TEL:010-62040870

欧盟《通用数据保护条例》概览

发表时间:2020-04-13 11:39作者:问方执象海外部 罗澄杰

信息技术的蓬勃发展,创造了令人惊叹的财富,世界政治、经济、文化等方面在科技发展的驱动下发生了翻天覆地的变化。然而在信息技术带来的财富之下,埋藏着诸多隐患,并且这些隐患随着人们对网络世界的依赖日益增长。

网络社区的隐私权问题就是其一。互联网技术把人们从熟人社会的状态带进了互联网社会,人们的社交、圈子和信息的交互突破了地域的限制。而如今人们已经跨入了基于互联网技术带来的信息爆炸所产生的大数据时代。从前为人们所忽视的琐碎信息,经过了技术的整合,由量变产生了质变。用户一个不经意的点击,一次随意而发的检索,一次心血来潮的网购,都会被计算机程序精准的记录,然后被整合处理,最后成为了信息数据企业的商业行为依据,甚至用户的个人数据经过处理打包后出售给传统行业,这些传统行业也会依据这些数据来接触他们的潜在客户。人们日常接到的房屋中介、信用卡办理、保险推销等等骚扰电话,他们的信息来源很可能就是曾接触并处理过用户数据的信息数据企业。

基于上述种种个人数据风险,2018年伊始,全世界各个国家地区就个人信息数据保护相继出台了各项法律法规,可以说2018年是世界数据合规的元年。欧盟出台了影响深远的《一般数据保护条例》(GDPR),欧洲各国陆续出台了针对GDPR的细化实施条例。

为了助力科技企业在中国境内以及境外的数据合规,帮助涉及用户数据的企业妥善合法地利用用户数据,并对未来企业可能面对的数据法律风险提前做出预防,问方执象梳理了全球主要国家和地区的相关数据保护立法,将陆续推出数据保护专题的系列文章,本文将对欧盟地区的个人数据保护立法进行介绍和说明。

一、欧盟《一般数据保护条例》(GDPR)
GDPR是在欧盟法律框架中对所有欧盟个人关于保护个人数据和隐私的规范,取代了执行20余年的《数据保护指令》(Data Protection Directive)。GDPR的出台是对个人数据的商业应用方式的一次彻底的规范,在个人隐私的保护方面,尤其是针对当前互联网公司和其他信息产业公司利用大数据技术侵犯个人隐私的行为,GDPR做出了严格的限制。根据《欧洲联盟运作条约》第288条第2款,因为GDPR属于欧盟条例(Regulation),不是指令(Directive),所以不需经过欧盟成员国立法转换成各国法律,可在各个成员国直接适用。下面将对GDPR从其对个人数据的定义、适用范围、对数据跨境的限制、对儿童的特殊保护以及数据处理原则五个角度来进行介绍。

(一)对个人数据的定义
根据GDPR第4条第1款,任何已识别或与可识别的自然人相关联的信息都是个人数据。GDPR通过两个要素来定义个人信息,分别为识别信息和关联信息。所谓识别信息,是指能够被用来识别某个具体个体的信息,例如姓名、证件号码、地址以及IP地址。关联信息是指可被识别的个体的关联信息,例如某人的兴趣爱好;某人的医学信息;某人的职业等等关乎生理、经济、文化、社会等等方面的特定个体的信息。

(二)适用范围
根据GDPR第3条,GDPR适用如下三种情况:
1.    所有发生在欧盟境内的个人数据处理行为,都适用GDPR。
2.    数据控制者和处理者的经营场所在欧盟境内。
3.    无论数据处理行为或数据处理者是否在欧盟境内,只要该数据处理行为是针对欧盟个体或向欧盟个体提供服务的,都受GDPR管辖。

可以看到,虽然GDPR是一部欧盟的法规,但是根据上述条款,只要是处理欧盟居民数据的公司,即使其位于欧盟境外,也一样要遵守GDPR的规定,因此GDPR对于包中国和美国在内的众多互联网和信息产业公司都是可以适用的。

(三)数据跨境的规制
GDPR原则上是限制数据的跨境转移的,GDPR的第五章用了整整一个章节七个条款来约束数据的跨境转移,只有满足下列情况之一,才能进行数据转移。

1.    根据GDPR第45条,数据的转移的输入国是被欧盟委员会认定具有对个人数据充足保护的国家。欧盟委员会通过制定实施性法案的形式认定“具有充足保护”的国家,目前仅日本被确定。

2.    根据GDPR第46条,数据控制者或处理者提供了适当的保障措施,“适当的保证措施”要给予数据主体可行使的权利并提供有效的法律救济措施。

所谓“适当的保障措施”是较为严苛的,根据GDPR第46条及相关适用条例和解释,可以通过下列几种方式实现:

