GDPR視角下個人數據保護及中國企業出海的合規建議
作者:朱政 白露 2023-04-132021年7月,中國企業字節跳動海外短視頻平臺TikTok,因違反GDPR第12條被荷蘭數據保護局以侵犯兒童隱私為由罰款75萬歐元。這也是GDPR實施三年以來,中國企業首次因違反GDPR而受到處罰。GDPR號稱“史上最嚴個人數據保護立法”,嚴重違法罰款 2000 萬歐元或全球營業額的 4%。
GDPR實施五年之際,本文旨在對GDPR視角下個人數據保護實務進行解析,并對于中國企業出海的合規提出相關實操方面的建議。
2018年5月25日,《通用數據保護條例》(General Data Protection Regulation,以下簡稱“GDPR”)正式實施。GDPR由歐盟委員會(Council of Europe)于2016年4月正式頒布,并設置了2年的緩沖期,旨在保護歐盟個人數據的權利,并對數據的跨境傳輸作出具體的規定。
GDPR的出臺完全取代了歐盟下屬組織的歐洲議會(European Parliament)和歐盟理事會(Council of the European Union)頒布的《關于涉及個人數據處理的個人保護以及此類數據自由流通的第95/46/EC號指令》(即《95指令》)。《95指令》于1995年10月頒布,其目的也是為了保護在處理數據活動的基本權利及保障個人數據在各成員國之間的自由傳輸。在歐盟法律體系中,“指令”(Directive)是一種“指導”成員國的立法形式,為了在歐盟各成員國之間協調立法,規定了歐盟成員國必須采取的立法行動和目標,但具體實現方式和時間則由各成員國自行決定。而法規(Regulation)則是歐盟的一項法律法案,所有成員國均可立即作為法律強制執行。
同時,GDPR也設立了“歐洲數據保護委員會” (European Data Protection Board,以下簡稱“EDPB”),以保障歐盟各成員國對于GDPR的統一實施。
一、GDPR的地域適用范圍
(一)由歐盟內的數據控制者或處理者進行的個人數據處理
根據GDPR第3條第1款規定,GDPR適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。比如,位于德國的某家公司處理在德國的中國客戶個人數據,因為德國公司作為數據的控制者或者處理者在歐盟境內,中國客戶雖然國籍是中國,但其個人數據在歐盟,所以該情況仍受GDPR規范和調整。
(二)由歐盟外的數據控制者或處理者處理歐盟內的個人數據
根據GDPR第3條第2款規定,GDPR適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或(b)對發生在歐洲范圍內的數據主體的活動進行監控。比如,位于中國大陸的中國公司處理在荷蘭的荷蘭客戶數據,中國公司作為數據處理者或控制者在中國大陸,客戶在歐盟境內,個人數據從歐盟轉移到中國境內,這種情況受GDPR調整。
但位于中國大陸的中國公司處理在中國大陸的歐盟客戶的個人數據則不受GDPR調整。根據EDPB于2019年11月對外發布的《關于通用數據保護條例(GDPR)地域適用范圍(第3條)的解釋指南》舉例,某德國公民在中國旅游期間辦理了一張移動電話卡,需要收集其個人數據,中國移動商不會因為他屬于歐盟公民就受到GDPR的約束。
二、GDPR重要概念
(一)個人數據
根據GDPR第四條規定,“個人數據”指的是任何已識別或可識別的自然人(“數據主體”)相關的信息;一個可識別的自然人是一個能夠被直接或間接識別的個體,特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體。如果個人數據經過假名或者匿名化處理不能識別到個人,那么則不認為是個人數據。
