歐盟數據隱私安全法案“GDPR”即將生效,企業如何應對?

衢州土郎中

據外媒報道,歐盟即將在本月25日正式開始推行的《通用數據保護條例(GDPR)正在悄然影響著各家公司以及網站的隱私政策與服務條款。根據GDPR規定,各企業將需要在收集用戶個人數據之前獲得當事人批准才行特別是用於廣告的時候。

對於個人數據的儲存時限,歐盟方面也做了新的規定,而用戶可以隨時要求刪除掉他們的個人信息。

現在,包括Airbnb、LinkedIn、Instagram、Twitter、谷歌在內的多家公司都已經更新了它們的政策以此來滿足GDPR的規定。另外它們還向用戶發出郵件告知他們擁有選擇是否加入數據收集服務的權利。雖然歐洲用戶是GDPR的唯一受益者,但由於一些公司選擇只制定一套規定所以它還是可能會間接地影響到歐洲以外的市場。

雖然更改內部數據收集政策看起來相對簡單,但卻會給公司的財務收入帶來重大影響。許多公司都是依賴於從用戶那裡收集數據獲得廣告收入,而正因為如此它們才有獲得免費的服務。由於新規將允許用戶刪掉他們的數據,所以一些公司可能會損失掉數十億的營銷收入。這意味著用戶未來將可能需要為自己喜歡的服務付費。

KPMG首席隱私顧問Mark Thompson表示,各家公司正在應對即將到來的刪除請求海嘯,“如果是一家大型投資銀行,那麼它一週可能會收到5次請求。而如果是一家大型零售銀行,那麼每年可能會面對500個請求。”


cnBeta

分析|“史上最嚴”歐盟數據保護法將生效 如何倒逼全球企業

歐盟推出首部個人數據保護法,且管轄範圍不限於歐盟境內。包括面向歐洲市場的中國電商,甚至是中企與歐洲子公司的數據溝通過程,都面臨新的合規風險

歐盟《數據保護基本條例》(General Data Protection Regulation,下稱《數據條例》),將在5月25日全面生效。近日,已有不少海外網站與應用發出用戶條款更新提示,用戶若遲遲未點選同意,則將無法繼續使用服務。

《數據條例》要保護的是自然人的“個人數據”,只要該信息能被用於識別個人身份即為個人數據,例如:姓名、地址、電子郵件地址、電話號碼、生日、銀行帳戶、汽車牌照、IP地址以及cookies等。此外,健康、宗教信仰、政治觀點、性取向更是屬於高敏感級別個人數據,保護力度更大。

值得注意的是,這部歐盟法律的管轄範圍並不侷限於歐盟境內。因為《數據條例》採用了“市場地原則”,亦即任何企業只要在歐盟市場提供商品或服務,或收集個人數據,都在這部法律的管轄範圍。

舉例而言,如果一家中國在線銷售公司的網站上,使用“面向歐洲的特惠產品”、“歐洲區包郵”的字樣,或者標註了商品的歐元價格,就可以被視為在歐盟市場提供商品或服務,並受到該法律管轄。

收集個人數據的行為包括所有形式的網絡追蹤,例如通過“cookies”(某些網站為了辨別用戶身份,儲存在用戶裝置上的資料)或社交媒體插件,來觀察、收集、評估客戶、員工或其他人的購物習慣、行蹤、行蹤等。

企業如果違反了《數據條例》,罰金最高可達2000萬歐元(約合1.5億人民幣)或全球營業額的4%,以高者為準。

受《數據條例》規範的行為主體包括任何處理歐盟地區個人數據的自然人、法人、公共當局等,統稱為“責任人”。包括網頁運營者、搜索引擎服務商、社交媒體服務商、酒店、在線電商等都可能是責任人。接受委託處理數據的“受託數據處理人”,例如雲服務提供商,原則上也要遵守《數據條例》相關義務。

為維護企業利益,《數據條例》允許歐盟企業在集團內部進行數據交流,但如果位於歐盟的企業要向歐盟以外傳輸數據,則需要滿足特定的條件。例如:中國企業的德國子公司,若要把收集到的客戶個人信息傳給中國母公司,就屬於這種情況。

