第1条

主题与目标

1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。

2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。

3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。

第2条

适用范围

1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。

2. 本法不适用于以下个人数据的处理：

(a) 发生在联盟法律范围之外的活动过程中;

(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;

(c) 由自然人在纯粹的个人或家庭活动的过程中;

(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。

3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

根据本法第98条，处理个人数据适用第45/2001号条例和其他联盟法律法规的，应当符合本法的原则和规则。

4. 本法不影响2000/31 / EC指令的适用，特别是该指令第12条至第15条中的中间服务提供商的责任规则。

第3条

地域范围

1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。

2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：

(a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或

(b) 是对数据主体发生在欧盟内的行为进行的监控的。

3. 本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

第4条

定义

为本法之目的：

(1) “个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

（2）“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。

（3）“处理限制”是指对已存储的个人数据的标识，用于在将来限制他们的处理行为；

（4）“剖析”是指为评估与自然人相关的某些个人情况，对个人数据进行任何自动化处理、利用的方式，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。

（5）“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

（6）“整理汇集系统”是一种依照特定标准，如集中、分散或功能分布或地域基准存取个人数据的结构化集合。

（7）“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式，以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。

（8）“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

（9）“接收者”是指接收到被传递的个人数据的，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是，政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的，不得被视为“接收者”；政府处理这些数据应当根据数据处理的目的，遵循可适用的数据保护规则。

（10）“第三方”是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自然人、法人、公共机构、行政机关或其他非法人组织。

（11）数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她有关的个人数据被处理。

（12）“个人数据外泄”是指个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。

（13）“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息，并且上述数据往往来自于对该自然人生物样本的分析结果。

(14) “生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识，比如人脸图像或指纹识别数据。

（15）“有关健康的数据”是指与自然人身体或精神健康有关的个人数据，包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。

（16） “主营业地”意味着：

(a)对于营业机构在多个成员国的的控制者，除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式，否则其在欧盟内的主要管理者所在地被视为主营业地。

(b) 对于营业机构在多个成员国的处理者，其在欧盟内的主要管理者所在地，在本法下承担特定义务；如果处理者在欧盟内没有主要管理者，在处理者的营业机构的营业范围内进行主要处理行为的营业地，在本法下承担特定义务。

(17) “代表”指由控制者和处理者依照第27条书面指定的，代表控制者和处理者分别履行本法规定的义务的欧盟内的自然人、法人。

(18) “企业”是指参与经济活动的自然人或法人，无论其为何种组织形式，可以包括合伙或经常性参与经济活动的协会。

(19) “企业团体”是指一个管控性的企业以及受其管控的企业群。

(20) “约束性企业规则”是指成员国领土上的控制者和处理者通过事业集团或企业集团进行的联合经济活动，而致个人数据传输或系列传输到一个或多个第三方国家的控制者或处理者时必须遵循的个人数据保护政策。

(21) “监管机构”是指一个独立的，由成员国依据第51条设立的公权力机构。

(22) “有关监管机构”是与人数据处理有关的监管机构，因为:

(a) 控制者或处理者是建立在监管机构所在的成员国领土上的；

(b) 居住在监管机构所在成员国的数据主体被或可能被处理行为严重影响；或

(c) 一个由监管机构提交的申诉；

(23)“跨境处理”是指以下情形之一：

(a) 个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。

(b) 个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中，但是这种处理严重影响或可能会严重影响多个成员国的数据主体。

(24) “相关与合理异议”是指一种关于是否存在违反本法情况，或是控制者或处理者是否存在遵守本法的预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成的风险的重要影响，以及此种异议也适用于欧盟内的个人数据自由流动。

(25) “信息社会服务”是指欧洲议会和理事会的指令（欧盟）2015/1535 的第一条（1）款的（b）项中定义的服务。

(26) “国际组织”是指依照国际公法设立的组织及其下属机构，或依据或以两个或更多国家之间达成的协议为基础建立的其他机构。

 (该译本由中国政法大学互联网金融法律研究院（Internet financial law research institute of CUPL,IFLRI）组织翻译)

Table of Contents

Chapter 1: General Provisions
Article 1: Subject matter and objectives
Article 2: Material scope
Article 3: Territorial scope
Article 4: Definitions

Chapter 2: Principles
Article 5: Principles relating to personal data processing
Article 6: Lawfulness of processing
Article 7: Conditions for consent
Article 8: Conditions applicable to child's consent in relation to information society services
Article 9: Processing of special categories of personal data
Article 10: Processing of data relating to criminal convictions and offences
Article 11: Processing which does not require identification

Chapter 3: Rights of the Data Subject
Section 1: Transparency and Modalities
Article 12: Transparent information, communication and modalities for the exercise of the rights of the data subject

Section 2: Information and Access to Data
Article 13: Information to be provided where personal data are collected from the data subject
Article 14: Information to be provided where personal data have not been obtained from the data subject
Article 15: Right of access by the data subject

