歐盟GDPR: 個(gè)人數(shù)據(jù)保衛(wèi)戰(zhàn)的總攻集結(jié)號(hào)?
作者:齊寶鑫、陸華強(qiáng) 2019-03-18引子:一罰再罰 號(hào)角響起
2018年10月19日,葡萄牙政府主管部門對(duì)一家違反個(gè)人隱私保護(hù)和安全規(guī)定的醫(yī)院作出了罰款40萬歐元的決定;2019年1月21日,法國政府主管部門對(duì)谷歌實(shí)施了5000萬歐元的罰款決定;而根據(jù)有關(guān)消息,歐盟相關(guān)執(zhí)法機(jī)構(gòu)正在針對(duì)微軟Windows 10和Office軟件服務(wù)進(jìn)行有關(guān)個(gè)人數(shù)據(jù)保護(hù)的調(diào)查。
上述處罰及調(diào)查的直接依據(jù)是歐盟各成員國自2012年起經(jīng)過四年的充分協(xié)商后于2016年4月27日通過的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)。經(jīng)過2年過渡期后,這部具有里程碑意義的GDPR于2018年5月25日正式開始實(shí)施,從而統(tǒng)合了此前歐盟內(nèi)部各國相對(duì)零散的個(gè)人數(shù)據(jù)保護(hù)規(guī)定(各成員國原有數(shù)據(jù)保護(hù)相關(guān)規(guī)定并不當(dāng)然失效,但不得與GDPR的規(guī)定相斥)。
現(xiàn)在,GDPR幾乎吹響了全球個(gè)人數(shù)據(jù)保護(hù)權(quán)利的號(hào)角。在史上最嚴(yán)厲的數(shù)據(jù)監(jiān)管背景下,F(xiàn)acebook、 Amazon、 Instagram、 Whatsapp等涉及個(gè)人數(shù)據(jù)采集和運(yùn)營(yíng)的公司連連受到關(guān)注和投訴。
GDPR:知GDPR 百戰(zhàn)不殆
GDPR雖然只有99條,但篇幅不小,有近100頁的內(nèi)容。本文擬對(duì)GDPR有關(guān)適用主體、個(gè)人數(shù)據(jù)范圍、數(shù)據(jù)處理合規(guī)等進(jìn)行初步的整理。
1. 適用主體
(1)在歐盟境內(nèi)有業(yè)務(wù)機(jī)構(gòu)的數(shù)據(jù)控制方或數(shù)據(jù)處理方:涉及個(gè)人數(shù)據(jù)處理的行為。不論上述機(jī)構(gòu)從事的數(shù)據(jù)處理工作是否在歐盟境內(nèi)進(jìn)行。例如,一家歐盟企業(yè)在華有其控制的數(shù)據(jù)處理中心(作為子公司、供應(yīng)商或緊密合作機(jī)構(gòu)),雖然處理的是中國公民的個(gè)人數(shù)據(jù),但因其控制方設(shè)立于歐盟成員國,因此該在華數(shù)據(jù)處理中心應(yīng)當(dāng)遵守GDPR。
(2)于歐盟境外的數(shù)據(jù)控制方或數(shù)據(jù)處理方:因下述事由而從事的涉及歐盟公民個(gè)人數(shù)據(jù)處理行為:(1)在提供產(chǎn)品和服務(wù)過程中或(2)針對(duì)歐盟公民在歐盟地域范圍內(nèi)的個(gè)人行為的監(jiān)控。例如中國國際航空公司服務(wù)于大量歐洲客戶,那么歐洲乘客身份信息的錄入、復(fù)制、維護(hù)和銷毀就需要遵守GDPR的規(guī)則。
(3)于歐盟境外的數(shù)據(jù)控制方:根據(jù)國際法原則應(yīng)當(dāng)適用歐盟成員國法律對(duì)其適用的個(gè)人數(shù)據(jù)處理行為。
2. 權(quán)利范圍
GDPR確認(rèn)和賦予個(gè)人更為廣泛的數(shù)據(jù)保護(hù)權(quán)利。比如個(gè)人明確授權(quán)的原則,即使個(gè)人信息授權(quán)同意必須是信息主體在被充分告知的情況下做出的自愿、明確、肯定、清晰的授權(quán)。沉默和預(yù)設(shè)同意不被GDPR視為同意。
