欧盟《一般数据保护法案》(General Data Protection Regulation, GDPR)已于2018年5月25日正式适用,对数据控制方作出了严格的数据合规要求。在互联网高速发展、尤其是云技术高速发展、数据无处不在并时时流动的时代,GDPR的颁布实施可谓影响深远。
我国于2016年11月7日颁布并于2017年6月1日正式生效的《中华人民共和国网络安全法》(简称“《网络安全法》”)尽管切入点为“网络安全”而非欧盟的“数据”,但《网络安全法》专章对“网络信息安全”做了规定,以“个人信息”作为切入点对涉及个人信息的数据保护做了原则性规定;除此之外,在《网络安全法》颁布之前我国即有全国人民代表大会常务委员会《关于加强网络信息保护的决定》、工信部《电信和互联网用户个人信息保护规定》;《网络安全法》颁布之后,相关部门则先后发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)以及《信息安全技术数据出境安全评估指南(征求意见稿)》等多份文件予以配套;这方面与GDPR可谓殊途同归,都对各自监管范围内的数据/个人信息获取、使用、转移做了规定。
本文将从立法目的、适用范围、个人数据/信息处理原则、个人数据/信息主体的权利、数据转移、违反个人数据/信息保护义务的法律责任六个方面对二者进行比较。
一、立法目的
保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。 | |
GDPR | 保护对与个人数据的处理相关的自然人权利和个人数据的自由流动。 |
微评:
《网络安全法》的立法目的较为多重,包涵对网络安全的维护、对国家与社会公共利益的维护和对用户主体的权利保护三个方面,而GDPR则聚焦于对个人数据自由流动的保护。这一区别与两个主体之间的不同性质、欧盟与中国之间立法传统等均有关系。在数据/个人信息保护之外,《网络安全法》还注重网络服务提供商提供网络服务的持续性、稳定性以及数据内容本身的合法合规性,防止网络安全事故导致的服务中断以及非法、不实数据内容的传播对实体经济、社会公众日常生活乃至国家安全造成破坏性影响。
此外,值得注意的是,无论是GDPR还是《网络安全法》,从法律通过/颁布到正式适用都预留了较长的时间,以便于从业企业为自身合规做准备。由此也可见,从业企业对数据、个人信息保护的合规化是一个系统、复杂的工程,并非可以一蹴而就。
二、适用范围
在中华人民共和国境内对网络的建设、运营、维护和使用,以及对网络安全的监督管理。其中,网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 | |
GDPR | 完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。 本例适用于:(1)在欧盟内部设立的数据控制者或处理者对个人数据的处理;(2)为欧盟内的数据主体提供商品或服务,且不论此项商品或服务是否要求数据主体支付对价;(3)发生在欧洲范围内的数据主体的活动进行监控。 |
微评:
在受规制主体方面,《网络安全法》的适用范围除了对信息/数据的收集、存储、传输、交换、处理等行为本身外,还包括与该等行为相关的硬件设施的建设、运营和维护;在《网络安全法》框架下受规制的主体统称为网络运营者,并区分为关键信息基础设施的运营者和非关键信息基础设施运营者。相较而言,GDPR的适用范围聚焦于对个人数据的处理,将受规制主体区分为数据控制者与数据处理者。
在适用地域方面,《网络安全法》原则上只适用于我国境内,包括我国境内个人和实体以及境外个人、实体在中国境内建设、运营、维护和适用网络的行为; (1)而GDPR除了适用于欧盟境内的个人数据处理行为,还适用于为欧盟内的数据主体提供商品或服务及对发生在欧洲范围内的数据主体的活动进行监控的行为。此外,据了解,该等“欧盟内的数据主体”除了包括欧盟成员国公民(citizens),还可以包括在欧盟持续居住成为欧盟居民(residents)的主体。可以说,GDPR在适用地域方面比《网络安全法》宽泛很多,并不受限于欧盟境内,甚至不仅仅受限于欧盟公民。
三、个人数据/信息处理原则
原则 | GDPR | |
合法、合理、正当、透明原则 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 | 对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理。 个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的。 |
获得同意原则 | 只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;…… | |
