导读：于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　一、引言
　　本期主要探讨《通用数据保护条例》（General Data Protection Regulation, the “GDPR”）项下向数据主体提供信息的（新）义务。在接下来两期中，我们将进一步探讨数据主体的其他权利（如访问权、更正权和删除权）。
　　GDPR的核心原则之一就是，控制者必须以透明的方式如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该等个人数据的程度。这一透明性原则要求任何与个人数据处理有关的信息和通信都必须易得易取，而且要使用清晰、简明的语言。
　　在这方面，GDPR显著增加了需提供给数据主体的信息种类的数量。
　　二、透明性
　　根据GDPR的规定，处理个人数据的各类组织机构必须使用清晰、简洁的语言（特别是在数据主体中包括未成年人的情况下），以简明、透明、易懂、易得易取的形式提供下列信息。也可使用适当的可视化方法（例如标准化图标）。
　　原则上，该等信息必须以书面形式（例如通过隐私政策）和（在适当的时候）以电子手段（例如通过网站）提供。
　　从数据主体处收集个人数据时需提供的信息
　　如果直接从数据主体处收集个人数据，则控制者必须向数据主体提供下列信息：
　　1. 其自身以及其代表（如适用）的身份和联系方式；
　　2. 如适用，数据保护官的联系方式；
　　3. 个人数据处理的目的和法律依据，包括在处理是基于“为了控制者所追求的合法利益目的所需”这一法律依据的情况下控制者所追求的合法利益；
　　4. 接收者或接收者类别；
　　5. 欧盟境外数据传输详情，包括将如何保护数据（例如，采用欧盟标准条款EU Model Clauses或企业约束规则Binding Corporate Rules）以及数据主体如何获得所实施的保障措施之副本；
　　6. 个人数据保存期限，或在明确保存期限不可行的情况下，用于确定保存期限的标准（例如合同关系结束后一年）；
　　7. 数据主体有权查阅及更正其个人数据，反对或要求删除数据或限制数据处理，以及数据可携带性；
　　8. 如果该等处理是基于同意，数据主体有权随时撤回其就该等处理给予的同意；
　　9. 数据主体可向监管机构提起投诉；
　　10.  提供数据是法律要求还是合同要求，或提供数据是否为订约所需，或数据主体有无义务提供数据，以及不提供数据的后果；
　　11. 是否会作出任何自动化决策、决策的逻辑，以及对数据主体的意义和后果。
　　从数据主体处收集时即应把上述信息提供给数据主体。
　　三、非直接从数据主体处收集个人数据时需提供的信息
　　除上述信息外，如果不是直接从数据主体处收集个人数据，则控制者还须提供以下信息：
　　1. 相关个人数据类别；
　　2. 个人数据来源，以及个人数据是否来自可公开访问的来源（如适用）。
　　这些信息必须在以下期限内提供给数据主体：
　　1. 获得个人数据后的合理期限内（最长期限为一个月）；
　　2. 如果数据将被用于与数据主体进行通信，则最迟在第一次通信发生时；
　　3. 如果预期向其他接收者披露个人数据，则最迟在该等披露之前。
　　四、进一步处理
　　如果控制者预期将出于收集个人数据的初始目的以外的其他目的进一步处理个人数据，在进行此类进一步处理之前，控制者必须向数据主体提供该等目的有关的信息，及其他有关信息。
　　五、例外情形 
　　如果个人数据是直接从数据主体处收集的，且数据主体已拥有该等信息（信息只须提供一次即可），不适用信息告知义务。
　　如果个人数据不是直接从数据主体处收集，则在下列情况下，不适用信息告知义务：
　　1. 数据主体已拥有该等信息；
　　2. 提供该等信息不可行或者需要付出的努力超出了合理的比例，但前提是控制者采取适当措施保护数据主体的权利、自由和合法利益，包括公开提供该等信息；
　　3. 欧盟或成员国的法律规定有义务获取/披露个人数据并规定有适当措施保护数据主体的合法利益；
　　4. 根据欧盟或成员国法律规定的职业保密义务（例如律师-委托人之间或医生-患者之间的保密特权），必须对个人数据保密。
　　六、实务建议
　　GDPR将对数据控制者的现有信息告知义务产生实质性影响，因此我们建议各组织机构分析其处理活动并更新其现有（隐私）政策、声明、（员工）手册等，以遵守GDPR下的信息告知义务。此外，处理非直接从数据主体处收集的个人数据的组织机构应确保在合理的期限内履行信息告知义务。