網(wǎng)上投稿
2018年5月25日 《歐盟數(shù)據(jù)保護(hù)通用條例》 (General Data Protection Regulation ,簡稱“ GDPR ” ) 正式生效。對于該條例,盡管有不少中國企業(yè)提前進(jìn)行了研究和布局,然而,規(guī)則生效帶來的沖擊依然是巨大的。為了給予中國企業(yè)必要的指導(dǎo), 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(以下簡稱“信標(biāo)委”)于GDPR生效當(dāng)日發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—?dú)W盟GDPR關(guān)注點(diǎn)》(簡稱“《實(shí)踐指南》”)。雖然該《實(shí)踐指南》是中國相關(guān)機(jī)構(gòu)對 GDPR 的理解,但對于實(shí)踐依然具有積極的指導(dǎo)意義。本文擬結(jié)合 《實(shí)踐指南》對 GDPR 相關(guān)問題作出分析,以期對企業(yè)的實(shí)務(wù)工作具有借鑒意義。
一、 《實(shí)踐指南》出臺的背景及目的
《歐盟數(shù)據(jù)保護(hù)通用條例》(General Data Protection Regulation,簡稱“GDPR”) 于2018年5月25日正式生效。雖然歐洲議會(The European Parliament )早在兩年前(即2016年4月14日)就審議通過并正式公告了GDPR,被冠以 “最嚴(yán)數(shù)據(jù)隱私條例”,GDPR的正式生效還是給很多跨國企業(yè)造成不小沖擊。比如,GDPR生效的第一天,隱私權(quán)倡導(dǎo)組織Noyb.eu就代表數(shù)據(jù)主體向歐洲監(jiān)管機(jī)構(gòu)提起了針對Facebook、Android、WhatsApp、Instagram違反GDPR規(guī)定的訴訟。同時(shí),《紐約每日新聞》、《洛杉磯時(shí)報(bào)》、《邁阿密先驅(qū)報(bào)》等一些美國新聞網(wǎng)站在歐洲暫時(shí)關(guān)閉,《時(shí)代》和《華盛頓郵報(bào)》則重新修改了專門針對歐盟用戶同意的隱私與服務(wù)條款。中國的互聯(lián)網(wǎng)科技企業(yè)也不例外,騰訊微信團(tuán)隊(duì)于5月28日發(fā)布了《關(guān)于歐盟數(shù)據(jù)保護(hù)通用條例的通知》,當(dāng)歐盟用戶撤銷授權(quán)公眾號獲取其個人信息時(shí),會以郵件形式告知公眾號的注冊郵箱刪除歐盟用戶的信息;騰訊在GDPR生效前一個月發(fā)布了自5月20日起停止為歐洲用戶服務(wù)的消息;小米生態(tài)鏈企業(yè)Yeelight則宣布,由于無法滿足GDPR要求,將不再向歐洲用戶提供服務(wù)……
GDPR關(guān)于個人數(shù)據(jù)保護(hù)的條款內(nèi)容十分豐富,鑒于部分共計(jì)173條,正文部分共計(jì)99條(分為十一章),包含適用范圍、地域范圍、數(shù)據(jù)主體同意的要件、特殊類型的個人信息處理、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者的義務(wù)、個人數(shù)據(jù)向第三國或國際組織的傳輸、數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)職權(quán)、數(shù)據(jù)主體權(quán)利被侵犯后的救濟(jì)途徑和處罰措施等等,體現(xiàn)了全面的個人數(shù)據(jù)保護(hù)和促進(jìn)個人信息合法自由流動的雙重立法理念。同時(shí),在個人信息的定義與范圍、個人信息處理的原則、“同意”的形式和內(nèi)容等方面,國內(nèi)的《個人信息安全規(guī)范》與GDPR存在諸多相通之處。
