《通用数据保护条例》(General Data Protection Regulation,简称GDPR)由欧洲议会于2016年4月14日通过,将于2018年5月25日正式实施,旨在保护欧盟公民个人数据及隐私。
GDPR的法律特性
01适用范围广泛
根据GDPR的规定,只要数据控制者或数据处理者设立在欧盟境内,无论其处理个人数据的行为是否发生在欧盟境内,该数据控制者或数据处理者都应遵守GDPR。[1]
非设立在欧盟境内的数据控制者或数据处理者只要满足下列两个条件之一,也应受到GDPR的管辖:
(1)为了向欧盟境内可识别的自然人(数据主体)提供商品或服务(无论是否收费)而处理他们的个人数据;
(2)为了监控欧盟境内可识别的自然人的活动而处理他们的个人数据。[2]
所以,GDPR不仅会影响在欧盟境内开设子公司或分支机构的企业,而且会波及将欧盟客户或其商业运营行为作为业务目标的企业。
02个人数据概念界定宽泛
GDPR对个人数据概念的界定比较宽泛:任何指向一个已识别或可识别的自然人(数据主体)的信息均构成GDPR中规定的个人数据。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别等标识,或者是通过参照该自然人一个或多个物理、生理、遗传、心理、经济、文化或社会身份的要素。[3 ]根据欧盟GDPR信息门户官网[4 ]的说明,可用于直接或间接识别自然人(数据主体)的个人数据包括姓名、照片、电邮地址、银行资料、社交媒体帖子、医疗信息或计算机IP地址等。
03相关义务人法律义务重
GDPR就个人数据的处理规定了合法、公平和透明原则、目的限制原则、数据最少化原则、准确性原则、存储限制原则、完整和保密原则以及问责原则。[5]同时,GDPR赋予个人(数据主体)多项权利,包括获取信息权、修正错误信息权、被遗忘权、限制信息处理权、信息移动权、反对权等权利。[6]数据控制者或数据处理者有义务遵守各项原则并保证个人(数据主体)实现相应的权利。根据GDPR的规定,数据控制者或数据处理者负有采取技术措施及组织措施保护数据主体的权利、文档化管理、进行数据保护影响评估、指定数据保护联络人、数据泄露报告等义务,从技术上和管理上降低数据侵权风险及数据侵权给个人(数据主体)带来的损害。
04违法行为惩罚力度大
GDPR对不同的违法行为设定了不同的罚款标准,比如:
(1)对未采取技术或管理措施来保护数据主体权利的数据控制者或数据处理者,最高可处以一千万欧元或上一年度全球营业额的2%(以较高者为准)作为罚款;
(2)对违反个人数据处理的基本原则以及没有保障数据主体权利的数据控制者或数据处理者,最高可处以两千万欧元或上一年度全球营业额的4%(以较高者为准)作为罚款。[7]
除了罚款外,GDPR还允许数据主体通过行政救济、司法救济等方式主张权利。
分析及建议
GDPR就数据保护对企业提出了若干要求,本文就其中较为重要的几点进行分析及提出相关建议。
01数据保护及处理安全性
GDPR第25条关于数据保护设计与默认设置的规定及第32条关于数据处理安全性的规定对中国企业提出了挑战。
GDPR第25条要求软件在整个开发阶段和运行数据处理阶段保护个人数据。数据控制者应该在确定处理数据的手段和处理数据的同时,实施适当的技术和组织措施,以实施数据保护原则及适当的防范措施,包括采取匿名化、数据最小化等措施以保护数据主体的权利。
GDPR第32条则要求企业必须从技术层面和组织层面采取适当的数据安全保护措施,以保护个人数据安全,防范个人数据因意外或非法行为被损坏、销毁、篡改、非法披露等。该等措施包括数据匿名化与加密、持续保护及定期测试与验证等。
因此,根据前述规定,对GDPR的合规和遵守必须纳入与个人数据处理有关的所有处理进程和应用程序中。鉴于GDPR对数据准确性及数据存储等方面作出了严格的规定。企业应据此对已经存在的相关程序加以审查和修订,否则可能有必要重新开发程序。企业为其业务制定解决方案或服务开发架构时,在每个开发阶段都应考虑到数据保护与安全问题。即在开发初始阶段就要将数据保护纳入考量,并思考如何在产品架构中纳入数据保护措施,而不是在最后才采取补救措施。
可能受到GDPR规制的中国企业(包括但不限于银行、电子商务公司、互联网和IT公司、软硬件生产商等),首先应该进行数据评估/数据映射,了解企业所拥有的数据内容(包括数据和数据流),其次,企业应检查每个数据处理步骤,从收集、处理、存储到删除或保留,以确保合规,这需要制定适当的技术和操作流程规范来保障。
02证明符合GDPR规定的义务
根据GDPR的要求,企业承担证明其遵守GDPR的义务。
问责制是GDPR的原则之一,即企业必须能向客户证明他们遵守了这些法规。并且为了证明合规性,企业必须有成文的政策和程序,记录数据处理活动并对其所做的事情有书面跟踪记录。在某些情况下,企业有必要任命一名数据保护官(Data Protection Officer),并建立一套由适当的规章制度、员工培训及数据隐私意识所支持的公司治理结构。[8]
03数据违规通知义务
GDPR要求,企业必须在72小时内毫不拖延的向监管机构汇报数据泄漏事故[9],并将可能产生高风险的泄漏事故信息通知到受影响的个人[10]。因此,企业有必要对所需采取的数据安全保护措施进行深入了解和审视。
04数据保护影响评估
GDPR要求企业在进行任何有关“高风险”的数据处理工作时执行数据保护影响评估(DataProtection Impact Assessments,简称DPIA),并在某些情况下向监督机构咨询。[11]因而,企业应关注关键成员国监督机构发布的指导文件,并在必要时审查和更新内部进程和程序,使之符合DPIA的要求。
05客户同意要求
GDPR强化了关于客户同意的要求,使得企业获得客户有效同意的难度增大。根据GDPR,“同意”需是数据主体依照其意愿自由作出的、特定的、知情的、明确的指示,通过以声明或清晰肯定的行为作出的该等指示,数据主体表明其同意处理与其相关的个人数据。[12]
为了确保企业符合GDPR的规定,企业可以聘请外部律师协助审查其数据处理活动是否遵守了该条例。同时,外部律师还可以协助企业对隐私声明、同意书和数据处理流程、数据泄漏管理流程等企业规章制度,处理器协议、控制器到控制器协定和相关条款等加以审查并做出符合GDPR的相应修订。
[1] GDPR第3条第1款。
[2] GDPR第3条第2款。
[3] GDPR第4条第1款第(1)项。
[4] https://www.eugdpr.org/。
[5] GDPR第5条。
[6] GDPR第3章。
[7] GDPR第83条。
[8] GDPR第4章第4节。
[9] GDPR第33条。
[10] GDPR第34条
[11] GDPR第35条。
[12] GDPR第4条。
欧盟《通用数据保护条例》(GDPR)解析
作者:张健 陈翠来源:大成深圳办公室

《通用数据保护条例》(General Data Protection Regulation,简称GDPR)由欧洲议会于2016年4月14日通过,将于2018年5月25日正式实施,旨在保护欧盟公民个人数