网上投稿
2018年5月25日 《欧盟数据保护通用条例》 (General Data Protection Regulation ,简称“ GDPR ” ) 正式生效。对于该条例,尽管有不少中国企业提前进行了研究和布局,然而,规则生效带来的冲击依然是巨大的。为了给予中国企业必要的指导, 全国信息安全标准化技术委员会(以下简称“信标委”)于GDPR生效当日发布了《网络安全实践指南—欧盟GDPR关注点》(简称“《实践指南》”)。虽然该《实践指南》是中国相关机构对 GDPR 的理解,但对于实践依然具有积极的指导意义。本文拟结合 《实践指南》对 GDPR 相关问题作出分析,以期对企业的实务工作具有借鉴意义。
一、 《实践指南》出台的背景及目的
《欧盟数据保护通用条例》(General Data Protection Regulation,简称“GDPR”) 于2018年5月25日正式生效。虽然欧洲议会(The European Parliament )早在两年前(即2016年4月14日)就审议通过并正式公告了GDPR,被冠以 “最严数据隐私条例”,GDPR的正式生效还是给很多跨国企业造成不小冲击。比如,GDPR生效的第一天,隐私权倡导组织Noyb.eu就代表数据主体向欧洲监管机构提起了针对Facebook、Android、WhatsApp、Instagram违反GDPR规定的诉讼。同时,《纽约每日新闻》、《洛杉矶时报》、《迈阿密先驱报》等一些美国新闻网站在欧洲暂时关闭,《时代》和《华盛顿邮报》则重新修改了专门针对欧盟用户同意的隐私与服务条款。中国的互联网科技企业也不例外,腾讯微信团队于5月28日发布了《关于欧盟数据保护通用条例的通知》,当欧盟用户撤销授权公众号获取其个人信息时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息;腾讯在GDPR生效前一个月发布了自5月20日起停止为欧洲用户服务的消息;小米生态链企业Yeelight则宣布,由于无法满足GDPR要求,将不再向欧洲用户提供服务……
GDPR关于个人数据保护的条款内容十分丰富,鉴于部分共计173条,正文部分共计99条(分为十一章),包含适用范围、地域范围、数据主体同意的要件、特殊类型的个人信息处理、数据主体权利、数据控制者和处理者的义务、个人数据向第三国或国际组织的传输、数据保护的监管机构职权、数据主体权利被侵犯后的救济途径和处罚措施等等,体现了全面的个人数据保护和促进个人信息合法自由流动的双重立法理念。同时,在个人信息的定义与范围、个人信息处理的原则、“同意”的形式和内容等方面,国内的《个人信息安全规范》与GDPR存在诸多相通之处。
对于企业而言, GDPR规定了数据主体的哪些权利、国内企业与欧盟企业合作时是否必然适用GDPR、在欧盟设立的下属企业如何应对GDPR、如何完善自身隐私政策条款内容、如何快速应对GDPR所产生的影响等等实务问题,更具有现实意义。笔者关注到,全国信息安全标准化技术委员会(以下简称“信标委”)于GDPR生效当日即发布了《网络安全实践指南—欧盟GDPR关注点》(简称“《实践指南》”),简要介绍了GDPR适用的场景、核心内容和关注点,并结合案例说明了如何理解GDPR的核心条款,并提示了组织采取何种应对措施以符合GDPR的规定,属于官方机构对GDPR的权威解读。然则,在与GDPR有关的文章“铺天盖地”的主流趋势下,《个人信息安全规范》的归口部门信标委出台的《实践指南》被淹没在了GDPR的“洪流”中。
本文即以《实践指南》提及的关注点为线索,对企业如何解决适用GDPR过程中遇到的实务合规问题予以研究。
二、 《实践指南》关注点一:适用 GDPR的场景
GDPR条款
关注点
案例
组织应对措施
GDPR第3条
一是数据控制者或数据处理者在欧盟境内设有分支机构(establishment)。
在欧盟本地运营的A国(A国指某一非欧盟成员国)连锁酒店,直接将其收集的住客个人数据传输至A国总部进行处理,则需要履行GDPR中相关责任和义务。
组织[1]涉及海外业务、全球化经营或业务合作等场景时,应注意其是否适用GDPR。
二是数据控制者或数据处理者在欧盟境内不设分支机构(establishment)的情形。
A国企业开发的软件或系统被嵌入某款设备,该设备向欧盟地区销售,该设备的制造商在欧盟境内设立了销售代表处,相关软件或系统收集个人数据的过程需要适用GDPR等。
三是GDPR主要适用欧盟境内发生的个人数据处理行为,其保护对象为欧盟境内的数据主体。
当欧盟公民抵达A国,例如进入A国大学学习,在A国商场购物等,且欧盟公民返回欧盟境内后,大学、商场不再对其行为进行跟踪或分析,则大学、商场无需适用GDPR。
来源:全国信息安全标准化技术委员会
本文开篇提到的Facebook、Android、WhatsApp、Instagram以及国内的小米、腾讯直接对欧盟境内的数据主体提供商品或服务,或者在欧盟境内设立了分支机构,按照GDPR第三条以及《实践指南》关注点一的解读,前述企业遵守GDPR无疑。但是,以下案例中的B公司是否要遵守GDPR呢?
