关于GDPR,你应当知道的有这些
关于GDPR,你应当知道的有这些
目录
一、引言
二、主要定义
三、适用范围
四、GDPR的基本原则
五、数据主体的主要权利
六、控制者和/或处理者的主要义务
七、跨境传输的要求
八、处罚措施
九、GDPR对于中国企业和跨国公司的影响
十、针对GDPR的合规建议
一
引言
《一般数据保护条例》(General Data Protection Regulation, 以下简称GDPR),旨在通过对个人数据的处理与流动进行规范与约束,从而保护自然人的个人数据权利。该条例已经于2018年5月25日正式生效。同时,GDPR作为欧盟的条例,将直接约束欧盟境内相关主体,无需通过欧盟成员国的国内立法予以转化。
据报道,GDPR上周五生效后,为了避免违规风险,美国《洛杉矶时报》、《New York Daily News》及其他报纸的发行方Tronc Inc.等服务商纷纷屏蔽了欧盟读者。同时,在不少媒体报道中,GDPR被冠以“最严数据隐私条例”进行解读。即便如此,我们认为,尽管GDPR对企业提出了高标准的数据合规要求,但这些要求并非是绝对化的。从整体来看,GDPR实际体现的是数据保护与使用/流通之间的平衡兼顾,仅以“史上最严”等修饰难以对其进行准确与周严的评价。
因此,本着“以本为本”的原则,我们从条文出发,以GDPR章节顺序为线索,对GDPR的具体内容进行了简要梳理。同时,在清晰把握GDPR框架结构及条文内容的基础上,我们也为企业数据合规提出了若干建议,以期企业在数据合规体系的构建中能有所启发。
二
主要定义
1.个人数据
任何指向一个已识别或可识别的自然人(数据主体)的信息。可识别的自然人信息是指可以通过参照如姓名、身份证号码、定位数据、在线识别信息等,或通过一个或多个具体的物理的、生理的、基因的、精神的、经济的、文化的或社会的特征,直接或间接的识别自然人的信息。
2.处理
对个人数据或一系列个人数据进行的任何操作或一系列操作(不论该操作是自动化的与否),例如收集、记录、组合、建构、存储、改编或修改、恢复、使用、披露、传输、传播或其它方式的排列重组、删改使用。
3.控制者
能单独或联合决定个人数据处理目的或方式的自然人或法人、公共机构、政府机关或其他主体。如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
4.处理者
代表控制者处理个人数据的自然人或法人、公共机构、行政机关或其他主体。
5.跨境处理
个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。
三
适用范围
GDPR的适用范围极广,除了适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理(不论其实际数据处理行为是否在欧盟内进行外),如果存在以下几种情况,即使控制者和处理者没有设立在欧盟内,GDPR同样适用于其对欧盟内的数据主体的个人数据处理:
1.向欧盟境内数据主体提供商品和服务的(不论该商品或服务是否需要支付对价);
2.监控数据主体在欧盟境内行为的;
3.对个人数据的处理由欧盟外控制者进行,但根据欧盟成员国法律可以通过国际公法适用于该控制者所在地的;
GDPR较广的适用范围将对中国企业的移动应用安全、数据收集、处理和交易产生重大影响。例如,一家中国的互联网金融公司在中国境内为欧盟数据主体提供金融服务,收集有关个人数据,也应当遵循GDPR相关要求。
四
GDPR的基本原则
1.对个人数据的处理原则
1.
处理个人数据应当遵循合法、公平、透明的基本原则
2.
收集个人数据的目的必须特定、明确、合法
3.
最小化原则,仅允许充分地处理相关且必要的数据
4.
确保数据准确,并在必要时及时更新
5.
对能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间
6.
确保个人数据的完整性与保密性
7.
个人数据控制者负有证明自身行为符合上述原则的责任
2.对个人数据的处理具有合法性
1.
数据主体同意其个人数据为一个或多个特定目的而处理
2.
处理是为履行数据主体参与合同的必要行为,或是因数据主体在签订合同前的请求而采取的措施
3.
