今年5月25日,欧盟《通用数据保护条例》(简称“GDPR”)将正式付诸实施,GDPR被称为有史以来数据保护的最高标准,其严厉的处罚措施让数据控制和数据处理公司不得不严肃的对待。
GDPR自2016年颁布后的两年多的过渡时间里,越来越多的国内企业和机构意识到GDPR不仅仅是一部远在欧盟的法律,它所带来的有关数据保护的统一理念,数据主体享有的创新性权利,加强数据保护的新举措,都深深地影响着各国立法机关和监管机构,GDPR对数据控制者和处理者设定的义务,以及对欧盟外企业的域外适用效力,更是让国内企业慎重对待。
但是,全球多云数据管理解决方案领导厂商Veritas Technologies研究显示,全球诸多企业误认为自身符合了GDPR的标准和要求。根据调查,真正满足条例合规要求的企业只有2%,在声称符合合规要求的企业中,约48%的企业对个人数据没有全面的可视性,61%的企业自身企业难以识别个人数据泄露事件,并且无法在GDPR强制要求的72小时内进行报告。Veritas Technologies建议,认为自身满足GDPR合规要求的企业应该重新审视自身的数据保护合规政策。违反GDPR要求的企业将面临高达全球年收益额4%或2000万欧元的罚款,以金额高者为准。
作为长期关注数据保护和个人信息保护的中国律师,在GDPR生效的前夜,再次审视这部具有里程碑意义和国际影响力的数据保护条例,与中国企业共同迎接数据合规的新挑战。
北京德和衡律师事务所主任刘克江在“GDPR对国内企业影响”圆桌研讨会上发言
GDPR 的欧盟数据宪章地位
GDPR并不是一蹴而就的,它源于欧盟一直以来的个人信息保护的法治理念,有持续多年的全方位立法和执法实践的基础,经过了四年之久的持续讨论而最终形成。GDPR 共11 章99 条, 主要从数据主体、数据控制者与处理者、数据监管者三方面,重新审视欧盟的个人数据保护法规,架构一套更匹配当前时代需要的个人数据保护体系,并给予成员国企业两年多的过渡时间进行持续的宣传和国内立法匹配,从内容和效力上看,作为欧盟数据宪章的地位当之无愧。
首先,GDPR的适用范围更广泛。GDPR对于位于欧盟本地的商业存在适用没有什么变化,而且强调了即便数据处理活动没有发生在欧盟境内都统一使用。对于未在欧盟境内有商业存在的机构而言,只要其在提供产品和服务的过程中,无论是否收费,处理了欧盟居民的个人数据,将同样适用GDPR。此类情形还包括对欧盟境内的个人活动的监控行为,包括利用cookies等互联网技术对个人网络活动的跟踪分析。基于目前各行各业个人数据信息处理的广泛适用,无论是银行、保险、交通运输和制造等传统行业,还是网络社交、电子游戏,电子商务、短视频等互联网服务,只要涉及向欧盟境内的个人提供服务并处理个人数据,都将受到GDPR的管辖。这也是为何世界各国在GDPR生效前极为关注并缜密研究的核心原因之一。
其次,GDPR有更高的法律效力和更统一的监管体系。相对于GDPR实施前的欧盟各项数据保护文件和指令,GDPR首先实现了直接适用效力,即其一旦生效就可以立即在欧盟各成员国之内以国内法的形式颁布实施,且其效力优先于各国国内法。另一方面,对于向欧盟不同国家提供业务的企业或者在不同国家都有设立地的企业建立一站式监管机制,以便处理消费者在欧盟内的跨境投诉,并专门成立了欧盟数据保护理事会(European Data Protection Board,EDPB),监督法案实施,提供合规与认证建议,协调处理消费者的投诉。
再次,更重的违法成本也将使得GDPR建立的数据保护机制得以有效执行。GDPR规定了两档严苛的罚金,第一档为1000万欧元或者上一年度全球营收的2%的罚款,两者取其高,针对的违法行为包括没有实施充分的IT安全保障措施 ,或者没有提供全面的、透明的隐私政策,没有签订书面的数据处理协议等;第二档为2000万欧元或企业上一年度全球营业收入的4%的罚款,两者取其高。此类处罚针对的违法行为包括:无法说明如何获得用户的同意,违反数据处理的一般性原则,侵害数据主体的合法权利以及拒绝服从监管机构的执法命令等。
从具体内容上看,GDPR创新性地丰富了数据主体的权利以及将数据控制者和处理者的问责制通过各项制度落地,也是的GDPR在个人数据保护领域具有领先的地位。
GDPR赋予数据主体更加细致坚实的权利
