中國企業(yè)應對GDPR的若干實務問題研究(上)
作者:吳衛(wèi)明、李榮榮 2018-07-10——以《實踐指南》的關注點為線索
2018年5月25日,《歐盟數(shù)據(jù)保護通用條例》(General Data Protection Regulation,簡稱“GDPR”)正式生效。對于該條例,盡管有不少中國企業(yè)提前進行了研究和布局,然而,規(guī)則生效帶來的沖擊依然是巨大的。為了給予中國企業(yè)必要的指導,全國信息安全標準化技術(shù)委員會(以下簡稱“信標委”)于GDPR生效當日發(fā)布了《網(wǎng)絡安全實踐指南—歐盟GDPR關注點》(簡稱“《實踐指南》”)。雖然該《實踐指南》是中國相關機構(gòu)對GDPR的理解,但對于實踐依然具有積極的指導意義。本文擬結(jié)合《實踐指南》對GDPR相關問題作出分析,以期對企業(yè)的實務工作具有借鑒意義。
一、《實踐指南》出臺的背景及目的
《歐盟數(shù)據(jù)保護通用條例》(General Data Protection Regulation,簡稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會(The European Parliament )早在兩年前(即2016年4月14日)就審議通過并正式公告了GDPR,被冠以 “最嚴數(shù)據(jù)隱私條例”,GDPR的正式生效還是給很多跨國企業(yè)造成不小沖擊。比如,GDPR生效的第一天,隱私權(quán)倡導組織Noyb.eu就代表數(shù)據(jù)主體向歐洲監(jiān)管機構(gòu)提起了針對Facebook、Android、WhatsApp、Instagram違反GDPR規(guī)定的訴訟。同時,《紐約每日新聞》、《洛杉磯時報》、《邁阿密先驅(qū)報》等一些美國新聞網(wǎng)站在歐洲暫時關閉,《時代》和《華盛頓郵報》則重新修改了專門針對歐盟用戶同意的隱私與服務條款。中國的互聯(lián)網(wǎng)科技企業(yè)也不例外,騰訊微信團隊于5月28日發(fā)布了《關于歐盟數(shù)據(jù)保護通用條例的通知》,當歐盟用戶撤銷授權(quán)公眾號獲取其個人信息時,會以郵件形式告知公眾號的注冊郵箱刪除歐盟用戶的信息;騰訊在GDPR生效前一個月發(fā)布了自5月20日起停止為歐洲用戶服務的消息;小米生態(tài)鏈企業(yè)Yeelight則宣布,由于無法滿足GDPR要求,將不再向歐洲用戶提供服務……
GDPR關于個人數(shù)據(jù)保護的條款內(nèi)容十分豐富,鑒于部分共計173條,正文部分共計99條(分為十章),包含適用范圍、地域范圍、數(shù)據(jù)主體同意的要件、特殊類型的個人信息處理、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者的義務、個人數(shù)據(jù)向第三國或國際組織的傳輸、數(shù)據(jù)保護的監(jiān)管機構(gòu)職權(quán)、數(shù)據(jù)主體權(quán)利被侵犯后的救濟途徑和處罰措施等等,體現(xiàn)了全面的個人數(shù)據(jù)保護和促進個人信息合法自由流動的雙重立法理念。同時,在個人信息的定義與范圍、個人信息處理的原則、“同意”的形式和內(nèi)容等方面,國內(nèi)的《個人信息安全規(guī)范》與GDPR存在諸多相通之處。
對于企業(yè)而言, GDPR規(guī)定了數(shù)據(jù)主體的哪些權(quán)利、國內(nèi)企業(yè)與歐盟企業(yè)合作時是否必然適用GDPR、在歐盟設立的下屬企業(yè)如何應對GDPR、如何完善自身隱私政策條款內(nèi)容、如何快速應對GDPR所產(chǎn)生的影響等等實務問題,更具有現(xiàn)實意義。筆者關注到,全國信息安全標準化技術(shù)委員會(以下簡稱“信標委”)于GDPR生效當日即發(fā)布了《網(wǎng)絡安全實踐指南—歐盟GDPR關注點》(簡稱“《實踐指南》”),簡要介紹了GDPR適用的場景、核心內(nèi)容和關注點,并結(jié)合案例說明了如何理解GDPR的核心條款,并提示了組織采取何種應對措施以符合GDPR的規(guī)定,屬于官方機構(gòu)對GDPR的權(quán)威解讀。然則,在與GDPR有關的文章“鋪天蓋地”的主流趨勢下,《個人信息安全規(guī)范》的歸口部門信標委員出臺的《實踐指南》被淹沒在了GDPR的“洪流”中。