B属于中国某运营商的下属大数据分析公司,在欧盟没有设立任何分支机构;用户张某使用该运营商的SIM卡,在去法国旅行前开通了境外通信业务,在法国旅行期间共计通话100分钟,共计发送了20条短信/彩信;如果B公司只对张某等中国公民在欧盟成员国旅行期间的通信情况等进行了加工、处理、分析,最终形成了中国公民欧洲游通信情况的分析报告,根据该报告所反映的属性趋势情况,向同样符合该等属性的中国公民推送了境外游的营销广告。那么,B公司是否有义务遵守GDPR呢?
GDPR第3条第2款将数据主体界定为“欧盟境内的数据主体”(data subjects who are in the Union),并未明确规定为“欧盟公民”(Eu citizens),张某等中国公民的个人通信信息行为发生地在欧洲,但B公司处理了中国公民的数据信息,所以,尚不能援引GDPR第3条第2款直接判定,上述案例中的B公司是否应遵守GDPR。
关于如何理解“欧盟境内的数据主体”,欧盟委员会专门就数据保护的适用对象问题(Who does the data protection law apply to?)做了如下官方案例答复, “如果您的公司是欧盟以外的服务提供商,且为欧盟成员国以外的客户提供服务。您的客户可以在去其他国家(包括欧盟内部)旅行时使用公司提供的服务。如果您的公司没有明确地针对欧盟的个人提供服务,那么,该公司不受GDPR规则的约束。” [2]根据欧盟委员会的前述官方答复,GDPR保护的对象主要为欧盟成员国的公民,而非“世界公民”。所以,上述案例中,如果B公司只对中国公民提供商品或服务,且张某未在法国长期居留以至于取得了“法国公民”的资格,笔者认为,B公司不必然遵守GDPR。
三、 《实践指南》关注点二:适用的数据范围
GDPR条款
关注点
组织应对措施
GDPR第4条第(1)款
个人数据,是指与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人,是指借助标识符,例如姓名、身份标识、位置数据、网上标识符,或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可被直接或间接识别出的个人。
组织应识别其处理个人数据或特殊类别(敏感)个人数据的具体类型。
GDPR第9条第(1)款、
GDPR第10条
特殊类别(敏感)个人数据,是指揭示种族或民族出身,政治观点、宗教或哲学信仰以及工会成员的个人数据,以及唯一识别自然人为目的的基因数据、生物特征数据、自然人的健康、性生活或性取向数据,还包括刑事定罪和犯罪相关的个人资料等。
来源:全国信息安全标准化技术委员会
企业处理特殊类别(敏感)数据比处理一般个人数据时的注意义务更严格,主要如下:(1)个人数据是否为特殊类别(敏感)数据是判断合法性基础(即无需数据主体的同意)的特别情形之一,即未经数据主体同意,亦非欧盟法或成员国法律所允许的,控制者应当确认前述处理活动是否与最初收集数据的目的一致;[3](2)无论企业的规模或人数,控制者(以及适用情况下的控制者的代理人)均应当依其职责保存处理活动的记录,处理者(以及在适用情况下的处理者的代表)均应保存代表控制者执行的所有处理活动类别的记录,而雇员少于250人的企业或组织处理特殊类别(敏感)数据以外的个人数据时,则不必然履行前述保存处理活动记录的义务[4];(3)控制者和处理存在处理大规模特殊类别(敏感)个人数据情形的,必须设立数据保护官(Designation of the data protection officer)[5]。
需注意的是,我国《个人信息安全规范》(GB/T 35273—2017)规定的个人敏感信息与GDPR规定的特殊类别(敏感)个人数据都将个人的基因、健康、生物识别信息、性取向、宗教信仰、民族出身等信息囊入其中,但两者之间具有如下主要区别之处:(1)我国规定的个人敏感信息范围更加宽泛:除了GDPR列举的数据种类外,我国将个人财产信息(如银行账号、房产信息、信贷记录、征信信息等)、个人身份信息(如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等)、网络身份标识信息(如系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等)、婚史、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。