歐盟通用數據保護‧GDPR合規實踐：EXIN數據保護官(DPO)認證（簡體書）

這本書對GDPR進行了詳細的評論，解釋了您需要對數據保護和信息安全制度進行的更改，並確切地告訴您需要采取什麼措施以避免嚴重的經濟處罰。產品概述EU GDPR ?C實施和合規性指南是此新數據保護法的清晰而全面的指南，解釋了該法規，並以您可以理解的術語列出了數據處理者和控制者的義務。任何組織中接觸個人數據的的人員都應該掌握相關知識。

作者：

IT Governance隱私小組，是全球IT治理、風險管理和合規方面內容的領先供應商，在隱私、數據保護、合規和信息安全方面積累了大量的經驗。基於對歐盟《通用數據保護條例》背景信息的詳盡理解，結合自身的實踐經驗，以及講師和咨詢顧問團隊的多方努力，出版了《歐盟通用數據保護條例（GDPR）的實施與合規指南》。。

譯者：

劉合翔，北京大學博士，EXIN專家組成員，DPO 2019授權講師，DPO 網絡論壇主理人。曾參與國內相關立法的意見征求，培訓了國內早期一批獲數據保護官認證的領域從業者，曾任國家政府研究機構的研究員和互聯網上市公司高管。現任職於杭州電子科技大學，從事大數據治理有關的科研與實踐工作。

為計劃全面推進數字化管理模式，為面向歐盟從事經營活動的中國企業鋪平道路。

譯者序：

信息時代，大數據應用“亂花漸欲迷人眼”，人類在享受一波波技術紅利的同時，也日陷技術矩陣構建的“元宇宙”。這一宇宙的秩序還未完備，而人的權利關係已在其中發生了劇烈的扭變。歐盟2018年頒布《通用數據保護條例》（GDPR）是信息時代人的權利被梳理和確立的一個標志性事件。該條例對業已突出的個人數據及隱私問題嘗試做了體系化的規定。自此這一議題在世界範圍內開始得到前所未有的關注與重視。各國紛紛加快其相關的立法進程，相繼頒布了各自的專項法律來應對新的信息環境下“個人”所面對的種種問題。截至本書付梓前，我國的《個人信息保護法》也已生效，國內的個人信息保護正迎來全新的局面。

通過比較世界主要國家和地區的相關法規，不難發現GDPR在其中起到的標桿作用，後續面世的很多法規在相當多的地方都借鑒了GDPR的立法精神和立法原則，有關研究也表明我國的《個人信息保護法》在框架和思路上同GDPR也有大量異曲同工之處。“他山之石可以攻玉”，前人以GDPR合規為目標的研究成果與實踐，為國內企業的出海合規乃至境內合規都提供了很好的鏡鑒。

本書來自國際知名的IT治理、風險管理與合規領域的知識服務商——IT治理出版社（IT Governance Publishing）的領域專家艾倫·考爾德（Alan Calder）領導的隱私小組（Privacy Team）所完成的一部針對隱私、數據保護與GDPR合規的專業著作，其目前已再版至第4版（本書已對應至該版）。本書內容涵蓋了涉及GDPR合規有關的法律要點、隱私合規框架、數據保護的組織和技術手段以及風險管理和事故響應等核心主題內容，是一部兼具理論性與實操性的合規實踐指南。國際信息科學考試學會（EXIN）將它作為其數據保護官（DPO）認證的指定用書也是對該書權威性和實用性的一個證明。

EXIN的數據保護官（DPO）認證是面向全球有志於從事個人信息及隱私保護領域工作的從業者量身打造的以GDPR合規為驅動、以體系化的專業知識和經驗培訓為保障的專業認證。目前各國、各地區的相關法規都強調了要積極通過認證來推動合規化的工作，而該認證恰好為眾多有明確合規要求的企業提供了一個極好的有關人才培養和證明合規的解決方案。

本書從接到原稿到交付終譯稿，歷經數輪校訂與修改，其間還經歷了因原書發布新版而對譯稿的回爐重造，個中艱辛與快慰已不足為道。但即便如此，譯者對其中的問題仍不免掛一漏萬，如讀者發現本書翻譯上的紕漏，懇請讀者不吝批評，指出相應問題或給予相關意見建議（聯繫郵件：lohoso@qq.com），我們將在後續版本中對本書做出進一步改進。

在此感謝對本書的交付給予幫助和支持的所有朋友。感謝EXIN亞太區總經理孫振鵬對於此書的有力運籌，感謝山竹科技的向麗對我成書進度的不斷鞭策，感謝清華大學出版社責編張立紅對本書細致的審核，更要感謝國內早一批的DPO學員對我的鼓勵，是你們給了我承接此任的勇氣。

