解析GDPR及对中国涉欧企业的影响,涉外法务/律师必须成为合规官吗?
2023-12-28 18:22:30
浏览量:0
摘要
欧盟《通用数据保护条例》(简称GDPR),于2018年5月25日正式在欧盟28国强制实施。
该条例条款详尽复杂,涉及范围广泛,且惩罚措施严厉,把信息安全中关于隐私保护的范畴和重要性提升到前所未有的高度。
条例的实施,对欧盟企业及与欧盟发生业务往来的企业都有着重大影响。中国涉欧企业也应积极应对GDPR的实施,本文在GDPR内容解析的基础上,探讨了其对中国涉欧企业的影响,并提出相应建议。
01
什么是GDPR?
GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟针对隐私保护实施的一项新立法,是有史以来规模最大、最具惩罚性的隐私保护法。
该条例于2012年11月制订,2016年4月14日通过,2018年5月25日正式生效,以替代1995年出台的《欧盟数据保护指令》(简称95指令)。
GDPR旨在使欧盟和泛欧盟经济区达到更广泛的法律一致性,同时推出更严格的规定来保护欧盟公民免受隐私和数据泄露的影响。受GDPR实施的影响,各国涉欧企业都开始改变或停止在欧盟地区的传统做法。
例如,谷歌和Facebook都已经修改了用户政策条款,苹果公司已停止了在机器学习和人工智能系统开发中使用用户数据,美国多家新闻网站拒绝或暂时拒绝欧盟访客,韩国大型在线游戏《仙境传说》直接关停了欧盟地区服务器。
鉴于GDPR实施的重要性,中国涉欧企业需在熟悉该条例相关内容的基础上,结合相应受到的影响,积极主动地采取有效的应对措施。
02
解析GDPR的主要内容
(一)制定了数据处理的规定和原则
GDPR第四条对个人数据的规定:“个人数据是任何指向一个已识别或可识别的自然人的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。”
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
GDPR数据处理的核心原则延续了之前的95指令,主要有7大原则:合法、公开、透明性;目的限制;数据最小化;准确性;存储限制;完整机密性;问责制。
GDPR允许企业“合法”处理个人数据,如果企业有法律依据,则可以在某种未经同意的情况下合法处理个人数据:数据是合法收集的,有正当理由去使用数据及数据处理过程也是合规的;
此外,GDPR专门针对公共部门获取数据的情况也进行了限制。
(二)数据主体的权利扩大
GDPR对数据主体的权利有进一步扩大的新规,主要有以下几方面:
(1)增加了数据的可携权。
数据可携权是指数据主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一控制者。
GDPR 要求数据控制者保障数据具有结构化、通用、机器可读以及操作性等技术可行性特点,该权利使得个人数据在不同的服务提供者之间转移更容易实现。
(2)创新性的设计了被遗忘和删除权。
被遗忘和删除权是指数据主体有权要求数据控制者删除其数据,并不得有不合理的延迟。
GDPR详细构筑了被遗忘和删除权的构成要件,包括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。该权利意味着数据主体对数据的存留拥有更多的决定权。
(3)针对个人数据的同意增加了要件。
数据主体的同意是指数据主体自愿做出的明确的、具体的同意其数据被处理的指示。GDPR 扩大了同意的要件,要求同意必须以易于理解且与其他事项显着区别的形式呈现,数据主体有权随时撤回。
(4)保障个人对其数据的访问权、限制处理权与拒绝权。
数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。
(5)规定了特殊数据处理。
特殊数据指隐私数据或者称特殊类别的的个人数据,这些数据关系着个人身体健康、生命及财产安全,对其处理存在特定的风险。GDPR专门规定了对这类数据的处理条件。
我是否适合做合规??如何全面掌握GDPR知识?学习IAPP课程并得到业内的专业认证的认可,我是否满足考试资格?戳戳下方立即评估!
(三)数据义务主体的义务增加
数据的义务主体主要有数据的控制方和数据的处理方。GDPR要求作为数据义务主体企业履行更多的义务。
主要有以下几点:
(1)任命专门的数据保护专员(Data Protection Officer,DPO),一般任期两年,可连任。有的企业可以任命多名的DPO,也可以指定独立的DPO,DPO的指定应当是透明的,向公众及监管机构通报其姓名和详细的联系方式。
DPO负责创建访问控制,降低风险,确保数据控制者和数据处理者符合GDPR的规定。数据主体也可以联系DPO来行使自己的权利,同时DPO也扮演着与监管机构间的联系人和合作者的角色。
(2)个人数据泄露报告(Date Breach Notification)。GDPR要求数据义务主体在数据泄露的24小时内报告监管机构和数据主体。如果数据泄露可能危及数据主体的安全时应当及时通知数据主体,以便个人及时采取措施。
(3)建设“隐私内置”机制。要求产品或服务主体的整个生命周期贯穿隐私和数据保护。
(4)实施隐私保护影响评估,即对于高风险的数据处理活动,需要事先评估,主要有系统性的评估、必要性评估和数据主体风险性评估等。
(四)数据传输规则的完善
随着全球一体化和现代科技的推进,个人信息在跨境数据流中比重增加,但个人数据容易受到侵害。GDPR明确规定,除非满足特定条件,欧盟公民的个人数据不得转移到不能达到与欧盟同等保护水平的国家。对此,GDPR规定了数据流合法路径:
(1)充分性要求,给出了具体满足充分性要求的方法和标准,并要求对各国是否满足要求进行持续监督。
(2)有约束力的公司规则。对跨国公司内部跨境数据流转移规则给予正式的法律地位,并详细规定了该规则的认可程序和内容标准。
(3)标准的合同条款。规定数据控制方和数据处理方之间的合同应当至少包含哪些内容,如数据处理的目的、期限、个人数据的类型、数据主体的类别以及双方的权利义务等。
(五)执法监管机制的加强
GDPR加强了监管机构的执法权,包括行使各项调查权,督促企业采取纠正措施,保障公司司法救济,提起司法诉讼等。
据此,欧盟实施“一站式”投诉服务来处理跨境投诉,并成立欧盟数据保护理事会,以便监督法案实施,提供合规与认证建议,协调处理投诉。
GDPR还规定了不同罚款标准,对未采取措施来避免或降低侵害数据的义务方或处理方,最高可处1000万欧元或全球营业额2%作为罚款(以二者中最高者为准)
对违反数据处理原则、侵害数据主体权利、违规传播的数据义务方或处理方,最高可处2000万欧元或全球运营额4%的罚款(以二者中最高者为准)。
03
GDPR的实施对中国涉欧企业的影响
(一)中国涉欧企业全部纳入新条例的管辖范围
GDPR的适用范围很广,不但欧盟内有实体的企业需要接受管辖,而且同样适用于在欧盟成员国没有实体,也不在成员国内处理个人信息,只在欧盟境内提供商品或劳务,或跟踪欧盟居民的行为的企业,而这些企业都需要受到监管。
中国作为全球发展最快的经济体之一,企业的业务范围已经扩展到包括欧盟在内的全球各地。无论是银行、保险、航空等这些传统的行业,还是电商网站、娱乐、社交等新兴领域,只要在欧盟成员国内开展业务,就必须保护欧盟成员国民众的个人资料与隐私
即使公司业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的客户,都必须遵守GDPR,一旦违反,将面临严厉的处罚。
中国的大型跨国公司,如阿里巴巴、腾讯、海航、小米、摩拜、ofo、大疆等必定纳入GDPR适用范围。一些中小型企业,或者进行跨境电商业务的小型企业,只要其接触欧盟成员国客户的个人数据,也需要受到相应监管。
