歐盟作為全球最大的經(jīng)濟(jì)體之一，擁有龐大的消費(fèi)者群體和成熟的數(shù)字市場，對于許多開發(fā)者（以下簡稱“開發(fā)者"）來說，這是一個(gè)極具吸引力的目標(biāo)市場，因此，越來越多的中國開發(fā)者選擇出海歐盟。

一方面，為了更好的用戶體驗(yàn)，開發(fā)者需要收集一定的用戶信息以提供服務(wù)、優(yōu)化產(chǎn)品。另一方面，歐盟也在逐步完善其數(shù)字政策和法規(guī)，2016年頒布、2018年正式生效的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）對企業(yè)合規(guī)提出了更高的要求，在個(gè)人數(shù)據(jù)收集、利用與保護(hù)方面為開發(fā)者提供了更為明確的指導(dǎo)。Amazon、Facebook、Whatsapp等知名應(yīng)用都曾因違反GDPR而被處以高額罰款。在此背景下，中企APP出海歐盟的合規(guī)建設(shè)顯得尤為重要和迫切。

本文旨在探討GDPR下中企APP出海歐盟的合規(guī)問題，從GDPR的規(guī)定出發(fā)，介紹中國開發(fā)者出海歐盟時(shí)在處理個(gè)人數(shù)據(jù)方面需要注意的問題，以期能夠?yàn)槠髽I(yè)出海歐盟提供有價(jià)值的合規(guī)建議。

一、APP特點(diǎn)

隨著智能手機(jī)的普及與用戶需求的增加，市場上APP的種類更加豐富，功能也更加多樣。為了追求更好的用戶體驗(yàn)，APP無論是界面設(shè)計(jì)、功能設(shè)置還是內(nèi)容推薦，都可以根據(jù)用戶的反饋和行為數(shù)據(jù)進(jìn)行調(diào)整，以滿足用戶的個(gè)性化需求。

用戶的基礎(chǔ)信息，如年齡、職業(yè)、性別，以及用戶處理APP的行為數(shù)據(jù)，如處理時(shí)間、瀏覽內(nèi)容時(shí)長等，都為開發(fā)者滿足用戶個(gè)性化需求提供了分析支持。開發(fā)者對收集到的上述數(shù)據(jù)進(jìn)行用戶需求與偏好分析，再根據(jù)每一位用戶的不同特點(diǎn)與分析結(jié)果，將對應(yīng)的信息精準(zhǔn)推薦給目標(biāo)用戶。以短視頻APP的個(gè)性化推薦機(jī)制為例，開發(fā)者會(huì)通過大數(shù)據(jù)分析用戶的興趣愛好和行為習(xí)慣，采用智能推薦算法向特定用戶推送符合其喜好的視頻內(nèi)容。

與傳統(tǒng)的電腦軟件相比，手機(jī)APP對收集、利用個(gè)人信息的需求更甚，也因此衍生出了更為嚴(yán)重的數(shù)據(jù)合規(guī)問題。

二、GDPR概覽

根據(jù)GDPR第四條的規(guī)定，“個(gè)人數(shù)據(jù)"是指與已識(shí)別的或可識(shí)別的自然人（數(shù)據(jù)主體）相關(guān)的數(shù)據(jù)，可識(shí)別的自然人尤其指是可以通過姓名、身份證號(hào)、定位數(shù)據(jù)、網(wǎng)絡(luò)表示符號(hào)以及特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會(huì)身份等識(shí)別符能夠被直接或間接識(shí)別到身份的自然人。APP在處理過程中收集到的用戶信息符合GDPR下“個(gè)人數(shù)據(jù)"的要求。