本文即以《實踐指南》提及的關注點為線索,對企業(yè)如何解決適用GDPR過程中遇到的實務合規(guī)問題予以研究。
二、《實踐指南》關注點一:適用 GDPR的場景
GDPR條款 | 關注點 | 案例 | 組織應對措施 |
GDPR第3條 | 一是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)設有分支機構(gòu)(establishment)。 | 在歐盟本地運營的A國(A國指某一非歐盟成員國)連鎖酒店,直接將其收集的住客個人數(shù)據(jù)傳輸至A國總部進行處理,則需要履行GDPR中相關責任和義務。 | 組織[1]涉及海外業(yè)務、全球化經(jīng)營或業(yè)務合作等場景時,應注意其是否適用GDPR。 |
二是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)不設分支機構(gòu)(establishment)的情形 | A國企業(yè)開發(fā)的軟件或系統(tǒng)被嵌入某款設備,該設備向歐盟地區(qū)銷售,該設備的制造商在歐盟境內(nèi)設立了銷售代表處,相關軟件或系統(tǒng)收集個人數(shù)據(jù)的過程需要適用GDPR等 | ||
三是GDPR主要適 | 當歐盟公民抵達A國,例如進入A國大學學習,在A國商場購物等,且歐盟公民返回歐盟境內(nèi)后,大學、商場不再對其行為進行跟蹤或分析,則大學、商場無需適用GDPR。 |
來源:全國信息安全標準化技術(shù)委員會
本文開篇提到的Facebook、Android、WhatsApp、Instagram以及國內(nèi)的小米、騰訊直接對歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務,或者在歐盟境內(nèi)設立了分支機構(gòu),按照GDPR第三條以及《實踐指南》關注點一的解讀,前述企業(yè)遵守GDPR無疑。但是,以下案例中的B公司是否要遵守GDPR呢?
B屬于中國某運營商的下屬大數(shù)據(jù)分析公司,在歐盟沒有設立任何分支機構(gòu);用戶張某使用該運營商的SIM卡,在去法國旅行前開通了境外通信業(yè)務,在法國旅行期間共計通話100分鐘,共計發(fā)送了20條短信/彩信;如果B公司只對張某等中國公民在歐盟成員國旅行期間的通信情況等進行了加工、處理、分析,最終形成了中國公民歐洲游通信情況的分析報告,根據(jù)該報告所反映的屬性趨勢情況,向同樣符合該等屬性的中國公民推送了境外游的營銷廣告。那么,B公司是否有義務遵守GDPR呢?
GDPR第3條第2款將數(shù)據(jù)主體界定為“歐盟境內(nèi)的數(shù)據(jù)主體”(data subjects who are in the Union),并未明確規(guī)定為“歐盟公民”(Eu citizens),張某等中國公民的個人通信信息行為發(fā)生地在歐洲,但B公司處理了中國公民的數(shù)據(jù)信息,所以,尚不能援引GDPR第3條第2款直接判定,上述案例中的B公司是否應遵守GDPR。
關于如何理解“歐盟境內(nèi)的數(shù)據(jù)主體”,歐盟委員會專門就數(shù)據(jù)保護的適用對象問題(Who does the data protection law apply to?)做了如下官方案例答復, “如果您的公司是歐盟以外的服務提供商,且為歐盟成員國以外的客戶提供服務。您的客戶可以在去其他國家(包括歐盟內(nèi)部)旅行時使用公司提供的服務。如果您的公司沒有明確地針對歐盟的個人提供服務,那么,該公司不受GDPR規(guī)則的約束。” [2]根據(jù)歐盟委員會的前述官方答復,GDPR保護的對象主要為歐盟成員國的公民,而非“世界公民”。所以,上述案例中,如果B公司只對中國公民提供商品或服務,且張某未在法國長期居留以至于取得了“法國公民”的資格,筆者認為,B公司不必然遵守GDPR。
三、《實踐指南》關注點二:適用的數(shù)據(jù)范圍
| 關注點 | 組織應對措施 |
GDPR第4條第(1)款 | 個人數(shù)據(jù),是指與一個確定的或可識別的自然人相關的任何信息。可被識別的自然人,是指借助標識符,例如姓名、身份標識、位置數(shù)據(jù)、網(wǎng)上標識符,或借助與該個人生理、心理、基因、精神、經(jīng)濟、文化或社會身份特定相關的一個或多個因素,可被直接或間接識別出的個人。 | 組織應識別其處理個人數(shù)據(jù)或特殊類別(敏感)個人數(shù)據(jù)的具體類型。 |