必要、有限原则 | 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 | 个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。 对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。 |
准确原则 | 个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 | 个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正。 |
安全原则 | 不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息; 应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。 | 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。 在以下情况下,需要委任具备专业素质的数据保护官:(1)处理是公共机构或公共实体进行操作;(2)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控;(3)控制者或处理者的核心活动包含了对某种特殊类型数据的大规模处理和对定罪和违法相关的个人数据的处理的。 |
微评:
对比可以发现,无论是《网络安全法》还是GDPR,都规定了合法、合理、正当、透明、必要、有限、安全等原则。值得注意的是:
①《网络安全法》明确规定了需要获得用户的同意,而在GDPR框架下,获得用户同意仅仅是对个人数据进行处理的一种方式(但“获得同意”有着具体的方式要求,并且获得用户同意之外的其他方式的个人数据处理均受到严格的限制);
②对于可以识别数据主体的个人数据,GDPR明确规定了储存不得超过必须的时间,即意味着除个别例外情况,超过时间后该等数据需要存储方主动删除,相较而言《网络安全法》并未对此进行具体规定,但该等要求是否可以在未来解释为“必要”原则的应有之意还需进一步观察。
③对于相关原则,GDPR还综合运用概括性规定、正向列举、反向列举等方式进行了具体的细化,相较于《网络安全法》而言,规定的操作性更强。
④特殊情况下,GDPR设置了数据保护官制度,明确要求需要专人负责个人数据处理/控制方的数据保护事项。
四、个人数据/信息主体的权利
删除与更正的权利:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。 | |
GDPR | 更正与擦除权(被遗忘权):除了与《网络安全法》中类似的规定,还有对于对收集或处理的相关目的已不再必要的个人数据要求擦除的权利。 |
访问权:数据主体应当有权从控制者那里得知,关于其的个人数据是否正在被处理,如果正在被处理的话,其应当有权访问个人数据并得知有关信息。 | |
限制处理权(“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。) | |
数据携带权:可以从数据控制方获得个人数据的副本。 | |
反对权:随时反对数字画像和数据自动处理的权利。 |
微评:
相较而言,《网络安全法》规定的数据/个人信息主体的权利较为简单,仅赋予了数据主体删除与更正的权利,并且其适用情形也更为狭窄,仅限于网络运营者违反规定/约定收集、使用个人信息,或者其收集、存储的个人信息有错误的情形;GDPR赋予的数据主体的权利则更加广泛、深入与具体,赋予了数据主体对自身数据更为积极主动的管理权利,这与GDPR的立法目的密切相关。
五、数据跨境转移
未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 | |
GDPR | GDPR专章对“将个人数据转移到第三国或国际组织”的要求进行了规定。总体而言,该等转移要求:(1)控制者和处理者必须遵守GDPR的所有条款;(2)如果欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权;(3)除第(2)项外,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。 |
微评:
根据《网络安全法》的规定,关键信息基础设施的运营者因业务需要确需向境外转移个人信息和重要数据的,需要按要求进行评估。而具体的评估办法(即《个人信息和重要数据出境安全评估办法》、《信息安全技术数据出境安全评估指南》)目前尚未正式生效。其中,关键信息基础设施运营者是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施的运营者。值得注意的是,前述《评估办法》的征求意见稿已经将本地化要求的主体从关键信息基础设施的运营者扩大到了所有网络运营者。