對于企業(yè)而言, GDPR規(guī)定了數(shù)據(jù)主體的哪些權(quán)利、國內(nèi)企業(yè)與歐盟企業(yè)合作時(shí)是否必然適用GDPR、在歐盟設(shè)立的下屬企業(yè)如何應(yīng)對GDPR、如何完善自身隱私政策條款內(nèi)容、如何快速應(yīng)對GDPR所產(chǎn)生的影響等等實(shí)務(wù)問題,更具有現(xiàn)實(shí)意義。筆者關(guān)注到,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(以下簡稱“信標(biāo)委”)于GDPR生效當(dāng)日即發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—歐盟GDPR關(guān)注點(diǎn)》(簡稱“《實(shí)踐指南》”),簡要介紹了GDPR適用的場景、核心內(nèi)容和關(guān)注點(diǎn),并結(jié)合案例說明了如何理解GDPR的核心條款,并提示了組織采取何種應(yīng)對措施以符合GDPR的規(guī)定,屬于官方機(jī)構(gòu)對GDPR的權(quán)威解讀。然則,在與GDPR有關(guān)的文章“鋪天蓋地”的主流趨勢下,《個人信息安全規(guī)范》的歸口部門信標(biāo)委出臺的《實(shí)踐指南》被淹沒在了GDPR的“洪流”中。
本文即以《實(shí)踐指南》提及的關(guān)注點(diǎn)為線索,對企業(yè)如何解決適用GDPR過程中遇到的實(shí)務(wù)合規(guī)問題予以研究。
二、 《實(shí)踐指南》關(guān)注點(diǎn)一:適用 GDPR的場景
GDPR條款
關(guān)注點(diǎn)
案例
組織應(yīng)對措施
GDPR第3條
一是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)設(shè)有分支機(jī)構(gòu)(establishment)。
在歐盟本地運(yùn)營的A國(A國指某一非歐盟成員國)連鎖酒店,直接將其收集的住客個人數(shù)據(jù)傳輸至A國總部進(jìn)行處理,則需要履行GDPR中相關(guān)責(zé)任和義務(wù)。
組織[1]涉及海外業(yè)務(wù)、全球化經(jīng)營或業(yè)務(wù)合作等場景時(shí),應(yīng)注意其是否適用GDPR。
二是數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)不設(shè)分支機(jī)構(gòu)(establishment)的情形。
A國企業(yè)開發(fā)的軟件或系統(tǒng)被嵌入某款設(shè)備,該設(shè)備向歐盟地區(qū)銷售,該設(shè)備的制造商在歐盟境內(nèi)設(shè)立了銷售代表處,相關(guān)軟件或系統(tǒng)收集個人數(shù)據(jù)的過程需要適用GDPR等。
三是GDPR主要適用歐盟境內(nèi)發(fā)生的個人數(shù)據(jù)處理行為,其保護(hù)對象為歐盟境內(nèi)的數(shù)據(jù)主體。
當(dāng)歐盟公民抵達(dá)A國,例如進(jìn)入A國大學(xué)學(xué)習(xí),在A國商場購物等,且歐盟公民返回歐盟境內(nèi)后,大學(xué)、商場不再對其行為進(jìn)行跟蹤或分析,則大學(xué)、商場無需適用GDPR。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
本文開篇提到的Facebook、Android、WhatsApp、Instagram以及國內(nèi)的小米、騰訊直接對歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),或者在歐盟境內(nèi)設(shè)立了分支機(jī)構(gòu),按照GDPR第三條以及《實(shí)踐指南》關(guān)注點(diǎn)一的解讀,前述企業(yè)遵守GDPR無疑。但是,以下案例中的B公司是否要遵守GDPR呢?
B屬于中國某運(yùn)營商的下屬大數(shù)據(jù)分析公司,在歐盟沒有設(shè)立任何分支機(jī)構(gòu);用戶張某使用該運(yùn)營商的SIM卡,在去法國旅行前開通了境外通信業(yè)務(wù),在法國旅行期間共計(jì)通話100分鐘,共計(jì)發(fā)送了20條短信/彩信;如果B公司只對張某等中國公民在歐盟成員國旅行期間的通信情況等進(jìn)行了加工、處理、分析,最終形成了中國公民歐洲游通信情況的分析報(bào)告,根據(jù)該報(bào)告所反映的屬性趨勢情況,向同樣符合該等屬性的中國公民推送了境外游的營銷廣告。那么,B公司是否有義務(wù)遵守GDPR呢?