後，還想提醒讀者一點的是：當我們談論亞當·斯密的《國富論》，需記得他還有一部《道德情操論》；當我們還在為維克托·邁爾-舍恩伯格的《大數據時代》中所描繪的前景而激動時，記得看看他的另一本書《刪除》。事物總是在矛盾對立中發展，人類對技術的應用也需攻守兼備。希望本書能為你和你的組織在一手執矛的同時提供一副能保護好你用戶的好盾。

劉合翔

2021.11

於杭州

引言001

部分 GDPR的核心考量009

章 範圍、控制者和處理者009
GDPR的適用範圍009
控制者和處理者010
數據控制者010
聯合控制者012
數據處理者012
作為處理者的控制者013
歐盟以外的控制者和處理者013
處理記錄014
證明合規016

第二章 六項數據處理原則018
原則1：公平、透明和合法019
原則2：目的限制023
原則3：數據小化023
原則4：準確024
原則5：存儲限制025
原則6：完整與保密026
問責與合規027

第三章 數據主體權利030
公平處理030
查閱權031
更正權033
被遺忘權033
限制處理權034
數據攜帶權035
反對權036
與自動決策有關的權利037

第二部分 建立合規038

第四章 隱私合規框架038
屬事範圍040
屬地範圍041
治理042
目標043
關鍵程序044
個人信息管理系統047
ISO/IEC 27001:2013049
選擇與執行一個合規框架053
框架實施054

第五章 信息安全作為數據保護的一部分056
個人數據泄露057
數據泄露分析057
攻擊地點058
保護信息安全059
ISO 27001059
NIST 標準060
網絡安全的十大步驟060
網絡安全基礎061
信息安全政策062
證明信息安全062
信息安全治理063
組織外的信息安全064

第六章 合法性及同意065
同意概述065
撤回同意067
同意的替代067
同意的實際運作069
兒童070
個人數據的特殊類別071
有關刑事定罪和犯罪的數據072

第七章 主體查閱請求073
接收請求073
提供信息074
數據攜帶074
數據控制者的責任075
流程與程序076
用以確認請求者身份的可選方案077
可查閱的記錄078
時間和費用079
批量主體查閱請求的處理079
拒絕的權利079
響應流程079

第八章 數據保護官的角色081
自願指定DPO的情況084
共享DPO的情況085
基於服務合同的DPO085
DPO聯繫方式的公布086
DPO的職責087
必要的資源087
獨立行事088
對DPO的保護089
利益衝突090
DPO 的職位要求090
DPO的職責091
DPO與組織的關係094
DPO與監管機構的關係094
數據保護影響評估與風險管理095
內聘或外包096

第九章 繪製數據地圖097
目標和產出097
數據流的四要素098
數據地圖繪製、DPIA和風險管理099
你想收集什麼099
繪製數據地圖的方法100

第三部分 數據保護影響評估與風險管理103

第十章 數據保護影響評估的要求103
DPIA104
征詢利益相關者110
誰需要參與111
基於設計和默認的數據保護112

第十一章 風險管理與DPIA114
作為風險管理一部分的DPIA114
風險管理標準與方法論115
風險應對120
風險關係122
風險管理及個人數據123

第十二章 執行124
DPIA的五個關鍵階段124
確認對DPIA的需求125
目標和產出126
咨詢127
描述信息流128
識別隱私及相關風險129
確定和評估隱私解決方案131
簽署與記錄結果133
將DPIA納入項目計劃134

第四部分 國際傳輸與事故管理135

第十三章 跨國管理個人數據135
關鍵要求136
充分性認定137
保障措施138
約束性企業規則140
標準合同條款140
有限的傳輸141
云服務141

第十四章 事故響應的管理與通報142
通知142
事件與事故144
事故類型145
網絡安全事故響應計劃145
事故管理中的關鍵角色146
準備147
響應147
跟進148

第五部分 執法與合規過渡151
第十五章 執法151
權力機關層級151
一站式機制152
監管機構的職責152
監管機構的權力153
歐洲數據保護委員會的職責與權力154
數據主體的救濟權利154
行政罰款155
GDPR對其他法律的影響157

第十六章 合規過渡與證明158
過渡框架158
通過政策以證明合規159
行為守則和認證機制162

附錄一 條例索引164
附錄二 歐盟/歐洲經濟區各國的監管機構169
附錄三 實施問答170
附錄四 認證備考指南219
附錄五 考試樣卷236