GDPR解读 参考: https://www.sohu.com/a/237055815_658347
一、适用范围
(一)个人数据及处理
根据GDPR第2.1条规定,其适用于全部或部分通过自动化手段进行的个人数据处理行为,以及通过自动化手段以外的其他方式对构成或旨在构成存档系统一部分的个人数据所进行的处理行为。显然,是否对个人数据进行过处理应当作为判断我国企业是否适用GDPR的一项前提。
那么,何谓“个人数据处理”?根据GDPR第4.1及4.2条,个人数据是指与已识别或可识别的自然人(数据主体)相关的任何数据,可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人;而数据处理是指对个人数据进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构(structuring)、存储、改编或修改,恢复、查询、使用、通过传播、分发(dissemination)方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。
从上述定义可知,对一切单独和结合起来足以识别特定自然人的信息的收集、记录、储存、共享等行为均可被认定为GDPR项下的“个人数据处理”。
(二)地域范围
相较GDPR第2条,第3条有关地域范围适用的规定对于我国企业更加重要,因为它同时赋予了GDPR属地、属人管辖两种因素,使GDPR的地域管辖范围不仅限于欧盟境内。根据GDPR第3.1条,只要是数据控制者和处理者在欧盟境内设立的营业场所(establishment)进行的数据处理行为,无论该行为是否发生在欧盟境内,均应适用GDPR。另外,GDPR第3.2条也对非设立于欧盟境内的数据控制者和处理者适用GDPR的情形进行了规定,具体包括两种情形:一是为欧盟境内数据主体提供货物或服务,无论付费与否;二是对数据主体在欧盟的行为进行监控。
关于何为营业场所(establishment),GDPR序言第22条进行了解释,营业场所应通过稳定安排有效、真实地开展活动,而以何种法律形式(法人资格分支机构、附属机构)并非决定因素。根据欧盟法院2015年的判例,即使企业在欧盟境内只有一名工作人员代表,也可被认定为设有营业场所[2]。
需要注意的是,若企业在对外进行货物或服务推广时使用了欧盟境内国家的语言或开通了以欧元进行电子支付,以面向欧洲客户或用户为目的的,将会被认定为GDPR第3.2条所述的第一种情形[3];若企业对欧盟境内数据主体进行了网络追踪,包括但不限于人物画像(profiling)以及分析个人的喜好、行为、态度等行为,将会被认定为GDPR第3.2条所述的第二种情形[4]。
二、数据主体的权利
GDPR第三章详细规定了数据主体的各项权利,现通过表格形式总结如下:
|
利
|
具体内容
|
GDPR对应条文
|
|
知情权
|
数据控制者从数据主体或其他来源处收集个人信息时,应当提供相应的信息确保数据主体对其自身权利以及救济途径得以充分知晓,包括但不限于数据控制者及数据保护官的身份信息和联系方式、个人数据处理目的及其合法基础、数据储存期限、数据种类、数据主体享有的权利、向监管机构投诉的途径等。
|
第13、14条
|
|
访问权
|
数据主体有权从数据控制者处获得关于其个人数据是否被处理的结果,同时有权了解处理的目的、类别、存储期限、救济途径、安全保障措施等,数据主体还可获得正在处理的其个人数据副本。
|
第15条
|
|
更正权
|
数据主体有权要求数据控制者立即更正与其有关的错误个人信息,包括以补充声明或其他方式补充其不完整的个人信息。
|
第16条
|
|
删除权(被遗忘权)
|
当出现收集和处理数据已不再必要、数据主体撤销同意、数据主体行使拒绝权、个人数据被非法处理、基于法定义务需要删除等情形时,数据主体有权要求数据控制者立即删除其个人数据,数据控制者应当采取合理措施并告知正在处理该个人数据的其他控制者。
|
第17条
|
|
限制处理权
|
特定情形下,数据主体有权限制数据控制者的处理行为。例如,数据主体对其个人数据准确性提出质疑且控制者需要时间核实时;个人数据被非法处理但数据主体反对行使删除权时;相关个人数据虽然对于处理目的而言已不再必要,但为诉讼所必需的。
|
第18条
|
|
持续控制权
|
数据主体有权要求数据控制者提供结构化、通用化和可机读的个人数据,并有权将上述数据转移给其他数据控制者,原数据控制者不得阻碍。
|
第20条
|
|
拒绝权
|
数据主体有权基于其自身情况拒绝包括直销目的以及公众或第三方利益在内的个人数据处理行为。
|
第21条
|
|
自动化个人决策
|
