响评估：

1. 基于自动处理（包括用户画像）对个人的多个层面进行系统和广泛评价，且基于该评价会进行对个人产生法律效果或类似重大影响的决策；

2. 处理大量特定种类的数据，或者与刑事犯罪有关的个人数据；

3. 对公共区域进行大规模、系统性的监控。[90]

《规范》没有要求在处理前进行评估，但要求所有控制者定期开展评估。[91]

G.控制者何时需部署数据保护官？

控制者在以下情形中应任命数据保护官：

1. 公共机关或主体处理数据（但法院司法活动除外）；

2. 控制者或处理者的主要活动要求对大量数据主体进行常规和系统性的监控；

3. 控制者或处理者的主要活动是处理大量特定种类的数据，和刑事犯罪个人数据。[92]

数据保护官可是控制者或处理者的员工，也可通过服务合同提供服务。[93]

《规范》要求所有控制者都设置数据保护专员和工作机构，同时对企业规模大、主要从事数据处理，以及处理数据量大的企业，要求该专员和机构为专职。[94]

H.行为准则和认证怎么落实？有什么效力？

鼓励制定行为准则以落实本规定。[95]

行业协会等可就透明化和公平原则、合法利益、个人数据收集等内容制定行为准则范本。[96]

行业协会等主体起草的行为准则必须提交监管机关审阅通过，并公开。[97]

行为准则的合规，可由经过监管机关认证的机构来监控。[98]

鼓励认证[99]。不过认证不减少控制者的责任，也不影响监管机关的监管。[100]

《规范》仅提及应当制定相关规程，但对认证、规程的效力和落实没有提及。[101]

V.罚则：如果违反规定会有什么后果？

除了采取警告、谴责、责令响应数据主体请求、责令改正、责令通知、临时或最终禁令、责令删除、撤销认证、责令暂停跨境传输等措施外，违反下列义务的，还将另处最高不超过10,000,000欧元的行政罚款，或者企业上一财年全球营业额的2%，以两者中较高者为准：

1. 控制者和处理者适用的，处理16周岁以下个人信息、处理不需要识别个人的信息、默认和设计的数据保护、联合控制者、委托处理者、和监管机关协作、数据影响评估、数据保护官等规定；

2. 认证机构的义务；

3. 监控机构的义务。[103]

违反下列条款的，将被处以最高不超过20,000,000欧元的行政处罚，或者企业上一财年全球营业额的4%，以两者中较高者为准：

1. 处理的基本原则，处理的合法性基础，同意的条件，处理特定种类的数据；

2. 数据主体的权利，包括机制、知情权、查阅权、更正权、删除权、限制处理权、数据可携权、反对权和自动化决策相关权利等；

3. 个人数据跨境传输给第三个国家或国际组织；

4. 各国根据本规定第9章（有关特殊处理情形的条款）制定的法律，比如有关言论和信息自由、身份证号、劳动和员工相关、宗教组织现存法、专业机构保密规定等；

5. 不遵守监管机关基于纠正权发出的责令措施、临时或最终的处理限制，或暂停数据流动，或者未向监管机构提供监管机构行使调查权需要的信息；[104]

不服从监管机关基于纠正权发出的命令的，将被处以最高不超过20,000,000欧元的行政处罚，或者企业上一财年全球营业额的4%，以两者中较高者为准。[105]

《网安法》还有记入信用档案，并予以公示[106]的处罚措施。根据违反义务的不同和具体情形，对网络运营者处以1-10万元罚款，或者按照违法所得一倍以上、十倍以下按罚款，没有违法所得的，处以壹佰万元以下罚款，对直接负责的主管人员也处以5万或10万以下罚款[107]。

情节严重的，还可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。[108]

注

《网安法》第25条；《规范》，9.1。
《网安法》第49条；《规范》，7.12。
《规范》，10.4。
《规范》，8.4。
GDPR原文请见http://eur-lex.europa.eu，《规范》原文请见律商网，左栏GDPR内容是对GDPR的概括和摘录，并结合GDPR的前言部分加以解释。GDPR条文翻译也参考了中国政法大学互联网金融法律研究院发布的中文翻译。（http://ifls.cupl.edu.cn/info/1014/1268.htm，http://ifls.cupl.edu.cn/info/1014/1270.htm2018-5-17）。
GDPR，第3条。
《规范》，1。
GDPR，第4条, “personal data”。
《网安法》第76条第（五）项。
《规范》，3.1，附录A。
GDPR，第5.1款。
《网安法》第40、41、42条。
《规范》，4(e)。
《规范》，4(b)。
《规范》，6.1。
GDPR，第6.1款。
《网安法》第41条。
《规范》，5.4。
GDPR，第85至91条。
《规范》，5.4(e)。
《规范》，5.1。
GDPR，第4条，“consent”。
GDPR，第7.2款。
GDPR，第7.4款。
GDPR，第7.3款。
《规范》，3.6。
《规范》，5.3(b)(2)，5.5(a)，5.5(c)，8.2(c)，8.3(b)，8.4(b)。
《规范》，7.7。
GDPR，第9.1款。
《规范》，3.2，附录B。
GDPR，第9.2款。
《规范》，5.5。
《规范》，6.3，7.1，8.2，8.4。
GDPR，第12.3款。
GDPR，第12.5款。
GDPR，第12.5款。
GDPR，第23条。
《规范》，7.11。
《规范》，7.11(d)。
GDPR，第13.4款，第14.5(a)款。
GDPR，第13.1款，第14.1款。
GDPR，第13.2款，第14.2款。
GDPR，第14.5款。
《网安法》41条。
《规范》，5.6。
《规范》，8.2，8.3。
GDPR，第15.1款。
GDPR，第15.3款。
《规范》，7.4。
《规范》，7.9。
《规范》，7.4注。
GDPR，第17.1款。
GDPR，第17.3款。
GDPR，第17.2款。
《网安法》第43条。
《规范》，7.6(a)。
《规范》，7.6(b)，7.6(c)，6.4。
GDPR，第18条。
GDPR，第20条。
《规范》，7.9。
GDPR，第21.1款。
GDPR，第21.2款。
《规范》，7.7。
《规范》，7.7(b)。
GDPR，第22.1条。
GDPR，第22.2款。
GDPR，第22.4款。
《规范》，7.12。
GDPR，第26.1款。
GDPR，第26.2款。
GDPR，第26.3款。
《规范》，8.6。
GDPR，第28.2款。
GDPR，第28.3款。
《规范》，8.1。
GDPR，第30.1款。
GDPR，第30.4款。
GDPR，第30.2款。
GDPR，第30.5款。
《规范》，7.1(d), 8.1(e), 8.2(d), 8.4(d), 9.1(c)(1)。
GDPR，第33.1款。
GDPR，第33.5款。
《网安法》第42条。
《规范》，9.1(c)(3), 9.2。
GDPR，第34.1款。
GDPR，第34.3款。
《网安法》第42条。
《规范》，9.2。
GDPR，第35.1款。
GDPR，第35.3款。
《规范》，10.2。
GDPR，第37.1款。
GDPR，第37.6款。
《规范》，10.1(b), 10.1(c)。
GDPR，第40.1款。
GDPR，第40.2款。
GDPR，第40.5款，第40.6款。
GDPR，第41.1款。
GDPR，第42.1款。
GDPR，第42.4款。
《规范》，10.1(d)(2)。
GDPR，第58.2款(a)-(h), (j)款。
GDPR，第83.4款。
GDPR，第83.5款。
GDPR，第83.6款。
《网安法》第71条。
《网安法》第59条。
《网安法》第64条。