相对于欧盟1995年的《数据保护指令》,GDPR不仅细化了原有权利,而且创新性地提出了可携带权,被遗忘权,扩展数据画像的内涵,更加细致坚实的权利保护,极大增强了数据主体对于个人数据的控制能力,在另一方面,也对数据控制者和数据处理者如何满足保护数据主体权利提出了更高要求。
知情权
GDPR扩大知情权范围,要求数据控制者必须以清楚、简单、明了的方式向个人说明其个人数据是如何被收集处理的,应当告知的信息内容包括: 数据控制者的身份和联系方式、数据控制者指定的代表信息、DPO的相关信息、数据的接收者或数据接收者的类型;数据处理的目的和合法基础,告知用户享有撤回 “同意” 的权利;如果涉及自动化的数据处理,包括数据画像活动, 则需要提供基本的算法逻辑以及针对个人的运算结果;个人数据的保留周期以及采取该周期的理由;依据法律数据主体享有的权利,投诉权以及相关的监管机构;如果数据传输到第三国,则需要告知用户该第三国是否通过欧盟的充分性决定,如果没有通过,则需要告知数据主体采取了何种保障措施;如果数据不是从数据主体处直接收集而来,则需要告知其数据的来源和类型。
访问权
GDPR扩大访问权范围,要求数据控制者应当为用户实现该权利提供相应的流程。如果该请求是以电子形式提出的,则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费,除非数据主体的请求明显过量。
反对权
GDPR规定在两种情形下,数据主体享有绝对的拒绝权:即始终有权随时拒绝数据控制者基于其合法利益处理个人数据,以及始终有权随时拒绝基于个人数据的市场营销行为。
可携带权
GDPR首次提出数据可携带权,指用户可以无障碍地将其(自动化方式为之)个人数据从一个信息服务提供者处转移至另一个信息服务提供者;数据可携权的内容,包括两个方面,其一是副本获取权(right to obtain a copy ),其二是数据转移权(right to data transfer)。
被遗忘权
扩展“删除权”为“被遗忘权”。GDPR有关此项权利的第17条一共3款,在第1款传统个人信息保护中已经确立的删除权的基础上,第2条规定,如果该个人数据已经进行了公开传播,数据控制者应该采取可用的技术手段和投入合理成本等合理的方式进行删除,而且数据控制者有责任通知处理此数据的其他数据控制者,删除有关数据主体主张的个人数数据的链接、复制件。
GDPR对中国企业数据合规的影响
5月24日,北京德和衡律师事务所邀请了知名学者、多家企业代表、欧盟律师代表、行业专家以及网络安全技术专家齐聚一堂,共同探讨GDPR对国内企业影响。
GDPR所创建的数据合规要求成为目前世界上最严格、最全面的数据合规标准,随着欧盟数据保护工作委员会的各项指南发布,数据合规要求如何落地的各项良好实践也逐渐细化,成为企业遵从的标准,对中国企业的数据保护具有深刻的影响。
各企业应自觉对标GDPR要求,在GDPR生效前期审视业务是否受到GDPR管辖,是否满足GDPR要求。 比如,小米首席架构师在金融科技与金融安全峰会上介绍,小米会努力拿到欧盟GDPR认证,已经在做一些评估。华为在欧洲一直有专家在研究GDPR,华为在欧洲的云服务,通过了欧洲最严格的安全认证CSA-STAR。
中国国家标准化管理委员会的《个人信息安全规范》中,充分借鉴了GDPR中对数据主体的个人权利,并有着自己特色的规定。比如,在数据可携带权的借鉴上,规范中规定了个人信息主体获取个人信息副本的权利,但仅仅限于特定的四中信息。即根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方,该等信息包括个人基本资料、个人身份信息;个人健康生理信息、个人教育工作信息。
欧盟要求各成员国要提供宣传和预算,增强数据保护的观念。在GDPR即将实施和未来实施的一段期间内,中国也进入了网络安全,数据保护和数据合规治理的学习和实践的高峰,无论是国家层面的具体法规的发布,标准实施,还是学术界、律师行业以及企业层面的学习研讨和实务交流,以及媒体和社会大众对信息保护以及个人隐私保护热点事件的关注,都将持续引发一段时间的数据合规治理学习和探讨的热潮。
作者:北京德和衡律师事务所主任 刘克江
閱讀更多 法制晚報法律大講堂 的文章