中企開發(fā)者將APP布局歐盟，其收集、處理、儲(chǔ)存用戶信息的行為應(yīng)當(dāng)受到GDPR的管轄。首先，從GDPR的適用范圍來看，開發(fā)者收集、處理和儲(chǔ)存收集到的用戶數(shù)據(jù)的行為屬于GDPR第2條第1款[1]規(guī)定的適用GDPR的數(shù)據(jù)處理行為，開發(fā)者在收集或處理來自用戶的大批量數(shù)據(jù)時(shí)，可能會(huì)采取自動(dòng)化手段，并且不屬于第2款列舉的例外情況。其次，從地域管轄范圍[2]來看，部分中企在歐盟上架APP時(shí)可能會(huì)選擇在歐盟地區(qū)設(shè)立營業(yè)場所，此時(shí)當(dāng)然落入GDPR的管轄范圍。即使開發(fā)者在歐盟并未設(shè)立營業(yè)場所，也不影響根據(jù)GDPR第3條第2款、第3款的規(guī)定而受到GDPR的管轄。

根據(jù)GDPR第5條[3]的規(guī)定，開發(fā)者在處理個(gè)人數(shù)據(jù)時(shí)，必須遵守以下6項(xiàng)原則：第一，合法、公平和透明原則；第二，目的限制；第三，最小范圍原則；第四，準(zhǔn)確性原則；第五，儲(chǔ)存限制原則；第六，完整性和保密性原則。

三、企業(yè)合規(guī)的要點(diǎn)

（一）數(shù)據(jù)處理的合法性

在企業(yè)進(jìn)行GDPR合規(guī)工作時(shí)，首先需要注意其處理數(shù)據(jù)行為的合法性基礎(chǔ)。根據(jù)GDPR第6條[4]的規(guī)定，只有在符合“數(shù)據(jù)主體同意"“履行合同"“法定義務(wù)"“數(shù)據(jù)主體重大利益"“公共利益"或“合法利益目的"這六項(xiàng)要求之一時(shí)，個(gè)人數(shù)據(jù)處理行為才是合法的。在中企APP出海歐盟時(shí)，開發(fā)者處理個(gè)人信息的合法性大多數(shù)是來源于數(shù)據(jù)主體的同意、履行合同或履行法定義務(wù)，剩余三種情況出現(xiàn)的概率較小。

在常見的三種合法處理個(gè)人數(shù)據(jù)的情況中，又以“數(shù)據(jù)主體的同意"最為常見和基礎(chǔ)，實(shí)踐中，開發(fā)者普遍通過隱私政策、用戶協(xié)議等方式約定個(gè)人數(shù)據(jù)處理相關(guān)事宜，再由用戶勾選同意由此獲得數(shù)據(jù)主體對于數(shù)據(jù)處理行為的同意。根據(jù)GDPR的規(guī)定[5]，數(shù)據(jù)主體同意的條件包括：第一，當(dāng)數(shù)據(jù)處理必須基于數(shù)據(jù)主體的同意時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)證明數(shù)據(jù)主體已經(jīng)對處理其個(gè)人數(shù)據(jù)的行為予以同意；第二，若數(shù)據(jù)主體的同意是以書面聲明的方式做出的，且該聲明還涉及到其他事項(xiàng)，則同意需要滿足特定的形式要求；第三，數(shù)據(jù)主體有權(quán)在任何時(shí)候撤銷其同意；第四，數(shù)據(jù)主體的同意應(yīng)當(dāng)是基于其自由意志做出的。

在判斷數(shù)據(jù)主體的同意的條件時(shí)，信息社會(huì)服務(wù)中兒童的同意條件又有所不同。對于小于16周歲的兒童，處理行為只有或至少在獲取了該兒童的監(jiān)護(hù)人的同意或授權(quán)時(shí)才是合法的。

（二）數(shù)據(jù)收集

數(shù)據(jù)主體對于數(shù)據(jù)處理行為具有知情權(quán)，這也是GDPR規(guī)定的數(shù)據(jù)處理行為原則中“合法、公平和透明原則"的具體體現(xiàn)。根據(jù)GDPR第13條的規(guī)定，從數(shù)據(jù)主體處收集與之相關(guān)的個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)在獲取數(shù)據(jù)的同時(shí)向數(shù)據(jù)主體提供以下信息：

