隆安业绩/论著
隆安业绩/论著
您现在位置: 首页 > 隆安业绩/论著

权鲜枝:欧盟《通用数据保护条例》的法律风险分析与借鉴

来源:隆安律师事务所发表时间:2018-06-22 10:47:06字体大小:

——全国律协信息委征文

自2018年5月25日起,被称为“史上最为严合格”的欧盟隐私法案《通用数据保护条例》(General Data Protection Regulation,简称GDPR)正式生效,也就宣告了欧盟数据保护指令(95/46/EC)正式推出历史舞台。在GDPR的规制下,侵害用户数据隐私的企业,最高有可能面临2000万欧元或上一财年全球年度营业总额的4%的行政罚款处罚。GDPR作为欧盟通用的隐私法案,其地域使用范围有所扩大,不仅适用于在欧盟境内设有业务机构处理个人数据的组织,也适用于向欧盟境内提供商品或服务的组织。一方面,GDPR的生效,对于在欧盟范围内提供商品和服务的中国企业将产生重大影响,此类中国企业在处理个人数据时为符合GDPR的规定,必须调整自己的投资、运营和销售战略,以防范法律风险。另一方面,我国个人信息隐私保护的相关法律法规的制订和修改,可参考GDPR的宝贵经验加以完善。
本文以GDPR的核心概念为基础,分别从中国企业在欧盟范围内提供商品和服务的法律风险建议和对于我国个人信息隐私保护相关法律法规的借鉴角度加以分析。
一、GDPR的核心概念分析
GDPR的核心概念包括GDPR的地域适用范围,数据处理的合法性要件、数据主体的权利、数据处理的义务、处罚措施和责任等。
GDPR的地域适用范围,不仅适用于在欧盟境内设有营业机构的组织,而且适用于设立在欧盟境外向欧盟境内个人提供商品或服务的组织,还适用于为监控欧盟境内个人活动而处理个人数据的非欧盟组织。数据处理的合法性要件是应征得数据主体同意。数据主体的权利主要包括:知情权、访问权、更正权、被遗忘权(删除权)、可携带权、限制处理权等。数据处理的义务主要包括:设计与默认的数据保护措施、处理活动的记录义务与处理过程安全义务、任命数据保护官的义务和数据泄露的通知义务等。处罚措施和责任包括:行政处罚最高可达2000万欧元或上一财年全球年度营业总额的4%(以较高者为准),处罚责任包括:行政责任、合同责任和损害赔偿责任。
二、在欧盟提供商品和服务的中国企业的法律风险分析
对于GDPR的地域适用范围,可以看出不仅保留属地管辖(在欧盟成立的机构)原则,而且强调了属人管辖(向欧盟的个人提供商品和服务)原则。无论是从事传统行业,还是新兴行业,只要向欧盟境内的个人提供服务并且收集个人数据,就要受到GDPR的管辖。从地域适用范围来看,GDPR的宗旨就是保障人们对个人数据有更多的掌控权。关于GDPR中的同意,要求必须以声明或清晰肯定的行为做出,即需要以明示的方式做出,这也就意味着实践中通过推定方式获得用户同意,不容易被认定为合法有效。也就是说,当前实践中司空见惯的通过长篇大论的隐私政策来获取用户同意,或者让用户在签订服务协议时通过预先勾选的选择框的方式做出一系列授权的方式的合法性将不复存在。此外,征得其有监护权的父母的同意,是处理儿童个人数据的先决条件。数据控制者负有举证责任,有义务拿出证据证明自己已从监护人处取得了同意。对于在欧盟提供商品和服务的中国企业,应当在处理数据主体的数据前检查是否征得其同意,以及检查当前取得的同意是否符合GDPR的要求。如果不符合要求,应当按照要求重新取得数据主体的同意。这是因为如未能按GDPR要求履行义务,将有可能面临监管机构的严重行政罚款的风险。
关于数据主体的各项权利,GDPR将对数据控制者的信息告知义务产生重大影响,因此对于在欧盟提供商品和服务的中国企业,需要仔细研究其数据处理活动并修改其现有的隐私政策等,以便遵守GDPR下的信息告知义务。此外,处理非直接从数据主体处收集的个人数据时,应在合理的期限内履行信息告知义务。中国企业有义务告知数据主体上述权利,并不拖延的履行企业义务。数据控制者不得因数据主体行使上述权利,而向数据主体收取费用,这对数据主体来说大有裨益,但对中国企业来说,无疑会增加经营成本。对于例如新浪、搜狐之类的在线门户网站,数据主体可通过网站修改、下载、获取其个人数据,以便于行使自身的各项权利。而对于其他类型的中国企业收集数据主体的数据,如何确保数据主体行使上述各项权利,确实是一个颇费思量的问题。中国企业应审核其声明和隐私政策,以确保数据主体充分了解其所享有的各项权利。以上各项权利的存在,存在导致工作流程变更的风险,对于在欧盟拥有大量客户的中国企业来说,运营成本无疑会大幅增加。
关于数据处理的义务,GDPR要求在欧盟提供商品和服务的中国企业,需要在问责机制的规制下,保存好最新的个人数据处理记录。对于设计和默认的数据保护措施,中国企业应在隐私政策和技术升级方面做出相应调整。将所有个人数据处理活动整理完毕,无疑将耗费大量的时间成本和人力成本,特别是对在欧盟境内拥有大量客户的中国企业。中国企业要想完全符合GDPR的规定,仅仅修改隐私政策,显然是无法达到要求的。建议中国企业明晰自身其在数据处理中的处境和地位,做到权责分明,并落实到人。由于在发生数据泄露时,对于通知监管机构和数据主体的时间均有要求,为应对该要求,在欧盟提供商品和服务的中国企业,需要提前做好风险预案,制定详细的风险应对措施,并落实到人,使责任人明晰职责,检查到位,妥善处置风险。在欧盟提供商品和服务的中国企业应评估自身是否有义务设立数据保护官,如决定不设立数据保护官,则事先需进行内部评估,综合权衡各项利弊,将评估内容和过程做好详细书面记录,以便证明中国企业做出不设立数据保护官的决定是充分合理的。如决定设立数据保护官,应协调各方人力物力,来确保数据保护官能及时、完整、全方位参与整个数据处理过程,使其及时获得GDPR要求的必要信息。
