2018年5 月 25 日，《欧盟个人信息保护条例》（以下简称《条例》）在法国生效。该条例被广泛认为是欧盟有史以来最为严格的个人数据保护管理法规。欧盟国家的数据保护主管机关，包括法国数据保护机关法国国家信息技术和自由委员会（CNIL）, 会给所有在法企业一段“宽容期”，不会立即对违规企业进行惩罚。在此期间企业可以学习个人信息保护法规，开展相关合规工作。

为了帮助在法中国公司顺利进行个人信息保护的合规工作，以下介绍该条例中的一些基本原则和规范。

一、个人信息保护涉及的基本概念

个人信息：可以直接或间接识别一个自然人的任何信息（包括：姓名、注册号码、电话号码、照片、出生日期、地址、指纹、银行帐号、NIR号码等）。

敏感信息：包括所有与个人的种族或族裔、政治观点、哲学或宗教信仰、工会会员资格、健康情况或个人隐私等有关的信息。原则上，敏感个人信息只能在信息所有人的明确同意下才可被收集和使用。

个人信息的处理：包括对个人信息的收集、存储、使用、传输或传播，以及其它所有对个人数据的文件的使用。

数据保护专员（DPO）：数据保护专员是确保与个人信息处理相关的法律义务得到遵守的保证人。法律在大多数情况下不强制指定一名数据保护专员，但是一般认为公司需要指定一位数据保护专员。

影响研究/影响评估/隐私影响评估：用于识别和评估信息处理对该数据主体权利造成侵害的风险。处理敏感信息时必须事先进行影响评估。

个人信息处理的目的：建立计算机应用程序或包含个人数据信息的文件的主要目的，例如：招聘管理、客户管理、满意度调查、订单、新闻通讯等。

信息处理负责人：负责确定任何个人信息操作（收集、存储以及修改等）的目的和方式的自然人或法人。

分包商：任何为了一个信息处理负责人的利益，或者在其的指导下、或遵照其指令处理个人信息的人。

个人信息的传输：任何向欧盟外的国家进行个人信息的传输、转移，或者以在第三国进行个人信息处理为目的进行的数据储存。

二、 《条例》对个人信息处理的基本要求

《欧盟个人信息保护条例》不禁止处理个人信息，而是对个人信息的处理加以保护性的管理。

从事处理个人信息的任何人都必须能够回答以下6个问题：

1、处理个人信息的人员是谁? 2、信息处理的具体内容是什么? 3、处理目的是什么?

• 信息处理负责人；

• 数据保护专员

（DPO）；

• 公司内部相关的职能服务部门；

• 信息处理分包商。 • 各种类型的信息；

• 是否存在敏感信息? 个人信息收集、存储、使用、传输或传播的最终目的。

4、个人信息处理以及储存地在哪里进行? 5、个人信息储存期限有多久? 6、如何处理个人信息?

• 个人信息储存在哪里？

• 是否向欧盟外国家转移个人信息？ • 信息的处理和保存必须遵守一定的期限。 • 处理个人信息必须遵守一定的安全措施，尽力减少未经许可侵犯个人信息的情况。

此外，处理个人信息还必须要事先确定信息处理的法律依据。

三、 个人信息处理的六个法律依据

（一）信息主体的同意；（二）合同履行的需要；（三）依据法律规定；（四）信息处理负责人的工作需要；（五）维护信息主体的切身利益的需要；

（六）公共权力机构履行职责的需要。

个人信息主体的同意必须以明确的方式作出，不可模棱两可，且该同意是完全可以被自由撤销的。信息处理负责人必须能够提供该信息主体同意的具体化证明。如果个人信息处理是基于其它五个法律基础之一，则不需要事先征得信息主体的同意。

四、处理个人信息时应履行的法定义务

（一）处理个人信息的负责人要遵守的主要义务

就个人信息处理的情况，通知有关人员（例如：何种信息需被处理、其用途、信息保存期限、是否向欧盟以外的国家转让信息，以及信息主体的其它权利），在取得他们的同意后，再处理其有关个人信息；建立有利于保护信息主体权益的信息处理程序；

