GDPR系列解读之(二)境内企业应对之策
欧盟《通用数据保护条例》(General Data Protection Regulation,以下称GDPR)已于2018年5月25日正式生效,该条例旨在限制互联网及大数据企业对个人信息和敏感数据的处理,从而保护数据主体权利。GDPR因其高昂的行政处罚而被许多媒体称之为“史上最严”的数据保护条例,这也引发了诸多境内企业的恐慌与困惑。本文旨在解析GDPR内容的基础上,为境内企业提供合理的应对之策。
一、判断企业自身是否适用GDPR
GDPR规定的企业应当适用的主要情形包括两类:一是企业在欧盟境内设有营业场所(establishment),且该营业场所进行了数据处理行为(无论该行为发生在欧盟境内或境外);二是非欧盟境内企业为欧盟境内数据主体提供了商品、服务(无论付费与否)或对数据主体在欧盟的行为进行了监控。[1]
因此,境内企业在判断自身是否适用GDPR时,可以从三个方面进行自查:首先,确认本企业在欧盟成员国境内是否拥有营业场所,该营业场所是否收集和处理了欧盟境内的个人数据。需要注意的是,营业场所并不仅限于子公司或分公司,任何形式的附属机构或办事处都会被认定为营业场所。其次,确认本企业是否为欧盟境内个人提供商品或服务,且在该过程中收集和处理了诸如姓名、联系方式、收货地址、行为习惯等个人数据。最后,确认本企业是否直接或间接对欧盟境内个人的上网习惯、地理位置进行了画像与分析行为。
若通过上述三方面自查企业仍然存在困惑,无法确定自身是否适用GDPR,企业还可聘请外部机构,如审计咨询机构、拥有数据合规团队的律所等,对企业的组织架构、业务范围、数据处理流程等进行分析评估,最终确认自身是否应当适用GDPR。
二、三层次落实GDPR合规策略
在确定适用GDPR后,企业还应从整体上把握GDPR的合规策略,我们建议境内企业从三个层次进行规划。
第一层次:数据风险分析和差距评估——识别需要保护的个人数据类型,结合企业业务流程和组织架构,研判合规风险
识别企业需要保护的个人数据类型,是进行数据风险分析评估前的重要步骤,在确保企业需要保护的个人数据清楚明确的基础上,之后的评估工作才能做到范围可控。
在完成对数据类型的识别之后,企业应当深入了解其内部系统、各项业务、产品和服务中个人数据流通链条的实际运行状况,诸如个人数据的收集、存储、使用、共享及披露等。企业可通过访谈调研确保各项业务、各个系统以及跨业务、跨系统的个人数据管理现状逐步明晰。
最后,在充分了解自身个人数据的处理现状和业务开展情况的基础上,企业可根据GDPR的要求落实相应的安全保护措施,判断数据流通的整个周期中可能存在的风险和差距。
第二层次:制订合规整改方案并实施——从技术、制度、流程三方面进行整改,强化隐私保护能力
在完成风险评估和差距分析的基础上,企业可从技术、制度、流程三个方面对其隐私保护能力进行强化提升。
在技术方面,企业可根据实际业务需要对个人数据的收集范围与数量进行收敛,优化业务逻辑并去掉冗余的个人数据。此外,企业对于GDPR中规定的敏感个人数据可以实施加密或脱敏处理,同时设置员工访问个人数据系统的权限体系,及时记录数据安全日志,以便日常的监控与之后的审计工作。
在制度方面,除GDPR已经规定的数据保护官一职外,企业还需建立专业的数据保护团队并赋予其充分的职权,在配合数据保护官工作的同时,衔接企业内部不同团队(法务、技术、业务)间的沟通,制定内部标准的合规制度、文本、合同等,从而架构起安全高效的企业数据管理制度。
在流程方面,企业需确立个人数据工作的具体流程和相关负责人,保证日常经营过程中数据管理工作的顺利开展,同时企业还应制定应急预案以便应对网络安全突发事件。
第三层次:确立完整的个人数据保护体系——根据GDPR的各项具体要求评估合规整改方案,完善个人数据保护规划,持续降低风险
根据GDPR现行的体例,可以将其对企业的要求具体划分为基础管理、用户告知、用户权利履行、数据收集、数据存储、数据处理、分享披露等多个不同领域,企业可根据自身业务现状,对各项业务所涉的上述领域进行检查,完成定期的评估工作。
在进一步改进数据管理制度及工作流程的基础上,企业有必要逐步制定短期、中期、长期的个人数据保护规划,以便应用于企业评估出的高风险业务领域中,降低可能产生的风险。
三、企业合规整改建议
隐私政策的更新
隐私政策作为境内企业与数据主体有效沟通的重要桥梁,发挥着不可或缺的作用。据南方都市报报道,自GDPR正式生效后,其选取了Facebook、爱彼迎、领英、eBay、YouTube和Twitter等6款境外知名APP,对其隐私政策文本和隐私控制设置进行分析,为了让用户了解到隐私政策的更新内容,上述APP基本采用邮件或弹窗的方式告知[2]。其中,领英用户在阅读条款目录前,还可先观看时长一分半的隐私政策视频,浏览内文部分摘要概括出的重点条款,甚至可以点击知晓特定术语的注解和跳转链接。
根据GDPR第13条规定,若企业收集与数据主体相关的数据时,其应当在隐私政策中列明特定项目,包括但不限于自身及数据保护官的联系方式、数据处理目的及合法基础、数据接收者的类别、数据跨境的安保措施、存储期限、数据主体投诉权等。