关于处罚措施和责任,对于在欧盟提供商品和服务的中国企业,不仅需要根据数据处理协议承担合同责任,违反GDPR规定还会招致行政责任,此外,若因数据处理违反GDPR规定造成数据主体损失的,中国企业还需承担损害赔偿责任。考虑到最高可达2000万欧元或上一财年全球年度营业总额的4%(以较高者为准)的行政罚款,中国企业需高度重视GDPR的规定,仔细分析在各项数据处理活动中的地位、职责、权利和风险,以避免不必要的责任承担甚至是巨额罚款。
三、GDPR对于我国个人信息隐私保护相关法律法规的借鉴
2017年1月6日,《未成年人网络保护条例(送审稿)》[1]出台。在该送审稿中,第16条中规定了通过网络收集、使用未成年人个人信息的,应当征得未成年人或其监护人同意;第18条赋予了未成年人要求删除与其有关的网络个人信息的权利。
1.对于送审稿第16条,可借鉴GDPR第8条第1款[2]的规定,笔者建议明确未成年人与成年人的年龄界限为16岁,将该部分内容修改为“当未成年人年满16周岁,通过网络对未成年人个人信息的收集、使用是合法的。当未成年人不满16周岁,只有当对未成年人具有父母监护责任的主体同意或授权,通过网络对未成年人个人信息的收集、使用才是合法的。”
2.对于送审稿第18条,可借鉴GDPR第17条第3款[3]的规定,笔者建议增加未成年人要求删除与其有关的网络个人信息的权利的例外情形,例外情形可包含以下情形之一:1.处于公共卫生领域内公共利益的原因;2.出于公共利益的归档目的、科学或者历史研究目的或者统计目的,只要删除权可能导致不能实现此类处理目的或者对该等目的实现造成严重影响;3.为建立、行使或辩护法律请求的目的(尤其是为证据目的)。
2017年6月1日,《中华人民共和国网络安全法》[4](下称“《网安法》”)正式施行,这部法律明确加强了对个人信息的保护,并在第四章专门针对网络信息安全进行了规定。
1.《网安法》第41条的内容,与GDPR数据处理原则中的合法性、透明度、数据最小化(资料最小收集)原则以及以数据主体同意作为数据处理的合法性要件是非常相似的,但对被收集者同意的做出方式并未给出明确约定,笔者建议在本条内容中增加对于被收集者同意的做出方式的规定,即“被收集者表示同意的,必须采取明示的方式以口头(为了举证应尽量避免)或书面(包含电子邮件等方式)方式做出,不可采取默示方式(预设选项或预先勾选的对话框等)做出。”
2.《网安法》第42条的内容与GDPR的数据泄露通知制度类同,但未涉及向主管部门报告的时限以及主管部门后续行动的内容,笔者建议增加向主管部门报告的时限以及主管部门评估并决定后续行动的内容,即“发生个人信息泄露时,网络运营者不得迟于发现个人信息泄露后的72小时内向主管部门报告,以便主管部门对个人信息泄露情况进行评估并决定是否需要采取后续行动。在对个人信息被采集者的权利和自由不可能构成危险的情况下,则无需向主管部门报告。”
3.《网安法》第43条的内容,与GDPR中关于数据主体的被遗忘权(删除权)和更正权区别不大。
(1)《网安法》第43条对于删除权仅规定了被采集者在发现存在违法和违约的情形下有权要求删除个人信息,显然不够全面;笔者建议增加以下被采集者可有权要求删除个人信息的情形,满足以下情形之一即可:1.网络运营者缺乏对个人信息收集、处理的必要性;2.网络运营者对个人信息收集、处理基于被采集者的同意且该同意被撤回;3.被采集者基于法定义务,必须删除个人信息;4.个人信息收集、处理涉及向未成年人提供信息服务。
(2)《网安法》第43条对于更正权仅规定了被采集者发现个人信息有错误的可要求更正,并未对个人信息不完整需要补充的情形给出规定;笔者建议增加以下内容:被采集者发现个人信息不完整需要补充的,可向网络运营者提供补充声明要求补充个人信息。
引文:
[1]https://baike.baidu.com/item/未成年人网络保护条例/16243359,2018年5月28日访问。
[2]https://mp.weixin.qq.com/s/_nMTRSPFz9P1q1J30wW0og,2018年5月28日访问。
[3]https://mp.weixin.qq.com/s/_nMTRSPFz9P1q1J30wW0og,2018年5月28日访问。

 

[4]https://baike.baidu.com/item/中华人民共和国网络安全法/16843044?fr=aladdin&fromid=12291792&fromtitle=网络安全法,2018年5月28日访问。

登录信箱 | 网上办公 | 网站地图 | 法律声明 | 二十五周年纪念
版权所有 ©1992-2011 隆安律师事务所 京ICP备09042609号 建议使用微软IE8.0及其以上版本浏览器访问本站