欧盟的GDPR仅适用于个人数据，即与可识别个人相关的任何信息。任何与欧盟消费者合作的企业都必须了解GDPR合规性的概念。

欧盟的通用数据保护条例（GDPR）试图在足够强大以给个人提供明确和有形的保护，同时足够灵活以顾及企业和公众的合法利益之间取得平衡。作为这一平衡行动的一部分，GDPR不遗余力地定义了什么是和什么不是个人数据。

如果您的组织收集、使用或存储欧盟人员的个人数据，则您必须遵守GDPR的隐私和安全要求，否则将面临巨额罚款。（如果您不确定您的组织是否受GDPR约束，请阅读我们关于欧洲以外公司的文章。）

GDPR第4条，《GDPR》对“个人数据”给出了以下定义：

“个人数据”是指与已识别或可识别自然人（“数据主体”）有关的任何信息；可识别自然人是指可以直接或间接识别的人，特别是通过参考标识符，如姓名、识别号、位置数据、在线标识符或该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素。

此外，GDPR仅适用于以以下两种方式之一处理的个人数据：

• 全部或部分通过自动化方式处理的个人数据（或电子形式的信息）；和
• 以非自动化方式处理的个人数据，构成“归档系统”（或手动归档系统中的书面记录）的一部分或拟构成“归档体系”的一部分。

这里有很多东西需要解开，但定义的第一行包含四个元素，它们是确定信息是否应被视为个人数据的基础：

1. “任何信息”
2. “关于”
3. “已识别或可识别的”
4. “自然人”

这四个要素共同构成了个人数据的定义。我们将在以下段落中对每一项进行细分。

自然人

这个元素是最容易定义的。通过使用“自然人”，GDPR表示有关公司的数据（有时被视为“法人”）不是个人数据。最后一个警告是这个人必须活着。根据GDPR，在大多数情况下，与死者相关的数据不被视为个人数据。

任何信息

这一因素非常具有包容性。它包括“客观”信息，如个人身高，以及“主观”信息，例如就业评估。它也不限于任何特定格式。视频、音频、数字、图形和照片数据都可以包含个人数据。例如，一个孩子画的家庭，作为精神病评估的一部分，以确定他们对家庭不同成员的感受，可以被视为个人数据，只要这张照片显示了与孩子（他们的心理健康由精神病医生评估）及其父母行为有关的信息。

不准确的信息

不准确地归因于特定个人的信息，无论是事实上不正确的信息，还是实际上与另一个人相关的信息，仍然被视为与该特定个人相关的个人数据。如果数据不准确到无法识别任何个人，则该信息不是个人数据。（例如，如果你指的是“昨晚住在12号桑树巷的人开了一个派对”，当桑树巷以10号结束时，那不是个人数据。）

可识别的个人和标识符

在最基本的形式上，每当你将一个人与其他人区分开来时，你就是在识别那个人。任何能与其他人区分开来的个人都被认为是可识别的。

称呼某人的名字是识别某人的最常见方式，但通常取决于上下文。世界上有数以百万计的罗伯茨，但当你说“罗伯特”这个名字时，通常你是在试图引起你所面对的人的注意。通过在名称中添加另一个数据点（在本例中为接近度），可以获得足够的信息来识别一个特定的个体。这些数据点是标识符。

回顾GDPR的定义，我们有一个不同类型的标识符列表：“姓名、身份号码、位置数据、在线标识符”。还应该特别提到生物特征数据，例如指纹，它也可以作为标识符。虽然其中大多数都是直截了当的，但在线标识符有点棘手。幸运的是，GDPR在序言30中提供了几个例子，包括：

• 因特网协议（IP）地址；
• cookie标识符；和
• 其他标识符，例如射频识别（RFID）标签。

这些标识符指的是与个人工具、应用程序或设备（如其计算机或智能手机）相关的信息。以上并非详尽无遗的清单。任何可以识别特定设备的信息，如其数字指纹，都是标识符。

最后，还有“相关因素”，GDPR将其列为“该自然人的身体、生理、基因、心理、经济、文化或社会身份的特定因素”。这些因素是与特定个人直接相关的特征，可以帮助您识别他们。

直接或间接识别个人

如果你只使用你拥有的信息就可以识别出一个人，那么这个人就是可以直接识别的。在上一个例子中，通过知道他的名字和位置，您可以直接识别罗伯特。但是，名称并不总是必需的。如果你不知道罗伯特的名字，你仍然可以通过他的近距离和一些身体因素，比如身高和头发颜色，来识别他。

间接识别需要考虑的因素更多。间接识别意味着您无法通过您单独处理的信息识别个人，但您可以通过使用您持有的其他信息或您可以从其他来源合理访问的信息来识别个人。第三方使用您的数据并将其与他们可以合理访问的信息相结合以识别个人是另一种间接身份识别形式。

可以用来间接识别某人的信息的一个简单例子是个人的车牌号。警察（第三方）可以快速将姓名与车牌号进行匹配。

限定词“合理”是一个重要的限定词。目前不存在的鉴定方法可以在未来发展，这意味着必须不断审查长期存储的数据，以确保其不能与允许间接鉴定的新技术结合。

根据GDPR，任何可能导致直接或间接识别个人的信息都可能被视为个人数据。

与可识别个人“相关”的个人数据

在这里，重要的是要考虑数据的内容。如果您处理识别个人的信息是为了了解该个人的一些信息，或者您对该信息的处理将对该个人产生影响，则即使该信息没有附加姓名，也可能是个人数据。包含明确与特定个人有关的信息的记录被视为与该个人“相关”，例如他们的病史或犯罪记录。包含描述个人活动的信息的记录也可能符合条件，例如银行对账单。与可识别个人相关的任何数据均为个人数据。

用于学习或决策个人的数据也是个人数据。有关用电和用水的记录将被视为个人数据，因为这些信息用于确定向个人收取多少费用。

处理后可能对个人产生影响的信息（即使这不是您的主要目标）也被视为个人数据。例如，优步跟踪其所有司机，以便找到最近的可用汽车来分配给优步请求。然而，这些数据也可以用来监测优步司机是否遵守交通规则，并衡量他们的生产率。数据处理应遵守数据保护规则。

个人资料及处理目的

GDPR要求考虑如何使用数据对特定个人做出决策。如果根据数据对个人的影响，另一个组织拥有不符合某个组织个人数据条件的信息，则该信息可能成为个人数据。这完全取决于组织处理数据的原因。如果一个组织处理数据的唯一目的是识别某人，那么根据定义，这些数据就是个人数据。

两个例子：

• 首先，摄影师手中的街道照片不是个人资料，而调查人员手中的同一张照片则被视为有关个人的个人资料，调查人员正在努力确定当时在该街道上的个人和车辆。
• 第二，视频监控或安全录像，其唯一目的是在当局认为合适的时间和地点识别个人，应被视为处理有关可识别个人的数据，即使在某些情况下无法识别记录的个人。

本指南并非详尽无遗的列表，但它应帮助您了解确定您的组织处理的数据是否符合欧盟GDPR要求的一些概念。如果您需要GDPR合规方面的进一步帮助，请查看我们的GDPR检查表，它可以帮助您确定您的组织是否走上了正确的轨道。

本文：https://cioctocdo.com/what-considered-personal-data-under-eu-gdpr