GDPR系列解读之(一)欧盟通用数据保护条例(GDPR)究竟讲什么?
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下称GDPR)正式生效,该条例旨在限制互联网及大数据企业对个人信息和敏感数据的处理,从而保护数据主体权利。同时,GDPR相比其前身——欧盟于1995年通过的《数据保护指令》(Data Protection Directive),对欧盟各成员国具有直接适用的效力,无需成员国再自行转化为国内法。
据报道,腾讯在4月中旬便被爆出不再为欧洲用户提供QQ服务。自5月25日开始,美国《洛杉矶时报》《芝加哥论坛报》《巴尔的摩太阳报》等网站在欧盟地区已经无法打开。美国国家公共广播电台(NPR)网站更是要求来自欧盟的访客做出“抉择”:要么签署新的用户协议、要么就只能收看到该媒体 1996 年及以前的纯文字内容。而就在GDPR生效当日,原告互联网名称与数字地址分配机构(ICANN)向德国某法院提出了要求法院颁布初步禁令的动议,2018年5月30日,全球首例GDPR法院裁决诞生。
GDPR的实施无疑将对我国企业在欧盟境内的运营、销售和管理产生巨大的影响,即使企业本身不在欧洲境内,实际数据处理行为亦不在欧盟内进行,若其业务收集欧盟自然人的个人信息,同样受到GDPR的规制。此外,GDPR还对企业履行数据保护义务提出了新的监管要求,其适用范围较《数据保护指令》也更为广泛,不仅适用属地主义,还加入了属人因素,同时规定了严厉的处罚。例如,重大违反(Most Severe Infringement)所招致的行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%中较高者[1]。本文旨在分析GDPR条文内容的基础上,梳理其框架结构,并进行详细解读。
一、适用范围
一)个人数据及处理
根据GDPR第2.1条规定,其适用于全部或部分通过自动化手段进行的个人数据处理行为,以及通过自动化手段以外的其他方式对构成或旨在构成存档系统一部分的个人数据所进行的处理行为。显然,是否对个人数据进行过处理应当作为判断我国企业是否适用GDPR的一项前提。
那么,何谓“个人数据处理”?根据GDPR第4.1及4.2条,个人数据是指与已识别或可识别的自然人(数据主体)相关的任何数据,可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人;而数据处理是指对个人数据进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构(structuring)、存储、改编或修改,恢复、查询、使用、通过传播、分发(dissemination)方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。
从上述定义可知,对一切单独和结合起来足以识别特定自然人的信息的收集、记录、储存、共享等行为均可被认定为GDPR项下的“个人数据处理”。
(二)地域范围
相较GDPR第2条,第3条有关地域范围适用的规定对于我国企业更加重要,因为它同时赋予了GDPR属地、属人管辖两种因素,使GDPR的地域管辖范围不仅限于欧盟境内。根据GDPR第3.1条,只要是数据控制者和处理者在欧盟境内设立的营业场所(establishment)进行的数据处理行为,无论该行为是否发生在欧盟境内,均应适用GDPR。另外,GDPR第3.2条也对非设立于欧盟境内的数据控制者和处理者适用GDPR的情形进行了规定,具体包括两种情形:一是为欧盟境内数据主体提供货物或服务,无论付费与否;二是对数据主体在欧盟的行为进行监控。
关于何为营业场所(establishment),GDPR序言第22条进行了解释,营业场所应通过稳定安排有效、真实地开展活动,而以何种法律形式(法人资格分支机构、附属机构)并非决定因素。根据欧盟法院2015年的判例,即使企业在欧盟境内只有一名工作人员代表,也可被认定为设有营业场所[2]。
需要注意的是,若企业在对外进行货物或服务推广时使用了欧盟境内国家的语言或开通了以欧元进行电子支付,以面向欧洲客户或用户为目的的,将会被认定为GDPR第3.2条所述的第一种情形[3];若企业对欧盟境内数据主体进行了网络追踪,包括但不限于人物画像(profiling)以及分析个人的喜好、行为、态度等行为,将会被认定为GDPR第3.2条所述的第二种情形[4]。