若開發(fā)者自關(guān)聯(lián)方處獲取數(shù)據(jù)主體的個(gè)人數(shù)據(jù)或?qū)⑹占降臄?shù)據(jù)共享給關(guān)聯(lián)方，此時(shí)出現(xiàn)了個(gè)人數(shù)據(jù)并非自數(shù)據(jù)主體處獲得的情況，根據(jù)GDPR第14條，當(dāng)個(gè)人數(shù)據(jù)并非自數(shù)據(jù)主體處獲得時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供的信息包括：

不過，這種披露行為并非在任何情況下都適用，當(dāng)出現(xiàn)以下情形時(shí)，第14條第1-4款的規(guī)定不再適用：

在向數(shù)據(jù)主體披露上述信息時(shí)，應(yīng)當(dāng)注意要“通過清晰移動(dòng)的語言以一種簡潔明了、透明以及易獲得的形式提供給數(shù)據(jù)主體，尤其是專門針對兒童的信息，使用清楚的語言"。

（三）數(shù)據(jù)存儲(chǔ)

根據(jù)GDPR規(guī)定的“存儲(chǔ)限制原則"，“以可識(shí)別數(shù)據(jù)主體身份的形式存儲(chǔ)的數(shù)據(jù)的存儲(chǔ)時(shí)間不能長于實(shí)現(xiàn)個(gè)人數(shù)據(jù)處理目的所必須的時(shí)間"，也即開發(fā)者不能永久存儲(chǔ)個(gè)人數(shù)據(jù)，應(yīng)當(dāng)根據(jù)合理的標(biāo)準(zhǔn)確定數(shù)據(jù)存儲(chǔ)時(shí)長。同時(shí)，根據(jù)GDPR第13條、第14條的規(guī)定，開發(fā)者在獲取數(shù)據(jù)時(shí)應(yīng)當(dāng)向數(shù)據(jù)主體披露數(shù)據(jù)的存儲(chǔ)期限，若無法披露存儲(chǔ)期限，則應(yīng)提供決定存儲(chǔ)期限的標(biāo)準(zhǔn)。

從數(shù)據(jù)主體的角度來看，數(shù)據(jù)主體具有訪問權(quán)[6]，當(dāng)其個(gè)人數(shù)據(jù)被處理時(shí)，其有權(quán)訪問個(gè)人數(shù)據(jù)將被存儲(chǔ)的預(yù)設(shè)期限或決定期限的通常標(biāo)準(zhǔn)。

（四）數(shù)據(jù)處理

開發(fā)者作為數(shù)據(jù)控制者，其可以自行處理數(shù)據(jù)，也可以委托他人作為數(shù)據(jù)處理者對收集到的用戶個(gè)人數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)控制者和處理者應(yīng)當(dāng)實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施以確保處理活動(dòng)的安全水平與風(fēng)險(xiǎn)程度相一致。在處理數(shù)據(jù)時(shí)，每一個(gè)數(shù)據(jù)控制者及其代表人（如有），應(yīng)當(dāng)保存一份由其負(fù)責(zé)的數(shù)據(jù)處理活動(dòng)的記錄，如果發(fā)生個(gè)人數(shù)據(jù)泄露的情形，數(shù)據(jù)控制者應(yīng)當(dāng)自發(fā)現(xiàn)之時(shí)起72小時(shí)內(nèi)，按照第55條的規(guī)定將個(gè)人數(shù)據(jù)泄露的情況報(bào)告監(jiān)管機(jī)構(gòu)。

根據(jù)GDPR第35條的規(guī)定，當(dāng)數(shù)據(jù)處理行為特別是用到了新技術(shù)時(shí)，考慮到處理行為的性質(zhì)、范圍、內(nèi)容和目的可能會(huì)對自然人的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)在處理前完成一份設(shè)想的數(shù)據(jù)處理對個(gè)人數(shù)據(jù)保護(hù)影響的評估。