GDPR第3條第2款將數(shù)據(jù)主體界定為“歐盟境內(nèi)的數(shù)據(jù)主體”(data subjects who are in the Union),并未明確規(guī)定為“歐盟公民”(Eu citizens),張某等中國公民的個人通信信息行為發(fā)生地在歐洲,但B公司處理了中國公民的數(shù)據(jù)信息,所以,尚不能援引GDPR第3條第2款直接判定,上述案例中的B公司是否應(yīng)遵守GDPR。
關(guān)于如何理解“歐盟境內(nèi)的數(shù)據(jù)主體”,歐盟委員會專門就數(shù)據(jù)保護(hù)的適用對象問題(Who does the data protection law apply to?)做了如下官方案例答復(fù), “如果您的公司是歐盟以外的服務(wù)提供商,且為歐盟成員國以外的客戶提供服務(wù)。您的客戶可以在去其他國家(包括歐盟內(nèi)部)旅行時(shí)使用公司提供的服務(wù)。如果您的公司沒有明確地針對歐盟的個人提供服務(wù),那么,該公司不受GDPR規(guī)則的約束。” [2]根據(jù)歐盟委員會的前述官方答復(fù),GDPR保護(hù)的對象主要為歐盟成員國的公民,而非“世界公民”。所以,上述案例中,如果B公司只對中國公民提供商品或服務(wù),且張某未在法國長期居留以至于取得了“法國公民”的資格,筆者認(rèn)為,B公司不必然遵守GDPR。
三、 《實(shí)踐指南》關(guān)注點(diǎn)二:適用的數(shù)據(jù)范圍
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第4條第(1)款
個人數(shù)據(jù),是指與一個確定的或可識別的自然人相關(guān)的任何信息。可被識別的自然人,是指借助標(biāo)識符,例如姓名、身份標(biāo)識、位置數(shù)據(jù)、網(wǎng)上標(biāo)識符,或借助與該個人生理、心理、基因、精神、經(jīng)濟(jì)、文化或社會身份特定相關(guān)的一個或多個因素,可被直接或間接識別出的個人。
組織應(yīng)識別其處理個人數(shù)據(jù)或特殊類別(敏感)個人數(shù)據(jù)的具體類型。
GDPR第9條第(1)款、
GDPR第10條
特殊類別(敏感)個人數(shù)據(jù),是指揭示種族或民族出身,政治觀點(diǎn)、宗教或哲學(xué)信仰以及工會成員的個人數(shù)據(jù),以及唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)、自然人的健康、性生活或性取向數(shù)據(jù),還包括刑事定罪和犯罪相關(guān)的個人資料等。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
企業(yè)處理特殊類別(敏感)數(shù)據(jù)比處理一般個人數(shù)據(jù)時(shí)的注意義務(wù)更嚴(yán)格,主要如下:(1)個人數(shù)據(jù)是否為特殊類別(敏感)數(shù)據(jù)是判斷合法性基礎(chǔ)(即無需數(shù)據(jù)主體的同意)的特別情形之一,即未經(jīng)數(shù)據(jù)主體同意,亦非歐盟法或成員國法律所允許的,控制者應(yīng)當(dāng)確認(rèn)前述處理活動是否與最初收集數(shù)據(jù)的目的一致;[3](2)無論企業(yè)的規(guī)模或人數(shù),控制者(以及適用情況下的控制者的代理人)均應(yīng)當(dāng)依其職責(zé)保存處理活動的記錄,處理者(以及在適用情況下的處理者的代表)均應(yīng)保存代表控制者執(zhí)行的所有處理活動類別的記錄,而雇員少于250人的企業(yè)或組織處理特殊類別(敏感)數(shù)據(jù)以外的個人數(shù)據(jù)時(shí),則不必然履行前述保存處理活動記錄的義務(wù)[4];(3)控制者和處理存在處理大規(guī)模特殊類別(敏感)個人數(shù)據(jù)情形的,必須設(shè)立數(shù)據(jù)保護(hù)官(Designation of the data protection officer)[5]。
需注意的是,我國《個人信息安全規(guī)范》(GB/T 35273—2017)規(guī)定的個人敏感信息與GDPR規(guī)定的特殊類別(敏感)個人數(shù)據(jù)都將個人的基因、健康、生物識別信息、性取向、宗教信仰、民族出身等信息囊入其中,但兩者之間具有如下主要區(qū)別之處:(1)我國規(guī)定的個人敏感信息范圍更加寬泛:除了GDPR列舉的數(shù)據(jù)種類外,我國將個人財(cái)產(chǎn)信息(如銀行賬號、房產(chǎn)信息、信貸記錄、征信信息等)、個人身份信息(如身份證、軍官證、護(hù)照、駕駛證、工作證、社保卡、居住證等)、網(wǎng)絡(luò)身份標(biāo)識信息(如系統(tǒng)賬號、郵箱地址及與前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個人數(shù)字證書等)、婚史、通信記錄和內(nèi)容、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準(zhǔn)定位信息等。