二、数据主体的权利
GDPR第三章详细规定了数据主体的各项权利,现通过表格形式总结如下:
权 利 | 具 体 内 容 | GDPR对应条文 |
知 情 权 | 数据控制者从数据主体或其他来源处收集个人信息时,应当提供相应的信息确保数据主体对其自身权利以及救济途径得以充分知晓,包括但不限于数据控制者及数据保护官的身份信息和联系方式、个人数据处理目的及其合法基础、数据储存期限、数据种类、数据主体享有的权利、向监管机构投诉的途径等。 |
第13、14条
|
访 问 权 | 数据主体有权从数据控制者处获得关于其个人数据是否被处理的结果,同时有权了解处理的目的、类别、存储期限、救济途径、安全保障措施等,数据主体还可获得正在处理的其个人数据副本。 |
第15条 |
更 正 权 | 数据主体有权要求数据控制者立即更正与其有关的错误个人信息,包括以补充声明或其他方式补充其不完整的个人信息。 |
第16条 |
删除权(被遗忘权) | 当出现收集和处理数据已不再必要、数据主体撤销同意、数据主体行使拒绝权、个人数据被非法处理、基于法定义务需要删除等情形时,数据主体有权要求数据控制者立即删除其个人数据,数据控制者应当采取合理措施并告知正在处理该个人数据的其他控制者。 |
第17条 |
限 制 处 理 权 | 特定情形下,数据主体有权限制数据控制者的处理行为。例如,数据主体对其个人数据准确性提出质疑且控制者需要时间核实时;个人数据被非法处理但数据主体反对行使删除权时;相关个人数据虽然对于处理目的而言已不再必要,但为诉讼所必需的。 |
第18条 |
持 续 控 制 权 | 数据主体有权要求数据控制者提供结构化、通用化和可机读的个人数据,并有权将上述数据转移给其他数据控制者,原数据控制者不得阻碍。 |
第20条 |
拒 绝 权 | 数据主体有权基于其自身情况拒绝包括直销目的以及公众或第三方利益在内的个人数据处理行为。 | 第21条 |
自动化个人决策
| 数据主体有权不受仅基于自动化处理行为得出的决定的制约,以避免对个人产生法律影响或类似影响,该自动化处理包括人物画像。 | 第22条 |
鉴于我国现有法律法规尚未将被遗忘权明确固定下来,此处针对被遗忘权作专门说明。被遗忘权又被称作删除权,最早在20世纪70年代由法国人以“le droit à l’oubli”的概念提出。2012年欧盟委员会公布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》中首次明确数据主体应享有被遗忘权,而2014年的冈萨雷斯诉谷歌案则将被遗忘权正式作为法律渊源确立下来。然而,我国现行法律下,《侵权责任法》《网络安全法》和《信息安全技术 个人信息安全规范》(以下称“《规范》”)仅规定网络运营者在违法、违约及侵权等情形下收集使用个人信息时的删除义务,相比GDPR赋予数据主体行使被遗忘权的高度自由仍有所欠缺。因此,我国企业在涉欧业务中根据GDPR进行内部合规整改时,应当重视保障欧盟境内用户的被遗忘权。
三、数据控制者和数据处理者的主要义务
义 务 | 具 体 内 容 | 条 文 |
数据系统保护和默认保护 | 数据控制者应当采取适当的技术、组织措施(如匿名化等)确保数据处理符合GDPR要求的同时又保护数据主体的权利。此外,在默认(by default)情形下,该技术和组织措施应保证对个人数据的处理应在最小必要的原则下进行且不得被不特定自然人访问。 |
第25条 |
记录数据处理活动 | 数据控制者和处理者应当保存由其负责的数据处理活动的记录,该记录应当采取书面形式,必要时向监管机构提供。 | 第30条 |
报告数据泄露事件
| 数据控制者应自发现个人数据泄露事件之时起72个小时内向监管机构报告,报告中应阐明泄露数据的种类、数量、可能导致的后果以及建议采取的处理措施等。数据控制者还应提供数据泄露事件的完整记录以便监管机构之后的核实。 |
第33条 |
数据保护影响评估 | 数据控制者进行数据处理行为前,应当考虑处理行为的性质、范围、内容和目的以及可能对数据主体权利和自由产生的风险,并完成一份设想的处理行为给个人数据保护带来的影响的评估。 |
第35条 |