首先,如果數據傳輸目的地屬於歐盟委員會認定“具有適當數據保護水平”的地區,就可以自由傳送。這些國家有安道爾、阿根廷、加拿大、法羅群島、根西、以色列、馬恩島、新西蘭、瑞士和烏拉圭。

如果目的地沒有獲得這樣的認可,責任人則需要充分保證和該數據相關的個人(下稱相關人)的權利。《數據條例》規定了幾種可能性,例如:確保位於目的地的公司,實施了具有約束力的數據保護規則。

此外,在相關人全面瞭解風險後明確同意,為了履行與相關人的合同,為了公共利益,或是為了行使和防禦法律權利所必需的情況下,責任人也可以向第三國傳輸數據。責任人必須明確記錄對數據的處理活動、數據傳輸可能的風險,以及第三國適當數據保護的保證。

首部全面適用歐盟各國的數據保護法

相較於世界上其他區域,歐盟素來更重視隱私和個人數據保護制度。《數據條例》全面涵蓋了適用範圍、原則和定義、責任人的義務、相關人的權利、監管機關、罰則等內容,堪稱“史上最嚴”。相對於中國的數據隱私保護立法,目前中國僅有《電信和互聯網用戶個人信息保護規定》、《徵信業管理條例》和《網絡安全法》等少數幾部法律文件涉及個人信息保護問題,但這些立法層級不一、內容碎片化,且多為原則性規定,在實踐中效果有限,個人數據保護在中國還沒有引起法制面的足夠應對。

在《數據條例》之前,歐盟關於數據保護的統一指引是1995年的《個人數據保護指令》。

那時還沒有智能手機,社交網絡、電商平臺和在線廣告還在初始階段。為了適應20多年間技術的快速發展,歐盟成員國又陸續出臺了自己的法律,導致各個國家之間的數據保護水平各異,不利於歐盟內部市場的發展,統一立法的呼聲漸起。

指令和條例是兩種不同的歐盟法律形式:指令不直接適用於各國,要由成員國轉化成國內法,在轉化過程中,成員國還有一定的裁量空間;條例則直接在成員國適用。因此,《數據條例》是首部直接適用歐盟各國的數據保護法律,經過兩年的過渡期後,即將全面生效。

《數據條例》保留了歐盟法律中既有的數據保護原則,同時又有新的發展。其中,最重要的原則就是“合法性原則”。它的意思是,只有在兩個條件下才能收集和處理個人信息:要麼有法定事由,例如為了國家安全和公共利益,要麼有相關人的同意。

《數據條例》擴展了歐盟原有法令中關於相關人權利的規定。

傳統上,只有物質損害才能獲得賠償。但這一新法實施後,相關人還可以要求精神損害賠償。

此外,相關人可以要求責任人告知以下信息:數據的內容、來源、接受者,儲存數據的目的、時間的長短以及確定時間長短的標準,以及在向第三國傳輸數據時的數據安全水平保證。

相關人有權要求責任人免費提供一份儲存信息的副本,還擁有更正信息、限制處理的範圍、提出抗告、向監管機關申訴、尋求法律救濟的權利。

《數據條例》還首次明文規定了“遺忘權”,個人可以要求責任人刪除關於自己的數據,只要滿足法定的理由,責任人就應當立即刪除。這些理由包括:該數據對於收集數據的原目的而言,已不再是必需;個人撤回其關於收集數據的同意;責任人對數據的處理不合法;刪除數據是履行歐盟或其成員國法律義務所必需的;媒體、網店或在線遊戲服務商等收集了兒童的個人信息。

此外,可以依據《數據條例》提出法律救濟的對象不只有權利受侵害的個人。消費者保護協會或數據保護領域的團體既可以代表個人,也可以主動地對違反《數據條例》的責任人採取行動。

在德國,如果提告人結合使用德國《反不正當競爭法》和歐盟《數據條例》,理論上,市場競爭者也有可能對責任人違反數據保護的行為進行法律行動。因為《數據條例》的目的之一,就是通過統一的數據保護法,創設公平的市場環境。具體情況還有待《數據條例》生效後進一步觀察。

有一個普遍的誤解是,網頁運營者常認為,一旦用戶登入網頁,就已經表示他同意網頁收集他的數據。

雖然,單純收集用戶的動態IP地址是屬於法定許可範圍,但若要收集和處理其他信息,例如通過聯繫表單的方式要求用戶提供姓名、電子郵箱地址和電話號碼等,符合《數據條例》的做法是要取得用戶事前的同意。