而按照GDPR規(guī)定,網(wǎng)絡(luò)身份標(biāo)識信息、身份信息則未被納入特殊類別(敏感)個人數(shù)據(jù)范圍之內(nèi)。(2)兩者的定義模式不同,GDPR對特殊類別(敏感)個人數(shù)據(jù)的定義采取列舉式,而我國采取概括和列舉并列式:除了前述列式的個人敏感信息類型外,我國規(guī)定的人敏感信息泛指“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息”。例如,李四是某證券公司的“操盤手”,手機(jī)通訊錄包含了眾多投資機(jī)構(gòu)負(fù)責(zé)人的聯(lián)系方式,如網(wǎng)絡(luò)服務(wù)提供者泄露了李四手機(jī)通訊錄中的聯(lián)系人信息,將對李四名譽(yù)造成重大損害,那么,李四的“聯(lián)系人信息”將從《個人信息安全規(guī)范》認(rèn)定的“個人信息”升級為“個人敏感信息”。
四、 《實(shí)踐指南》關(guān)注點(diǎn)三:數(shù)據(jù)處理的基本原則
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第5條
個人數(shù)據(jù)處理的基本原則,包括合法、公正、透明、數(shù)據(jù)最小化、目的限定、存儲限制、完整性和保密性、問責(zé)等;
組織應(yīng)保證其數(shù)據(jù)處理活動遵循基本的原則。
GDPR第4條第2款
數(shù)據(jù)處理是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作,諸如收集、記錄、組織、建構(gòu)、存儲、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他的利用,排列、組合、限制、刪除或銷毀,且無論此操作是否采用自動化的手段。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
“合法、公正、透明”是企業(yè)處理個人數(shù)據(jù)的首要原則,如何認(rèn)定“合法”需要結(jié)合GDPR第6條關(guān)于“合法正當(dāng)性理由”綜合判定,“公正、透明”強(qiáng)調(diào)企業(yè)應(yīng)以方便數(shù)據(jù)主體明確易懂的方式處理個人信息;“數(shù)據(jù)最小化”是指以個人數(shù)據(jù)處理目的之必要為限度,如某P2P平臺搜集了借款人的血型,則易被認(rèn)定為超出提供借貸撮合服務(wù)的“數(shù)據(jù)最小化”限度;“目的限定”和“儲存限定”原則都規(guī)定了例外情形,即為了公共利益、科學(xué)或歷史研究或者統(tǒng)計(jì)目的而進(jìn)一步處理,應(yīng)符合GDPR第89條第1款規(guī)定,不應(yīng)被認(rèn)定為不符合初始目的或者可以較長時(shí)間儲存?zhèn)€人數(shù)據(jù),該原則旨在保持?jǐn)?shù)據(jù)主體利益與社會公共利益之間的平衡。
“完整性和保密性”是指企業(yè)應(yīng)當(dāng)采取適度的方式確保個人數(shù)據(jù)安全,防止未經(jīng)授權(quán)的、非法的處理、意外遺失、滅失或損毀,強(qiáng)調(diào)企業(yè)處理數(shù)據(jù)時(shí)應(yīng)履行“安全義務(wù)”[6]。數(shù)據(jù)泄露是全球范圍內(nèi)最常見的網(wǎng)絡(luò)安全事件之一,也是數(shù)據(jù)主體同意填寫個人信息時(shí)最擔(dān)心的因素之一,關(guān)鍵信息系統(tǒng)、網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域的領(lǐng)導(dǎo)者泰雷茲公司于2018年3月20日發(fā)布的《2018泰雷茲數(shù)據(jù)威脅報(bào)告》顯示, 26%的受訪者曾于2016年表示遭遇了數(shù)據(jù)泄露,2017年的占比上升至36%,而到2018年該比例明顯上升至67%[7]。所以,企業(yè)應(yīng)當(dāng)采取先進(jìn)、全面、足夠的技術(shù)手段以及管理措施,以保護(hù)數(shù)據(jù)主體信息的“完整性和保密性”。
“問責(zé)”是GDPR第5條第2款單獨(dú)規(guī)定的原則,同時(shí)也是保障企業(yè)遵循前述六大原則的“兜底原則”,即企業(yè)應(yīng)當(dāng)證明其自身符合前述六大原則,且應(yīng)當(dāng)對造成數(shù)據(jù)主體的損害承擔(dān)賠償責(zé)任。