相较而言,GDPR对数据转移的要求适用于所有数据的转移。该等转移分为了需要获得授权和无需获得授权两种情形。但因为无需获得授权的情况下要求欧盟委员会认定认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护;而实际上,截至目前基本没有任何国家或地区对个人数据的保护严于欧盟,因此目前要实现无需授权的转移几乎不可能。
六、违反数据/信息保护义务的法律责任
侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 | |
GDPR | 违反如下条款,应当按第2段的规定施加最高10 000 000欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的罚款,两者取其高的一项进行罚款: (a)第8,11,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,42和43条规定的控制者和处理者的责任; (b)第42条和第43条规定的认证机构的责任; (c)第41(4)条规定的监管机构的责任。 违反如下条款,应当按第2段的规定施加最高20 000 000欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额4%的金额的罚款,两者取其高的一项进行罚款: (a)处理的基本原则,包括第5、6、7和9条规定的同意的条件; (b)第12条至22条规定的数据主体的权利; (c)第44条至第49条规定的将个人数据转移到第三国或一个国际组织的接收者; (d)所有第九章规定的符合成员国法律的责任; (e)违反监管机构根据第58(2)条对处理所发布的命令、或暂时性或确定性的限制,或对数据流动的中止,或违反第58(1)条拒绝提供访问。 成员国应当制定可适用于违反本条例的其他惩罚的规则。 |
微评:
相较于《网络安全法》在罚金上最高100万元的处罚,GDPR规定的相当于2000万欧元/企业“上一年全球总营业额4%的金额”(取较高的一项)的罚款(此处的基数为营业额而非净利润,笔者注),对于企业尤其是大型跨国企业来说,与《网络安全法》的处罚相比可以说完全不在一个数量级,也难怪各国企业都高度关注欧盟颁布的GDPR。
七、结语
尽管《网络安全法》与GDPR的立法目的不尽相同,但在个人数据/信息保护的大方向上可以说殊途同归,这一点在二者所规定的个人数据/信息处理原则上即可看出。据此可以说明,我国立法部门的前瞻性以及在应对社会发展过程中所展现出来与时俱进与灵活应变的能力。当然,需要正视的是,在个人数据/信息保护方面,GDPR规定得更为详尽与具体,给个人数据/信息主体赋予的权利更为积极主动,所展现出来的立法技术更为成熟,同时规定的处罚措施也更为严苛。
需要特别关注的是,根据GDPR的规定,其适用范围不仅仅包括在欧盟境内开展的个人数据处理行为,还包括为欧盟内的数据主体提供商品或服务,且不论此项商品或服务是否要求数据主体支付对价。这意味着,尽管是注册在我国并且在我国提供服务的企业,只要涉及为欧盟内的数据主体(包括欧盟公民以及欧盟居民)提供商品或服务,哪怕该等商品或服务是免费的,也需要遵守GDPR的规定。典型的如我国境内的酒店因为来我国的欧盟公民/居民提供住店服务,在信息系统中登记其个人信息,严格来说也在GDPR规制的范围之内。
据此,在目前世界各国都越来越重视个人数据保护的背景下,我国从业企业需要同时关注我国《网络安全等》等与个人信息保护的相关法律法规和欧盟GDPR对个人数据保护的要求;而对于已经或致力于全球化的企业更需要整体布局企业的个人数据/信息处理政策,包括但不限于:
(1)在全球布局数据中心/服务器,应对越来越严格的数据跨境转移要求;
(2)整体规划并更新企业面向用户的相关协议文本,完整获取使用、共享、转移用户数据/信息的授权;
(3)完整梳理公司日常业务需要处理的用户数据/信息,并根据迫切性、必要性进行分级,遵守个人数据/信息处理的必要、有限原则;
(4)更新公司的隐私政策,向用户披露个人数据/信息收集、使用、共享、转移的目的、范围、方式等内容,遵守个人数据/信息处理的透明规则;
(5)重视公司数据保护的软硬件投入,建立完整的数据保护规则和体系,确保公司数据存储的安全性;
(6)考虑引入“数据保护官”制度(如有必要还可在欧盟委任代表以适应GDPR的监管要求),或至少设置专人负责公司的个人数据/信息保护事务,重视通过该专门负责人员提升企业在数据安全、数据合规方面的专业能力,降低数据处理过程中的违法风险。
说明:本文GDPR中文翻译来源于中国人民大学法学院副教授,中国人民大学法学院未来法治研究院副院长丁晓东的翻译,具体可参见《欧盟首个数据保护条例GDPR今日生效,你可能需要它的中文版全文》一文,链接:https://www.secrss.com/articles/2894
[1] 根据《网络安全法》第五十、七十五条的规定,针对来源于境外的网络安全风险和威胁,有关机构可以采取措施阻断来源于境外的违法信息传播;对于境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任。
