欧盟《统一数据保护条例》(General Data Protection Regulation,以下简称GDPR)将于2018年5月25日生效,保护水平明显高于各国目前适用法律规定,且赋予高额的赔偿款,对于各企业尤其是在欧盟提供商品或服务的中国企业带来了较大的合规难度。近期因Facebook引发的隐私数据风险,部分公司提供了符合GDPR的产品机制调整,如Instagram允许用户下载平台数据,以实现用户可持续控制权;如Twitter提供定向推送的兴趣标签等,以实现用户对自动化决策的访问权。
本文将以GDPR的处罚、赔偿为基础剖析GDPR保护的重点以及降低责任的措施,并结合企业合规实践流程,分析企业GDPR合规路径,为企业合规提供可操作性建议。
一、GDPR法律保护逻辑
行政处罚措施的判断因素
根据GDPR第58条第2款,各监管机构有权采取如下措施:警告、训斥、要求数据控制者或数据处理者履行数据主体(即用户)的权利请求;要求数据控制者或数据处理者的数据处理活动符合GDPR的规定;要求告知用户其个人数据的泄露情况;施加数据处理的禁令;要求更正、消除违反用户权利的个人数据;撤销认证;行政罚款;要求暂停数据跨境转移。
行政罚款即最高额赔偿款为上财年全球营收4%或2000万欧元中居高者,对企业合规具有很高的震慑性。根据GDPR第83条第2款,是否处以行政罚款以及罚款数额的判断因素,可以区分为如下三类:
针对违法行为本身,具体包括:违法行为的性质、严重性、持续时间和受影响的数据主体的数量和损失程度;违法行为基于故意或过失;违法行为涉及的个人数据种类;是否有相关违法行为;就此行为是否采取其他行政措施;其他适用于个案的加重或减轻情节,如获利。
针对违法行为的处理应对措施,具体包括:降低数据主体损失的措施;与监管机构的合作程度;监管机构获知违法行为的方式。
公司内部隐私数据合规管理制度,具体包括:是否采取系统保护和默认保护(data protection by design and by default);是否采取与风险一致的技术措施和组织措施;是否符合行为准则或遵守认证机制。
从上述法律规定的分析可知,在发生了违反GDPR的行为后,除了应当及时应对,执行上述第(2)项的行为外,更需要在公司内建立符合第(3)项的公司内部隐私数据合规管理措施,作为降低罚款的抗辩理由。
行政罚款的阶梯
行政罚款分为两个阶梯:第一个阶梯是上财年全球营收2%或1000万欧元中居高者;第二个阶梯是上财年全球营收4%或2000万欧元中居高者。
从数据控制者或数据处理者违反GDPR规定要求的行为类型角度来看,上财年全球营收4%或2000万欧元中居高者的违法行为包括:违反数据处理的基本原则(见下表1)、违反数据主体的权利(见下表2)、违反跨境传输的规定(即传输到不满足充分保护水平的国家或地区且不满足GDPR规定的例外条件)。

从数据控制者或数据处理者违反GDPR规定要求的行为类型角度来看,上财年全球营收2%或1000万欧元中居高者的违法行为包括:数据控制者或数据处理者的义务(见下表3)。
由此分析而得,为防控GDPR高额行政罚款,主要合规项包括:
收敛数据收集范围,以保证符合最小必要原则、目的限制原则以及默认保护义务;
修订隐私政策或提示,以满足公开、透明原则以及同意的条件;
建立用户权利实现措施;
建立企业内部隐私数据合规管理制度,以符合控制者或处理者的义务,同时作为减轻或免除责任的抗辩理由。
二、企业GDPR合规路径
据上文分析,从防控GDPR高额行政罚款角度,建议企业最低程度做到如下合规项。但这仅是最低程度的合规,进一步而言,应当梳理个人数据的流入、使用、流出,全流程建立GDPR隐私合规项核查确认,同时保证该合规流程可持续运转。
收敛数据收集范围
企业应当核查收集数据的类型以及对应收集处理数据的目的,若相对于收集、处理数据的目的,该数据类型是属于最小必要的,则可以收集;反之,则不可以收集。比如,电商类应用程序为了实现购物目的,可以收集用户的收货地址、联系电话、购买商品订单、银行账号等,因为上述个人数据属于目的范围内最小必要的,但是若要收集用户的联系人、通话记录,则属于违反目的限制原则、最小必要原则以及默认保护义务。
而且收集数据类型会列于隐私政策,即使没有列于隐私政策,也是易于被用户或主管机关通过使用行为或者技术手段发现的,所以收敛数据收集范围,确定收集类型的合法性,是企业GDPR合规的第一步。
