今年5月25日,歐盟《通用數據保護條例》(簡稱“GDPR”)將正式付諸實施,GDPR被稱為有史以來數據保護的最高標準,其嚴厲的處罰措施讓數據控制和數據處理公司不得不嚴肅的對待。
GDPR自2016年頒佈後的兩年多的過渡時間裡,越來越多的國內企業和機構意識到GDPR不僅僅是一部遠在歐盟的法律,它所帶來的有關數據保護的統一理念,數據主體享有的創新性權利,加強數據保護的新舉措,都深深地影響著各國立法機關和監管機構,GDPR對數據控制者和處理者設定的義務,以及對歐盟外企業的域外適用效力,更是讓國內企業慎重對待。
但是,全球多雲數據管理解決方案領導廠商Veritas Technologies研究顯示,全球諸多企業誤認為自身符合了GDPR的標準和要求。根據調查,真正滿足條例合規要求的企業只有2%,在聲稱符合合規要求的企業中,約48%的企業對個人數據沒有全面的可視性,61%的企業自身企業難以識別個人數據洩露事件,並且無法在GDPR強制要求的72小時內進行報告。Veritas Technologies建議,認為自身滿足GDPR合規要求的企業應該重新審視自身的數據保護合規政策。違反GDPR要求的企業將面臨高達全球年收益額4%或2000萬歐元的罰款,以金額高者為準。
作為長期關注數據保護和個人信息保護的中國律師,在GDPR生效的前夜,再次審視這部具有里程碑意義和國際影響力的數據保護條例,與中國企業共同迎接數據合規的新挑戰。
北京德和衡律師事務所主任劉克江在“GDPR對國內企業影響”圓桌研討會上發言
GDPR 的歐盟數據憲章地位
GDPR並不是一蹴而就的,它源於歐盟一直以來的個人信息保護的法治理念,有持續多年的全方位立法和執法實踐的基礎,經過了四年之久的持續討論而最終形成。GDPR 共11 章99 條, 主要從數據主體、數據控制者與處理者、數據監管者三方面,重新審視歐盟的個人數據保護法規,架構一套更匹配當前時代需要的個人數據保護體系,並給予成員國企業兩年多的過渡時間進行持續的宣傳和國內立法匹配,從內容和效力上看,作為歐盟數據憲章的地位當之無愧。
首先,GDPR的適用範圍更廣泛。GDPR對於位於歐盟本地的商業存在適用沒有什麼變化,而且強調了即便數據處理活動沒有發生在歐盟境內都統一使用。對於未在歐盟境內有商業存在的機構而言,只要其在提供產品和服務的過程中,無論是否收費,處理了歐盟居民的個人數據,將同樣適用GDPR。此類情形還包括對歐盟境內的個人活動的監控行為,包括利用cookies等互聯網技術對個人網絡活動的跟蹤分析。基於目前各行各業個人數據信息處理的廣泛適用,無論是銀行、保險、交通運輸和製造等傳統行業,還是網絡社交、電子遊戲,電子商務、短視頻等互聯網服務,只要涉及向歐盟境內的個人提供服務並處理個人數據,都將受到GDPR的管轄。這也是為何世界各國在GDPR生效前極為關注並縝密研究的核心原因之一。
其次,GDPR有更高的法律效力和更統一的監管體系。相對於GDPR實施前的歐盟各項數據保護文件和指令,GDPR首先實現了直接適用效力,即其一旦生效就可以立即在歐盟各成員國之內以國內法的形式頒佈實施,且其效力優先於各國國內法。另一方面,對於向歐盟不同國家提供業務的企業或者在不同國家都有設立地的企業建立一站式監管機制,以便處理消費者在歐盟內的跨境投訴,並專門成立了歐盟數據保護理事會(European Data Protection Board,EDPB),監督法案實施,提供合規與認證建議,協調處理消費者的投訴。
再次,更重的違法成本也將使得GDPR建立的數據保護機制得以有效執行。GDPR規定了兩檔嚴苛的罰金,第一檔為1000萬歐元或者上一年度全球營收的2%的罰款,兩者取其高,針對的違法行為包括沒有實施充分的IT安全保障措施 ,或者沒有提供全面的、透明的隱私政策,沒有簽訂書面的數據處理協議等;第二檔為2000萬歐元或企業上一年度全球營業收入的4%的罰款,兩者取其高。此類處罰針對的違法行為包括:無法說明如何獲得用戶的同意,違反數據處理的一般性原則,侵害數據主體的合法權利以及拒絕服從監管機構的執法命令等。
從具體內容上看,GDPR創新性地豐富了數據主體的權利以及將數據控制者和處理者的問責制通過各項制度落地,也是的GDPR在個人數據保護領域具有領先的地位。