五、 《實(shí)踐指南》關(guān)注點(diǎn)四:數(shù)據(jù)處理的合法正當(dāng)性事由
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第6條第1款
數(shù)據(jù)處理行為首先應(yīng)具備合法性基礎(chǔ),GDPR規(guī)定的六種合法性情形包括:數(shù)據(jù)主體的同意、合同履行、履行法定義務(wù)、保護(hù)個人重要利益、維護(hù)公共利益以及追求正當(dāng)利益。
組織應(yīng)保證其數(shù)據(jù)處理活動滿足合法性要求。
GDPR第4條第(11)項(xiàng)
GDPR強(qiáng)調(diào)同意是指“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個明確的肯定性動作,表示同意對其個人數(shù)據(jù)進(jìn)行處理。該意愿表達(dá)應(yīng)是自由給出的(freely given)、特定具體的(specific)、知情的(informed)、清晰明確的(unambiguous)”,且撤回同意的方式應(yīng)該與表達(dá)同意同等便利。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
“數(shù)據(jù)主體同意”個人數(shù)據(jù)為一個或多個特定目的而處理是處理數(shù)據(jù)正當(dāng)性事由的首要情形,也是我國《網(wǎng)絡(luò)安全法》、《民法總則》等個人信息保護(hù)方面法律法規(guī)規(guī)定的強(qiáng)制性要求,常見的同意形式主要體現(xiàn)形式為專門的隱私政策服務(wù)條款、用戶注冊協(xié)議或具體交易協(xié)議中的授權(quán)條款、網(wǎng)絡(luò)服務(wù)提供者制定的履行網(wǎng)絡(luò)安全義務(wù)的規(guī)章制度等等。例如,Facebook 的服務(wù)條款之一有如下約定:“針對需要特殊保護(hù)的數(shù)據(jù)(例如您在Facebook用戶畫像范圍內(nèi)或Life Events專欄內(nèi)分享的有關(guān)您的宗教觀、政治傾向、您”感興趣“的人或者您的健康狀況的信息)處理,我們就此有權(quán)向您選擇的對象披露,且有權(quán)對您的內(nèi)容進(jìn)行個性化處理。”該條款并未以取得Facebook用戶對其分享宗教觀等數(shù)據(jù)信息的同意,所以, Noyb.eu vs. Facebook 的訴訟中,Noyb.eu提出的申訴請求之一即是請求通過申訴程序裁決該控制方的處理行為是否已完全符合GDPR第6條第1款第(a)項(xiàng)的要求,以及違規(guī)程度如何。[8]
其他五種數(shù)據(jù)處理的合法性正當(dāng)事由并不以同意為條件,但根據(jù)GDPR第6條第2款、第3款、第4款的規(guī)定,是否構(gòu)成合法性正當(dāng)事由需要滿足較為嚴(yán)苛的條件,如認(rèn)定符合“履行法定義務(wù)”和“維護(hù)公共利益以及追求正當(dāng)利益”情形時(shí),需要從被處理的數(shù)據(jù)類型、目的限制、儲存限制、處理操作和處理程序、個人數(shù)據(jù)可能被披露的實(shí)體等“彈性”因素予以綜合判定,且GDPR同時(shí)給予了歐盟成員國對前述情形的立法權(quán)。例如, Facebook將對用戶進(jìn)行營銷的數(shù)據(jù)處理表述如下:“為了履行我們Facebook服務(wù)條款或Instagram使用條款的必要”,Noyb.eu 就該條款認(rèn)為,Facebook顯然試圖在民商事法律條款中“隱藏”對處理行為的同意,以期引起誤解,使人認(rèn)為該等處理行為符合GDPR第6條第1點(diǎn)第(b)款的規(guī)定。[9]
所以,其他五種數(shù)據(jù)處理的合法性正當(dāng)事由的認(rèn)定難度較大,在援引合法性正當(dāng)事由的判例出現(xiàn)或者認(rèn)定具體情形的法律條文出臺前,建議企業(yè)仍然需要取得數(shù)據(jù)主體的“同意”后再進(jìn)行數(shù)據(jù)處理。
六、 《實(shí)踐指南》關(guān)注點(diǎn)五:對兒童的特殊保護(hù)規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第8條
如果直接向兒童提供信息社會服務(wù)時(shí),該兒童的年齡應(yīng)當(dāng)為16周歲以上。若兒童未滿16周歲,只有在征得監(jiān)護(hù)人同意或授權(quán)的范圍內(nèi)其處理才合法。成員國可以通過法律對上述年齡進(jìn)行調(diào)整,但不得低于13周歲
組織如涉及兒童個人數(shù)據(jù)的處理,應(yīng)予以特別保護(hù)。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
