中國企業應對GDPR的若干實務問題研究(下)
作者:吳衛明、李榮榮 2018-07-10——以《實踐指南》的關注點為線索
(續本文之“上”)
七、《實踐指南》關注點六:數據主體權利
| 關注點 | 組織應對措施 |
第三章 數據主體權利 | GDPR賦予了數據主體對其數據廣泛的控制權,包括知情、訪問、更正、刪除、限制處理、可攜帶、反對等權利。比如:在數據收集時,數據控制者應以簡潔、透明、易懂及便于訪問的方式向數據主體提供數據控制者身份及聯系信息、數據處理的目的及合法基礎、數據主體享有的權利等信息。 | 組織應基于當前業務特點及處理數據的合法性事由,選擇需要實現的數據主體權利。 |
GDPR第17條 第1款、第2款 (刪除權) | 在特定情況下,如履行目的不再需要、數據主體撤回同意或個人數據被非法處理等等情況下,數據主體有權要求刪除其個人數據。GDPR也規定了若干刪除權不適用情形,如為行使言論和信息自由的權利,為履行數據控制者法定義務,為設立、行使或捍衛合法權利等等。 | |
GDPR第17條 第3款 (刪除權條款不適用的情形) | 數據主體有權拒絕數據控制者基于以下目的對個人數據進行的處理行為,如為公共利益,為數據控制者的合法利益,以直接營銷為目的,基于科學或歷史研究以及統計目的的數據處理行為等。 | |
GDPR第18條 (限制處理權) | 數據主體有權在以下情形限制數據控制者的處理行為,如質疑數據準確性,違法處理,數據到期等。 | |
GDPR第20條 (數據可攜帶權) | 數據控制者基于數據主體同意或履行合同所必須,以自動化方式處理數據主體提供的個人數據時,數據主體有權從數據控制者取得結構化可機讀的個人數據副本,并傳送給另一個數據控制者。 |
來源:全國信息安全標準化技術委員會
GDPR在鑒于部分即開宗明義指出:“自然人在個人數據處理方面獲得保護是一項基本權利。《歐盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款規定每個人都享有就其個人數據獲得保護的權利”,GDPR創設了限制處理權、數據可攜帶權、刪除權等等,并將數據主體的權利范圍、權利內容以及權利保障措施等提升到前所未有的高度。
圖一
Booking在《隱私聲明》內容的最前面,即設置了“打印/保存”功能,易于用戶獲取隱私政策
圖二
5月22日,蘋果公司更新了隱私政策條款,添加了用戶的刪除數據權
八、《實踐指南》關注點七:對用戶畫像的規定
GDPR條款 | 關注點 | 案例 | 組織應對措施 |
GDPR 第4條第4款 | 用戶畫像是指通過自動化方式處理個人數據的活動,用于評估、分析以及預測個人的特定方面,可能包括工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現等。 | 電商通過用戶畫像,開展廣告、市場預測和推廣工作。 | 組織如涉及對用戶進行畫像,需要關注如何獲得合法性基礎,以及向數據主體提供相應權利。 |
GDPR第13條第2款第(f)項、第14條第2款第(g)項、第22條第2款 | 在數據主體明確同意、歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像。同時還提出,在征得數據主體同意時,應對畫像相關數據來源、算法原理及相應影響等予以充分告知,并賦予數據主體反對權、刪除權、更正權和限制處理權等權利。 | —— |
來源:全國信息安全標準化技術委員會
用戶畫像屬于自動化決策的表現形式之一,能夠在一定程度上影響數據主體作出決策的自自由意志和行為,根據GDPR規定,企業以用戶畫像方式進行數據處理時必須履行如下義務:(1)在數據主體明確同意、數據歐盟或者成員國法律的明確授權、履行合同所必需的情形下可以使用用戶畫像,其中,取得數據主體的明確同意也是企業目前普遍采取的方式;(2)企業應當讓數據主體知曉用戶畫像的存在以及用戶畫像的結果,以符合“合法、公正、透明原則”;(3)企業應當讓數據主體知曉自動處理數據的算法,若可能,應當提供連接安全系統的遠程途徑,該系統可以向數據主體提供直接訪問其信息的途徑[2];(4)企業應當保障數據主體可以在任何時間反對其處理與直接營銷有關的數據畫像,同時,應當采取明確引起數據主體注意的方式體現反對權條款,并清晰地與其他條款分開說明[3];(5)企業應當同時遵守歐洲數據保護委員會制定的具體指引中關于用戶畫像的規定[4]。