事 先 咨 询 | 若根据第35条制定的数据保护影响评估显示数据控制者的处理行为将导致高风险而缺乏有效风控措施时,控制者应当在处理前向监管机构进行咨询。监管机构应在规定期限内提供书面建议。 |
第36条 |
设立数据保护官 | 数据控制者和处理者应当指定一名数据保护官的情形包括三种:一是数据控制者和处理者系行政机关或公共机构的;二是业务涉及的数据处理是定期、系统化且规模较大的;三是涉及处理敏感信息的。数据保护官应当具备专业素养,拥有数据保护法律的专业知识和实践经验。 |
第37-39条 |
关于数据控制者的义务,GDPR与《规范》在数据泄露事件报告、数据保护影响评估以及数据保护官的设置上存在一定差异。首先,对于数据泄露事件报告义务,《规范》引用了《国家网络安全应急预案》,其上报范围与GDPR类似,但并未设置72小时或者类似的时间限制[5]。其次,对于数据保护影响评估,《规范》规定个人信息控制者应定期(至少每年一次)开展评估,涉及个人信息公开披露的,还应事先评估,评估标准也根据《网安法》进行了细化[6]。最后,对于数据保护官的设置,《规范》要求所有控制者都应任命个人信息保护负责人和工作机构,且从业人员或数据处理量达到一定规模的应设专职[7]。在管理制度设置方面,GDPR项下的数据保护官更具独立性,无需接受领导,而《规范》中个人信息控制者的法定代表人或主要负责人则应对个人信息安全负全面领导责任。
四、法律责任
企业若违反GDPR的规定,将会承担严重的法律后果。具体而言,GDPR根据违法行为的性质和严重程度规定了两类罚款[8]。
一是针对于数据控制者和处理者、认证机构、监管机构违反各自义务的情形,如未获取监护人同意收集儿童信息、收集信息违反最小必要义务、未能及时向监管机关报告数据泄露事件等,应当适用1000万欧元的行政罚款,若相对人是企业时则处以其上一财政年度全球营业总额的2%,两者竞合取较高者。
二是针对违反数据处理的基本原则、侵犯数据主体权利、违反数据跨境转移相关规定的情形,如违反数据处理合法性原则、侵犯数据主体被遗忘权、未在充分条件基础上进行数据跨境转移等,应当适用2000万欧元的行政罚款,若相对人是企业时则处以其上一财政年度全球营业总额的4%,两者竞合取较高者。
根据各大互联网公司2017年的年度财务报告显示,腾讯年度总收入为2377.6亿人民币,阿里为1582.73亿人民币,若按照GDPR所规定的4%的计算处罚金额,则分别达到了95亿和63亿人民币,一旦受罚,将给企业带来不可估量的损失。
结语
GDPR的正式实施使得欧盟的数据保护上升到了前所未有的高度,在部分媒体的报道中,GDPR更被称作“史上最严的数据保护条例”。GDPR的生效无疑给欧盟境内企业以及为欧盟境内主体提供服务的境外企业增添了巨大的合规压力,诸多内部风控和管理问题亟待解决,但显然,欧盟此举的目的并非限制互联网大数据企业的发展,而在于规范行业体系,打压日益猖獗的个人信息泄露问题。今年年初的Facebook数据泄露事件已然反映出个人数据被肆意滥用的恶果,而GDPR正是在社会公众对于隐私保护日益关注的背景下正式生效的结果。欧盟作为我国的重要国际市场,我国企业若不及时进行针对GDPR的合规整改,必然会遭受其境内监管机构的强力打压。对此,我们建议,我国企业尤其是数据企业,应当加强数据合规建设,完善整改,落实技术和组织措施,以便在当前全球数据监管日益趋严的环境下规避风险,应对挑战。
注释:
[1] 欧盟《通用数据保护条例》(GDPR)实务指引(第一篇):序言和地域适用范围 邓志松、戴健民
[2] GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解 冯坚坚、胡科、蒋昕妍
[3] GDPR序言第23条
[4] GDPR序言第24条
[5] 《信息安全技术 个人信息安全规范》9.1(c)(3), 9.2
[6] 《信息安全技术 个人信息安全规范》8.4 , 10.2
[7] 《信息安全技术 个人信息安全规范》10.1(b) , (c)
[8] GDPR第83条
参考资料:
欧盟《统一数据保护条例》(GDPR)译文 华东政法大学大数据政策法律研究中心
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com