此外GDPR還強(qiáng)化了“透明原則”,即個(gè)人信息的收集、使用和處理應(yīng)當(dāng)向信息主體公開。個(gè)人數(shù)據(jù)泄露等違法時(shí)候,信息主體擁有被及時(shí)告知的權(quán)利。根據(jù)GDPR要求,在發(fā)生客戶或者員工個(gè)人數(shù)據(jù)泄露等違法行為時(shí),數(shù)據(jù)控制方應(yīng)當(dāng)在知道之時(shí)起72小時(shí)內(nèi)通知政府?dāng)?shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)。
如果個(gè)人數(shù)據(jù)違法行為可能導(dǎo)致個(gè)人權(quán)利和自由處于高風(fēng)險(xiǎn)狀態(tài),數(shù)據(jù)控制方應(yīng)當(dāng)毫不遲延地與信息主體進(jìn)行溝通。信息主體還擁有接觸、提取、使用或批準(zhǔn)他人使用的權(quán)利、要求刪除數(shù)據(jù)的權(quán)利、要求限制數(shù)據(jù)處理的權(quán)利和可攜帶權(quán)(Right of Data Portability)。
根據(jù)GDPR規(guī)定,個(gè)人數(shù)據(jù)范圍可以包括如下內(nèi)容:
i. 身份信息,如年齡、性別、指紋、興趣、觀點(diǎn)。
ii. 個(gè)人愛好信息:如網(wǎng)址偏好、消費(fèi)習(xí)慣。
iii. 金融信息:如個(gè)人收入、交易活動(dòng)。
iv. 社交媒體上的信息,如參與的組織、興趣、朋友、親戚、同事信息。
v. 通信信息,如招聘、視頻、短信、視頻通話、電子郵件
vi. 個(gè)人定位信息,如個(gè)人地理定位軌跡、旅行信息。
針對(duì)上述個(gè)人數(shù)據(jù),數(shù)據(jù)處理方的下列行為都被視為數(shù)據(jù)處理行為:收集、錄制、匯編(organization)、存儲(chǔ)、適應(yīng)(adaptation)、使用、銷毀。與上述行為相對(duì)應(yīng),數(shù)據(jù)處理方可能是以數(shù)據(jù)控制方的名義處理個(gè)人數(shù)據(jù)的任何自然人、法人、政府部門、機(jī)構(gòu)和組織。例如,伺服器提供方、工資結(jié)算機(jī)構(gòu)、通訊運(yùn)營(yíng)商、數(shù)據(jù)管理提供方、數(shù)據(jù)循環(huán)和存儲(chǔ)服務(wù)提供商。
與此同時(shí),GDPR還對(duì)敏感信息進(jìn)行了列舉式的規(guī)定,例如個(gè)人健康數(shù)據(jù)、基因數(shù)據(jù)、種族歸屬、哲學(xué)和宗教信仰、性取向、刑事定罪和刑事違法、工會(huì)成員信息。上述信息的處理僅限于非常嚴(yán)格的十種場(chǎng)合才被允許,例如為保護(hù)實(shí)質(zhì)性公共利益(Substantial Public Interest)之需要,或當(dāng)信息主體在生理上或法律上無法做出同意的確認(rèn),但為保護(hù)信息主體或其他自然人之切身利益保護(hù)之需要。
3. 數(shù)據(jù)保護(hù)官
GDPR要求符合規(guī)定的數(shù)據(jù)控制方和數(shù)據(jù)處理方設(shè)置數(shù)據(jù)保護(hù)官(DPO)。按照GDPR規(guī)定,除法院因?yàn)樗痉毮苄枰猓魏螐氖聜€(gè)人數(shù)據(jù)處理的政府部門需要設(shè)立數(shù)據(jù)保護(hù)官職位;任何公司和組織,其主要業(yè)務(wù)或目的要求其需要對(duì)大范圍個(gè)人數(shù)據(jù)進(jìn)行常態(tài)化和系統(tǒng)性檢測(cè),也需要設(shè)置數(shù)據(jù)保護(hù)官(DPO);公司或組織的核心活動(dòng)涉及處理大范圍的個(gè)人敏感信息(Sensitive Data)的,也需要設(shè)置數(shù)據(jù)保護(hù)官。
公司是否設(shè)置和任命數(shù)據(jù)官,事實(shí)上構(gòu)成了公司是否遵守GDPR的重要事實(shí)。
應(yīng)對(duì):臨“危”不亂 規(guī)行矩步