数据主体有权不受仅基于自动化处理行为得出的决定的制约,以避免对个人产生法律影响或类似影响,该自动化处理包括人物画像。
|
第22条
|
鉴于我国现有法律法规尚未将被遗忘权明确固定下来,此处针对被遗忘权作专门说明。被遗忘权又被称作删除权,最早在20世纪70年代由法国人以“le droit à l’oubli”的概念提出。2012年欧盟委员会公布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》中首次明确数据主体应享有被遗忘权,而2014年的冈萨雷斯诉谷歌案则将被遗忘权正式作为法律渊源确立下来。然而,我国现行法律下,《侵权责任法》《网络安全法》和《信息安全技术个人信息安全规范》(以下称“《规范》”)仅规定网络运营者在违法、违约及侵权等情形下收集使用个人信息时的删除义务,相比GDPR赋予数据主体行使被遗忘权的高度自由仍有所欠缺。因此,我国企业在涉欧业务中根据GDPR进行内部合规整改时,应当重视保障欧盟境内用户的被遗忘权。
三、数据控制者和数据处理者的主要义务
|
义务
|
具体内容
|
条文
|
|
数据系统保护和默认保护
|
数据控制者应当采取适当的技术、组织措施(如匿名化等)确保数据处理符合GDPR要求的同时又保护数据主体的权利。此外,在默认(by default)情形下,该技术和组织措施应保证对个人数据的处理应在最小必要的原则下进行且不得被不特定自然人访问。
|
第25条
|
|
记录数据处理活动
|
数据控制者和处理者应当保存由其负责的数据处理活动的记录,该记录应当采取书面形式,必要时向监管机构提供。
|
第30条
|
|
报告数据泄露事件
|
数据控制者应自发现个人数据泄露事件之时起72个小时内向监管机构报告,报告中应阐明泄露数据的种类、数量、可能导致的后果以及建议采取的处理措施等。数据控制者还应提供数据泄露事件的完整记录以便监管机构之后的核实。
|
第33条
|
|
数据保护影响评估
|
数据控制者进行数据处理行为前,应当考虑处理行为的性质、范围、内容和目的以及可能对数据主体权利和自由产生的风险,并完成一份设想的处理行为给个人数据保护带来的影响的评估。
|
第35条
|
|
事先咨询
|
若根据第35条制定的数据保护影响评估显示数据控制者的处理行为将导致高风险而缺乏有效风控措施时,控制者应当在处理前向监管机构进行咨询。监管机构应在规定期限内提供书面建议。
|
第36条
|
|
设立数据保护官
|
数据控制者和处理者应当指定一名数据保护官的情形包括三种:一是数据控制者和处理者系行政机关或公共机构的;二是业务涉及的数据处理是定期、系统化且规模较大的;三是涉及处理敏感信息的。数据保护官应当具备专业素养,拥有数据保护法律的专业知识和实践经验。
|
第37-39条
|
关于数据控制者的义务,GDPR与《规范》在数据泄露事件报告、数据保护影响评估以及数据保护官的设置上存在一定差异。首先,对于数据泄露事件报告义务,《规范》引用了《国家网络安全应急预案》,其上报范围与GDPR类似,但并未设置72小时或者类似的时间限制[5]。其次,对于数据保护影响评估,《规范》规定个人信息控制者应定期(至少每年一次)开展评估,涉及个人信息公开披露的,还应事先评估,评估标准也根据《网安法》进行了细化[6]。最后,对于数据保护官的设置,《规范》要求所有控制者都应任命个人信息保护负责人和工作机构,且从业人员或数据处理量达到一定规模的应设专职[7]。在管理制度设置方面,GDPR项下的数据保护官更具独立性,无需接受领导,而《规范》中个人信息控制者的法定代表人或主要负责人则应对个人信息安全负全面领导责任。
四、法律责任
企业若违反GDPR的规定,将会承担严重的法律后果。具体而言,GDPR根据违法行为的性质和严重程度规定了两类罚款[8]。
一是针对于数据控制者和处理者、认证机构、监管机构违反各自义务的情形,如未获取监护人同意收集儿童信息、收集信息违反最小必要义务、未能及时向监管机关报告数据泄露事件等,应当适用1000万欧元的行政罚款,若相对人是企业时则处以其上一财政年度全球营业总额的2%,两者竞合取较高者。
二是针对违反数据处理的基本原则、侵犯数据主体权利、违反数据跨境转移相关规定的情形,如违反数据处理合法性原则、侵犯数据主体被遗忘权、未在充分条件基础上进行数据跨境转移等,应当适用2000万欧元的行政罚款,若相对人是企业时则处以其上一财政年度全球营业总额的4%,两者竞合取较高者。
根据各大互联网公司2017年的年度财务报告显示,腾讯年度总收入为2377.6亿人民币,阿里为1582.73亿人民币,若按照GDPR所规定的4%的计算处罚金额,则分别达到了95亿和63亿人民币,一旦受罚,将给企业带来不可估量的损失。
结语