根據(jù)GDPR第37條的規(guī)定，以下情形中，數(shù)據(jù)控制者和處理者應(yīng)當(dāng)指定一名數(shù)據(jù)保護(hù)專員（Data Protection Officer）。

（五）數(shù)據(jù)跨境轉(zhuǎn)移

GDPR并未對“向第三國或國際組織轉(zhuǎn)移個(gè)人數(shù)據(jù)"進(jìn)行具體定義，為了確定何種行為屬于第五章的管轄范圍，歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，以下簡稱EDPB）發(fā)布了指南對適用GDPR第五章的場景進(jìn)行了厘清，它確定了以下三個(gè)累積標(biāo)準(zhǔn)，將處理操作視為轉(zhuǎn)移：（1）控制者或處理者（“出口者"）對于數(shù)據(jù)的處理受GDPR的約束；（2）出口商通過傳輸或其他方式向其他控制者、聯(lián)合控制者或處理者（“進(jìn)口商"）提供經(jīng)過個(gè)人數(shù)據(jù)；（3）進(jìn)口商位于第三國或者是國際組織，無論該進(jìn)口商是否根據(jù)第3條的規(guī)定受GDPR的約束。[7]根據(jù)該指南，若開發(fā)者直接收集位于歐盟的數(shù)據(jù)主體的信息，且并自行內(nèi)部處理，此時(shí)該處理行為符合GDPR第3條第2款規(guī)定的情況，受到GDPR的管轄，但并不構(gòu)成數(shù)據(jù)跨境傳輸，因此不適用第五章的規(guī)定。但若開發(fā)者在收集數(shù)據(jù)主體的信息后，又將該數(shù)據(jù)傳輸給第三國數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理，這一傳輸行為構(gòu)成了“向第三國或國際組織轉(zhuǎn)移個(gè)人數(shù)據(jù)"，適用第五章的規(guī)定。[8]

在GDPR下數(shù)據(jù)跨境傳輸?shù)穆窂胶鸵笾饕腥N：充分保護(hù)標(biāo)準(zhǔn)、適當(dāng)?shù)谋Ｕ洗胧⒗馇闆r。這三種方式并非并列關(guān)系，不可以由開發(fā)者自主選擇何種路徑傳輸，只有在不滿足充分保護(hù)標(biāo)準(zhǔn)時(shí)，才可以通過適當(dāng)?shù)谋Ｕ洗胧┻@一路徑跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)，而當(dāng)前兩種路徑和要求均無法達(dá)成時(shí)，才可以在符合GDPR第49條規(guī)定的特殊情形的情況下跨境傳輸個(gè)人數(shù)據(jù)。

充分保護(hù)標(biāo)準(zhǔn)規(guī)定在GDPR第45條，當(dāng)歐盟委員會(huì)決定第三國、第三國的某一地區(qū)、某個(gè)或多個(gè)特定的部門或某國際組織已經(jīng)確定達(dá)到充分的保護(hù)標(biāo)準(zhǔn)時(shí)，數(shù)據(jù)便可以不經(jīng)任何特別授權(quán)向第三國或國際組織轉(zhuǎn)移。歐盟委員會(huì)目前確定了15個(gè)國家和地區(qū)達(dá)到了充分保護(hù)標(biāo)準(zhǔn)，目前中國尚不在此名單內(nèi)。[9]因此，若開發(fā)者希望將數(shù)據(jù)傳輸至中國境內(nèi)進(jìn)行存儲(chǔ)或處理，可以采取第二種路徑，即遵守適當(dāng)?shù)谋Ｕ洗胧?，根?jù)GDPR第46條，數(shù)據(jù)控制者或處理者只有在提供了適當(dāng)?shù)谋Ｕ洗胧┎⑶覞M足數(shù)據(jù)主體能行使權(quán)利、能獲得有效的法律救濟(jì)的條件時(shí)才能將個(gè)人數(shù)據(jù)向第三國或國際組織轉(zhuǎn)移。該規(guī)定中的“適當(dāng)?shù)谋Ｕ洗胧?可以由以下方式提供：