(二)數據控制者及數據處理者
控制者指的是能夠決定(不論是單獨決定還是共同決定)個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體;如果此類處理的方式是由歐盟或成員國的法律決定的,那么對控制者的定義或確定控制者的標準應當由歐盟或成員國的法律來規定。
處理者指的是為數據控制者處理個人數據的自然人或法人、公共機構、規制機構或其他實體。
根據2021年7月EDPB發布的《數據控制者及數據處理者概念的指引》舉例,一家大型云存儲供應商向其客戶提供能夠存儲大量的個人數據的服務。該服務是完全標準化的,客戶幾乎沒有能力定制該服務。合同的條款是由云服務提供商單方面決定和制定的,以“要么接受要么放棄”的方式提供給客戶。某公司決定利用云服務提供商來存儲有關其客戶的個人數據。鑒于某公司決定利用該特定的云服務提供商為該公司的目的處理個人數據,該公司仍將被視為一個控制者。只要云服務提供商不為自己的目的處理個人數據,僅代表其客戶并根據指示存儲數據,該服務提供商將被視為一個處理者。
三、GDPR的基本原則
(一)公平、透明和合法原則
GDPR規定對涉及到數據主體的個人數據,應當以合法的、合理的和透明的方式來進行處理。公平是指企業的數據處理行為不應存在歧視,損害用戶利益。透明即數據控制者應公開、明確告知用戶如何收集數據,用戶有哪些權利。合法則要求企業的數據處理行為必須有合法依據,沒有合法依據即為非法處理。
GDPR規定基于數據主體的同意、履行合同所必須、基于法定義務、保護數據主體的核心利益、為了公共利益等六種情形才符合合法性要求。而數據主體的“同意”是企業處理數據的合法性基礎的主要來源。Amazon被監管機構罰款7.46億歐元就是因為Amazon無法證明其廣告定位系統是在獲得顧客的同意的前提下進行的。實務中,建議避免用一攬子勾選的方式獲得用戶同意,這會導致數據主體無法清晰明確自己同意的內容;建議非軟件使用之必要目的,避免強制性讓用戶同意收集處理數據才讓用戶使用軟件,這會導致被認定為數據主體非自愿同意數據處理。
(二)目的限制原則
個人數據的收集應當具有具體的、清晰的和正當的目的,對個人數據的處理不應當違反初始目的。如果出現新的目的與先前的目的有沖突的,數據控制者必須重新獲得數據主體的同意才能繼續處理。比如招聘軟件基于為用戶推薦工作而收集的信息,如果招聘公司想對批量的信息進行分析,出具招聘者的相關分析報告,就需要重新獲得數據主體的同意。
(三)數據最小化原則
個人數據的處理應當是與實現數據處理目的相當的、相關的和必要的。數據控制者不可在實現提供給數據主體服務目的之外,額外收集用戶信息。如某學習英語的網站要求開啟用戶手機的定位系統,收集用戶的位置信息,則違反了數據最小化原則,因為學習英語并不必然需要收集用戶的位置信息來實現服務目的。
(四)準確性原則、存儲限制原則、完整與保密原則、可問責性原則
準確性原則要求個人數據應當是準確的,如有必要,必須及時更新;必須采取合理措施確保不準確的個人數據,即違反初始目的的個人數據,能夠及時得到擦除或更正。
存儲限制原則規定對于能夠識別數據主體的個人數據,其儲存時間不得超過實現其處理目的所必需的時間。只有在為了實現公共利益、科學或歷史研究目的或統計目的,為了保障數據主體的權利和自由的情況下,超過此期限的數據處理才能被允許。
GDPR要求數據控制者在處理過程中應確保個人數據的安全,采取合理的技術手段、組織措施,避免數據未經授權即被處理或遭到非法處理,避免數據發生意外毀損或滅失。
GDPR要求數據控制者有責任遵守以上六項義務,并且有責任對此提供證明,實務中,未遵守一般數據處理原則也是監管機構的主要執法依據之一。這就要求數據控制者不止要遵守各項處理原則,在經營的過程中也需要保留足夠的記錄以證明對遵守數據保護義務采取了足夠的措施。這也進一步說明了公司內部建立數據合規體系的必要性。
