欧盟《通用数据保护条例》(General Data Protection Regulation,(EU)679/2016,以下简称“GDPR”)将于2018年5月25日起实施。届时,现行的《欧盟数据保护指令》(Directive 95/46/EC)将被废止,GDPR将直接适用于所有成员国,成为欧盟主要数据保护法律框架。GDPR制定了处理个人数据和个人数据自由流通的规则,堪称史上最严格的数据保护条例。它的实施,不仅影响到欧盟各成员国,亦关系到和欧盟之间有投资和经贸关系并接触到个人数据的中国企业。
一、欧盟GDPR对涉欧中国企业的影响
(一) 欧盟GDPR具有域外效力
GDPR赋予了欧盟在个人信息安全方面的域外管辖权。根据GDPR的规定,中国企业作为数据控制者或者数据处理者,如果在企业经营的过程中备份或者通过自动化手段处理了全部或部分的个人数据,就应该遵守欧盟关于个人信息安全的法律规定。具体情形包括:
如果企业设立在欧盟,那么无论对个人信息的处理行为是否发生在欧盟;
如果企业非设立在欧盟,但其向位于欧盟内数据主体提供商品和服务的过程中处理了欧盟内数据主体的个人数据,或对数据主体在欧盟内的活动进行监测;
如果企业非设立在欧盟,但根据国际公法,其所在地适用欧盟成员国的法律。
简言之,GDPR不仅适用于位于欧盟内部的组织机构,也适用于位于欧盟以外的组织机构,无论其所在地位于哪里,只要其向欧盟数据主体提供产品、服务或监控相关行为,或处理和持有居住在欧盟的数据主体的个人数据。
值得注意的是,GDPR适用于数据控制者和数据处理者。 “数据控制者”是确定处理个人数据的目的、条件和手段的实体,而“”数据处理者”是代表控制者处理个人数据的实体。这意味着“云”也将毫不例外地被划归至GDPR的管辖范围。
(二) 企业违反GDPR将面临调查和重罚
如果违反GDPR, 企业将面临欧盟相关监管机关的调查,包括:被通知相关违反行为;被要求提供相关信息,或者向监管机构提供访问此类信息的接口;被现场调查、审计;被命令修改、删除或者销毁个人数据;被采取临时性的或者有限的数据处理禁令等。
GDPR对违规企业采取根据情况分级处理的方法。如果公司未按要求做好相关记录,或者未将其违规行为通知监管机关和数据主体,或者未进行影响评估,则可能被处以其全球年营业额2%的罚款。如果发生了最为严重的侵犯个人信息安全的行为,譬如,没有充分获得客户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临高达其全球年营业额的4%或2000万欧元(以较大者为准)的巨额行政罚款。
除此之外,欧盟各成员国还可以针对数据保护违规行为,制定本国有效、适当和有威慑力的罚则。
二、中国企业如何应对GDPR的合规挑战
(一) 掌握欧盟关于个人信息收集处理的基本原则
1.合法、公正和透明原则:以合法、公平和透明的方式收集处理数据主体的信息等。
2.目的限制原则:以明确的和合法的目的收集信息,不以与这些目的不相符的方式进一步处理信息等。
3.数据最少化原则:数据应符合适当、相关并限于与其处理目的有关的必要条件。
4.准确性原则:数据应准确,并在必要时保持最新; 必须采取一切合理措施删除或纠正不正确的个人数据。
5.储存限制原则:储存数据的期限不得长于为达到目的所需的时间;
6.完整性和机密性原则:确保个人数据的适当安全性,包括防止未经授权或非法处理以及意外丢失、破坏或损坏。
7.问责制:数据控制者有责任并能够证明其做到了上述几点。
(二) 了解个人所享有的信息安全方面的权利
欧盟的个人信息安全新规则的目的就是通过加强现有权利并赋予个人更多的个人数据控制权,来提升个人在提供其数据时对数据保护的信任感,从而促进欧盟统一市场的数字化进程。最值得注意的个人权利包括:
1.对自身数据的访问权:个人有权获得更多关于其数据处理方式、地点及目的的信息。
2.数据可传输权/便携权:数据主体有权向数据控制者索要其个人数据,也有权将数据传输给其他控制者。
3.被遗忘权/数据删除权:数据主体有权要求数据控制者删除其个人数据;除非数据控制者有合法理由保留,否则应及时删除数据,不得无故拖延。
4.泄露被通知权:企业在第一次意识到被黑客入侵或数据泄露之后,必须在72小时内尽快通知相关欧盟成员国监管机构、客户和数据控制者该数据泄露的情况,不得无故拖延,以便用户采取适当措施。
(三) 关注GDPR关于个人信息保护新规定
1.收集处理个人信息须本人明确同意
GDPR强化了征得用户同意的条件限制。同意的请求必须以清晰易懂的语言且以易理解、易于阅读的形式提供,说明处理其个人数据的目的,并与其他事项区分开来。撤回同意应该和表示同意一样容易操作。
2.强调隐私设计
“控制人应当......以有效的方式采取适当的技术和组织措施......以符合本法规的要求并保护数据主体的权利”,即隐私设计要求在系统设计开始时就考虑数据保护,而不是事后增加。
3.设立数据保护专员(Data Protection Officer,DPO)
如果相关组织属于(a)公共机构或团体,或(b)从事大规模系统监测的组织,或(c)从事大规模处理敏感个人数据的组织,那么就必须指定DPO。否则,无需指定。
4.注意儿童个人数据的处理
处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。欧盟各成员国可对上述年龄进行调整,但是不得低于13岁。
5.谨慎收集处理特别类型的个人数据
禁止收集处理反映个人种族或民族起源、政治观点、宗教哲学信仰、是否是工会组织成员、个人基因识别、生物数据,或涉及健康、性生活或性取向的数据,除非已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要,并在法律允许的范围内,且已采取了适当的保护手段等。
6.数据泄露须及时通知
一旦数据泄露,违规公司必须在72小时内向信息安全监管机构及时通报可能对个人构成风险的数据泄露。数据处理者必须在第一次意识到个人数据泄露之后,通知客户和客户处理者,不得无故拖延。
(四) 建立企业内部个人信息安全体系
迎接GDPR挑战的必然选择就是建立企业内部个人信息安全体系。至少要从以下三方面着手:
1.搭建安全和风险管理的框架体系
企业应该在熟悉掌握相关的立法要求、政策导向且明确企业自身应该履行义务的前提下,结合自身情况特点,建立本企业信息管理系统、风险评估和防控机制。
2.进行个人信息安全风险评估
首先,企业应对操作流程和内容加以定义;其次,理解和评估造成的影响;然后,对可能产生的威胁加以定义,并评估其发生的概率;最后,结合以上分析,对个人信息安全风险进行评估。
3.采取安全措施
安全措施包括组织架构方面的安全措施和技术方面的安全措施。组织架构方面的安全措施包括安全管理、事件响应和业务连续性,以及人力资源等。(2)技术方面的安全措施包括访问控制和认证、记录和监测、静止数据的安全性、网络/通信安全、移动/便携式设备等。
以上为欧盟GDPR的简要解读及初步建议。需要注意的是,由于各自业务不同,其采集的个人信息范围、内容、性质、所处理的数据类型和数量也各不相同,因此不存在适用于各个企业的万能合规法。具体个人信息安全措施还需要专业人士结合每个企业的具体特点对症下药、量体裁衣。
总之,随着大数据时代的来临,包括个人信息在内的数据越来越成为各大商家激烈争夺的资源。注重个人信息安全合规,不仅可以使企业免受高额处罚之苦,而且会成为未来企业一项重要的竞争优势。希望中国企业都能够在合规的前提下,成为信息时代的佼佼者。