一群来自于高校、政府智库、企业、律所等方面的专家在中国信息通信研究院安全研究所提供的平台上齐聚一堂,根据自己的研究和实践经验,并经过长达半年的准备、讨论、撰写、修改、审校,集体创作出这份《GDPR 合规指引》。
这份指引共分四章,分别包括 GDPR 概述、合规体系、疑难点及合规建议,以及 GDPR 与我国法律的比较及冲突应对。我们希望能为有合规需求的企业指明方向,更希望能为关心个人信息保护的同仁提供一份针对 GDPR 准确、客观、扎实的介绍,进而为我国开展个人信息保护工作贡献绵薄之力。
目录
一、 GDPR 概述.......................................................................................................................................... 1
(一) GDPR 立法背景及进程 ......................................................................................................... 1
(二) GDPR 制度要点概述.............................................................................................................. 1
(三) GDPR 执法行动及评估 ......................................................................................................... 5
二、 GDPR 合规体系 .............................................................................................................................. 11
(一)风险评估 .................................................................................................................................. 11
(二)组织架构保障......................................................................................................................... 17
(三)合规体系设立与执行 ........................................................................................................... 21
(四)合规培训及宣讲..................................................................................................................... 29
(五)合规体系执行的监督和审计.............................................................................................. 31
三、 GDPR 疑难点及合规建议............................................................................................................ 34
(一) GDPR 的域外适用................................................................................................................. 34
(二)个人数据的范围..................................................................................................................... 34
(三)如何理解数据处理的 6 个合法事由? ...........................................................................35
(四)如何理解数据主体的几个权利? ..................................................................................... 37
(五)数据控制者和数据处理者的区别..................................................................................... 38
(六)数据控制者和数据处理者的责任..................................................................................... 39
(七)个人数据出境的合法事由 .................................................................................................. 42
(八)主监管机构的理解................................................................................................................ 42
四、 GDPR 与我国法律的比较及冲突应对..................................................................................... 45
(一)中国个人信息保护法律规则与 GDPR 的比较................................................................45
(二)中国个人信息保护规则与 GDPR 的区别 ......................................................................50
(三) GDPR 与我国法的实质性矛盾.......................................................................................... 55
附件一 隐私声明政策示例 .................................................................................................................. 59
展开全文
- IBM高爽:GDPR对中国企业风险管理的挑战
- GDPR——《通用数据保护条例》研究报告
- CSA GDPR合规行为准则
- 中国银联:开放银行数据保护与合规实践案例报告
- 中国银联:开放银行数据保护与合规研究报告(2021)
- 国家金融监督管理总局:银行保险机构数据安全管理办法(公开征求意见稿)
- 中国人民银行业务领域数据安全管理办法(征求意见稿)
- 网信办:数据出境安全评估办法
- 中国电子技术标准化研究院:人脸识别数据安全标准化研究报告(2021版)
- 中国人民银行:金融数据安全 数据安全评估规范(征求意见稿)
- 索信达韦海晗:银行数据安全管理实践
- 国家互联网信息办公室:网络数据安全管理条例(征求意见稿)
- 国家互联网信息办公室:数据出境安全评估办法(征求意见稿)
- 工信部:《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
- 深圳经济特区数据条例