組織涉及兒童個人數(shù)據(jù)的處理,尤其需注意履行如下義務(wù):(1)應(yīng)當(dāng)采取合理努力,在現(xiàn)有技術(shù)條件下,驗(yàn)證兒童的監(jiān)護(hù)人是否予以同意[10];(2)GDPR第7條第1款的特別保護(hù)措施不應(yīng)影響到成員國的一般合同法律(如與兒童有關(guān)的合同效力、構(gòu)成或?qū)嵭校?/span>[11];(3)對于兒童的任何信息,企業(yè)應(yīng)當(dāng)以簡單明了、且易于獲取的方式以及通過清楚明確的語言,并采取合適措施提供第13 條和第14 條所提到的任何信息(主要為企業(yè)從數(shù)據(jù)主體搜集個人數(shù)據(jù)時(shí)應(yīng)披露的信息,如企業(yè)的身份、聯(lián)系方式、儲存限制等)。
七、 《實(shí)踐指南》關(guān)注點(diǎn)六:數(shù)據(jù)主體權(quán)利
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
第三章
數(shù)據(jù)主體權(quán)利
GDPR賦予了數(shù)據(jù)主體對其數(shù)據(jù)廣泛的控制權(quán),包括知情、訪問、更正、刪除、限制處理、可攜帶、反對等權(quán)利。比如:在數(shù)據(jù)收集時(shí),數(shù)據(jù)控制者應(yīng)以簡潔、透明、易懂及便于訪問的方式向數(shù)據(jù)主體提供數(shù)據(jù)控制者身份及聯(lián)系信息、數(shù)據(jù)處理的目的及合法基礎(chǔ)、數(shù)據(jù)主體享有的權(quán)利等信息。
組織應(yīng)基于當(dāng)前業(yè)務(wù)特點(diǎn)及處理數(shù)據(jù)的合法性事由,選擇需要實(shí)現(xiàn)的數(shù)據(jù)主體權(quán)利。
GDPR第17條
第1款、第2款
(刪除權(quán))
在特定情況下,如履行目的不再需要、數(shù)據(jù)主體撤回同意或個人數(shù)據(jù)被非法處理等等情況下,數(shù)據(jù)主體有權(quán)要求刪除其個人數(shù)據(jù)。GDPR也規(guī)定了若干刪除權(quán)不適用情形,如為行使言論和信息自由的權(quán)利,為履行數(shù)據(jù)控制者法定義務(wù),為設(shè)立、行使或捍衛(wèi)合法權(quán)利等等。
GDPR第17條
第3款
(刪除權(quán)條款不適用的情形)
數(shù)據(jù)主體有權(quán)拒絕數(shù)據(jù)控制者基于以下目的對個人數(shù)據(jù)進(jìn)行的處理行為,如為公共利益,為數(shù)據(jù)控制者的合法利益,以直接營銷為目的,基于科學(xué)或歷史研究以及統(tǒng)計(jì)目的的數(shù)據(jù)處理行為等。
GDPR第18條
(限制處理權(quán))
數(shù)據(jù)主體有權(quán)在以下情形限制數(shù)據(jù)控制者的處理行為,如質(zhì)疑數(shù)據(jù)準(zhǔn)確性,違法處理,數(shù)據(jù)到期等。
GDPR第20條
(數(shù)據(jù)可攜帶權(quán))
數(shù)據(jù)控制者基于數(shù)據(jù)主體同意或履行合同所必須,以自動化方式處理數(shù)據(jù)主體提供的個人數(shù)據(jù)時(shí),數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者取得結(jié)構(gòu)化可機(jī)讀的個人數(shù)據(jù)副本,并傳送給另一個數(shù)據(jù)控制者。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
GDPR在鑒于部分即開宗明義指出:“自然人在個人數(shù)據(jù)處理方面獲得保護(hù)是一項(xiàng)基本權(quán)利。《歐盟基本權(quán)利憲章》第8條第1款和《歐盟運(yùn)行條約》第16條第1款規(guī)定每個人都享有就其個人數(shù)據(jù)獲得保護(hù)的權(quán)利”,GDPR創(chuàng)設(shè)了限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、刪除權(quán)等等,并將數(shù)據(jù)主體的權(quán)利范圍、權(quán)利內(nèi)容以及權(quán)利保障措施等提升到前所未有的高度。