Section 3: Rectification and Erasure
Article 16: Right to rectification
Article 17: Right to erasure ('right to be forgotten')
Article 18: Right to restriction of processing
Article 19: Notification obligation regarding rectification or erasure of personal data or restriction of processing
Article 20: Right to data portability

Section 4: Right to object and automated individual decision making
Article 21: Right to object
Article 22: Automated individual decision-making, including profiling

Section 5: Restrictions
Article 23: Restrictions

Chapter 4: Controller and Processor
Section 1: General Obligations
Article 24: Responsibility of the controller
Article 25: Data protection by design and by default
Article 26: Joint controllers
Article 27:  Representatives of controllers not established in the Union
Article 28: Processor
Article 29: Processing under the authority of the controller or processor
Article 30: Records of processing activities
Article 31: Cooperation with the supervisory authority

Section 2: Security of personal data
Article 32: Security of processing
Article 33: Notification of a personal data breach to the supervisory authority
Article 34: Communication of a personal data breach to the data subject

Section 3: Data protection impact assessment and prior consultation
Article 35: Data protection impact assessment
Article 36: Prior Consultation

Section 4: Data protection officer
Article 37: Designation of the data protection officer
Article 38: Position of the data protection officer
Article 39: Tasks of the data protection officer

Section 5: Codes of conduct and certification
Article 40: Codes of Conduct
Article 41: Monitoring of approved codes of conduct
Article 42: Certification
Article 43: Certification Bodies

Chapter 5: Transfer of personal data to third countries of international organizations
Article 44: General Principle for transfer
Article 45: Transfers of the basis of an adequacy decision
Article 46: Transfers subject to appropriate safeguards
Article 47: Binding corporate rules
Article 48: Transfers or disclosures not authorised by union law
Article 49: Derogations for specific situations
Article 50: International cooperation for the protection of personal data

Chapter 6: Independent Supervisory Authorities
Section 1: Independent status
Article 51: Supervisory Authority
Article 52: Independence
Article 53: General conditions for the members of the supervisory authority
Article 54: Rules on the establishment of the supervisory Authority

Section 2: Competence, Tasks, and Powers
Article 55: Competence
Article 56: Competence of the lead supervisory authority
Article 57: Tasks
Article 58: Powers
Article 59: Activity Reports

Chapter 7: Co-operation and Consistency
Section 1: Co-operation
Article 60: Cooperation between the lead supervisory authority and the other supervisory authorities concerned
Article 61: Mutual Assistance
Article 62: Joint operations of supervisory authorities

Section 2: Consistency
Article 63: Consistency mechanism
Article 64: Opinion of the Board
Article 65: Dispute resolution by the Board
Article 66: Urgency Procedure
Article 67: Exchange of information

Section 3: European Data Protection Board
Article 68: European Data Protection Board
Article 69: Independence
Article 70: Tasks of the Board
Article 71: Reports
Article 72: Procedure
Article 73: Chair
Article 74: Tasks of the Chair
Article 75: Secretariat
Article 76: Confidentiality

Chapter 8: Remedies, Liability, and Sanctions
Article 77: Right to lodge a complaint with a supervisory authority
Article 78: Right to an effective judicial remedy against a supervisory authority
Article 79: Right to an effective judicial remedy against a controller or processor
Article 80: Representation of data subjects
Article 81: Suspension of proceedings
Article 82: Right to compensation and liability
Article 83: General conditions for imposing administrative fines
Article 84: Penalties

Chapter 9: Provisions relating to specific data processing situations
Article 85: Processing and freedom of expression and information
Article 86: Processing and public access to offical documents
Article 87: Processing of the national identification number
Article 88: Processing in the context of employment
Article 89: Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes
Article 90: Obligations of secrecy
Article 91: Existing data protection rules of churches and religious associations

Chapter 10: Delegated Acts and Implementing Acts
Article 92: Exercise of the delegation
Article 93: Committee procedure

Chapter 11: Final provisions
Article 94: Repeal of Directive 95/46/EC
Article 95: Relationship with Directive 2002/58/EC
Article 96: Relationship with previously concluded Agreements
Article 97: Commission Reports
Article 98: Review of other union legal acts on data protection
Article 99: Entry intro force and application

第92条

委托权的行使

第93条

委员会程序

第十一章

最终条款

第94条

废除第95/46/EC号指令

第95条

与第2002/58/EC号指令之关系

第96条

与在先缔结协定之关系

第97条

委员会报告

第98条

关于其他有关数据保护的联盟法案的审查

第99条

生效及适用

第85条

信息及信息表现形式的处理与自由

第86条

官方文件的处理以及公众获取

第87条

国家鉴定数据的处理

第88条

职场数据处理

第89条

涉及公共利益、科学历史研究或者

统计等目的的数据处理的保护与限制

第90条

保密义务

第91条

教会与宗教协会现有的数据保护规则

第77条

向监管机构提出控诉的权利

第78条

针对监管机构进行司法救济的权利

第79条

针对数据控制者及处理者的有效的司法救济权利

第80条

数据主体的代理

第81条

中止诉讼

第82条

赔偿权及责任

第83条

征收行政罚款的一般情形

第84条

处罚