歐盟GDPR: 個人數據保衛戰的總攻集結號?
作者:齊寶鑫、陸華強 2019-03-18引子:一罰再罰 號角響起
2018年10月19日,葡萄牙政府主管部門對一家違反個人隱私保護和安全規定的醫院作出了罰款40萬歐元的決定;2019年1月21日,法國政府主管部門對谷歌實施了5000萬歐元的罰款決定;而根據有關消息,歐盟相關執法機構正在針對微軟Windows 10和Office軟件服務進行有關個人數據保護的調查。
上述處罰及調查的直接依據是歐盟各成員國自2012年起經過四年的充分協商后于2016年4月27日通過的《通用數據保護條例》(General Data Protection Regulation, GDPR)。經過2年過渡期后,這部具有里程碑意義的GDPR于2018年5月25日正式開始實施,從而統合了此前歐盟內部各國相對零散的個人數據保護規定(各成員國原有數據保護相關規定并不當然失效,但不得與GDPR的規定相斥)。
現在,GDPR幾乎吹響了全球個人數據保護權利的號角。在史上最嚴厲的數據監管背景下,Facebook、 Amazon、 Instagram、 Whatsapp等涉及個人數據采集和運營的公司連連受到關注和投訴。
GDPR:知GDPR 百戰不殆
GDPR雖然只有99條,但篇幅不小,有近100頁的內容。本文擬對GDPR有關適用主體、個人數據范圍、數據處理合規等進行初步的整理。
1. 適用主體
(1)在歐盟境內有業務機構的數據控制方或數據處理方:涉及個人數據處理的行為。不論上述機構從事的數據處理工作是否在歐盟境內進行。例如,一家歐盟企業在華有其控制的數據處理中心(作為子公司、供應商或緊密合作機構),雖然處理的是中國公民的個人數據,但因其控制方設立于歐盟成員國,因此該在華數據處理中心應當遵守GDPR。
(2)于歐盟境外的數據控制方或數據處理方:因下述事由而從事的涉及歐盟公民個人數據處理行為:(1)在提供產品和服務過程中或(2)針對歐盟公民在歐盟地域范圍內的個人行為的監控。例如中國國際航空公司服務于大量歐洲客戶,那么歐洲乘客身份信息的錄入、復制、維護和銷毀就需要遵守GDPR的規則。
(3)于歐盟境外的數據控制方:根據國際法原則應當適用歐盟成員國法律對其適用的個人數據處理行為。
2. 權利范圍
GDPR確認和賦予個人更為廣泛的數據保護權利。比如個人明確授權的原則,即使個人信息授權同意必須是信息主體在被充分告知的情況下做出的自愿、明確、肯定、清晰的授權。沉默和預設同意不被GDPR視為同意。
此外GDPR還強化了“透明原則”,即個人信息的收集、使用和處理應當向信息主體公開。個人數據泄露等違法時候,信息主體擁有被及時告知的權利。根據GDPR要求,在發生客戶或者員工個人數據泄露等違法行為時,數據控制方應當在知道之時起72小時內通知政府數據保護監督機構。
如果個人數據違法行為可能導致個人權利和自由處于高風險狀態,數據控制方應當毫不遲延地與信息主體進行溝通。信息主體還擁有接觸、提取、使用或批準他人使用的權利、要求刪除數據的權利、要求限制數據處理的權利和可攜帶權(Right of Data Portability)。
根據GDPR規定,個人數據范圍可以包括如下內容:
i. 身份信息,如年齡、性別、指紋、興趣、觀點。
ii. 個人愛好信息:如網址偏好、消費習慣。
iii. 金融信息:如個人收入、交易活動。
iv. 社交媒體上的信息,如參與的組織、興趣、朋友、親戚、同事信息。
v. 通信信息,如招聘、視頻、短信、視頻通話、電子郵件
vi. 個人定位信息,如個人地理定位軌跡、旅行信息。