而按照GDPR规定,网络身份标识信息、身份信息则未被纳入特殊类别(敏感)个人数据范围之内。(2)两者的定义模式不同,GDPR对特殊类别(敏感)个人数据的定义采取列举式,而我国采取概括和列举并列式:除了前述列式的个人敏感信息类型外,我国规定的人敏感信息泛指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。例如,李四是某证券公司的“操盘手”,手机通讯录包含了众多投资机构负责人的联系方式,如网络服务提供者泄露了李四手机通讯录中的联系人信息,将对李四名誉造成重大损害,那么,李四的“联系人信息”将从《个人信息安全规范》认定的“个人信息”升级为“个人敏感信息”。
四、 《实践指南》关注点三:数据处理的基本原则
GDPR条款
关注点
组织应对措施
GDPR第5条
个人数据处理的基本原则,包括合法、公正、透明、数据最小化、目的限定、存储限制、完整性和保密性、问责等;
组织应保证其数据处理活动遵循基本的原则。
GDPR第4条第2款
数据处理是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,且无论此操作是否采用自动化的手段。
来源:全国信息安全标准化技术委员会
“合法、公正、透明”是企业处理个人数据的首要原则,如何认定“合法”需要结合GDPR第6条关于“合法正当性理由”综合判定,“公正、透明”强调企业应以方便数据主体明确易懂的方式处理个人信息;“数据最小化”是指以个人数据处理目的之必要为限度,如某P2P平台搜集了借款人的血型,则易被认定为超出提供借贷撮合服务的“数据最小化”限度;“目的限定”和“储存限定”原则都规定了例外情形,即为了公共利益、科学或历史研究或者统计目的而进一步处理,应符合GDPR第89条第1款规定,不应被认定为不符合初始目的或者可以较长时间储存个人数据,该原则旨在保持数据主体利益与社会公共利益之间的平衡。
“完整性和保密性”是指企业应当采取适度的方式确保个人数据安全,防止未经授权的、非法的处理、意外遗失、灭失或损毁,强调企业处理数据时应履行“安全义务”[6]。数据泄露是全球范围内最常见的网络安全事件之一,也是数据主体同意填写个人信息时最担心的因素之一,关键信息系统、网络安全和数据安全领域的领导者泰雷兹公司于2018年3月20日发布的《2018泰雷兹数据威胁报告》显示, 26%的受访者曾于2016年表示遭遇了数据泄露,2017年的占比上升至36%,而到2018年该比例明显上升至67%[7]。所以,企业应当采取先进、全面、足够的技术手段以及管理措施,以保护数据主体信息的“完整性和保密性”。
“问责”是GDPR第5条第2款单独规定的原则,同时也是保障企业遵循前述六大原则的“兜底原则”,即企业应当证明其自身符合前述六大原则,且应当对造成数据主体的损害承担赔偿责任。
五、 《实践指南》关注点四:数据处理的合法正当性事由
GDPR条款
关注点
组织应对措施
GDPR第6条第1款
数据处理行为首先应具备合法性基础,GDPR规定的六种合法性情形包括:数据主体的同意、合同履行、履行法定义务、保护个人重要利益、维护公共利益以及追求正当利益。
组织应保证其数据处理活动满足合法性要求。
GDPR第4条第(11)项
GDPR强调同意是指“数据主体通过书面声明或经由一个明确的肯定性动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的(freely given)、特定具体的(specific)、知情的(informed)、清晰明确的(unambiguous)”,且撤回同意的方式应该与表达同意同等便利。
来源:全国信息安全标准化技术委员会