實踐中,互聯網服務提供者通常采用cookies技術監控、跟蹤用戶活動,并預測用戶行為,完全符合GDPR規定的用戶畫像定義。如Google制定的隱私政策(Privacy Policy)中,開篇即專門提醒用戶注意閱讀另行制定的Cookies 政策(Cookies Policy)。具體如下圖所示:
圖三:goole的隱私政策截屏
九、《實踐指南》關注點八:對數據處理者的規定
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第4條 第(8)項 | 數據處理者是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。 | 組織如屬于數據處理者,應根據數據控制者明確的指示處理個人數據,履行相應的保密義務,在數據處理服務結束時,刪除或返還所有的個人數據,接受數據控制者的審計等。 |
GDPR第28條 第1款、第2款 | 當數據控制者委托數據處理者具體處理數據時,數據控制者應選擇采取了合適的技術和組織方面措施的數據處理者,以確保數據處理符合GDPR的要求,及保障數據主體的權利。在沒有數據控制者事先或一般性的書面許可時,數據處理者不應再與另外的數據處理者合作。 |
來源:全國信息安全標準化技術委員會
GDPR特別強調數據處理者處理個人數據的權限不能超出數據控制者的書面許可,否則,處理行為將成為“無源之水、無本之木”。例如,近期持續發酵的Facebook數據泄露事件中,英國劍橋大學的學者柯剛通過相關軟件獲取了Facebook海量用戶信息,劍橋分析公司通過柯剛獲取了用戶信息,并將其用于與政客營銷商業服務有關的數據處理。劍橋分析公司作為數據處理者,并未獲得數據控制者Facebook處理用戶信息的任何書面許可,所以,劍橋分析公司在Facebook數據泄露事件中也負有不可推卸的法律責任。
除了《實踐指南》提及的組織應對措施外,數據處理者還應當履行如下義務:(1)應當實施適當的技術性和組織性措施,確保處理過程的安全性,如保證處理系統和服務具有保密性、完整性、可用性、可恢復性的功能,對技術性和組織性措施的有效性進行定期測試、訪問、評估等[5];(2)處理者在知道個人信息泄露后,應立即通知控制者[6];(3)協助數據控制者遵守網絡安全、個人數據泄露向監管機構報告、個人數據泄露后告知數據主體、數據保護影響評估等義務[7];(4)與除自身以外的其他數據處理者合作處理數據時,應當就其他處理者義務的履行對控制者承擔全部責任[8];(5)處理者僅在其未遵守GDPR對于處理者義務的特別規定、超出控制者的合法指令或者與違反控制者的指令時,為數據處理導致的損害負責,但數據主體也有權直接向處理者主張索賠,如屬于控制者的責任,處理者可事后向控制者追償[9]。
十、《實踐指南》關注點九:對數據保護官、歐盟境內法律代表的規定
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第37條 第1款 | 通常情況下,數據控制者和數據處理者任命數據保護官的情形包括:(1)公權力機構處理數據的;(2)數據處理的主要活動范圍、目的要求經常性、系統性、大范圍地監測數據主體;(3)大規模處理特殊類別個人數據。 | 組織如存在上述情形,應考慮設立數據保護官或任命歐盟境內法律代表。 |
GDPR第37條 第5款、第6款、第7款 | 數據保護官應具備專業的數據保護法律和實踐的知識,以保證其履行相應職責。數據保護官可以是正式職員,也可以基于服務合同完成工作。數據控制者應公開數據保護官的聯系方式,并將名單向監管機構匯報。 | |
GDPR第27條 第1款、第3款 | 如果組織面向歐盟境內的數據主體提供商品或服務,或監控歐盟境內數據主體的行為,應通過書面形式在歐盟境內任命一名代表。 |
來源:全國信息安全標準化技術委員會
數據保護官類似于我國《網絡安全法》規定的網絡安全負責人以及《個人信息安全規范》的個人信息保護負責人,主要負責保障數據主體權利以及企業網絡安全等數據保護方面的工作,是企業與監管機構、數據主體的溝通橋梁。企業應在如下五個方面確保數據保護官的地位:(1)應當公布數據保護官的聯系方式,并報告給監管機構[10];(2)應當確保數據保護官適當、及時地參與有關個人數據保護的所有事宜;(3)通過提供必要資源和專業知識培訓支持數據保護官執行任務;(4)不會因為數據保護官執行任務而將其解雇或者給予處罰;(5)當數據保護官履行其他職責時,確保不會出現利益沖突[11],所以,企業可以考慮由法務總監、網絡安全負責人、審計部門負責人兼任數據保護官,而進行數據處理的業務部門負責人、總經理的職責一般與數據保護官存在利益沖突,不建議兼任數據保護官。