GDPR第9條第(1)款、 GDPR第10條
| 特殊類別(敏感)個人數(shù)據(jù),是指揭示種族或民族出身,政治觀點、宗教或哲學信仰以及工會成員的個人數(shù)據(jù),以及唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)、自然人的健康、性生活或性取向數(shù)據(jù),還包括刑事定罪和犯罪相關的個人資料等。 |
來源:全國信息安全標準化技術(shù)委員會
企業(yè)處理特殊類別(敏感)數(shù)據(jù)比處理一般個人數(shù)據(jù)時的注意義務更嚴格,主要如下:(1)個人數(shù)據(jù)是否為特殊類別(敏感)數(shù)據(jù)是判斷合法性基礎(即無需數(shù)據(jù)主體的同意)的特別情形之一,即未經(jīng)數(shù)據(jù)主體同意,亦非歐盟法或成員國法律所允許的,控制者應當確認前述處理活動是否與最初收集數(shù)據(jù)的目的一致;[3](2)無論企業(yè)的規(guī)模或人數(shù),控制者(以及適用情況下的控制者的代理人)均應當依其職責保存處理活動的記錄,處理者(以及在適用情況下的處理者的代表)均應保存代表控制者執(zhí)行的所有處理活動類別的記錄,而雇員少于250人的企業(yè)或組織處理特殊類別(敏感)數(shù)據(jù)以外的個人數(shù)據(jù)時,則不必然履行前述保存處理活動記錄的義務[4];(3)控制者和處理存在處理大規(guī)模特殊類別(敏感)個人數(shù)據(jù)情形的,必須設立數(shù)據(jù)保護官(Designation of the data protection officer)[5]。
需注意的是,我國《個人信息安全規(guī)范》(GB/T 35273—2017)規(guī)定的個人敏感信息與GDPR規(guī)定的特殊類別(敏感)個人數(shù)據(jù)都將個人的基因、健康、生物識別信息、性取向、宗教信仰、民族出身等信息囊入其中,但兩者之間具有如下主要區(qū)別之處:(1)我國規(guī)定的個人敏感信息范圍更加寬泛:除了GDPR列舉的數(shù)據(jù)種類外,我國將個人財產(chǎn)信息(如銀行賬號、房產(chǎn)信息、信貸記錄、征信信息等)、個人身份信息(如身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等)、網(wǎng)絡身份標識信息(如系統(tǒng)賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數(shù)字證書等)、婚史、通信記錄和內(nèi)容、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準定位信息等。而按照GDPR規(guī)定,網(wǎng)絡身份標識信息、身份信息則未被納入特殊類別(敏感)個人數(shù)據(jù)范圍之內(nèi)。(2)兩者的定義模式不同,GDPR對特殊類別(敏感)個人數(shù)據(jù)的定義采取列舉式,而我國采取概括和列舉并列式:除了前述列式的個人敏感信息類型外,我國規(guī)定的人敏感信息泛指“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。例如,李四是某證券公司的“操盤手”,手機通訊錄包含了眾多投資機構(gòu)負責人的聯(lián)系方式,如網(wǎng)絡服務提供者泄露了李四手機通訊錄中的聯(lián)系人信息,將對李四名譽造成重大損害,那么,李四的“聯(lián)系人信息”將從《個人信息安全規(guī)范》認定的“個人信息”升級為“個人敏感信息”。
![]()
四、《實踐指南》關注點三:數(shù)據(jù)處理的基本原則
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第5條 | 個人數(shù)據(jù)處理的基本原則,包括合法、公正、透明、數(shù)據(jù)最小化、目的限定、存儲限制、完整性和保密性、問責等; | 組織應保證其數(shù)據(jù)處理活動遵循基本的原則。 |
GDPR第4條第2款 | 數(shù)據(jù)處理是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作,諸如收集、記錄、組織、建構(gòu)、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他的利用,排列、組合、限制、刪除或銷毀,且無論此操作是否采用自動化的手段。 |