拥有250名以上员工的大公司，需建立个人信息处理活动的登记系统。法国信息技术和自由国家委员会(CNIL) 为中小企业提出了简化的信息处理登记模式；

在信息处理/信息储存的服务机构设立时，即考虑到个人数据的保护问题的设计，保证通过安全和保密的方式储存信息；

发现信息保护安全漏洞后，有义务向相关部门进行通报；

确定个人信息保存政策；在处理敏感信息时，进行影响研究；

在适当情况下，任命一名数据保护专员。

（二）个人信息处理的分包商必须遵守的主要义务仅按照信息处理负责人的指示行事；

为信息处理负责人提供建议和协助（处理敏感信息前进行影响研究、信息保护安全隐患提醒、数据安全性处理和储存、信息销毁、在审计过程中提供帮助）；保证个人信息处理的安全性和机密性；建立个人信息处理活动的记录以及记录的更新机制。

五、个人信息处理的登记（备案薄）根据《条例》，公司需进行个人信息处理登记（备案簿），以证明公司是否遵守了该条例所规定的法定义务。该登记必须随时进行更新，详尽而准确地记录个人信息处理的负责人，以及个人信息处理的分包商所进行的所有信息处理情况。

员工少于250人的组织机构，原则上不用履行保存数据处理活动记录的义务。除非以下情况：处理活动可能对数据主体的权利和自由构成风险；处理不是偶然性的；或处理涉及特殊类型的数据。核心业务涉及大规模的处理个人数据或者敏感数据的，需要建立数据处理活动记录。

登记记录必须采用书面形式，包括电子形式，其内容一般包括：

（一） 数据处理者和任何其他（转包）处理者的名称和联系方式,以及处理者代表其行事的任何控制者的名称和联系方式；

（二） 如适用，数据处理者代表和数据保护专员的姓名和联系方式；

（三） 代表每个控制者进行数据处理的类别；

（四） 如适用，如果个人数据被传输到欧盟境外的国家，则需记录具体国家，包括针对此类传输的保障措施有关的文件（例如将个人数据传输到欧盟境外第三国的标准合同或企业约束规则）；

（五） 对相关技术性和组织性措施的一般描述。

经要求，此类记录必须提供给监管机构。

六、信息主体的主要权利法律明确保护信息主体的下列主要权利：

直接访问的权利：任何人都可以通过直接联系持有其个人信息的人,了解有关他们的所有被储存的数据。

反对权：在说明相应理由的情况下（以商业营销为目的时除外），有权反对信息处理负责人为特定目的使用其个人信息数据。

更正权：任何人都有权纠正与其有关的不准确数据（例如：年龄或地址的错误）,或补充与其有关的数据（例如：补充公寓地址中的门牌号码）。

遗忘权：当处理数据的目的已经不存在/取消同意/合法利益不再存在/非法处理数据/等情况时，有权要求删除他们的个人数据。

限制处理权：如果信息处理程序与法律要求的数据保护措施不符，可要求限制处理他们的个人数据。

可携带权：数据主体可向数据控制者提交请求，要求对方以机器可读的形式整理他们的个人数据，以便将这些数据转移给其它控制者。如果用户希望更换数据控制者，可通过数据简单可读的形式重用这些数据。七、个人信息向欧盟之外第三国的传输

涉及欧盟居民的个人数据信息是被允许向欧盟外国家进行传输的，但前提是目的地国家被欧盟认可为设立了足够的个人信息保障措施，否则数据的传输必须采取具体措施以确保个人信息的安全性和机密性。

根据欧盟个人信息保护条例，个人数据信息可以通过下图所示的方式向欧盟境内或境外的国家进行传输:

法国德尚DS律所杨蓉、任晓红律师 yang@dsavocats.com ren@dsavocats.com 

+33 1 53 67 50 00 

DS Avocats| 6, rue Duret - 75116 Paris