當(dāng)然，即使充分保護(hù)標(biāo)準(zhǔn)和適當(dāng)?shù)谋Ｕ洗胧┑囊蠖紵o法滿足，也并不意味著開發(fā)者完全無法跨境轉(zhuǎn)移數(shù)據(jù)，當(dāng)符合GDPR第49條規(guī)定的條件時(shí)，數(shù)據(jù)也可以被轉(zhuǎn)移到第三國或國際組織。

（六）響應(yīng)機(jī)制

GDPR不僅要求數(shù)據(jù)處理者在處理個(gè)人數(shù)據(jù)時(shí)必須遵守?cái)?shù)據(jù)主體的意愿，還規(guī)定了在數(shù)據(jù)泄露或其他安全事件發(fā)生時(shí)，數(shù)據(jù)處理者必須采取的響應(yīng)機(jī)制。

根據(jù)第三章的規(guī)定，數(shù)據(jù)主體享有訪問權(quán)、更正權(quán)、被遺忘權(quán)、拒絕權(quán)等權(quán)利，數(shù)據(jù)主體行使GDPR賦予的合法權(quán)利，需要開發(fā)者進(jìn)行配合。此時(shí)，開發(fā)者可以通過構(gòu)建處理流程、建立自動(dòng)化系統(tǒng)等方式構(gòu)建具有可操作性、能夠應(yīng)對絕大多數(shù)常規(guī)請求的響應(yīng)機(jī)制。

根據(jù)GDPR的規(guī)定，除了對數(shù)據(jù)主體行使權(quán)利的響應(yīng)外，在發(fā)生數(shù)據(jù)泄露時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)向監(jiān)管機(jī)構(gòu)報(bào)告，并告知數(shù)據(jù)主體。[10]

當(dāng)發(fā)生安全事件時(shí)，開發(fā)者應(yīng)當(dāng)首先采取行動(dòng)控制事件，避免事態(tài)的擴(kuò)大，并對事件進(jìn)行評估，以確定該事件是否達(dá)到了“數(shù)據(jù)泄露"的標(biāo)準(zhǔn)，只有在“該個(gè)人數(shù)據(jù)的泄露不太可能會(huì)對自然人的權(quán)利和自由造成風(fēng)險(xiǎn)"的情況下，開發(fā)者可以不向監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)告。根據(jù)第33條的規(guī)定，開發(fā)者向監(jiān)管機(jī)構(gòu)的報(bào)告至少應(yīng)當(dāng)包含如下內(nèi)容：

在向數(shù)據(jù)主體告知數(shù)據(jù)泄露事實(shí)時(shí)，開發(fā)者應(yīng)當(dāng)用明確和清楚的語言，而在符合如下條件時(shí)，開發(fā)者無需履行向數(shù)據(jù)主體的告知義務(wù)：

四、企業(yè)合規(guī)動(dòng)作

（一）隱私保護(hù)影響分析（Data protection impact assessment，以下簡稱DPIA）

DPIA流程旨在確保數(shù)據(jù)控制者充分解決“風(fēng)險(xiǎn)"的處理操作的隱私和數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。根據(jù)GDPR第35條的規(guī)定，當(dāng)一種處理行為特別是用到了新技術(shù)時(shí)，考慮到處理行為的性質(zhì)、范圍、內(nèi)容和目的可能會(huì)對自然人的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)在處理前完成一份DPIA報(bào)告，[11]以下情況尤其需要DPIA：

根據(jù)第35條第7款，一次完整的DPIA應(yīng)當(dāng)至少包括如下方面：

為幫助企業(yè)確定是否需要進(jìn)行DPIA，歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（European Data Protection Supervisor，以下簡稱EDPS）制定了一份標(biāo)準(zhǔn)清單。[12]在開發(fā)者進(jìn)行出海合規(guī)工作時(shí)，可以參照EDPS提供的清單對自身的數(shù)據(jù)處理行為進(jìn)行評估，以確定是否需要出具DPIA報(bào)告。