來源:全國信息安全標準化技術(shù)委員會
“合法、公正、透明”是企業(yè)處理個人數(shù)據(jù)的首要原則,如何認定“合法”需要結(jié)合GDPR第6條關于“合法正當性理由”綜合判定,“公正、透明”強調(diào)企業(yè)應以方便數(shù)據(jù)主體明確易懂的方式處理個人信息;“數(shù)據(jù)最小化”是指以個人數(shù)據(jù)處理目的之必要為限度,如某P2P平臺搜集了借款人的血型,則易被認定為超出提供借貸撮合服務的“數(shù)據(jù)最小化”限度;“目的限定”和“儲存限定”原則都規(guī)定了例外情形,即為了公共利益、科學或歷史研究或者統(tǒng)計目的而進一步處理,應符合GDPR第89條第1款規(guī)定,不應被認定為不符合初始目的或者可以較長時間儲存?zhèn)€人數(shù)據(jù),該原則旨在保持數(shù)據(jù)主體利益與社會公共利益之間的平衡。
“完整性和保密性”是指企業(yè)應當采取適度的方式確保個人數(shù)據(jù)安全,防止未經(jīng)授權(quán)的、非法的處理、意外遺失、滅失或損毀,強調(diào)企業(yè)處理數(shù)據(jù)時應履行“安全義務”[6]。數(shù)據(jù)泄露是全球范圍內(nèi)最常見的網(wǎng)絡安全事件之一,也是數(shù)據(jù)主體同意填寫個人信息時最擔心的因素之一,關鍵信息系統(tǒng)、網(wǎng)絡安全和數(shù)據(jù)安全領域的領導者泰雷茲公司于2018年3月20日發(fā)布的《2018泰雷茲數(shù)據(jù)威脅報告》顯示, 26%的受訪者曾于2016年表示遭遇了數(shù)據(jù)泄露,2017年的占比上升至36%,而到2018年該比例明顯上升至67%[7]。所以,企業(yè)應當采取先進、全面、足夠的技術(shù)手段以及管理措施,以保護數(shù)據(jù)主體信息的“完整性和保密性”。
“問責”是GDPR第5條第2款單獨規(guī)定的原則,同時也是保障企業(yè)遵循前述六大原則的“兜底原則”,即企業(yè)應當證明其自身符合前述六大原則,且應當對造成數(shù)據(jù)主體的損害承擔賠償責任。
五、《實踐指南》關注點四:數(shù)據(jù)處理的合法正當性事由
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第6條第1款 | 數(shù)據(jù)處理行為首先應具備合法性基礎,GDPR規(guī)定的六種合法性情形包括:數(shù)據(jù)主體的同意、合同履行、履行法定義務、保護個人重要利益、 | 組織應保證其數(shù)據(jù)處理活動滿足合法性要求。 |
GDPR第4條第(11)項 | GDPR強調(diào)同意是指“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個明確的肯定性動作,表示同意對其個人數(shù)據(jù)進行處理。該意愿表達應是自由給出的(freely given)、特定具體的(specific)、知情的(informed)、清晰明確的(unambiguous)”,且撤回同意的方式應該與表達同意同等便利。 |
來源:全國信息安全標準化技術(shù)委員會
“數(shù)據(jù)主體同意”個人數(shù)據(jù)為一個或多個特定目的而處理是處理數(shù)據(jù)正當性事由的首要情形,也是我國《網(wǎng)絡安全法》、《民法總則》等個人信息保護方面法律法規(guī)規(guī)定的強制性要求,常見的同意形式主要體現(xiàn)形式為專門的隱私政策服務條款、用戶注冊協(xié)議或具體交易協(xié)議中的授權(quán)條款、網(wǎng)絡服務提供者制定的履行網(wǎng)絡安全義務的規(guī)章制度等等。例如,F(xiàn)acebook 的服務條款之一有如下約定:“針對需要特殊保護的數(shù)據(jù)(例如您在Facebook用戶畫像范圍內(nèi)或Life Events專欄內(nèi)分享的有關您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息)處理,我們就此有權(quán)向您選擇的對象披露,且有權(quán)對您的內(nèi)容進行個性化處理。”該條款并未以取得Facebook用戶對其分享宗教觀等數(shù)據(jù)信息的同意,所以, Noyb.eu vs. Facebook 的訴訟中,Noyb.eu提出的申訴請求之一即是請求通過申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第(a)項及的要求,以及違規(guī)程度如何。[8]