处理是为履行法务义务的必要
4.
处理是为保护数据主体或另一自然人利益的必要
5.
处理是为公共利益或公务目的的必要
6.
处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由
3.同意的条件
1.
如果处理是基于同意,控制者应能证明数据主体已经同意处理其个人数据
2.
如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现
3.
数据主体有权随时撤回他或她的同意,且同意的撤回不应影响在撤回前基于同意作出的合法的数据处理
4.
分析同意是否是自由做出的,应当最大限度地考虑是:对合同的履行,包括履行条款所规定的服务,是否是基于对履行合同所不必要的个人数据处理
4.其他基本原则
除了上述原则外,GDPR还对适用于儿童同意的条件、特殊种类的个人数据处理(如涉及种族出身、政治倾向、宗教或哲学信仰等个人数据的处理)、有关刑事定罪和罪行的个人数据的处理基本原则进行了规范与约束。这些内容主要集中在GDPR的第8~11条。
五
数据主体的主要权利
序号
权利
具体内容
条文
1.
知情权
控制者应当在获取个人信息时,应当向数据主体提供相应的信息以保障数据主体对控制者身份、个人信息处理目的及方式、权利维护途径等内容知晓。
第13、14条
2.
访问权
数据主体应当有权从管理者处确认个人数据是否被处理,以及有权知道处理目的、保留时间等内容。
第15条
3.
纠正权
数据主体有权要求控制者无不当延误的纠正与其相关的不准确的个人数据。
第16条
4.
删除权
(被遗忘权)
数据主体有权要求控制者无不当延误地删除与其有关的个人数据,且在特定情形下控制者有义务无不当延误地删除个人数据。
第17条
5.
限制处理权
在特定情况下,数据主体有权限制控制者处理数据。例如,数据主体对个人数据的准确性有争议,并给与控制者以一定的期限以核实个人数据的准确性。
第18条
6.
可携权
数据主体可以要求数据控制者将其个人数据转移给另一个数据控制者,而被要求的数据控制者应当配合相应要求。
第20条
7.
拒绝权
数据主体有权以与其有关的理由反对数据处理。
第21条
8.
自动化个人决策
数据主体不受基于自动化处理行为得出的决定的制约,以避免对个人产生法律影响或与之相类似的显著影响。
第22条
六
控制者和/或处理者的主要义务
序号
义务
具体内容
条文
1.
信息透明
控制者应当确保数据主体行使权利的额透明度,如应以简单透明、清晰且容易获取的方式,通过清楚明确的语言向数据主体提供相关信息。
第12条
2.
设计和默认的数据保护
控制者应当实施适当的技术和组织措施保护数据主体的权利,如匿名化等。且对特定事项,该技术和组织措施应确保在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。
第25条
3.
活动记录
控制者以及适用情况下的控制者的代理人,应当依职责保存处理活动的记录,且记录应当包含特定信息,如处理目的、数据主体类别、控制者联系方式等。
第30条
4.
泄露通知
在个人数据泄露的情况下,控制者应毫不延误地,且在可行的情况下至少在知道时起72小时内通知监管机构。
第33条
5.
影响评估
在进行数据处理之前,控制者应当就个人数据保护所设想的处理操作方式的影响进行评估。
第35条
6.
事先咨询
根据影响评估,如果控制者不采取措施,处理会带来高风险,那么控制者应当在处理之前咨询监管机构
第36条
7.
设立数据保护官
控制者和处理者需要指派专门的数据保护官(Data Protection Officer, DPO) 负责降低数据风险,确保数据合规,响应请求,报告违规,乃至创建一个良好的数据安全策略。
第37-39条
8.