GDPR賦予數據主體更加細緻堅實的權利
相對於歐盟1995年的《數據保護指令》,GDPR不僅細化了原有權利,而且創新性地提出了可攜帶權,被遺忘權,擴展數據畫像的內涵,更加細緻堅實的權利保護,極大增強了數據主體對於個人數據的控制能力,在另一方面,也對數據控制者和數據處理者如何滿足保護數據主體權利提出了更高要求。
知情權
GDPR擴大知情權範圍,要求數據控制者必須以清楚、簡單、明瞭的方式向個人說明其個人數據是如何被收集處理的,應當告知的信息內容包括: 數據控制者的身份和聯繫方式、數據控制者指定的代表信息、DPO的相關信息、數據的接收者或數據接收者的類型;數據處理的目的和合法基礎,告知用戶享有撤回 “同意” 的權利;如果涉及自動化的數據處理,包括數據畫像活動, 則需要提供基本的算法邏輯以及針對個人的運算結果;個人數據的保留週期以及採取該週期的理由;依據法律數據主體享有的權利,投訴權以及相關的監管機構;如果數據傳輸到第三國,則需要告知用戶該第三國是否通過歐盟的充分性決定,如果沒有通過,則需要告知數據主體採取了何種保障措施;如果數據不是從數據主體處直接收集而來,則需要告知其數據的來源和類型。
訪問權
GDPR擴大訪問權範圍,要求數據控制者應當為用戶實現該權利提供相應的流程。如果該請求是以電子形式提出的,則也應當以電子形式將數據提供給個人。控制者不能基於提供該服務而收費,除非數據主體的請求明顯過量。
反對權
GDPR規定在兩種情形下,數據主體享有絕對的拒絕權:即始終有權隨時拒絕數據控制者基於其合法利益處理個人數據,以及始終有權隨時拒絕基於個人數據的市場營銷行為。
可攜帶權
GDPR首次提出數據可攜帶權,指用戶可以無障礙地將其(自動化方式為之)個人數據從一個信息服務提供者處轉移至另一個信息服務提供者;數據可攜權的內容,包括兩個方面,其一是副本獲取權(right to obtain a copy ),其二是數據轉移權(right to data transfer)。
被遺忘權
擴展“刪除權”為“被遺忘權”。GDPR有關此項權利的第17條一共3款,在第1款傳統個人信息保護中已經確立的刪除權的基礎上,第2條規定,如果該個人數據已經進行了公開傳播,數據控制者應該採取可用的技術手段和投入合理成本等合理的方式進行刪除,而且數據控制者有責任通知處理此數據的其他數據控制者,刪除有關數據主體主張的個人數數據的鏈接、複製件。
GDPR對中國企業數據合規的影響
5月24日,北京德和衡律師事務所邀請了知名學者、多家企業代表、歐盟律師代表、行業專家以及網絡安全技術專家齊聚一堂,共同探討GDPR對國內企業影響。
GDPR所創建的數據合規要求成為目前世界上最嚴格、最全面的數據合規標準,隨著歐盟數據保護工作委員會的各項指南發佈,數據合規要求如何落地的各項良好實踐也逐漸細化,成為企業遵從的標準,對中國企業的數據保護具有深刻的影響。
各企業應自覺對標GDPR要求,在GDPR生效前期審視業務是否受到GDPR管轄,是否滿足GDPR要求。 比如,小米首席架構師在金融科技與金融安全峰會上介紹,小米會努力拿到歐盟GDPR認證,已經在做一些評估。華為在歐洲一直有專家在研究GDPR,華為在歐洲的雲服務,通過了歐洲最嚴格的安全認證CSA-STAR。
中國國家標準化管理委員會的《個人信息安全規範》中,充分借鑑了GDPR中對數據主體的個人權利,並有著自己特色的規定。比如,在數據可攜帶權的借鑑上,規範中規定了個人信息主體獲取個人信息副本的權利,但僅僅限於特定的四中信息。即根據個人信息主體的請求,個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方,該等信息包括個人基本資料、個人身份信息;個人健康生理信息、個人教育工作信息。
歐盟要求各成員國要提供宣傳和預算,增強數據保護的觀念。在GDPR即將實施和未來實施的一段期間內,中國也進入了網絡安全,數據保護和數據合規治理的學習和實踐的高峰,無論是國家層面的具體法規的發佈,標準實施,還是學術界、律師行業以及企業層面的學習研討和實務交流,以及媒體和社會大眾對信息保護以及個人隱私保護熱點事件的關注,都將持續引發一段時間的數據合規治理學習和探討的熱潮。
作者:北京德和衡律師事務所主任 劉克江
閱讀更多 法制晚報法律大講堂 的文章