四、GDPR數據主體的權利
(一)信息透明度和信息機制
根據GDPR要求,數據控制者必須以一種簡潔、透明、易懂的方式,用清晰、直白的語言與數據主體進行溝通,比如在網頁告知數據主體權利義務或取得數據主體同意時不能使用晦澀難懂的、有歧義或誤導性的語言設置,尤其針對兒童的信息更應如此。例如,在TikTok處罰案中,荷蘭數據保護局就是以沒有用“可以理解的語言”告知兒童關于個人數據的處理,從而違反了GDPR第12(1)條的規定對TikTok進行處罰。
(二)數據訪問權、更正權、被遺忘權(擦除權)
控制者應當保證數據主體可以隨時訪問自己的數據并獲得關于自己相關的數據信息,如數據處理的目的、類型,存儲期限等。
數據主體有權要求控制者將登記的錯誤的個人信息更正為正確的信息。
數據主體有權要求控制者刪除其數據,比如個人數據對于實現其被收集或處理的相關目的不再必要。
(三)數據攜帶權
數據主體有權獲得已經提供給控制者的經過整理、普遍適用格式的個人數據,并將其提供給另一個數據控制者。但不同數據控制者管理方式的不同、數據存儲的格式不同,導致數據從一個控制者到另一個控制者是否適用是實務中的一個待進一步完善的問題。另外,GDPR對數據可攜帶性作了一些限制,數據可攜帶權不適用于在履行公共職責時處理個人數據的數據控制者。如果處理某些個人數據是基于公共義務或者法定義務,則數據主體無法向數據控制者主張可攜帶權。
(四)自動化的個人決策(包括用戶畫像)
數據主體有權反對用自動化決策或用戶畫像的方式處理個人數據,即控制者基于對數據主體數據的收集,對數據主體作出任何形式的自動處理、分析或判斷,比如許多網站對于用戶消費習慣的評估。
(五)反對權、限制處理權
反對權是指數據主體有權隨時反對為了營銷而處理相關的數據。
限制處理權要求數據主體對個人數據的準確性有爭議,可以給與控制者以一定的期限以核實個人數據的準確性,如果處理是非法的,并且數據主體反對擦除個人數據,要求對使用其個人數據進行限制。
實務中,對于數據主體權利的滿足體現在整個數據合規體系建設的過程中,比如數據控制者公司內部對于所收集數據的處理,隱私政策對于數據主體權利的告知、獲得授權或提供與數據主體的溝通渠道等。
五、數據出境
GDPR在第五章專門規定了如何將個人數據從歐盟轉移到第三國或國際組織,即基于認定具有充足保護的轉移、轉移所需要的適當安全保障、特殊情形下的克減,三種方式并非并列關系,而是呈階梯關系,也就是說上一條件不滿足才適用下一條件。
(一)基于認定具有充足保護的轉移
根據GDPR第45條規定,當歐盟委員會作出認定,認為相關的第三國、第三國中的某區域或—個或多個特定部門、或國際組織具有充足保護,可以將個人數據轉移到第三國或國際組織。此類轉移不需要特定的授權。也即實踐常提的“數據出境白名單”,目前,歐盟委員會已認定安道爾、阿根廷、加拿大(僅適用于商業機構)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭、日本、韓國以及英國具有同等保護水平。顯然,中國不在該白名單內。
(二)轉移所需要的適當安全保障
如果沒有根據第45條而做出的決定,控制者或處理者只有提供適當的保障措施,以及為數據主體提供可執行的權利與有效的法律救濟措施,才能將個人數據轉移到第三國或—個國際組織。GDPR提供了(a)公共機構或實體之間之間簽訂的具有法律約束力和可執行性的文件;(b)有約束力的公司規則;(BCRs)(c)和(d)數據保護標準條款;(SCC)(e)經批準的行為準則(Codes of Conduct),以及第三國的控制者或處理者為了采取合適的安全保障而做出的具有約束力和執行力的承諾,包括數據主體的權利;或者(f)經批準的驗證機制等幾種可行的方式。
