立即开始  联系销售 
立即开始  联系销售 

法国互联网上的个人数据保护

Checkout
Checkout

Stripe Checkout 是预构建的支付表单,已经在转化方面进行了优化。将 Checkout 嵌入您的网站或将客户定向到一个 Stripe 托管的页面,以轻松安全地接受一次性付款或订阅费。

了解更多 
  1. 导言
  2. 什么是个人数据?
  3. 什么是个人数据处理?
  4. 当前适用的个人数据保护法规有哪些?
    1. 法国哪些机构负责个人数据保护?
  5. 《欧盟通用数据保护条例》(GDPR) 的原则是什么?
  6. GDPR 有哪些要求?
    1. 通知个人
    2. 征得同意
    3. 保障个人权利
    4. 维护处理活动的书面记录
    5. 确保数据安全
    6. 其他义务
  7. 开始使用 Stripe 

在欧盟境内处理个人数据的企业必须制定数据保护政策。法律对数据保护有何规定?有哪些具体要求?企业是否必须任命数据保护官 (DPO)?本文将解答关于数据保护的核心问题,并说明如何遵守法规。

本文内容

  • 什么是个人数据?
  • 什么是个人数据处理?
  • 当前适用的个人数据保护法规有哪些?
  • 《欧盟通用数据保护条例》(GDPR) 的原则是什么?
  • GDPR 有哪些要求?

什么是个人数据?

个人数据也称为“个人信息”,是能够直接或间接识别个人身份的信息。个人数据可能包括名字或姓氏、社会保障号码、电话号码、电子邮件或互联网协议 (IP) 地址、互联网行为或照片。经匿名化处理的数据(即已消除识别个人身份可能性的数据)不被视为个人数据。这同样适用于与法人实体(例如公司)相关的数据。

什么是个人数据处理?

个人数据处理是指应用于个人数据的大量操作,可包括收集、记录、组织、存储、修改、查询、限制、提取、传播和删除等。这些操作既可以通过、也可以不通过计算机进行。

数据处理的示例包括维护客户的文件、收集潜在客户的联系信息和存储 IP 地址。大多数情况下,公司处理的个人数据与客户、供应商、潜在客户、员工和求职者有关。

当前适用的个人数据保护法规有哪些?

自 2018 年 5 月 25 日起,《欧盟通用数据保护条例》 (GDPR) 成为欧盟境内数据收集与管理的基本法律框架。GDPR 统一了所有在欧盟境内处理个人数据的公共和私人实体的合规要求。主要适用实体包括:

  • 在欧盟境内创建的组织,例如初创企业、中小型企业、大公司、协会、专业组织和公共实体

  • 针对欧洲公民的外国公司

  • 代表其他企业收集和管理个人数据的处理商

例如,一家总部位于中国的公司处理法国个体的个人数据,必须遵守 GDPR。

法国哪些机构负责个人数据保护?

国家信息与自由委员会(Commission nationale de l'informatique et des libertés,简称 CNIL)负责监督公共及私营机构对个人数据保护的执行情况。该机构既为企业遵守相关法规提供支持,也对违规行为实施处罚。

《欧盟通用数据保护条例》(GDPR) 的原则是什么?

GDPR 建立在若干基本原则之上:个人数据处理必须合法、透明、限时、安全,且仅限于必要范围(即“数据最小化”)。各项原则具体如下:

  • 合法目的
    每次处理个人数据时,都必须有法律依据证明其合理性。因此,企业不得在没有特定合法目标的情况下收集个人数据。

  • 透明度
    必须告知数据主体其权利以及其数据正被收集。企业必须为个人行使权利提供便利,这一点至关重要。

  • 数据最小化
    企业仅应收集为实现这些目标所必需的最少数据。

  • 有限期限
    数据存储期限必须有设定的结束日期。企业必须制定明确的数据存储政策。

  • 安全性
    企业必须实施安全措施来保护其收集的个人数据。

注意:代表企业处理个人数据的处理商还必须遵守 GDPR。

GDPR 有哪些要求?

GDPR 要求公司向其收集数据的个人提供信息并确保透明度。为此,公司必须征得同意,保障个人权利,维护数据处理记录,并确保数据安全。

通知个人

公司必须向所有被收集数据的个人提供清晰的信息,内容必须包括:

  • 处理商的身份和联系信息(例如管理人员)

  • 处理原因

  • 证明处理合理的法律依据(例如个人同意、合同执行、法律要求)

  • 数据收集是强制性的还是可选的

  • 个人数据的接收者

  • 数据存储期限

  • 数据主体的权利

  • 向 CNIL 提出投诉的权利

  • 是否存在向欧盟以外国家/地区转移数据的情况(如适用)

如果未提供完整信息,可能面临罚款,金额最高为独资企业 1500 欧元,企业 7500 欧元。企业必须在收集数据时、后续发生变更时或合理延迟一个月内(例如通过间接方式获取数据时)进行通知。

征得同意

如果企业执行以下行为,也必须征得客户的同意:

如果存在多个处理目的,必须就各个目的分别征得客户的同意。企业不能使用默认选中的复选框。

注意:未经同意擅自处理数据,可能导致独资企业被处以五年监禁及 30 万欧元罚款,公司被处以 150 万欧元罚款。

保障个人权利

企业必须尊重数据被处理的个人的权利。其中包括访问权、纠正权、被遗忘权、反对处理权和数据可移植权。对于企业来说,允许个人便捷行使权利非常重要。

维护处理活动的书面记录

处理活动的记录有助于了解所有已完成的处理活动。员工人数超过 250 人的公司必须以书面形式保存此类记录。

确保数据安全

建立强大的机制来保证数据安全非常重要。企业可以实施以下策略:

  • 强制性客户身份验证和访问限制

  • 部署日志系统,确保活动可追溯

  • 启用自动锁定、防火墙、防病毒软件和虚拟专用网络 (VPN)

  • 定期备份和归档日常不使用的数据

您可以直接在您的网站上集成 Stripe Checkout,以加强客户数据的安全性。Checkout 不仅便于客户输入和重复使用支付数据,还能完全合规地处理敏感银行卡数据。

其他义务

如果企业大规模处理个人数据,可能需要任命一名数据保护官 (DPO)。此外,当数据处理活动对个人权利和自由构成较高风险时,必须进行数据保护影响评估 (DPIA)

如果将个人数据转移至欧盟境外(例如传输至中国的子公司或外国承包商),企业必须获得欧盟委员会的许可。通过充分性认定后,企业才能进行数据转移。

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

更多文章

  • 出错了。请重试或联系支持人员。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Checkout

Checkout

将 Checkout 嵌入您的网站或将客户定向到一个 Stripe 托管的页面,以轻松安全地接受一次性付款或订阅费。

Checkout 文档

构建一个低代码的支付表单,并将其嵌入到您的网站或托管在 Stripe 上。