修订隐私政策
根据GDPR第13条规定,隐私政策中对于直接从用户处收集的数据,应当列明如下项:
数据控制者(及其代表人)的身份信息和联系方式;
数据保护专员的身份信息和联系方式;
处理个人数据的目的以及合法基础;
若为履行公共利益的职责或职务而处理数据时,数据控制者或第三方所追求的合法利益;
个人数据的接收者或接收者的类型;
涉及跨境传输的,数据控制者意欲向第三国或国际组织传输数据的事实,以及欧盟委员会是否作出数据保护充分性决定的情况,或在跨境传输的例外情形下,告知获取个人数据或其副本的方式及相应的安保措施;
个人数据的存储期限或决定存储期限的标准;
数据主体享有向数据控制者请求访问、更正、清除个人数据的权利,限制、拒绝其处理个人数据的权利以及持续控制权;
数据主体可以拒绝基于公共利益职责的处理以及敏感数据处理的同意;
向监管机构投诉的权利;
提供个人数据是出于法律要求、合同要求、还是为订立合同所必须的要求,以及数据主体是否必须提供个人数据,不提供产生的法律后果;
包括识别分析在内的自动化决策的存在,以及在此情形下提供关于决策中所运用的逻辑的有用信息、处理的重要性和对数据主体造成的可能后果。
企业应当核查企业现有的隐私政策,根据GDPR上述规定补充或修改隐私政策内容,比如增加GDPR此次修改新增的内容,如数据保护专员的身份信息和联系方式,清除权、限制处理权、持续控制权等新增权利,如自动化决策的逻辑等。比如按照GDPR保护水平,调整相应的保护条款,如跨境传输的,需要告知用户获取个人数据或其副本的方式以及相应的安保措施等。
建立用户权利实现措施
用户权利实现是除隐私政策外最易于被用户投诉或主管机关监管的类目,GDPR规定在数据控制者不能按照GDPR规定实现用户权利时,用户有权向主管机关投诉,主管机关也可以要求控制者实现,若主管机关认为行政罚款是更为有效和可行的,主管机关可以同时附加罚款或者以罚款代替。
因此,企业应当建立用户权利实现措施,具体包括:
建立用户权利主张的收集渠道,常见的是隐私邮箱或者其他更易操作的功能,比如谷歌提供了访问权、纠正权、清除权的在线实现方式,登陆谷歌账号后可以通过隐私控制等功能查看登录谷歌状态下所收集的数据(如浏览的搜索结果),自行部分或全部删除其收集的数据。
建立用户权利主张的实现措施,根据GDPR要求的形式和时效处理用户权利,如应当在一个月内提供用户主张访问权的相关信息。
建立用户权利实现的反馈机制,根据GDPR的要求,如实现限制处理权前应当通知用户等。
通知个人数据的下游,包括数据处理者以及数据接收者。若用户权利主张涉及的数据,数据控制者委托处理者或者分享给了数据接收者,应当尽到要求其同样操作或者通知的义务。
4. 建立企业内部隐私数据合规制度
如上文所述,虽然建立企业内部隐私数据合规制度属于较低阶梯的行政罚款,但是该制度的建立是降低或减轻行政罚款责任的合理抗辩理由,所以建立企业内部隐私数据合规制度是最低程度的合规要求。
企业内部隐私数据合规制度,具体而言包括如下:
设立数据保护专员,即有独立的人员或部门参与到各项数据处理活动中并评估是否符合隐私数据保护规定;
数据保护影响评估,即对新的数据处理活动评估是否符合隐私数据保护规定,具体的评估框架可以参考欧盟各国给出的标准,如德国提供的标准数据保护模型,或者参考国际标准DPIA(ISO / IEC 2913434)。
记录,对于每个数据处理活动记录相关信息,如数据处理目的、数据处理类型等;
安全保护措施,比如对个人数据进行加密、假名化处理等,即保护数据不被未经授权访问、毁损或丢失。具体安全措施可以参考国际标准ISO 27001。
数据泄露通知,建立数据泄露发现、通报核查以及告知主管机关和用户的流程制度。
其余可按照行为准则或认证要求制定相关制度和流程。
综上所述,针对史上最严隐私数据保护法GDPR的生效,国内企业若向欧盟提供服务或产品,为了防控高额赔偿款,先行完成最低程度的合规要求,进而将隐私数据保护融入到企业流程中,确保持续有效合规。
企业GDPR合规路径
作者:朱玲凤来源:网络法实务圈

欧盟《统一数据保护条例》(General Data Protection Regulation,以下简称GDPR)将于2018年5月25日生效,保护水平明显高于各国目前适用法律规定,且赋予高额的赔偿款