GDPR划重点

2021年11月1日,《中华人民共和国个人信息保护法》正式施行。一时间,该法令与GDPR关键词比较成为热门话题。今天,我们就来聊一聊GDPR。

全球数据合规监管收紧乃大势所趋

GDPR 的全称是 General Data Protection Regulation,即欧盟《通用数据保护条例》,起草自2012年并于2018年5月25日全面施行,一度被称为全球最严数据保护法规。

中国贸促会研究院去年的调研显示,部分中国企业对GDPR有所顾虑,担心其会阻碍中企“西行”。而事实上,全球数据合规监管收紧已是大势所趋,而“先行先试”的GDPR也已成为全球相对通用的标准,其立法思路被多国借鉴,广泛地影响着全球企业的数据保护及数据利用方式。

因此,了解GDPR,对中国企业在未来“绿色”数字经济发展中规避风险、保持国际竞争力至关重要。

GDPR直接适用于所有欧盟成员国。

简言之,GDPR的目的是保护(欧盟)公民的个人数据,对数据控制者(确定处理个人数据的目的和方式)和数据处理者(代表数据控制者处理个人数据,如提供云存储等IT服务的第三方)等机构如何收集、存储、处理和销毁数据做出了明确规定。

适用GDPR的场景

GDPR第三条规定,以下两类情形在其适用范围内:

  • 数据控制者或数据处理者位于欧盟境内

    适用GDPR,即使实际的数据处理活动不在欧盟境内发生。

  • 数据控制者或数据处理者不在欧盟境内

    若向欧盟境内的数据主体(即欧盟居民)提供商品或服务(无论是否发生支付行为),或监控欧盟境内数据主体的行为,则适用GDPR。

数据处理的基本原则

个人数据是GDPR的核心概念。GDPR规定,个人数据是与已识别或可识别的自然人(即数据主体)相关的任何信息。

GDPR规定了个人数据处理的基本原则,包括:

  1. 合法、公正、透明原则

    必须以合法和透明的方式处理个人数据,确保对数据主体的公正性。

  2. 数据最小范围原则

    必须明确定义处理数据的目的;必须在收集个人数据时向数据主体说明这些特定具体的目的;不允许为未明确定义的目的收集个人数据;不允许将个人数据用于原始收集目的以外的其他目的。

  3. 目的限定原则

    仅允许收集实现该特定具体的目的所需的个人数据。

  4. 准确性原则

    个人数据必须是准确、最新的,且为处理数据的目的所必须;若不符合须马上更正。

  5. 存储限制原则

    个人数据的存储不得超过必要时间。

  6. 完整性、保密性原则

    必须使用适当的技术和组织保障措施,以确保个人数据的安全。

  7. 可证明原则

    数据控制者须对数据处理的合规性负责,并能够证明合规性。

图片

数据处理的合法正当性事由

GDPR规定,当满足以下六种合法正当性情形时,企业可以收集个人信息:

  1. 获得数据主体的同意

    GDPR强调,数据主体的同意必须满足以下要求:

    a) 必须是自由给出的

    b) 必须针对特定具体的目的

    c) 必须是清晰、明确的,并经由一个肯定性动作给出(如:提供电子签名,或在电子表格上主动勾选电子勾选框)

    d) 可以便利地撤回同意,且这个事实必须告知数据主体(如:在订阅的电子邮件末尾,添加取消订阅的链接)

  2. 为合同履行

    如企业为履行与客户签订的合同,或在签订合同之前需向客户提供报价。在此种情形下,合同还包括符合合同法的未正式签署的文件和口头协议。

  3. 为履行法定义务

    如欧盟或国家法律规定,雇主须上报雇员的某些个人数据。

  4. 是维护公共利益所必须

    在符合欧盟或国家法律规定的前提下。

  5. 为保护个人的重要利益
  6. 为追求企业的正当利益

    必须在确认过数据主体的基本权利和自由不会受到严重影响之后。GDPR的前言说明部分,给出了一些关于企业正当利益的例子:

    a) 用于直接营销目的或防止欺诈的数据处理;

    b) 出于内部管理的目的,在一家或数家企业内,传输客户与员工的个人数据(注:仍须遵守国际数据传输要求);

    c) 为确保网络和信息安全而进行的数据处理,包括防止对电子通信网络未经授权的访问、阻止对计算机和电子通信系统的破坏等;以及

    d) 向监管机构报告可能的犯罪行为或对公共安全的威胁。

图片

(图源:欧盟,汉化:荷兰外商投资局)

数据控制者的义务

  1. 有计划的数据保护义务和默认情况下的数据保护义务

    a) 有计划的数据保护:GDPR鼓励数据控制者(公司/组织)从数据处理的早期计划阶段,就开始采取适当的技术和组织措施,从而确保一开始就符合数据保护原则;

    b) 默认情况下的数据保护:默认情况下,数据控制者(公司/组织)应确保采取最高的隐私保护措施来处理个人数据。因此,在默认情况下,个人数据不会被不明确数量的人员访问。