對于企業(yè)而言,對數(shù)據(jù)主體權(quán)利的保障主要體現(xiàn)在用戶隱私政策條款中,并構(gòu)成企業(yè)隱私政策條款的核心內(nèi)容,盡快調(diào)整隱私政策條款成為GDPR生效后的重要合規(guī)工作,并至少應(yīng)當(dāng)注意以下四個方面:(1)權(quán)利內(nèi)容:全面告知用戶數(shù)據(jù)訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、反對權(quán)等;(2)權(quán)利告知方式:以簡單、透明、清晰且易于獲取的方式告知用戶,采用清楚明確的語言;(3)權(quán)利告知介質(zhì):應(yīng)當(dāng)以書面形式或其他方式提供,若有必要,可采取電子形式。如果用戶的身份能夠通過其他方式得到認(rèn)證,在用戶要求的前提下,可以采用口頭方式;(4)權(quán)利請求的行動期限:企業(yè)應(yīng)當(dāng)自收到請求之日起1個月內(nèi)提供GDPR關(guān)于用戶權(quán)利內(nèi)容而采取行動的信息,必要時(shí)可以延長兩個月。對于延期提供信息的任何情況,企業(yè)都應(yīng)當(dāng)自收到請求之日起1個月內(nèi)通知用戶相關(guān)情形和延遲原因[12]。企業(yè)執(zhí)行GDPR保護(hù)用戶權(quán)利方面的參考案例如下:
圖一
Booking在《隱私聲明》內(nèi)容的最前面,即設(shè)置了“打印/保存”功能,易于用戶獲取隱私政策
圖二
5月22日,蘋果公司更新了隱私政策條款,添加了用戶的刪除數(shù)據(jù)權(quán)
八、 《實(shí)踐指南》關(guān)注點(diǎn)七:對用戶畫像的規(guī)定
GDPR條款
關(guān)注點(diǎn)
案例
組織應(yīng)對措施
GDPR
第4條第4款
用戶畫像是指通過自動化方式處理個人數(shù)據(jù)的活動,用于評估、分析以及預(yù)測個人的特定方面,可能包括工作表現(xiàn)、經(jīng)濟(jì)狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現(xiàn)等。
電商通過用戶畫像,開展廣告、市場預(yù)測和推廣工作。
組織如涉及對用戶進(jìn)行畫像,需要關(guān)注如何獲得合法性基礎(chǔ),以及向數(shù)據(jù)主體提供相應(yīng)權(quán)利。
GDPR第13條第2款第(f)項(xiàng)、第14條第2款第(g)項(xiàng)、第22條第2款
在數(shù)據(jù)主體明確同意、歐盟或者成員國法律的明確授權(quán)、履行合同所必需的情形下可以使用用戶畫像。同時(shí)還提出,在征得數(shù)據(jù)主體同意時(shí),應(yīng)對畫像相關(guān)數(shù)據(jù)來源、算法原理及相應(yīng)影響等予以充分告知,并賦予數(shù)據(jù)主體反對權(quán)、刪除權(quán)、更正權(quán)和限制處理權(quán)等權(quán)利。
——
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
用戶畫像屬于自動化決策的表現(xiàn)形式之一,能夠在一定程度上影響數(shù)據(jù)主體作出決策的自自由意志和行為,根據(jù)GDPR規(guī)定,企業(yè)以用戶畫像方式進(jìn)行數(shù)據(jù)處理時(shí)必須履行如下義務(wù):(1)在數(shù)據(jù)主體明確同意、數(shù)據(jù)歐盟或者成員國法律的明確授權(quán)、履行合同所必需的情形下可以使用用戶畫像,其中,取得數(shù)據(jù)主體的明確同意也是企業(yè)目前普遍采取的方式;(2)企業(yè)應(yīng)當(dāng)讓數(shù)據(jù)主體知曉用戶畫像的存在以及用戶畫像的結(jié)果,以符合“合法、公正、透明原則”;(3)企業(yè)應(yīng)當(dāng)讓數(shù)據(jù)主體知曉自動處理數(shù)據(jù)的算法,若可能,應(yīng)當(dāng)提供連接安全系統(tǒng)的遠(yuǎn)程途徑,該系統(tǒng)可以向數(shù)據(jù)主體提供直接訪問其信息的途徑[13];(4)企業(yè)應(yīng)當(dāng)保障數(shù)據(jù)主體可以在任何時(shí)間反對其處理與直接營銷有關(guān)的數(shù)據(jù)畫像,同時(shí),應(yīng)當(dāng)采取明確引起數(shù)據(jù)主體注意的方式體現(xiàn)反對權(quán)條款,并清晰地與其他條款分開說明[14];(5)企業(yè)應(yīng)當(dāng)同時(shí)遵守歐洲數(shù)據(jù)保護(hù)委員會制定的具體指引中關(guān)于用戶畫像的規(guī)定[15]。
實(shí)踐中,互聯(lián)網(wǎng)服務(wù)提供者通常采用cookies技術(shù)監(jiān)控、跟蹤用戶活動,并預(yù)測用戶行為,完全符合GDPR規(guī)定的用戶畫像定義。如Google制定的隱私政策(Privacy Policy)中,開篇即專門提醒用戶注意閱讀另行制定的Cookies 政策(Cookies Policy)。具體如下圖所示:
圖三:goole的隱私政策截屏
九、 《實(shí)踐指南》關(guān)注點(diǎn)八:對數(shù)據(jù)處理者的規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第4條
