本书是国际信息科学考试学会（EXIN）数据保护官（DPO）认证之隐私和数据保护基础（PDPF）认证指定教材，以中英文对照形式梳理PDPF认证考试重点。此外，本书以考点为脉络，对欧盟发布的《通用数据保护条例»（GDPR）进行解读，不仅可以帮助考生详细了解GDPR，更可以为数据管理人员在实际工作中提供参考。

本书为国际信息考试科学考试学会（EXIN）指定教材，第一部分EXIN隐私与数据保护白皮书（中、英文）为本书主体，该部分内容主要涵盖针对《欧盟通用数据保护条例》（GDPR）核心概念与规范的解读，以及对该法规下有关合规实践的指引。第二部分为针对EXIN隐私与数据保护基础认证考试的有关说明及备考指南，第三部分为针对该认证的样例试题。

包含PDPF考试所需基本知识及材料，是DPO-PDPF考试必备教材。

写在前面

欧洲联盟(简称“欧盟”)《通用数据保护条例》(GeneralDataProtec-tionRegulation，GDPR)于2018年5月25日生效，对企业收集、控制和处理个人数据的方式产生了深远影响。而且，并非位于欧盟的企业才会受到影响，事实上，任何与欧盟监管下的客户进行的业务，都需要遵守GDPR。如果违反GDPR企业将面临可高达2千万欧元或全球年营业额的4%的巨额罚款。

伴随着GDPR的实施，组织内应该根据具体职能配备相应的角色，包括数据控制者(DataController)、数据处理者(DataProcessor)以及数据保护官(DataProtectionOfficer，DPO)。

其中数据控制者定义了个人数据的处理方式和目的，此外，控制者还负责确保外部承包商能够遵守相关规定。数据处理者(DataProcessor)可以是维护和处理个人数据记录的内部团体(如业务分析师或开发商的直接雇员)，也可以是执行全部或部分这些活动的任何外部服务提供商(如信用评级机构等)。

此外，最重要的是GDPR还要求指定1名数据保护官(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定1名DPO。DPO主要负责就GDPR规定提供咨询意见，向最高管理

层报告。

中国企业需要设置DPO吗？

2018年5月25日正式实施的欧盟GDPR法案，提出了设置DPO的要求。

我们不要认为欧盟GDPR和中国企业没有什么关系，即使企业不在欧盟内，但如果在向欧盟内的个人提供商品和服务的过程中处理了欧盟居民的个人数据，或监测了在欧盟实施的个人行为，企业就会受GDPR约束。尽管中国有关个人信息保护方面的专门立法暂未生效，但已经公布实施的《网络安全法》和2018年5月1日正式实施的国家标准GB/T35273—2017«信息安全技术个人信息安全规范»（简称«个人信息安全规范»），分别提出了设置“网络安全负责人”“个人信息保护负责人”的要求。

DPO的职责

根据欧盟GDPR数据保护工作组2016年12月发布的《数据保护官指弓I》（简称《指引》），DPO的任务和职责包括：向数据控制者、处理者及负责数据处理的员工做出有关通知和建议；确保、监控企业活动的合规性；提出建议并监控数据保护影响评估；协助监管机构的工作，并担任指定联络人；负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识，且有能力指导企业在整个信息生命周期处理包括收集、使用、存储、清理等方面的具体问题。GD¬PR第37条明确要求DPO需要“有数据保护法律与实践的专业知识，且有能力完成第39条项下的职责”。

国际信息科学考试学会(EXIN)

Exam Institute for Information Science

1984年，荷兰经济事务部创办EXN。作为信息技术架构库(ITIL)全球认证体系的创始认证机构，EXN在全球范围内推广数字化服务管理、信息安全和数据隐私保护的行业实践和标准。包括:数字化转型与创新管理(Ver-iSM)、服务集成管理(SIAM)、开发运维一体化(DevOps)、精益IT(Lean IT)和敏捷转型(Agile Scrum)、区块链、人工智能和云计算等。

2016年，EXIN在全球率先发布数据保护和隐私基础认证(PDPF)，2017年，发布隐私和数据保护基础(PDPP)。伴随2018年5月欧盟《通用数据保护条例》(GDPR)正式生效，EXIN在首发基于GDPR的数据保护官(DPO)职业资格认证。

目前，持有EXIN认证的数字化管理和数据隐私保护人才遍布世界500强企业。来自全球165多个国家和地区，累计近300万的信息与通信技术职业人士已经获得了EXIN颁发的资格证书。

作者:【荷】里奥??比斯摩尔( Leo Besemer)曾在EXIN和ECDL任职，并担任荷兰区副总裁。在项目管理、质量保障、安全管理和隐私认证考试开发与设计方面具备丰富经验。在CT管理领域具有30年以上的跨国项目经验。对《通用数据保护条例》具有深入研究。

译者：刘合翔：就职于杭州电子科技大学，北达软数据治理专家、EXIN隐私与数据保护系列认证授权讲师。

王彦博：现任职于龙盈智达（北京）科技有限公司，担任首席数据科学家（副总裁级）。同时担任《银行家》期刊金融科技栏目主持人、中关村大数据产业联盟专家、对外经济贸易大学统计学院硕士研究生导师。曾任曼彻斯特大学计算机科学院博士后副研究员。

写在前面

译者序一

译者序二

第一部分

白皮书：EXIN隐私和数据保护基础与要点/1

引言/3

第一篇隐私基础/4

1.定义与历史背景/4

1.1数据保护条例的发展史/4

1.2GDPR的适用范围与适用区域/7

1.3定义/9

1.4角色、责任、利益相关者/13

2.处理个人数据/17

3.合法依据与目的限制/19

3.1合法依据/19

3.2目的限制和用途说明/20

3.3辅助性和相称性/22

4.数据主体的权利/24

4.1信息透明及沟通/24

4.2有关个人数据的信息及个人数据查阅/26

4.3数据主体的查阅(检查)权/28

4.4纠正与删除/28

4.5反对权和自动化的个体决策/31

4.6向监管机构提出申诉的权利/32

5.个人数据泄漏及相关程序/32

5.1个人数据泄漏的概念/32

5.2个人数据泄漏发生时的处置程序/34

5.3个人数据泄漏的类别/36

第2篇 数据保护的组织化/37

6.数据保护对组织的重要性/37

6.1GDPR的合规要求/37

6.2所需的管理活动/39

7.监管机构/42

7.1监管机构的一般责任/43

7.2与数据泄露有关的角色和责任/46

7.3监管机构在执行GDPR方面的权力/47

7.4跨境数据传输/50

7.5适用于EEA之内数据传输的条例/52

7.6适用于EEA之外数据传输的条例/53

......