十一、《實踐指南》關注點十:對數據保護影響評估的規定
GDPR條款 | 關注點 | 組織應對措施 |
第35條第1款 第35條第3款 | 數據控制者在進行數據處理之前,基于數據處理的性質、范圍、內容及目的判斷處理活動可能對個人的權利和自由構成高風險時,應實施DPIA。在以下情形下,通常需要實施DPIA:一是基于數據的自動化處理,包括數字畫像,對自然人個人方面的系統和廣泛的評估,而據此做出的決定對該自然人產生法律效力或者重大影響;二是大規模特殊類別個人數據或有關犯罪記錄和違法行為的個人數據;三是對公共區域大規模的系統化監控。 | 組織如構成上述情形,應考慮實施數據保護影響評估(DPIA)。 |
來源:全國信息安全標準化技術委員會
企業如符合實施數據保護影響評估的前述情形,實施數據保護影響評估應注意以下三個方面:(1)評估應當至少應當包含預計的處理操作及操作目的、對數據主體的權利進行風險性評估、預期的風險防范措施等[12],如處理過程是高風險的,應當在處理之前向監管機構征詢意見[13];(2)應充分考慮行業協會或者其他機構制定的行為準則[14];(3)在不影響保護商業利益、公共利益或者網絡安全的情況下,應該就將要進行的數據處理向數據主體或代表征詢意見[15]。
十二 、《實踐指南》關注點十一:通過設計實現數據保護的規定
GDPR條款 | 關注點 | 組織應對措施 |
鑒于第(78)項、 GDPR第25條 第1款 | 數據保護設計理念應當融入到產品和業務開發的早期過程(Privacy by Design),例如,設計假名化等機制有效地落實數據保護原則,并且將必要的保障措施融入到數據處理過程之中。此外,組織可實施相應的措施以確保在默認情形下,僅僅處理為實現目的而最少必需的個人數據。 | 組織應注意其產品和業務的設計理念與GDPR保持一致。 |
來源:全國信息安全標準化技術委員會
數據保護設計理念要求企業在產品或服務研發之初就應該履行數據保護義務,堅持保護用戶隱私權的理念,在搜集信息前就采取預防性的保障措施,如產品或服務的默認設置即具有保護用戶數據信息功能(詳見下圖四);隱私政策條款的展示頁面中,特別標注了處理用戶特殊類型數據的條款(詳見下圖五)。
圖四:Safari 瀏覽器默認設置“阻止跨網站跟蹤”
圖五:支付寶隱私政策特別標注了用戶特殊類型數據
十三、《實踐指南》關注點十二:數據泄露強制通知的規定
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第33條、 GDPR鑒于部分第(86)項 | 在發生個人數據泄露時,除非個人數據的泄露不會產生危及自然人權利和自由的風險,否則數據控制者應在獲知泄露之時起的72小時內向監管機構發送通知報告。另外,當個人數據泄露可能對自然人的權利和自由產生高風險時,數據控制者還應當向數據主體告知數據泄露的相關情況。 | 組織應注意如發生個人數據泄露等安全事件,需履行的通報和告知義務。 |
來源:全國信息安全標準化技術委員會
GDPR并未明確規定監管機構的具體名稱,而是由各個成員國確定各自監管機構的任務、權限和職權。企業向監管機構履行告知義務的內容應當包括如下方面:(1)描述個人數據泄露的性質,盡可能地包括相關數據主體以及個人數據記錄的類別和大致數量;(2)數據保護負責人或者其他能夠獲得更多信息的聯系點的名稱和聯系方式;(3)描述數據泄露的可能性后果;(4)描述控制者應對數據泄露事件而采取的措施或計劃采取的措施,包括能夠減輕負面影響的措施[16]。
GDPR雖然沒有明確規定企業向數據主體履行告知義務的具體時限,但該項告知義務的時限要求實際上比向監管機構履行告知義務的更高,即需要減輕立即損害的,需要立即與資料當事人溝通,而需要采取適當措施防止持續或類似的個人資料遭泄露的,則可能需要更多時間進行溝通,企業向履行告知義務的內容應當包括如下兩個方面:(1)個人數據泄露的性質;(2)提出減輕潛在不利影響的建議。
十四、《實踐指南》關注點十三:數據跨境傳輸的規定