在歐洲,各國公民已經(jīng)被充分告知其擁有了上述個(gè)人數(shù)據(jù)保護(hù)的權(quán)利。除了顧客,雇員也可以籍此針對(duì)雇主展開個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的索賠和維權(quán)。
根據(jù)GDPR的規(guī)定,對(duì)個(gè)人數(shù)據(jù)保護(hù)方面違規(guī)的企業(yè),最高可能面臨2000萬歐元或相當(dāng)于其在全球范圍內(nèi)營(yíng)業(yè)收入的4%的罰款。GDPR甚至確認(rèn),丹麥法院可以對(duì)違反GDPR的行為處以刑罰,愛沙尼亞主管機(jī)構(gòu)可以基于輕罪(Misdemeanour)來處以罰款。
GDPR不折不扣是一部個(gè)人隱私保護(hù)領(lǐng)域的里程碑式立法,在全球范圍內(nèi)產(chǎn)生了震懾力。自然,GDPR對(duì)全球范圍內(nèi)的企業(yè)的業(yè)務(wù)運(yùn)營(yíng)和合規(guī)管理提出了更高的要求。對(duì)從事涉歐業(yè)務(wù)的企業(yè)而言,除了需要遵守具體成員國既定的有關(guān)個(gè)人數(shù)據(jù)保護(hù)的法律還需要遵守GDPR的規(guī)定。
對(duì)此,作為負(fù)責(zé)任的中國企業(yè),需要圍繞客戶和員工個(gè)人數(shù)據(jù)保護(hù)重塑公司內(nèi)部管理結(jié)構(gòu),比如整合公司市場(chǎng)、數(shù)據(jù)處理中心、HR以及法務(wù)部門的力量并實(shí)現(xiàn)通力合作,對(duì)相關(guān)人員進(jìn)行有關(guān)個(gè)人數(shù)據(jù)保護(hù)的培訓(xùn),并隨時(shí)準(zhǔn)備好與雇員、客戶等信息主體的開展有關(guān)個(gè)人數(shù)據(jù)保護(hù)的有效溝通和訴求回應(yīng)。
當(dāng)然,雇員隱私保護(hù)權(quán)利與公司商業(yè)秘密、專利等知識(shí)產(chǎn)權(quán)亦免不了產(chǎn)生沖突。這方面美國加州北區(qū)聯(lián)邦地區(qū)法院已經(jīng)走在了最前面。該法院在2019年2月24日的一份法院命令(Order)中就認(rèn)定雇主調(diào)取其雇員的有關(guān)前雇主專利的往來郵件的行為不適用歐盟的GDPR規(guī)則。為了做出這個(gè)決定,美國聯(lián)邦法院法官洋洋灑灑從信息存儲(chǔ)位置、國家利益、替代救濟(jì)途徑角度闡述了不適用GDPR的六點(diǎn)理由。
可見,面對(duì)來勢(shì)洶洶的GDPR,企業(yè)方面并非沒有招架之力。
結(jié)語:危中有“機(jī)”合規(guī)先行
GDPR不必然是洪水猛獸,其實(shí)還孕育著商業(yè)機(jī)會(huì)。GDPR對(duì)跨國企業(yè)提出了更高的合規(guī)要求,這既是屏障,又是通道,因?yàn)閷?duì)于及時(shí)建立和完善了公司內(nèi)部個(gè)人數(shù)據(jù)保護(hù)機(jī)制的中國企業(yè),往往更容易為歐洲合作伙伴和歐洲客戶用戶接納。
這方面B2C的企業(yè)尤其需要注意。當(dāng)然,對(duì)于B2B的企業(yè),特別是涉及歐盟企業(yè)或合作伙伴的人員派遣、人才培訓(xùn)、技術(shù)支持等情形,往往涉及員工個(gè)人數(shù)據(jù)保護(hù)問題,也需要在相關(guān)合作或業(yè)務(wù)合同中添加員工數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)法律條款。對(duì)于通過租賃服務(wù)器開展“互聯(lián)網(wǎng)+相關(guān)業(yè)務(wù)”的初創(chuàng)企業(yè),如SaaS 行業(yè)的企業(yè),則需要與數(shù)據(jù)中心和服務(wù)器提供商明確哪方屬于數(shù)據(jù)處理方,以避免因?yàn)榻缦薏磺宥兄虏槐匾牡谌剿髻r。
致謝:
法國FIDAL律師事務(wù)所數(shù)據(jù)保護(hù)法專家Anne-Sophie Viard-Crétat及中國事務(wù)部法律顧問Shandy LI(李?yuàn)櫍?duì)本文亦有貢獻(xiàn)。