“数据主体同意”个人数据为一个或多个特定目的而处理是处理数据正当性事由的首要情形,也是我国《网络安全法》、《民法总则》等个人信息保护方面法律法规规定的强制性要求,常见的同意形式主要体现形式为专门的隐私政策服务条款、用户注册协议或具体交易协议中的授权条款、网络服务提供者制定的履行网络安全义务的规章制度等等。例如,Facebook 的服务条款之一有如下约定:“针对需要特殊保护的数据(例如您在Facebook用户画像范围内或Life Events专栏内分享的有关您的宗教观、政治倾向、您”感兴趣“的人或者您的健康状况的信息)处理,我们就此有权向您选择的对象披露,且有权对您的内容进行个性化处理。”该条款并未以取得Facebook用户对其分享宗教观等数据信息的同意,所以, Noyb.eu vs. Facebook 的诉讼中,Noyb.eu提出的申诉请求之一即是请求通过申诉程序裁决该控制方的处理行为是否已完全符合GDPR第6条第1款第(a)项的要求,以及违规程度如何。[8]
其他五种数据处理的合法性正当事由并不以同意为条件,但根据GDPR第6条第2款、第3款、第4款的规定,是否构成合法性正当事由需要满足较为严苛的条件,如认定符合“履行法定义务”和“维护公共利益以及追求正当利益”情形时,需要从被处理的数据类型、目的限制、储存限制、处理操作和处理程序、个人数据可能被披露的实体等“弹性”因素予以综合判定,且GDPR同时给予了欧盟成员国对前述情形的立法权。例如, Facebook将对用户进行营销的数据处理表述如下:“为了履行我们Facebook服务条款或Instagram使用条款的必要”,Noyb.eu 就该条款认为,Facebook显然试图在民商事法律条款中“隐藏”对处理行为的同意,以期引起误解,使人认为该等处理行为符合GDPR第6条第1点第(b)款的规定。[9]
所以,其他五种数据处理的合法性正当事由的认定难度较大,在援引合法性正当事由的判例出现或者认定具体情形的法律条文出台前,建议企业仍然需要取得数据主体的“同意”后再进行数据处理。
六、 《实践指南》关注点五:对儿童的特殊保护规定
GDPR条款
关注点
组织应对措施
GDPR第8条
如果直接向儿童提供信息社会服务时,该儿童的年龄应当为16周岁以上。若儿童未满16周岁,只有在征得监护人同意或授权的范围内其处理才合法。成员国可以通过法律对上述年龄进行调整,但不得低于13周岁
组织如涉及儿童个人数据的处理,应予以特别保护。
来源:全国信息安全标准化技术委员会
组织涉及儿童个人数据的处理,尤其需注意履行如下义务:(1)应当采取合理努力,在现有技术条件下,验证儿童的监护人是否予以同意[10];(2)GDPR第7条第1款的特别保护措施不应影响到成员国的一般合同法律(如与儿童有关的合同效力、构成或实行)[11];(3)对于儿童的任何信息,企业应当以简单明了、且易于获取的方式以及通过清楚明确的语言,并采取合适措施提供第13 条和第14 条所提到的任何信息(主要为企业从数据主体搜集个人数据时应披露的信息,如企业的身份、联系方式、储存限制等)。
七、 《实践指南》关注点六:数据主体权利
GDPR条款
关注点
组织应对措施
第三章
数据主体权利
GDPR赋予了数据主体对其数据广泛的控制权,包括知情、访问、更正、删除、限制处理、可携带、反对等权利。比如:在数据收集时,数据控制者应以简洁、透明、易懂及便于访问的方式向数据主体提供数据控制者身份及联系信息、数据处理的目的及合法基础、数据主体享有的权利等信息。
组织应基于当前业务特点及处理数据的合法性事由,选择需要实现的数据主体权利。
GDPR第17条
第1款、第2款
(删除权)
在特定情况下,如履行目的不再需要、数据主体撤回同意或个人数据被非法处理等等情况下,数据主体有权要求删除其个人数据。GDPR也规定了若干删除权不适用情形,如为行使言论和信息自由的权利,为履行数据控制者法定义务,为设立、行使或捍卫合法权利等等。
GDPR第17条
第3款
(删除权条款不适用的情形)
数据主体有权拒绝数据控制者基于以下目的对个人数据进行的处理行为,如为公共利益,为数据控制者的合法利益,以直接营销为目的,基于科学或历史研究以及统计目的的数据处理行为等。
GDPR第18条
(限制处理权)
数据主体有权在以下情形限制数据控制者的处理行为,如质疑数据准确性,违法处理,数据到期等。
GDPR第20条
(数据可携带权)
数据控制者基于数据主体同意或履行合同所必须,以自动化方式处理数据主体提供的个人数据时,数据主体有权从数据控制者取得结构化可机读的个人数据副本,并传送给另一个数据控制者。