其他五種數(shù)據(jù)處理的合法性正當事由并不以同意為條件,但根據(jù)GDPR第6條第2款、第3款、第4款的規(guī)定,是否構(gòu)成合法性正當事由需要滿足較為嚴苛的條件,如認定符合“履行法定義務”和“維護公共利益以及追求正當利益”情形時,需要從被處理的數(shù)據(jù)類型、目的限制、儲存限制、處理操作和處理程序、個人數(shù)據(jù)可能被披露的實體等“彈性”因素予以綜合判定,且GDPR同時給予了歐盟成員國對前述情形的立法權(quán)。例如, Facebook將對用戶進行營銷的數(shù)據(jù)處理表述如下:“為了履行我們Facebook服務條款或Instagram使用條款的必要”,Noyb.eu 就該條款認為,F(xiàn)acebook顯然試圖在民商事法律條款中“隱藏”對處理行為的同意,以期引起誤解,使人認為該等處理行為符合GDPR第6條第1點第(b)款的規(guī)定。[9]
所以,其他五種數(shù)據(jù)處理的合法性正當事由的認定難度較大,在援引合法性正當事由的判例出現(xiàn)或者認定具體情形的法律條文出臺前,建議企業(yè)仍然需要取得數(shù)據(jù)主體的“同意”后再進行數(shù)據(jù)處理。
六、《實踐指南》關注點五:對兒童的特殊保護規(guī)定
| 關注點 | 組織應對措施 |
GDPR第8條 | 如果直接向兒童提供信息社會服務時,該兒童的年齡應當為16周歲以上。若兒童未滿16周歲,只有在征得監(jiān)護人同意或授權(quán)的范圍內(nèi)其處理才合法。成員國可以通過法律對上述年齡進行調(diào)整,但不得低于13周歲 | 組織如涉及兒童個人數(shù)據(jù)的處理,應予以特別保護。 |
來源:全國信息安全標準化技術(shù)委員會
組織涉及兒童個人數(shù)據(jù)的處理,尤其需注意履行如下義務:(1)應當采取合理努力,在現(xiàn)有技術(shù)條件下,驗證兒童的監(jiān)護人是否予以同意[10];(2)GDPR第7條第1款的特別保護措施不應影響到成員國的一般合同法律(如與兒童有關的合同效力、構(gòu)成或?qū)嵭校?a href="file://C:/Users/rainy/AppData/Local/Microsoft/Windows/INetCache/Content.Outlook/X324BK4U/GDPR%20%E7%94%9F%E6%95%88%E5%90%8E%EF%BC%8C%E4%BC%81%E4%B8%9A%E5%A6%82%E4%BD%95%E8%A7%A3%E5%86%B3%E9%9D%A2%E4%B8%B4%E7%9A%84%E5%AE%9E%E5%8A%A1%E5%90%88%E8%A7%84%E9%97%AE%E9%A2%98%EF%BC%9F%EF%BC%88%E4%B8%8A%EF%BC%89-20180710.docx#_ftn11">[11];(3)對于兒童的任何信息,企業(yè)應當以簡單明了、且易于獲取的方式以及通過清楚明確的語言,并采取合適措施提供第13 條和第14 條所提到的任何信息(主要為企業(yè)從數(shù)據(jù)主體搜集個人數(shù)據(jù)時應披露的信息,如企業(yè)的身份、聯(lián)系方式、儲存限制等)。
(未完待續(xù))
注:本文僅作為學術(shù)研究之用,不代表監(jiān)管的意見,也不屬于法律意見或操作指導。任何對本文觀點的引用,均不代表作者的任何操作指導,作者不承擔任何法律責任。
[1] 《實踐指南》統(tǒng)一采用“組織”表述,如無特別注明,本文內(nèi)容提及的“企業(yè)”與“組織”表示同一主體。
[2]訪問網(wǎng)址:https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.
[3] 詳見GDPR第6條。
[4] 詳見GDPR第30條。
[5] 詳見GDPR第37條。
[6] 具體詳見GDPR第32條至34條。
[7] 訪問網(wǎng)址:https://dtr.thalesesecurity.com/.
[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[10] 詳見GDPR第8條第2款。
[11] 詳見GDPR第8條第3款。
