歐盟數(shù)據(jù)憲章：《一般數(shù)據(jù)保護條例》（GDPR)評述及實務(wù)指引

第一章全球數(shù)據(jù)保護面臨的突出問題
一、突出問題
（一）私營主體
（二）公共部門
（三）前沿技術(shù)
二、原因分析
（一）全球數(shù)據(jù)保護問題是一種必然現(xiàn)象
（二）數(shù)據(jù)資產(chǎn)化刺激了數(shù)據(jù)的商業(yè)化利用
（三）數(shù)據(jù)權(quán)益復(fù)雜化
（四）數(shù)據(jù)治理的全球共識仍然缺失，難以協(xié)調(diào)
三、治理探索
第二章歐盟GDPR立法背景
一、從公約到指令
二、從指令到條例
三、電子通信領(lǐng)域個人信息保護的立法實踐
四、刑事犯罪領(lǐng)域個人信息保護的立法實踐
五、跨境數(shù)據(jù)流動的立法實踐
六、執(zhí)法機構(gòu)域外調(diào)取數(shù)據(jù)權(quán)限增加趨勢
七、結(jié)語
第三章歐盟GDPR內(nèi)容概述
一、適用范圍大幅擴展
二、擴充原則性規(guī)定
三、增加數(shù)據(jù)主體的權(quán)利
（一）增設(shè)“刪除權(quán)（被遺忘權(quán)）
（二）增設(shè)“數(shù)據(jù)可攜帶權(quán)”
（三）在“免受自動化決策權(quán)”基礎(chǔ)上提出“數(shù)據(jù)畫像”
（四）延展“知情權(quán)”及“訪問權(quán)”
四、加重數(shù)據(jù)控制者和處理者的責(zé)任義務(wù)
（一）數(shù)據(jù)處理活動記錄義務(wù)
（二）數(shù)據(jù)保護影響評估
（三）事先協(xié)商
（四）數(shù)據(jù)泄露報告及通知
（五）安全保障措施
（六）針對數(shù)據(jù)處理者責(zé)任的特別規(guī)定
五、完善跨境數(shù)據(jù)傳輸機制
（一）在充分性決定的基礎(chǔ)上的傳輸
（二）受到適當保障的傳輸
（三）以國際條約為基礎(chǔ)的法院判決或行政機構(gòu)決定
（四）特殊例外情況下的傳輸
六、設(shè)立數(shù)據(jù)保護官
七、歐盟監(jiān)管機構(gòu)一致性機制
八、歐洲數(shù)據(jù)保護委員會
九、巨額行政罰款
第四章歐盟GDPR適用范圍述評
一、管轄范圍
（一）“屬地”：歐盟境內(nèi)的數(shù)據(jù)處理行為
（二）“屬人”：歐盟境內(nèi)的數(shù)據(jù)控制者和處理者
（三）“保護”：保護歐盟數(shù)據(jù)主體的合法權(quán)益
（四）國際公法
二、數(shù)據(jù)類型
（一）一般類型的個人數(shù)據(jù)
（二）特殊類型的個人數(shù)據(jù)
三、數(shù)據(jù)處理行為
（一）處理
（二）數(shù)據(jù)畫像
四、例外和保留
（一）管轄范圍的例外
（二）數(shù)據(jù)類型的例外
（三）數(shù)據(jù)主體和數(shù)據(jù)控制者或處理者的例外
（四）數(shù)據(jù)處理行為的例外
五、結(jié)語
第五章GDPR的原則條款及其評析
一、GDPR原則條款的功能與角色
二、原則條款的結(jié)構(gòu)與內(nèi)容
（一）原則：第5條
（二）合法性基礎(chǔ)：第6條
（三）同意的條件：第7條
（四）處理兒童信息中的同意：第8條
（五）敏感信息與刑事定罪相關(guān)個人信息的處理：第9條與第1條
（六）無須識別數(shù)據(jù)主體的處理行為：第11條
三、同意原則的邊界及對中國的啟示
第六章GDPR數(shù)據(jù)主體權(quán)利評論
一、數(shù)據(jù)主體權(quán)利保護的關(guān)鍵問題
（一）數(shù)據(jù)主體權(quán)利保護的理論基礎(chǔ)
（二）數(shù)據(jù)主體權(quán)利保護的主要模式
（三）數(shù)據(jù)主體權(quán)利保護中的利益平衡
二、GDPR數(shù)據(jù)主體權(quán)利保護體系評述
（一）歐盟數(shù)據(jù)主體權(quán)利保護立法發(fā)展
（二）獲取信息的權(quán)利
（三）修改、刪除與限制處理的權(quán)利