其它
控制者和/或处理者还应当遵守各类行为准则,获得相应认证等。
第24、28、40-43条
七
跨境传输的要求
1.基于认定具有充分保护的传输
对于向第三方或国际组织进行个人数据传输,欧盟委员会会对第三方或国际组织对信息的保护充分性进行评估,并可以通过制定实施性法案,确定其是否具有充分的保护。如果欧盟委员会确认第三方或国际组织对该等信息有充分的保护程度,那么该传输不需要任何的授权。
对保护的充分性进行评估的时候,欧盟委员会会特别考虑以下因素:
1) 相关法律条文对人权与基本自由的尊重,以及个人数据保护类立法的实施情况、数据保护规则、职业规则、安全措施和司法救济等;
2) 第三国或国际组织独立监督机构的存在和有效运作以确保数据保护规则得以执行;
3) 第三国或国际组织已作出的国际承诺,或其他具有约束力的规则、义务等。
如果没有得到上述充分性保护确认,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。这里所谓的适当的保障措施可以是:有约束力的公司规则、欧盟委员会的数据保护标准条款、具有约束力和执行力的承诺等。
2.跨境传输的特殊情况
如果既没有取得充分保护性确认,又未采取GDPR规定的“适当的保护措施”,向第三国或国际组织传输个人数据仍可能实现,但只应在下列条件之一发生时才可以:
1)潜在风险已经通知数据主体,且数据主体已经明确同意;
2)数据主体与控制者履行合同所必须的,或是应数据主体要求进行的预合同措施;
3)控制者与第三人履行合同所必须的,该履行对于利于数据主体权利的维护;
4)出于公共利益目的;
5)出于建立、行使或抗辩法律目的;
6)为数据主体或他人利益,且同意因身体性或法律原因无法表示;
7)根据欧盟或欧盟成员国法律,传输是由相应机构进行的,且该机构向公众提供咨询。但这种情况只有在符合特定的欧盟或欧盟成员国法律规定时才能进行。
八
处罚措施
不遵守GDPR,企业将面临较严厉的制裁和巨额的罚款。根据违反条例的严重程度与具体行为,GDPR规定了两层罚款:
1. 1000万欧元,或全球年度营业额的2%,两者中比较高的数额;
2. 2000万欧元,或全球年度营业额的4%,两者中比较高的数额。
九
GDPR对于中国企业和跨国公司的影响
1.GDPR加重了中国企业及跨国公司的合规义务
GDPR的实施将加重中国企业及跨国公司涉欧业务的合规义务,企业需要从数据处理的各个环节入手进行合规自查与弥补,并构建起一套符合法律法规要求的数据合规体系。这对于大部分企业来说,特别是跨国企业来说是一个工程浩大的项目,这主要因为:
1)合规要求细节多而杂,且标准高;
2)涉外企业组织结构复杂,各区域制度、技术统一难度高;
3)合规任务完成后还有待实践及监管机构的检验;
4)数据合规是一个持续的过程,需要根据技术、政策、业务的变化不时调整。
2.GDPR实际体现了数据保护与使用/流通之间的平衡兼顾
尽管GDPR对企业提出了高标准的合规要求,但这些要求并非是绝对化的。例如,得到同意是数据处理的合法要件,但GDPR也规定了若干可以替代“同意”的其他条件或场景作为数据处理的合法性基础,如数据控制者为了履行法律职责的需要可以进行数据处理;数据控制者为了履行数据主体所参与的合同,或在合同成立前依数据主体请求而进行数据处理等。
从整个GDPR来看,类似上述情况的豁免、限制条款及但书规定不在少数。这些平衡机制的引入,使得GDPR的内容及运营变得远比想象得要复杂,但也为其落地后的实施留下了充足的空间。因此,我们认为,企业也没有必要盲目悲观,尽管需要付诸一定努力及成本实现数据合规,但相关业务的开展与进行,不至于因此被拦腰斩断。
3.GDPR与《网络安全法》既有重合也有差异
关于GDPR与《网络安全法》(Cyber Security Law, CSL)有两个误区:
1)GDPR与CSL完全不一样,企业需要同时符合不同的合规要求,合规压力巨大;
2)GDPR与CSL都差不多,且GDPR要求更高,内容更细,只要符合了GDPR的要求,就当然也能符合CSL的要求。