来源:全国信息安全标准化技术委员会
GDPR在鉴于部分即开宗明义指出:“自然人在个人数据处理方面获得保护是一项基本权利。《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款规定每个人都享有就其个人数据获得保护的权利”,GDPR创设了限制处理权、数据可携带权、删除权等等,并将数据主体的权利范围、权利内容以及权利保障措施等提升到前所未有的高度。
对于企业而言,对数据主体权利的保障主要体现在用户隐私政策条款中,并构成企业隐私政策条款的核心内容,尽快调整隐私政策条款成为GDPR生效后的重要合规工作,并至少应当注意以下四个方面:(1)权利内容:全面告知用户数据访问权、更正权、删除权、限制处理权、数据可携带权、反对权等;(2)权利告知方式:以简单、透明、清晰且易于获取的方式告知用户,采用清楚明确的语言;(3)权利告知介质:应当以书面形式或其他方式提供,若有必要,可采取电子形式。如果用户的身份能够通过其他方式得到认证,在用户要求的前提下,可以采用口头方式;(4)权利请求的行动期限:企业应当自收到请求之日起1个月内提供GDPR关于用户权利内容而采取行动的信息,必要时可以延长两个月。对于延期提供信息的任何情况,企业都应当自收到请求之日起1个月内通知用户相关情形和延迟原因[12]。企业执行GDPR保护用户权利方面的参考案例如下:
图一
Booking在《隐私声明》内容的最前面,即设置了“打印/保存”功能,易于用户获取隐私政策
图二
5月22日,苹果公司更新了隐私政策条款,添加了用户的删除数据权
八、 《实践指南》关注点七:对用户画像的规定
GDPR条款
关注点
案例
组织应对措施
GDPR
第4条第4款
用户画像是指通过自动化方式处理个人数据的活动,用于评估、分析以及预测个人的特定方面,可能包括工作表现、经济状况、位置、健康状况、个人偏好、可信赖度或者行为表现等。
电商通过用户画像,开展广告、市场预测和推广工作。
组织如涉及对用户进行画像,需要关注如何获得合法性基础,以及向数据主体提供相应权利。
GDPR第13条第2款第(f)项、第14条第2款第(g)项、第22条第2款
在数据主体明确同意、欧盟或者成员国法律的明确授权、履行合同所必需的情形下可以使用用户画像。同时还提出,在征得数据主体同意时,应对画像相关数据来源、算法原理及相应影响等予以充分告知,并赋予数据主体反对权、删除权、更正权和限制处理权等权利。
——
来源:全国信息安全标准化技术委员会
用户画像属于自动化决策的表现形式之一,能够在一定程度上影响数据主体作出决策的自自由意志和行为,根据GDPR规定,企业以用户画像方式进行数据处理时必须履行如下义务:(1)在数据主体明确同意、数据欧盟或者成员国法律的明确授权、履行合同所必需的情形下可以使用用户画像,其中,取得数据主体的明确同意也是企业目前普遍采取的方式;(2)企业应当让数据主体知晓用户画像的存在以及用户画像的结果,以符合“合法、公正、透明原则”;(3)企业应当让数据主体知晓自动处理数据的算法,若可能,应当提供连接安全系统的远程途径,该系统可以向数据主体提供直接访问其信息的途径[13];(4)企业应当保障数据主体可以在任何时间反对其处理与直接营销有关的数据画像,同时,应当采取明确引起数据主体注意的方式体现反对权条款,并清晰地与其他条款分开说明[14];(5)企业应当同时遵守欧洲数据保护委员会制定的具体指引中关于用户画像的规定[15]。
实践中,互联网服务提供者通常采用cookies技术监控、跟踪用户活动,并预测用户行为,完全符合GDPR规定的用户画像定义。如Google制定的隐私政策(Privacy Policy)中,开篇即专门提醒用户注意阅读另行制定的Cookies 政策(Cookies Policy)。具体如下图所示:
图三:goole的隐私政策截屏
九、 《实践指南》关注点八:对数据处理者的规定
GDPR条款
关注点
组织应对措施
GDPR第4条
第(8)项
数据处理者是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