    (1)签署在公共机构或实体之间有法律约束力和执行力的文件
    (2)制定符合GDPR第47条的有约束力的公司规则
    (3)采用由欧盟委员会制定的标准数据保护条款(即《欧盟数据跨境转移协议模板(SCC)》);
    (4)采用由监管机构通过、并由欧盟委员会批准的数据传输方和接收方之间签订的特定标准数据保护协议(目前尚未有欧盟成员国的数据保护监管机构批准这类协议);
    (5)践行根据GDPR第40条制定的行为准则
    (6)具有根据GDPR第42条而被批准的验证机制
    (7)在符合GDPR63条一致性规则的情况下,使用有权监管机构授权认可的合同条款
    (8)在符合GDPR63条一致性规则的情况下,使用有权监管机构授权认可公共机构或公共实体之间在行政性安排中所插入的条款,包括可执行的与有效的数据主体权利

3. 根据GDPR第47条,企业集团内部是否建立起有约束力的公司规则(Binding corporate rules)并被监管机构批准

4. 其他例外情形
根据GDPR第49条,只有通过了“必要性测试”和“偶然性测试”的GDPR第49条第1款的情形,才可以进行跨境转移。

(四)儿童个人信息保护
根据GDPR第8条,GDPR对于儿童个人信息的处理是持非常严格的姿态,未满16周岁儿童的个人信息,原则上只有获得监护人的授权才可以被处理。不过在第8条第2款中,GDPR规定,各成员国在具体实施中,对于年满13周岁的儿童,可以制定相应的法律放宽要求,即只要年满13周岁就无需监护人同意。另外第8条第3款也要求数据控制者或处理者采取合理的努力,结合技术可行性确保儿童和其监护人能够进行授权或同意。

(五)数据处理的原则
GDPR第5条对个人数据的处理原则做出了规定,共有七个原则。

1. 合法、公平和透明原则
对于用户的个人数据要用合法、合理并且透明的方式进行处理和存储。不能用来违法犯罪,并且要用简洁明了的语言来向用户说明对其数据的使用方式。

2. 目的限制原则
对于数据的收集和处理要有具体、清晰、正当的目的,不能用一般性的语言来描述数据收集处理的目的。

3. 数据最小化原则
为数据处理的目的而进行的收集和处理应是适当的、相关的和必要的,不能对数据进行超出目的所需的收集和处理。

4. 准确性原则
个人数据应是准确的,且在必要的时候要及时更新;应当采取必要的措施确保个人数据的准确性,对于不准确的数据要即使删除和更正。

5. 储存限制原则
对于能够识别数据主体的个人数据,其储存的时间不得超过实现其处理目的所必要的时间。除非是为了实现公共利益、科学或者历史研究目的或统计目的,或者为了保障数据主体的权利和自由,并且对于这些数据采取了第89条第1款规定的合理技术和组织措施。

6. 数据完整性和保密性原则
在处理个人数据的过程中应采取合理技术手段和组织措施确保个人数据的安全,避免数据未经授权即被处理或者被非法处理,避免数据毁损或灭失。

7. 可问责原则
数据的控制者或处理者有责任遵守前述原则并且应证明其遵守了前述原则。

二、总结
结合欧盟的互联网产业、信息产业在国际上的发展态势,以及欧盟立法机关对于欧盟居民个人隐私保护的重视,欧盟的立法可以说是有史以来最为严格的个人数据保护立法,更侧重于对个人隐私的全面保护。对于涉及个人数据的企业,采取了较为严苛的法律和行政规制,并且对于违反GDPR的企业进行了严厉的处罚。

对于中国的互联网企业和信息相关企业,在这数据保护立法变革的时期,应当积极而又审慎地关注中国和其他地区的立法和司法活动,在自己的商业布局上先人一步,主动规避未来可能出现的合规和司法风险。殷鉴不远,欧盟在GDPR颁行后对多家互联网和信息企业执行了巨额的罚款。随着中国企业的走出去,以及国内数据保护立法的逐步完善和收紧,对于数据合规,应更加的重视。


* 本文所述观点仅代表作者个人立场;
** 如有涉及著作权属不明确的内容,请及时联系告知,我们会第一时间答复处理

2018-2021 All Rights Reserved. 问方执象律师事务所
请关注问方执象律师事务所微信账号 wenfangzhixiang
京ICP备18057751号-1      京公网安备11010802027866号
ABUIABACGAAgyYue6gUo5JKA2gUwaThp

请扫描二维码关注我们