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第五章 | GDPR提出了多種數據跨境流動機制。比如,直接向通過歐盟進行充分性認定的第三國傳輸數據,還可通過實施被認可的行為準則,簽署符合相關要求的格式合同、有約束力的公司準則、通過相關認證等方式證明數據接收方滿足適當的保護能力,來保證數據跨境流動的安全性;此外,在征得數據主體明示同意、基于公共利益、履行有利于數據主體的合同或基于組織正當利益等情形下也滿足數據跨境傳輸要求。 | 組織如涉及數據跨境傳輸,應選擇適用于其業務的跨境傳輸機制。 |
來源:全國信息安全標準化技術委員會
與我國《網絡安全法》規定的跨境傳輸采取安全評估機制不同,GDPR規定了多種數據跨境流動機制,除直接向通過歐盟進行充分性認定的第三國傳輸數據(即允許直接跨境傳輸 )外,其他渠道均允許成員國境內的控制者在符合特定條件下對個人數據進行跨境傳輸。鑒于中國并不在“充分性認定”的第三國名單內[17],若涉及處理歐盟境內數據或者在歐盟境內設立分支機構的中國企業,應考慮通過簽署相關要求的格式合同、有約束力的公司規則、通過實施被認可的行為準則或相關認證、征得數據主體明示同意等渠道,進行個人數據的跨境傳輸。
十五、《實踐指南》關注點十四:處罰規定
GDPR條款 | 關注點 | 組織應對措施 |
GDPR第83條 第4款 | GDPR對違規組織采取根據情況分級處理的方法,并設定了最低一千萬歐元的巨額罰款作為制裁。如果組織未按要求保護數據主體的權益、做好相關記錄,或未將其違規行為通知監管機關和數據主體,或未進行數據保護影響評估或者未按照規定配合認證,或未委派數據保護官或歐盟境內代表,則可能被處以1000萬歐元或其全球年營業額2%(兩者取其高)的罰款。 | 組織可向其內部通報GDPR處罰規則,進一步提升安全意識。 |
GDPR第83條 第5款、第6款 | 如果發生了更為嚴重的侵犯個人數據安全的行為,如未獲得客戶同意處理數據,或核心理念違反“隱私設計”要求,或違反規定將個人數據跨境傳輸,或違反歐盟成員國法律規定的義務等,組織有可能面臨最高2000萬歐元或組織全球年營業額的4%(兩者取其高)的巨額罰款。 |
來源:全國信息安全標準化技術委員會
GDPR的巨額罰款給跨國企業帶來巨大震懾力,上述GDPR關于處罰機制適用對象已突破歐盟成員國范圍,同“關注點一:適用 GDPR的場景”,只要向歐盟境內公民提供商品或服務,無論企業設立在哪個國家,如觸發GDPR的處罰機制,都將面臨巨額罰款。比如,GDPR生效當日,Noyb.eu 起訴的四家公司中,Google (Android)雖然屬于美國注冊[18]的公司,也成為了被訴對象。
除了上述由監管機構處以行政處罰外,根據GDPR第82條規定,企業還將面臨民事賠償責任,其中,控制者都應對違反GDPR關于處理行為所造成的損害負責。處理者只有在沒有履行GDPR關于特別針對處理者的義務,或在控制者的合法指示之外或相反的情況下,才須對處理所造成的損害負法律責任。
注:本文僅作為學術研究之用,不代表監管的意見,也不屬于法律意見或操作指導。任何對本文觀點的引用,均不代表作者的任何操作指導,作者不承擔任何法律責任。
[1] 詳見GDPR第12條。
[2] 詳見GDPR 詳見GDPR鑒于部分第(63)項。
[3] 詳見GDPR鑒于部分第(70)項。
[4] 詳見GDPR鑒于部分第(72)項。
[5] 詳見GDPR第32條第1款。
[6] 詳見GDPR第33條第2款。
[7] 詳見GDPR第28條第3款第(f)項。
[8] 詳見GDPR第28條第4款。
[9] 詳見GDPR第82條。
[10] 詳見GDPR第37條第7款。
[11] 詳見GDPR第38條。
[12] 詳見GDPR第35條第7款。
[13] 詳見GDPR第36條第1款。
[14] 詳見GDPR第35條第8款。
[15] 詳見GDPR第35條第9款。
[16] GDPR第33條第3款。
[17] 歐盟委員會公布的“充分性認定”的第三國名單包括安道爾、阿根廷、加拿大(商業組織)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私保護框架)。
[18]Google (Android)注冊地址為Amphitheatre Parkway, Mountain View, CA 94043, USA.