以上两种看法都不够客观,也容易使企业陷入一定合规困境。第一种观点,容易让企业合规、法务等部门重复劳动,盲目作业。第二种观点,容易让企业在不知不觉中落入CSL监管与打击的范围内。
我们认为GDPR与CSL是既有重合也有差异的。重合在于,GDPR与CSL在宏观监管方向上是一致,例如GDPR与CSL都对“个人信息”进行了较广泛的定义,都对数据本地化进行了限制与要求,都对数据控制者施加了通知义务,都要求进行数据处理时需得到数据主体同意,都要求数据控制者对数据安全进行评估。差异在于,GDPR与CSL对于技术与制度的细节标准有所不同,例如对于DPO的要求,GDPR要求DPO行使职责时能够有自主权,其需要向上汇报和负责,但不被“领导”。但根据《个人信息安全规范》,“法定代表人或主要负责人对个人信息安全负全面领导责任”,因此CSL下的“DPO”的没有GDPR下DPO的独立性高。
GDPR与CSL中有对相关技术、制度的要求差异,我们认为主要是不同立法目的与需求造成的。具体来说,尽管GDPR与CSL的立法目的都旨在对适用地区的网络安全合规与数据保护提出更高要求,但CSL作为一部框架性的法律,其最重大的意义在于为中国网络安全法制体系的建立打下重要基础。但很多相关的具体制度仍需要接下来的配套法规规章来细化与落实,而相比之下GDPR更直接关注个人信息的自由使用与流通。因此,不难理解个人数据保护仅仅是CSL所保护法益的一个部分,网络运营安全、国家安全同样也是CSL关注的重点,CSL除了个人数据的保护外,还更多关注到企业的网络运营是否会对网络安全、国家安全产生不利影响。因此,企业在进行合规时,应当注意归纳GDPR与CSL的一致方向与要求,也应当从立法目的与技术、制度细节出发,分清各自差异点,这样才能在数据合规时做到“不重不漏”,高效合规。
十
针对GDPR的合规建议
1.进行技术、制度合规自查与整改
企业应当根据GDPR的要求结合自身经营模式及业务场景进行技术、制度合规自查与整改,使企业先符合有关要求。这个是迈出数据合规之路的第一步。根据前面介绍的内容,我们认为,企业自查与整改的方向包括但不限于:
1) 个人信息收集方式、隐私政策、数据传输协议等是否符合GDPR规定与要求;
2) 是否设立DPO并满足其任职资质;
3) 是否提供相应服务途径以保障数据主体的删除权、投诉权、被遗忘权等权利;
4) 业务开展过程中所使用、开发的产品/服务是否符合相应技术标准;
5) 涉及与其他第三方交易的时候,各方相关权利义务是否划分清楚,风险分配是否恰当。
2.完善企业内控机制
在技术、制度符合GDPR要求的基础上,企业还应当完善自身内控机制,包括但不限于:
1)对员工进行合规培训,提升数据合规意识;
2)设计数据安全权限制度,将接触数据的途径及人员控制在一定范围内容;
3)定期进行数据审计与风险评估;
4)建立预警平台和应急预案。
3.积极配合监管机构监督检查
不论是CSL还是GDPR,现阶段都属于法律实施的起步阶段,企业与执法机构都会在这个过程中遇到很多执行障碍,因此企业在面对执法机构与监管机构的监督检查时,应当尽可能配合其要求。这样既可以减少与执法部门和监管机构之间不必要的冲突,也可以在配合监督检查的过程中再次查缺补漏,更好的了解合规要求及内容。
参考资料
-
1.《中华人民共和国网络安全法》
-
2.General Data Protection Regulation
-
3.《一般数据保护法全文译文》,国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间安全学院
-
4.《欧盟守个数据保护条例GDPR今日生效,你可能需要他的中文版》,腾讯研究院
-
5.《企业GDPR合规路径》,朱玲凤
-
6.《前夕GDPR对中国企业海外运营的影响及应对》,潘永健、李天航
-
7.《欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招》,李俊杰