針對上述個人數據,數據處理方的下列行為都被視為數據處理行為:收集、錄制、匯編(organization)、存儲、適應(adaptation)、使用、銷毀。與上述行為相對應,數據處理方可能是以數據控制方的名義處理個人數據的任何自然人、法人、政府部門、機構和組織。例如,伺服器提供方、工資結算機構、通訊運營商、數據管理提供方、數據循環和存儲服務提供商。
與此同時,GDPR還對敏感信息進行了列舉式的規定,例如個人健康數據、基因數據、種族歸屬、哲學和宗教信仰、性取向、刑事定罪和刑事違法、工會成員信息。上述信息的處理僅限于非常嚴格的十種場合才被允許,例如為保護實質性公共利益(Substantial Public Interest)之需要,或當信息主體在生理上或法律上無法做出同意的確認,但為保護信息主體或其他自然人之切身利益保護之需要。
3. 數據保護官
GDPR要求符合規定的數據控制方和數據處理方設置數據保護官(DPO)。按照GDPR規定,除法院因為司法職能需要外,任何從事個人數據處理的政府部門需要設立數據保護官職位;任何公司和組織,其主要業務或目的要求其需要對大范圍個人數據進行常態化和系統性檢測,也需要設置數據保護官(DPO);公司或組織的核心活動涉及處理大范圍的個人敏感信息(Sensitive Data)的,也需要設置數據保護官。
公司是否設置和任命數據官,事實上構成了公司是否遵守GDPR的重要事實。
應對:臨“危”不亂 規行矩步
在歐洲,各國公民已經被充分告知其擁有了上述個人數據保護的權利。除了顧客,雇員也可以籍此針對雇主展開個人數據保護領域的索賠和維權。
根據GDPR的規定,對個人數據保護方面違規的企業,最高可能面臨2000萬歐元或相當于其在全球范圍內營業收入的4%的罰款。GDPR甚至確認,丹麥法院可以對違反GDPR的行為處以刑罰,愛沙尼亞主管機構可以基于輕罪(Misdemeanour)來處以罰款。
GDPR不折不扣是一部個人隱私保護領域的里程碑式立法,在全球范圍內產生了震懾力。自然,GDPR對全球范圍內的企業的業務運營和合規管理提出了更高的要求。對從事涉歐業務的企業而言,除了需要遵守具體成員國既定的有關個人數據保護的法律還需要遵守GDPR的規定。
對此,作為負責任的中國企業,需要圍繞客戶和員工個人數據保護重塑公司內部管理結構,比如整合公司市場、數據處理中心、HR以及法務部門的力量并實現通力合作,對相關人員進行有關個人數據保護的培訓,并隨時準備好與雇員、客戶等信息主體的開展有關個人數據保護的有效溝通和訴求回應。
當然,雇員隱私保護權利與公司商業秘密、專利等知識產權亦免不了產生沖突。這方面美國加州北區聯邦地區法院已經走在了最前面。該法院在2019年2月24日的一份法院命令(Order)中就認定雇主調取其雇員的有關前雇主專利的往來郵件的行為不適用歐盟的GDPR規則。為了做出這個決定,美國聯邦法院法官洋洋灑灑從信息存儲位置、國家利益、替代救濟途徑角度闡述了不適用GDPR的六點理由。
可見,面對來勢洶洶的GDPR,企業方面并非沒有招架之力。
結語:危中有“機”合規先行
GDPR不必然是洪水猛獸,其實還孕育著商業機會。GDPR對跨國企業提出了更高的合規要求,這既是屏障,又是通道,因為對于及時建立和完善了公司內部個人數據保護機制的中國企業,往往更容易為歐洲合作伙伴和歐洲客戶用戶接納。
這方面B2C的企業尤其需要注意。當然,對于B2B的企業,特別是涉及歐盟企業或合作伙伴的人員派遣、人才培訓、技術支持等情形,往往涉及員工個人數據保護問題,也需要在相關合作或業務合同中添加員工數據保護的標準法律條款。對于通過租賃服務器開展“互聯網+相關業務”的初創企業,如SaaS 行業的企業,則需要與數據中心和服務器提供商明確哪方屬于數據處理方,以避免因為界限不清而招致不必要的第三方索賠。
致謝:
法國FIDAL律師事務所數據保護法專家Anne-Sophie Viard-Crétat及中國事務部法律顧問Shandy LI(李姍)對本文亦有貢獻。