境内企业在应对GDPR时需核查现有的隐私政策,并依据GDPR上述规定进行更新或修改,例如数据保护官的身份信息和联系方式,删除权、限制处理权、持续控制权等新增权利,以及自动化个人决策的逻辑等。必要时按照GDPR保护水平,调整相应的保护条款,如数据跨境的,需要告知用户获取个人数据或其副本的方式以及相应的安保措施等。
保证数据主体权利有效实现
数据主体权利的维护和完善是在隐私政策以外最有可能遭受用户投诉或监管机关处罚的项目。根据GDPR,当数据控制者无法实现数据主体权利时,数据主体有权向监管机关投诉,监管机关也可以要求数据控制者实现。若监管机关认为行政处罚既可行又高效,监管机关也可以同时附加罚款或者以罚款代替。
因此,企业应当保证数据主体权利的有效实现,具体措施包括:
一、建立数据主体权利诉求的收集渠道。常见的渠道是隐私邮箱或者其他更易操作的功能面板,比如谷歌提供了访问权、更正权、删除权的在线实现方式,登陆谷歌账号后可以通过隐私控制等功能查看登录谷歌状态下所收集的数据(如浏览的搜索结果),自行部分或全部删除其收集的数据。此外,指定负责与数据主体进行沟通的数据保护官也是保证企业和主体间及时沟通的有效渠道。
二、完善数据主体权利的实现途径。企业应当按GDPR要求的方式处理数据主体信息,例如企业应当在一个月内提供数据主体行使访问权所必要的相关信息[3]。
三、建立数据主体权利的实时反馈机制。GDPR要求,实现个人数据更正权、删除权和限制处理权前应当及时通知数据主体。企业应当确保在维护数据主体权利时始终向其发出充分的通知,通知方式包括但不限于电子邮件、短信、系统消息等。
四、及时通知个人数据流动的下游,包括数据处理者以及数据接收者。若数据主体权利主张涉及的数据,企业另行委托数据处理者进行了处理或者分享给了数据接收者,应当尽到要求其同样操作或者通知的义务。
设置数据保护官
GDPR首次提出了数据保护官(Data Protection Officer)的概念,在主文中,GDPR更是专节明确数据控制者和数据处理者应当设立数据保护官的情形、数据保护官的地位、任务等内容。若境内企业的数据处理行为涉及特定种类数据或对数据主体进行定期的大范围、系统性监控的,则应当设立数据保护官。
数据保护官应当为企业提供信息和建议,参与企业个人数据保护政策的合规整改和人员培训,监督数据保护影响评估的开展,同时负责与监管机构的沟通和合作。此外,数据保护官还应承担与数据主体在收集个人数据时进行联络的义务。
需要注意的是,现行国内法律法规与GDPR对于数据保护官或类似职位在具体定位上仍有较大区别。已于今年5月生效的《信息安全技术 个人信息安全规范》明确提出法定代表人或主要负责人对个人信息安全负全面领导责任。在此种语境下,个人信息保护负责人和工作机构应当接受法定代表人或主要负责人的领导,对上级负责。而在GDPR中,数据保护官作为企业与监管机构的纽带,其行使职责时拥有更多的自主权。根据今年4月13日欧盟“第29条”工作组发布的新修订的GDPR实施指南,若某些公司设置的隐私官或类似岗位无法确保其工作的独立性时,则不能被认为符合GDPR对于DPO的要求[4]。因此,虽然DPO有义务向企业高层汇报工作并提供建议,但不得被领导,相关企业如需设立GDPR项下的DPO,应尤其注意这一点。
根据不完全统计,360、蚂蚁金服,美国的翰德国际、CGI集团 、希尔顿酒店、英国的里德公司、米高蒲志、Norwood、Swinton Group Ltd(SG)和政府单位UK Home Office都设置了数据保护官或类似的职位。
三、结语
随着GDPR的正式生效,各国政府及监管机关将对个人数据保护工作愈发重视,而相关细化的法律法规也在逐步完善或制订的过程中。在GDPR所引发个人数据合规潮中,境内企业无疑应当对数据隐私保护工作的规划与完善保持高度重视,评估安全风险,根据自身实际情况落实合规整改方案,最终构建个人数据保护的完整体系。据报道,在GDPR正式生效前,United Lex公司的首席隐私官Jason Straight曾表示,在5月25日很少有公司可以做到百分百合规,也从侧面反映了企业所面临的巨大挑战与合规困境。虽然自2017年《网络安全法》实施以来,我国在个人数据保护方面出台了诸多法规,社会公众对个人数据保护的重视程度日益加强,但境内企业在合规方面较欧美仍有很大差距,境内企业唯有加强个人数据保护重视程度并落实数据安全策略,方可行稳致远。
注释:
[1] GDPR第3条
[2] 为适应GDPR合规要求,这些APP的隐私政策玩出了花样 南方都市报
[3] GDPR第19条
[4] 《指引》脚注11: This is also relevant for chief privacy officers (‘CPOs’) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.
参考资料:
[1] 欧盟《统一数据保护条例》(GDPR)译文 华东政法大学大数据政策法律研究中心
[2] 欧盟GDPR今日生效,应对实战经验分享 普华永道中国
[3] 企业GDPR合规路径 朱玲凤
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com