（四）拒絕權(quán)與免受自動化決策限制權(quán)
（五）可攜帶權(quán)
（六）被遺忘權(quán)
（七）權(quán)利的限制
（八）權(quán)利的救濟
三、GDPR主體權(quán)利的規(guī)定對我國的啟示
（一）我國個人信息保護的立法情況
（二）歐盟主體權(quán)利保護模式移植的困境
（三）我國數(shù)據(jù)主體權(quán)利保護模式的選擇與借鑒
第七章GDPR數(shù)據(jù)控制者和處理者義務(wù)評述
一、GDPR數(shù)據(jù)控制者和處理者義務(wù)介評
（一）GDPR基本原則中數(shù)據(jù)運營者的實質(zhì)性義務(wù)
（二）與數(shù)據(jù)主體權(quán)利對應(yīng)的運營者義務(wù)
（三）數(shù)據(jù)運營者義務(wù)的直接規(guī)定
（四）結(jié)語
二、數(shù)據(jù)控制者的義務(wù)和責(zé)任：一個比較的視角
（一）何為“數(shù)據(jù)控制者”
（二）數(shù)據(jù)控制者的義務(wù)體系
（三）數(shù)據(jù)控制者的具體義務(wù)：基于風(fēng)險的進路
第八章GDPR數(shù)據(jù)跨境流動規(guī)則研究
一、GDPR數(shù)據(jù)跨境傳輸規(guī)則
（一）數(shù)據(jù)接收方所在國家或地區(qū)獲得歐盟“充分決定”
（二）提供適當保護措施的數(shù)據(jù)跨境傳輸
（三）有約束力的公司規(guī)則
（四）特定情況下的例外規(guī)定
（五）小結(jié)
二、歐盟與美國之間數(shù)據(jù)跨境傳輸問題
（一）《安全港框架協(xié)議》
（二）《安全港框架協(xié)議》失效
（三）隱私盾框架協(xié)議
三、我國的因應(yīng)
（一）中國數(shù)據(jù)跨境監(jiān)管規(guī)則因應(yīng)
（二）中國企業(yè)的因應(yīng)
第九章GDPR與各國相關(guān)立法比較
一、GDPR的全球性影響?yīng)?
二、GDPR or美國模式
三、安全需求驅(qū)動下的全球趨勢
（一）“影響”原則的“長臂管轄”被廣泛適用
（二）個人信息的內(nèi)涵不斷擴大
（三）對個人敏感信息進行特殊保護
（四）個人信息保護原則趨向統(tǒng)一
（五）強化個人信息自決權(quán)趨勢
（六）對未成年人的個人信息保護的普遍共識
（七）成立獨立的監(jiān)管主體成主流
（八）加強企業(yè)安全責(zé)任
（九）數(shù)據(jù)跨境限制的數(shù)據(jù)本地化趨勢
四、發(fā)展需求驅(qū)動下的GDPR個人信息自決權(quán)保留
（一）對用戶同意的適用要求不同
（二）刪除權(quán)比被遺忘權(quán)更有市場
（三）“可攜帶權(quán)”遇冷
第十章GDPR對跨國企業(yè)的影響
一、GDPR對跨國企業(yè)的積極影響?yīng)?
二、GDPR對跨國企業(yè)的業(yè)務(wù)挑戰(zhàn)
（一）強大的數(shù)據(jù)主體自決權(quán)
（二）嚴格的問責(zé)制
（三）嚴格受限的數(shù)據(jù)出境規(guī)則
三、GDPR對跨國企業(yè)的人事管理影響
四、GDPR對跨國企業(yè)的倫理考驗
五、對企業(yè)的建議
（一）主動迎接GDPR的合規(guī)挑戰(zhàn)
（二）考慮歐盟戰(zhàn)略本土化
第十一章中國的應(yīng)對建議
一、中國公共部門數(shù)據(jù)保護管理建議
（一）樹立風(fēng)險管理和激勵驅(qū)動的數(shù)據(jù)保護理念
（二）建立以數(shù)據(jù)安全管理為核心的統(tǒng)一的數(shù)據(jù)保護管理體制
（三）制定專門的個人信息保護法
（四）健全數(shù)據(jù)保護的技術(shù)標準和認證機制
二、中國企業(yè)數(shù)據(jù)保護的應(yīng)對建議
（一）充分的準備
（二）調(diào)整隱私政策
（三）通過技術(shù)設(shè)計保護隱私功能
（四）企業(yè)數(shù)據(jù)安全管理升級
（五）企業(yè)外部合作數(shù)據(jù)安全機制的完善
附 件
《一般數(shù)據(jù)保護條例》GDPR
鑒于條款
正文
致謝代后記