组织如属于数据处理者,应根据数据控制者明确的指示处理个人数据,履行相应的保密义务,在数据处理服务结束时,删除或返还所有的个人数据,接受数据控制者的审计等。
GDPR第28条
第1款、第2款
当数据控制者委托数据处理者具体处理数据时,数据控制者应选择采取了合适的技术和组织方面措施的数据处理者,以确保数据处理符合GDPR的要求,及保障数据主体的权利。在没有数据控制者事先或一般性的书面许可时,数据处理者不应再与另外的数据处理者合作。
来源:全国信息安全标准化技术委员会
GDPR特别强调数据处理者处理个人数据的权限不能超出数据控制者的书面许可,否则,处理行为将成为“无源之水、无本之木”。例如,近期持续发酵的Facebook数据泄露事件中,英国剑桥大学的学者柯刚通过相关软件获取了Facebook海量用户信息,剑桥分析公司通过柯刚获取了用户信息,并将其用于与政客营销商业服务有关的数据处理。剑桥分析公司作为数据处理者,并未获得数据控制者Facebook处理用户信息的任何书面许可,所以,剑桥分析公司在Facebook数据泄露事件中也负有不可推卸的法律责任。
除了《实践指南》提及的组织应对措施外,数据处理者还应当履行如下义务:(1)应当实施适当的技术性和组织性措施,确保处理过程的安全性,如保证处理系统和服务具有保密性、完整性、可用性、可恢复性的功能,对技术性和组织性措施的有效性进行定期测试、访问、评估等[16];(2)处理者在知道个人信息泄露后,应立即通知控制者[17];(3)协助数据控制者遵守网络安全、个人数据泄露后向监管机构报告、个人数据泄露后告知数据主体、数据保护影响评估等义务[18];(4)与除自身以外的其他数据处理者合作处理数据时,应当就其他处理者义务的履行对控制者承担全部责任[19];(5)处理者仅在其未遵守GDPR对于处理者义务的特别规定、超出控制者的合法指令或者违反控制者的指令时,为数据处理导致的损害负责,但数据主体也有权直接向处理者主张索赔,如属于控制者的责任,处理者可事后向控制者追偿[20]。
十、 《实践指南》关注点九:对数据保护官、欧盟境内法律代表的规定
GDPR条款
关注点
组织应对措施
GDPR第37条
第1款
通常情况下,数据控制者和数据处理者任命数据保护官的情形包括:(1)公权力机构处理数据的;(2)数据处理的主要活动范围、目的要求经常性、系统性、大范围地监测数据主体;(3)大规模处理特殊类别个人数据。
组织如存在上述情形,应考虑设立数据保护官或任命欧盟境内法律代表。
GDPR第37条
第5款、第6款、第7款
数据保护官应具备专业的数据保护法律和实践的知识,以保证其履行相应职责。数据保护官可以是正式职员,也可以基于服务合同完成工作。数据控制者应公开数据保护官的联系方式,并将名单向监管机构汇报。
GDPR第27条
第1款、第3款
如果组织面向欧盟境内的数据主体提供商品或服务,或监控欧盟境内数据主体的行为,应通过书面形式在欧盟境内任命一名代表。
来源:全国信息安全标准化技术委员会
数据保护官类似于我国《网络安全法》规定的网络安全负责人以及《个人信息安全规范》的个人信息保护负责人,主要负责保障数据主体权利以及企业网络安全等数据保护方面的工作,是企业与监管机构、数据主体的沟通桥梁。企业应在如下五个方面确保数据保护官的地位:(1)应当公布数据保护官的联系方式,并报告给监管机构[21];(2)应当确保数据保护官适当、及时地参与有关个人数据保护的所有事宜;(3)通过提供必要资源和专业知识培训支持数据保护官执行任务;(4)不会因为数据保护官执行任务而将其解雇或者给予处罚;(5)当数据保护官履行其他职责时,确保不会出现利益冲突[22],所以,企业可以考虑由法务总监、网络安全负责人、审计部门负责人兼任数据保护官,而进行数据处理的业务部门负责人、总经理的职责一般与数据保护官存在利益冲突,不建议兼任数据保护官。
十一、 《实践指南》关注点十:对数据保护影响评估的规定
GDPR条款
关注点
组织应对措施
第35条第1款
第35条第3款