（二）數(shù)據(jù)保護(hù)專員（Data Protection Officer，以下簡稱DPO）

DPO是數(shù)據(jù)保護(hù)專家，負(fù)責(zé)就組織內(nèi)的數(shù)據(jù)保護(hù)合規(guī)性提供建議。當(dāng)開發(fā)者處理個(gè)人數(shù)據(jù)的情況符合GDPR第37條第1款規(guī)定的三種情況時(shí)，需要設(shè)立一名DPO。

DPO的任務(wù)包括：

在DPO履行職責(zé)時(shí)，應(yīng)當(dāng)從處理行為的性質(zhì)、范圍、環(huán)境以及處理目的的角度合理關(guān)注數(shù)據(jù)處理行為中伴隨的風(fēng)險(xiǎn)。

（三）隱私政策的撰寫與修改

根據(jù)GDPR的規(guī)定，開發(fā)者需要向用戶提供一份完整的隱私政策，在隱私政策中，開發(fā)者應(yīng)當(dāng)根據(jù)GDPR第13條的規(guī)定披露相應(yīng)的信息。同時(shí)，需要注意的是當(dāng)披露的信息發(fā)生變化或開發(fā)者意圖基于其他目的處理收集的個(gè)人數(shù)據(jù)時(shí)，要及時(shí)更新隱私政策。

以搜索引擎Google的隱私政策為例，Google在其Privacy Policy中主要對以下信息進(jìn)行了披露：Introduction; Information Google collects; Why Google collects data; Why Google collects data; Your privacy controls; Sharing your information; Keeping your information; Exporting & deleting your information; Retaining your information; Compliance & cooperation with regulators; European requirements; About this policy; Related privacy practices。在“Related privacy practices"部分，Google通過鏈接網(wǎng)頁的方式提供了適用于青少年兒童的相關(guān)政策。

五、結(jié)語

GDPR合規(guī)對中國APP出海歐盟具有重要的意義，也給開發(fā)者帶來了不小的挑戰(zhàn)。GDPR合規(guī)不僅涉及到公司內(nèi)部各部門的配合，也需要來自熟悉GDPR合規(guī)的法律團(tuán)隊(duì)的支持。完成GDPR合規(guī)工作不僅有利于為企業(yè)避免法律風(fēng)險(xiǎn)，更有利于企業(yè)信譽(yù)的提升，促進(jìn)企業(yè)的長遠(yuǎn)發(fā)展。

[注]?

[1] Art.2 para.1 This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

[2] Art.4 para.2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a)the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b)the monitoring of their behaviour as far as their behaviour takes place within the Union.

Para.3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

[3] Art.5 para.1.Personal data shall be:

(a)processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

(b)collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);

(c)adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

(d)accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘a(chǎn)ccuracy’);

(e)kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

(f)processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

[4] Art.4. para.1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a)the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(b)processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(c)processing is necessary for compliance with a legal obligation to which the controller is subject;

(d)processing is necessary in order to protect the vital interests of the data subject or of another natural person;

(e)processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f)processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

[5] Art.7 para.1.Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Para.2.If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Para.3.The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

Para.4.When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

[6] GArt.15 para.1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

...

(d)where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

...

[7] 具體可見Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR .

[8] Ibid.

[9] 歐盟委員會(huì)已根據(jù)GDPR和LED認(rèn)可安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、美國（參與歐盟-美國數(shù)據(jù)隱私框架的商業(yè)組織）和烏拉圭提供了充分的保護(hù)。詳見https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en，最后訪問時(shí)間2024年5月8日。

[10] Art.33. para.1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. 2Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

Art.34 para.1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

[11] Art.35 para.1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

[12] DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR OF 16 JULY 2019ON DPIA LISTS ISSUED UNDER ARTICLES 39(4) AND (5) OF REGULATION (EU)2018/1725.