對於大型科技公司而言,在歐洲的日子怕是越來越難過了。
在歐盟《通用數據保護條例》(GDPR)正式生效後,2019年當之無愧成為數據保護的執法元年。
GDPR生效,先罰谷歌5000萬歐元
新年伊始,法國相關監管機構就依據GDPR向谷歌開出了5000萬歐元(約合3.8億元人民幣)鉅額罰單,理由是谷歌在向用戶定向發送廣告時缺乏透明度、信息不足,且未獲得用戶有效許可。
現在,GDPR幾乎吹響了全球個人數據保護權利的號角。在史上最嚴厲的數據監管背景下,Facebook、 Amazon、 Instagram、 Whatsapp等涉及個人數據採集和運營的公司連連受到關注和投訴。
解讀GDPR:知GDPR 百戰不殆
GDPR雖然只有99條,但篇幅不小,有近100頁的內容。本文擬對GDPR有關適用主體、個人數據範圍、數據處理合規等進行初步的整理。
1.保護對象:
GDPR保護的僅是“個人數據”,不涉及個人數據以外的其他數據。根據GDPR第4條的規定,個人數據是指,與一個已被識別或者可被識別的自然人相關的任何信息。
根據GDPR規定,個人數據範圍可以包括如下內容:
1.身份信息,如年齡、性別、指紋、興趣、觀點。
2.個人愛好信息:如網址偏好、消費習慣。
3.金融信息:如個人收入、交易活動。
4.社交媒體上的信息,如參與的組織、興趣、朋友、親戚、同事信息。
5.通信信息,如招聘、視頻、短信、視頻通話、電子郵件
6.個人定位信息,如個人地理定位軌跡、旅行信息。
就個人數據的保護而言,GDPR主要適用於電腦(自動化)處理個人數據的行為,不涉及其他類型的處理行為。
GDPR第4條規定,對個人數據的自動化處理包括:
1.收集,記錄,整理,組織,存儲;
2.改編,調整,檢索,查閱,利用;
3.通過傳輸或者傳播予以披露、提供;
4.匹配,組合;
5.限制,刪除,摧毀。
GDPR對個人數據的保護並不絕對,其“序言”部分要求,應當平衡新聞自由、表達自由、商業自由等權利,符合比例原則、法益平衡原則等法律的基本原則。
2.管轄範圍:
GDPR第3條規定,GDPR適用於以下三種情形:
1.數據控制者、數據處理者在歐盟有營業場所的,不論數據處理行為發生在歐盟還是境外;
2.數據控制者、數據處理者未在歐盟設立營業場所,但向歐盟的數據主體提供商品或者服務,或者被追蹤的網絡行為發生在歐盟的;
3.雖然數據控制者、數據處理者未在歐盟設立營業場所,但是根據國際公法應當適用歐盟成員國法律的。
3.權利主體:
在GDPR中,享有數據權利的主體被稱為數據主體(data subject),個人數據所指向之自然人為數據主體。數據主體須為歐盟居民,一般要求具有成員國國籍。
4.義務主體:
GDPR主要針對兩類義務主體,即數據控制者(controller)和數據處理者(processor)。控制者是指單獨或者與他人一起,決定個人數據處理之目的和方式的自然人、法人或者其他組織。處理者是指代表控制者,處理個人數據的自然人、法人或者其他組織。
應對:臨“危”不亂 規行矩步
根據GDPR的規定,對個人數據保護方面違規的企業,最高可能面臨2000萬歐元或相當於其在全球範圍內營業收入的4%的罰款。 GDPR甚至確認,丹麥法院可以對違反GDPR的行為處以刑罰,愛沙尼亞主管機構可以基於輕罪(Misdemeanour)來處以罰款。
GDPR不折不扣是一部個人隱私保護領域的里程碑式立法,在全球範圍內產生了震懾力。自然,GDPR對全球範圍內的企業的業務運營和合規管理提出了更高的要求。對從事涉歐業務的企業而言,除了需要遵守具體成員國既定的有關個人數據保護的法律還需要遵守GDPR的規定。
對此,作為負責任的中國企業,需要圍繞客戶和員工個人數據保護重塑公司內部管理結構,比如整合公司市場、數據處理中心、HR以及法務部門的力量並實現通力合作,對相關人員進行有關個人數據保護的培訓,並隨時準備好與僱員、客戶等信息主體的開展有關個人數據保護的有效溝通和訴求回應。
當然,僱員隱私保護權利與公司商業秘密、專利等知識產權亦免不了產生衝突。
危中有“機”合規先行
GDPR雖然是洪水猛獸,但還是孕育著商業機會。GDPR對跨國企業提出了更高的合規要求,這既是屏障,又是通道,因為對於及時建立和完善了公司內部個人數據保護機制的中國企業,往往更容易為歐洲合作伙伴和歐洲客戶用戶接納。
這方面B2C的企業尤其需要注意。當然,對於B2B的企業,特別是涉及歐盟企業或合作伙伴的人員派遣、人才培訓、技術支持等情形,往往涉及員工個人數據保護問題,也需要在相關合作或業務合同中添加員工數據保護的標準法律條款。對於通過租賃服務器開展“互聯網+相關業務”的初創企業,如SaaS行業的企業,則需要與數據中心和服務器提供商明確哪方屬於數據處理方,以避免因為界限不清而招致不必要的第三方索賠。
綜上所述,企業想要做到可持續健康穩定發展離不開與時俱進適應行業的合規。企業需要專業的商業調查顧問,幫助其排憂解難。銳濱商調—是企業專業風控顧問,為企業發展保駕護航,我們真誠期待與您合作。
閱讀更多 銳濱商調 的文章