数据控制者在进行数据处理之前,基于数据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时,应实施DPIA。在以下情形下,通常需要实施DPIA:一是基于数据的自动化处理,包括数字画像,对自然人个人方面的系统和广泛的评估,而据此做出的决定对该自然人产生法律效力或者重大影响;二是大规模特殊类别个人数据或有关犯罪记录和违法行为的个人数据;三是对公共区域大规模的系统化监控。
组织如构成上述情形,应考虑实施数据保护影响评估(DPIA)。
来源:全国信息安全标准化技术委员会
企业如符合实施数据保护影响评估的前述情形,实施数据保护影响评估应注意以下三个方面:(1)评估应当至少包含预计的处理操作及操作目的、对数据主体的权利进行风险性评估、预期的风险防范措施等[23],如处理过程是高风险的,应当在处理之前向监管机构征询意见[24];(2)应充分考虑行业协会或者其他机构制定的行为准则[25];(3)在不影响保护商业利益、公共利益或者网络安全的情况下,应该就将要进行的数据处理向数据主体或代表征询意见[26]。
十二、 《实践指南》关注点十一:通过设计实现数据保护的规定
GDPR条款
关注点
组织应对措施
鉴于第(78)项、
GDPR第25条
第1款
数据保护设计理念应当融入到产品和业务开发的早期过程(Privacy by Design),例如,设计假名化等机制有效地落实数据保护原则,并且将必要的保障措施融入到数据处理过程之中。此外,组织可实施相应的措施以确保在默认情形下,仅仅处理为实现目的而最少必需的个人数据。
组织应注意其产品和业务的设计理念与GDPR保持一致。
来源:全国信息安全标准化技术委员会
数据保护设计理念要求企业在产品或服务研发之初就应该履行数据保护义务,坚持保护用户隐私权的理念,在搜集信息前就采取预防性的保障措施,如产品或服务的默认设置即具有保护用户数据信息功能(详见下图四);隐私政策条款的展示页面中,特别标注了处理用户特殊类型数据的条款(详见下图五)。
图四:Safari 浏览器默认设置“阻止跨网站跟踪”
图五:支付宝隐私政策特别标注了用户特殊类型数据
十三、 《实践指南》关注点十二:数据泄露强制通知的规定
GDPR条款
关注点
组织应对措施
GDPR第33条、
GDPR鉴于部分第(86)项
在发生个人数据泄露时,除非个人数据的泄露不会产生危及自然人权利和自由的风险,否则数据控制者应在获知泄露之时起的72小时内向监管机构发送通知报告。另外,当个人数据泄露可能对自然人的权利和自由产生高风险时,数据控制者还应当向数据主体告知数据泄露的相关情况。
组织应注意如发生个人数据泄露等安全事件,需履行的通报和告知义务。
来源:全国信息安全标准化技术委员会
GDPR并未明确规定监管机构的具体名称,而是由各个成员国确定各自监管机构的任务、权限和职权。企业向监管机构履行告知义务的内容应当包括如下方面:(1)描述个人数据泄露的性质,尽可能地包括相关数据主体以及个人数据记录的类别和大致数量;(2)数据保护负责人或者其他能够获得更多信息的联系点的名称和联系方式;(3)描述数据泄露的可能性后果;(4)描述控制者应对数据泄露事件而采取的措施或计划采取的措施,包括能够减轻负面影响的措施[27]。
GDPR虽然没有明确规定企业向数据主体履行告知义务的具体时限,但该项告知义务的时限要求实际上比向监管机构履行告知义务的更高,即需要减轻即时损害的,需要立即与资料当事人沟通,而需要采取适当措施防止持续或类似的个人资料遭泄露的,则可能需要更多时间进行沟通,企业履行告知义务的内容应当包括如下两个方面:(1)个人数据泄露的性质;(2)提出减轻潜在不利影响的建议。
十四、 《实践指南》关注点十三:数据跨境传输的规定
GDPR条款
关注点
组织应对措施
GDPR第五章
GDPR提出了多种数据跨境流动机制。比如,直接向通过欧盟进行充分性认定的第三国传输数据,还可通过实施被认可的行为准则,签署符合相关要求的格式合同、有约束力的公司准则、通过相关认证等方式证明数据接收方满足适当的保护能力,来保证数据跨境流动的安全性;此外,在征得数据主体明示同意、基于公共利益、履行有利于数据主体的合同或基于组织正当利益等情形下也满足数据跨境传输要求。
组织如涉及数据跨境传输,应选择适用于其业务的跨境传输机制。
来源:全国信息安全标准化技术委员会