在網頁上使用社交媒體插件和Cookies,也必須得到用戶的同意。文章網頁設置的“分享按鈕”是種常見的社交媒體插件,以分享一篇新聞文章至Facebook為例,用戶點擊分享按鈕時,新聞網站會彈出一個預填了新聞網址的Facebook窗口,讓用戶再度確認貼文內容、點擊“分享”。

在這過程中,新聞網站不僅向Facebook傳輸了文章網址,還把用戶的IP地址被傳輸到了Facebook。根據《數據條例》,新聞網站應提前向用戶取得傳送IP地址的許可,不然不得為之。

某些電商網站會用“Cookies”自動記錄客戶的搜索和購物記錄,以便有目的性地推薦商品。

在《數據條例》框架下,網頁經營者必須事先向客戶說明Cookies的功能,並獲得用戶的同意,否則,“未告知記錄用戶行為”會違反法律。

為應對新條例的實施,企業網站經營者應儘早盤點數據安全標準,採取匿名化、數據加密等措施,特別是對於有內嵌網店或聯繫表單的網頁。這些機制能在傳輸過程中保護用戶的銀行卡或其他個人信息。

《數據條例》沒有強制要求實施加密措施,加密僅是有助達到法定數據保護水平的措施之一,是否必須、在何種程度上實施加密,取決於個案考量。

此外,根據《數據條例》的“最少數據原則”,網站運營者未來只能在必需的時間內,儘可能少地儲存數據。這一要求可以通過技術設計或預置來實現。例如,通過數據聚合手段,彙總個人數據的處理,並由此實現最小化,或者實施軟件控制的刪除週期,以確保數據在規定的期限後將被自動刪除。

為了應對《數據條例》,涉足歐洲市場的企業應儘早進行內部自查,並採取相應的措施。


(作者為德國法學博士、法蘭克福SZA律師事務所中國業務部成員)


世界說

王劍一

德國 法蘭克福

微博 @世界說globusnews


世界說

《一般數據保護法案》(General Data Protection Regulation,簡稱GDPR)將於今年5月25日正式生效,歐盟由此大大加強了對個人信息保護。按照新法案的要求,任何能夠追溯到自然人的“個人數據”,例如姓名、地址、生日、身份證,乃至醫療檔案、IP地址、位置記錄等等,均將受到前所未有的嚴格保護。而數據控制人或使用者最高將面臨高達全球年營收4%或者2000萬歐元(約1.5億人民幣)的鉅額罰款,且以二者中較高者為準。

對此,普通網絡用戶深表歡欣,但大多數企業都怨聲載道。舉兩個常見的例子:

例如,某自由職業作家開設了一家個人網站,對其工作感興趣的人可以訂閱最新動態,他累計了一定的讀者群體並以此作為主要宣傳渠道。隨著新法規的實施,這些訂閱者的姓名、郵箱等信息必須受到嚴格保護,但這位自由職業者對信息技術、法律事務缺少專業經驗,能否繼續使用原有的推送渠道、如何足夠安全地保存個人信息,都不得不打上問號。

又如,一位貨運公司有20輛卡車,聘請司機進行長途運輸。為了規範運營、控制油耗成本、避免司機疲勞駕駛,公司在卡車上安裝了定位,並通過後臺收集位置數據。隨著新法生效,這些位置數據也成為重點受保護對象,其收集、處理及保存都面臨很高的技術和法律要求。

從大型公司到網店店主,紛紛對此憂心忡忡。最高興的大概是諮詢公司和律師,平時精打細算過日子的中小企業主不得不給他們提供了一大筆生意。

德國工商大會對媒體表示,GDPR是一項“巨大的挑戰”,尤其是中小型企業的合規性運營將受到顯著影響。鉅額罰金逼得企業不得不投入相當的成本,但違規風險仍然驚人。一旦涉嫌違反《法案》規定,就可能被

用戶、競爭對手、監管機構告上法庭。

據統計,截至2018年4月,僅有13%的德國企業認為自己在技術和法律層面已經為新出臺的《法案》做好了充分準備。新法實施初期,預計歐盟境內將出現一個相關的案件訴訟高潮。


分享到:


相關文章: