欧盟GDPR（又称《通用数据保护条例》）的施行意味着对数据保护问题的重视程度进一步提升，在数据处理过程中包括数据控制者、处理者以及数据监管机构的行为也更为规范，这对数据保护力度的加强大有裨益。在信息时代，数据的重要性愈发凸显，因此对数据的保护也尤为重要。因此，在数据处理过程中，保密处理就显得必不可少。

一、保密处理之数据主体角度

保密处理对于数据主体而言，更多地是从个人数据方面出发。数据主体并非严格意义上数据处理过程的参与者，其往往只是作为数据来源而存在，事实上对数据处理的整个过程一无所知。但是，由于个人数据的隐私性较强，欧盟GDPR在条例中给予了个人数据主体相当充分的权利保障，包括有权知道自己的个人数据被处理的相关情况以及在认为自己的个人数据权利受到侵犯时的救济途径。

但是，数据主体同样需要树立保密意识，这在数据处理过程中十分重要。首先，个人数据主体要明确自己不得获取除自己个人数据以外其他任何人的个人数据，虽然往往个人数据的处理并非单个进行，但个人数据主体不得直接或者间接获取任何非自己个人数据的任何内容。同时，个人数据主体作为个人数据的所有者，相较于其他人而言往往具有更充分的动力来保护自己的个人数据，因此也需要在欧盟GDPR允许的范围内，密切注意自己个人数据的处理情况，以及是否被采取了恰当的保密措施，具体包括去标识化以及严格控制个人数据的获取人数等。

二、保密处理之数据控制者、处理者角度

数据控制者、处理者作为数据处理程序的重中之重，其对于数据的保密处理十分重要。首先是个人数据的保密处理，数据控制者、处理者在获取个人数据后，必须及时进行相关处理，包括个人数据的去标识化、严格控制获取个人数据的人数、个人数据使用数量的最小化、使用频率的最低化、获取总量的最小化等。因为个人数据的隐私性要远强于其他数据，因此数据控制者及处理者在个人数据获取、使用时，必须以满足其研究或者数据处理需要的最低限度为准，不得有任何逾越最低限度的数据获取，以期将对个人隐私的侵犯降到最低。同时，个人数据在使用过程中必须进行去标识化处理，也即使得单纯从数据出发，他人无法准确定位到具体个人，实现数据与个人的分离，更好地维护个人数据主体的权利。

此外，数据处理者、控制者对于一切自己所掌握的数据，都必须严格控制接触者范围与使用方式。在未经数据主体同意时，数据处理者、控制者既不得将该数据用于其他操作，也不得将数据转移给第三国或者国际组织。同时，即使经过了数据主体的同意，在未确认接收数据的第三国或者国际组织有充分的保障措施来保护数据安全的前提下，数据处理者、控制者仍不得将数据交出。

三、保密处理之数据监管者角度

数据监管者的职责即为保障处理过程的合规性以及各个数据的安全。因此，数据监管者会依据欧盟GDPR的规定，对数据处理过程中的一系列保密措施进行严格把控，确保数据处理过程中的保密性以及处理过程严格按照包括欧盟GDPR在内的规章制度进行。

此外，鉴于欧盟内部成员国众多，彼此之间在实施欧盟GDPR中难免存在差异，欧盟数据保护委员会作为专门的监管机构还会通过一致性机制的建立来确保各成员国监管机构在保密问题上采取统一标准，切实真正地做好数据处理过程中的保密处理。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。