与我国《网络安全法》规定的跨境传输采取安全评估机制不同,GDPR规定了多种数据跨境流动机制,除直接向通过欧盟进行充分性认定的第三国传输数据(即允许直接跨境传输 )外,其他渠道均允许成员国境内的控制者在符合特定条件下对个人数据进行跨境传输。鉴于中国并不在“充分性认定”的第三国名单内[28],若涉及处理欧盟境内数据或者在欧盟境内设立分支机构的中国企业,应考虑通过签署相关要求的格式合同、有约束力的公司规则、通过实施被认可的行为准则或相关认证、征得数据主体明示同意等渠道,进行个人数据的跨境传输。
十五、 《实践指南》关注点十四:处罚规定
GDPR条款
关注点
组织应对措施
GDPR第83条
第4款
GDPR对违规组织采取根据情况分级处理的方法,并设定了最低一千万欧元的巨额罚款作为制裁。如果组织未按要求保护数据主体的权益、做好相关记录,或未将其违规行为通知监管机关和数据主体,或未进行数据保护影响评估或者未按照规定配合认证,或未委派数据保护官或欧盟境内代表,则可能被处以1000万欧元或其全球年营业额2%(两者取其高)的罚款。
组织可向其内部通报GDPR处罚规则,进一步提升安全意识。
GDPR第83条
第5款、第6款
如果发生了更为严重的侵犯个人数据安全的行为,如未获得客户同意处理数据,或核心理念违反“隐私设计”要求,或违反规定将个人数据跨境传输,或违反欧盟成员国法律规定的义务等,组织有可能面临最高2000万欧元或组织全球年营业额的4%(两者取其高)的巨额罚款。
来源:全国信息安全标准化技术委员会
GDPR的巨额罚款给跨国企业带来巨大震慑力,上述GDPR关于处罚机制适用对象已突破欧盟成员国范围,同“关注点一:适用 GDPR的场景”,只要向欧盟境内公民提供商品或服务,无论企业设立在哪个国家,如触发GDPR的处罚机制,都将面临巨额罚款。比如,GDPR生效当日,Noyb.eu 起诉的四家公司中,Google (Android)虽然属于在美国注册[29]的公司,也成为了被诉对象。
除了上述由监管机构处以行政处罚外,根据GDPR第82条规定,企业还将面临民事赔偿责任,其中,控制者都应对违反GDPR关于处理行为所造成的损害负责。处理者只有在没有履行GDPR关于特别针对处理者的义务,或在控制者的合法指示之外或相反的情况下,才须对处理所造成的损害负法律责任。
[1] 《实践指南》统一采用“组织”表述,如无特别注明,本文内容提及的“企业”与“组织”表示同一主体。
[2]访问网址:https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.
[3] 详见GDPR第6条。
[4] 详见GDPR第30条。
[5] 详见GDPR第37条。
[6] 具体详见GDPR第32条至34条。
[7] 访问网址:https://dtr.thalesesecurity.com/.
[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[10] 详见GDPR第8条第2款。
[11] 详见GDPR第8条第3款。
[12] 详见GDPR第12条。
[13] 详见GDPR 详见GDPR鉴于部分第(63)项。
[14] 详见GDPR鉴于部分第(70)项。
[15] 详见GDPR鉴于部分第(72)项。
[16] 详见GDPR第32条第1款。
[17] 详见GDPR第33条第2款。
[18] 详见GDPR第28条第3款第(f)项。
[19] 详见GDPR第28条第4款。
[20] 详见GDPR第82条。
[21] 详见GDPR第37条第7款。
[22] 详见GDPR第38条。
[23] 详见GDPR第35条第7款。
[24] 详见GDPR第36条第1款。
[25] 详见GDPR第35条第8款。
[26] 详见GDPR第35条第9款。
[27] GDPR第33条第3款。
[28] 欧盟委员会公布的“充分性认定”的第三国名单包括安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私保护框架)。
[29]Google (Android)注册地址为Amphitheatre Parkway, Mountain View, CA 94043, USA.
沪公网安备 31010402007129号