BCRs由于必須獲得數據保護機關的批準才可以采用,因此目前僅有少量大型總部設在歐盟的跨國企業采用了BCRs工具進行數據跨境轉移,比如西門子電子、惠普、寶馬汽車等一百多家跨國企業。所以在實務中,SCC成為了數據跨境轉移中被使用最多的方式。2021年6月4日,歐盟委員會通過了個人數據傳輸到第三國時應采用的新版標準合同條款(“新SCC條款”),發布了最終版實施決定。SCC由最初的“控制者傳輸至控制者”(C to C)及“控制者傳輸至處理者”(C to P)兩版增至“控制者傳輸至控制者 ”(C to C)、“控制者傳輸至處理者”(C to P)、“處理者傳輸至處理者 ”(P to P)、“處理者傳輸至控制者”(P to C)四個版本。新SCC條款也將Schrems II案的判決反映其中,即使使用 SCC 等適當的保護措施,組織也應始終評估第三國的數據接收者是否能夠遵守 GDPR 的所有要求。
(三)特殊情形下的克減
如果不存在根據第45條而做出的充足保護認定或根據第46條而制定的適當安全措施,將個人數據轉移到第三國或國際機構,只有滿足如下情形之—才能進行,如充分告知數據主體數據的各項傳輸風險,數據主體仍然同意的;企業與數據主體簽訂、履行合同的必要情形;保護數據主體或者他人的重大利益或公共利益等。
六、中國企業出海的合規建議
根據目前執行情況,盡管主要處罰的是頭部互聯網公司,如Facebook,google等掌握大量用戶個人信息的公司,但基于合規考慮及與客戶的合作順暢,仍然建議企業根據GDPR要求搭建公司內部的數據合規體系,通過滿足GDPR的一般要求來規避風險。
(一)內部評估
對公司內部各部門進行調研,明確公司收集哪類個人信息,是否包含敏感個人信息,如何存儲、處理等,判斷公司獲得數據是否獲得數據主體的授權,是否已經告知處理數據的特定目的及數據主體享有的各項權利。需要注意的是,公司通常會在經營中注意到公司業務可能涉及到的數據類型,往往忽視公司內部管理,雇員的信息合規,內部員工的數據保護也是公司數據合規體系建設的重要部分。
(二)采取措施建立數據合規體系
內部整合,建立跨部門合作機制。數據合規工作不止是法務部門(外聘律師)或技術部門能單獨完成的,公司應當統籌各部門,根據GDPR的要求采取組織及技術措施將相關數據保護措施進行落地。
完善網站或APP設置。尤其針對to C的系統,對于用戶同意、撤回等權利通過彈窗等多種方式明確數據主體的權利,清晰、直白的獲得數據主體的同意。
內部建立制度。將所有數據及管理方式進行整合,可建立內部數據合規管理制度,統一管理。
起草或修訂隱私政策、服務協議。根據GDPR的要求,起草或修訂對外的隱私政策呈現在公司的官方網站,對于數據主體的數據收集、存儲、使用目的、權利等進行明確告知。
起草數據保護合同模板(Data Protection Agreement)。針對于跨境合作,起草數據保護合同模板,合同內根據業務模式明確數據控制者或處理者的角色及各自義務,實務中通常將SCC作為附件一并簽署。
設立數據保護官(Data Protection Operator)、專用隱私郵箱等其他方式。
(三)其他符合GDPR要求的相關措施
不同行業因業務模式不同收集的信息不同,所需要采用的合規措施有所不同。所以需根據行業及公司的具體情況判定采取何種具體的合規措施。
參考材料
1. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation
2. Guidelines 07/2020 on the concepts of controller and processor in the GDPR