  2. 向监管机构报告个人数据泄漏的义务

    数据控制者必须在得知数据泄露后的72小时内向监管机构报告。

  3. 数据保护影响评估(DPIA)义务

    在某些情况下,必须在开始某项数据处理活动之前提交DPIA,特别是当该数据处理活动可能由于其范围或性质而使数据主体暴露于高隐私风险中时。

  4. 记录数据处理活动的义务

    a) 数据控制者有义务维护其职责范围内所有处理活动的内部记录,且该记录必须包括每项处理活动的具体细节;

    b) 对于雇员人数少于250人的企业/组织,不强制要求提供此类记录,除非:处理个人数据是该企业/组织的一项常规业务(如数字营销公司),对个人权利和自由构成威胁,或涉及敏感数据(如医疗保健组织)或犯罪记录。

图片

数据主体权利

GDPR赋予了数据主体对其数据广泛的控制权,包括:

  1. 知情权

    a) GDPR透明性要求的关键一点是,数据主体有权了解其个人资料的收集和使用情况;

    b) 必须提供给数据主体的个人数据包括:处理个人数据的目的,个人数据的保留期限,个人数据会被分享给谁。

  2. 访问权
  3. 更正权
  4. 撤回同意权
  5. 拒绝权
  6. 拒绝自动处理权

    要求人工处理的权利。

  7. 要求删除权

    a) 如:当顾客关系解除时;

    b) 注:该项权利并非绝对权利,取决于符合其他适用法律的数据保留期限要求。

  8. 要求转移权

    a) 要求数据控制者将个人数据提供给自己或传输给另一个数据控制者;

    b) 个人数据必须以机器可读的电子格式提供或传输。

数据跨境传输的规定

  1. 可以直接向通过欧盟委员会“充分性认定”的欧洲经济区(EEA)外第三国传输数据
  2. 在没有作出适当决定的情况下,原则上只有符合以下条件时,个人数据才可传输至第三国:

    a) 输出数据的数据控制者或数据处理者自身作出“适当的保障措施”;并且

    b) 该第三国有可实施的数据主体权利规定,以及有效的法律补救措施。

处罚规定

违反GDPR将面临多重法律责任,包括行政责任、民事责任。违反GDPR的行政责任分为两部分,一是纠正违法行为,二是行政罚款。

关于行政罚款:

  1. 可能出现违法行为

    可能会发出警告

  2. 确定存在违法行为

    可能的处理方式包括:责令纠正违法行为,暂时或最终禁止数据处理,以及最高为上财年企业全球营业收入4%或2000万欧元(取高者)的罚款。

企业如何应对GDPR?

GDPR于2018年5月25日起实施。由于其域外效力的存在,加上其严厉的处罚,对从事涉欧业务的企业来说,根据GDPR开展合规工作,是一项重大课题。

在2016年通过之后,不少国际巨头公司已经开始着手进行整改。

2018年5月中旬,FaceBook向欧洲用户说明数据使用要求并请求用户授权面部识别许可,以便为用户提供更多选择。

而像苹果、微软这类业务线庞杂、用户数量巨大的公司,则选择将整改范围扩大到全球用户,原因是单独将欧盟用户区分出来并制定相关数据保护条例更加艰难。

2018年5月,苹果宣布上线全新的“数据&隐私”网站,用户可以在这里下载所有与 Apple ID 关联的数据。苹果的这些规定符合 GDPR 关于数据主体访问权、被遗忘权、可携带权的要求。

中国企业同样应声而动。

早在2018年4月初,QQ国际版就推送消息,称从2018年5月20日开始将暂时停止对欧洲用户的服务。待更新版本后才可继续使用。更新后的隐私政策详细说明了所收集的信息类型、存储和使用方法、信息共享对象、数据处理地点(中国)、信息保留时长等内容。

另一位国内社交通信巨头微信也在2018年5月更新了国际版微信的隐私条款。更新后的条款详细说明了信息的使用规则、存储地点、适用法规等。此外,对信息的保留时间也有明示:未登录账号时间达到 180 天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。

总之,GDPR合规工作是一项持续的系统工程,需要企业给予相当的重视,投入相当的资源。若想进一步了解GDPR,可点击文末“阅读原文”链接至欧盟GDPR官方网站。

站在全面数字化时代的门槛上,全球各国政府越来越意识到数据对于国家安全、社会治理和经济发展的重要价值。各国对数据的监管和保护势必将更严格、更全面。只有建立起与业务相应的合规体系,才能避免重大风险,获取竞争优势。

2022年01月07日

联系我们

NYC

New York Office

666 Third Avenue, 19th floor
New York, NY 10017

跳至工具栏