GDPR的正式实施使得欧盟的数据保护上升到了前所未有的高度,在部分媒体的报道中,GDPR更被称作“史上最严的数据保护条例”。GDPR的生效无疑给欧盟境内企业以及为欧盟境内主体提供服务的境外企业增添了巨大的合规压力,诸多内部风控和管理问题亟待解决,但显然,欧盟此举的目的并非限制互联网大数据企业的发展,而在于规范行业体系,打压日益猖獗的个人信息泄露问题。今年年初的Facebook数据泄露事件已然反映出个人数据被肆意滥用的恶果,而GDPR正是在社会公众对于隐私保护日益关注的背景下正式生效的结果。欧盟作为我国的重要国际市场,我国企业若不及时进行针对GDPR的合规整改,必然会遭受其境内监管机构的强力打压。对此,我们建议,我国企业尤其是数据企业,应当加强数据合规建设,完善整改,落实技术和组织措施,以便在当前全球数据监管日益趋严的环境下规避风险,应对挑战。
注释:
[1]欧盟《通用数据保护条例》(GDPR)实务指引(第一篇):序言和地域适用范围邓志松、戴健民
[2]GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解冯坚坚、胡科、蒋昕妍
[3]GDPR序言第23条
[4]GDPR序言第24条
[5]《信息安全技术个人信息安全规范》9.1(c)(3), 9.2
[6]《信息安全技术个人信息安全规范》8.4 , 10.2
[7]《信息安全技术个人信息安全规范》10.1(b), (c)
[8]GDPR第83条
阿里云国际合规团队更多分享其在与客户、合作伙伴交流过程中,所听到的实际问题和解法。许多企业和企业在准备GDPR的过程中,有“过度忽视”和“过度紧张”的两种状态。由“过度忽视”造成的误区有:
(1)误区:认为借助工具、平台、服务,可以很好地符合GDPR法规要求。
解:没有任何单一的工具、产品、服务、平台、服务商,可以解决GDPR,和其它隐私保护的所有问题。GDPR是企业和机构内部多部门协作,以实现能力、流程、机制全面优化。
(2)误区:认为通过第三方审计/评估,等于符合GDPR法规要求。
解:GDPR是一个持续性的工作,阶段性的审计评估,不代表在GDPR上的持续有效性。目前,很多机构都想推动各自的标准,成为GDPR框架下的Code Of Conduct。
然而,当下的Working Party29,或The European Data Protection Board (EDPB) ,还没有通过国际标准/行业标准成为Code of Conduct。因此,企业对于市场上的Code Of Conduct效力,也需要有清晰的认识与判断。
(3)误区:通过律所来完善法律文件,就是符合GDPR法规要求。
解:GDPR对文件的要求的确很高,但GDPR并非单纯的“法务”工作,如果只是在公司内部的法务流程和文件完善,而其他部门:信息安全、运营、IT等,参与少,仍不能称为为GDPR做好充分准备。
企业和机构对于GDPR“过度紧张”的误区有:
(1)误区:认为GDPR = 数据完全不离境。
解:GDPR在数据跨境前加了很多先决条件,比如授权问题,数据使用场景和目的等:要求数据处理者,把采集数据的目的、场景说清楚。
(2)误区:GDPR要求的客户授权。所以如果客户不授权,就不能提供服务。
解:很多企业会把这个一刀切,其实要根据具体授权场景来看。比如,如果客户不允许一家企业和机构向他推送市场消息,那么则不可做推送市场消息的行动,而不是拒绝向其提供服务。
(3)误区:认为GDPR = 尽量不保存客户数据在自己的系统
解:这对业务来说也是不合理的。GDPR要求的是对个人数据的权利予以满足,充分尊重数据主体对其数据的控制权。
隐私保护工作核心团队是法务与合规部门,通过与产品、安全、IT、运营等团队的配合,共同推进隐私保护工作。
例如,设立Privacy Operations Center(POC),相当于安全领域中的SOC — 所有的隐私保护流程、机制都以POC为枢纽;内部严格执行SPLC的流程,做隐私和安全的双重评估,把所有的隐私和安全要求融入到这个流程中。
在职责分工上,产品团队需要考虑产品设计过程中考虑隐私的要求,确保产品功能、设计通过法务和合规团队审批;
IT系统架构团队负责架构设计与调整要依据相应的隐私保护制度,依据合规团队的评估与建议修订架构设计;
运营团队确保运营行为严格遵守隐私保护的流程与制度,判断新的运营需求是否涉及客户隐私,并通过法务与合规团队审批。
DPIA(Data Protection Impact Assessment )则是每个团队都会做的事情。
在自身准备就绪的基础上,阿里云正在通过建立全球生态,帮助客户提升隐私保护水平。与第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。