第(8)項(xiàng)
數(shù)據(jù)處理者是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。
組織如屬于數(shù)據(jù)處理者,應(yīng)根據(jù)數(shù)據(jù)控制者明確的指示處理個人數(shù)據(jù),履行相應(yīng)的保密義務(wù),在數(shù)據(jù)處理服務(wù)結(jié)束時(shí),刪除或返還所有的個人數(shù)據(jù),接受數(shù)據(jù)控制者的審計(jì)等。
GDPR第28條
第1款、第2款
當(dāng)數(shù)據(jù)控制者委托數(shù)據(jù)處理者具體處理數(shù)據(jù)時(shí),數(shù)據(jù)控制者應(yīng)選擇采取了合適的技術(shù)和組織方面措施的數(shù)據(jù)處理者,以確保數(shù)據(jù)處理符合GDPR的要求,及保障數(shù)據(jù)主體的權(quán)利。在沒有數(shù)據(jù)控制者事先或一般性的書面許可時(shí),數(shù)據(jù)處理者不應(yīng)再與另外的數(shù)據(jù)處理者合作。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
GDPR特別強(qiáng)調(diào)數(shù)據(jù)處理者處理個人數(shù)據(jù)的權(quán)限不能超出數(shù)據(jù)控制者的書面許可,否則,處理行為將成為“無源之水、無本之木”。例如,近期持續(xù)發(fā)酵的Facebook數(shù)據(jù)泄露事件中,英國劍橋大學(xué)的學(xué)者柯剛通過相關(guān)軟件獲取了Facebook海量用戶信息,劍橋分析公司通過柯剛獲取了用戶信息,并將其用于與政客營銷商業(yè)服務(wù)有關(guān)的數(shù)據(jù)處理。劍橋分析公司作為數(shù)據(jù)處理者,并未獲得數(shù)據(jù)控制者Facebook處理用戶信息的任何書面許可,所以,劍橋分析公司在Facebook數(shù)據(jù)泄露事件中也負(fù)有不可推卸的法律責(zé)任。
除了《實(shí)踐指南》提及的組織應(yīng)對措施外,數(shù)據(jù)處理者還應(yīng)當(dāng)履行如下義務(wù):(1)應(yīng)當(dāng)實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施,確保處理過程的安全性,如保證處理系統(tǒng)和服務(wù)具有保密性、完整性、可用性、可恢復(fù)性的功能,對技術(shù)性和組織性措施的有效性進(jìn)行定期測試、訪問、評估等[16];(2)處理者在知道個人信息泄露后,應(yīng)立即通知控制者[17];(3)協(xié)助數(shù)據(jù)控制者遵守網(wǎng)絡(luò)安全、個人數(shù)據(jù)泄露后向監(jiān)管機(jī)構(gòu)報(bào)告、個人數(shù)據(jù)泄露后告知數(shù)據(jù)主體、數(shù)據(jù)保護(hù)影響評估等義務(wù)[18];(4)與除自身以外的其他數(shù)據(jù)處理者合作處理數(shù)據(jù)時(shí),應(yīng)當(dāng)就其他處理者義務(wù)的履行對控制者承擔(dān)全部責(zé)任[19];(5)處理者僅在其未遵守GDPR對于處理者義務(wù)的特別規(guī)定、超出控制者的合法指令或者違反控制者的指令時(shí),為數(shù)據(jù)處理導(dǎo)致的損害負(fù)責(zé),但數(shù)據(jù)主體也有權(quán)直接向處理者主張索賠,如屬于控制者的責(zé)任,處理者可事后向控制者追償[20]。
十、 《實(shí)踐指南》關(guān)注點(diǎn)九:對數(shù)據(jù)保護(hù)官、歐盟境內(nèi)法律代表的規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第37條
第1款
通常情況下,數(shù)據(jù)控制者和數(shù)據(jù)處理者任命數(shù)據(jù)保護(hù)官的情形包括:(1)公權(quán)力機(jī)構(gòu)處理數(shù)據(jù)的;(2)數(shù)據(jù)處理的主要活動范圍、目的要求經(jīng)常性、系統(tǒng)性、大范圍地監(jiān)測數(shù)據(jù)主體;(3)大規(guī)模處理特殊類別個人數(shù)據(jù)。
組織如存在上述情形,應(yīng)考慮設(shè)立數(shù)據(jù)保護(hù)官或任命歐盟境內(nèi)法律代表。
GDPR第37條
第5款、第6款、第7款
數(shù)據(jù)保護(hù)官應(yīng)具備專業(yè)的數(shù)據(jù)保護(hù)法律和實(shí)踐的知識,以保證其履行相應(yīng)職責(zé)。數(shù)據(jù)保護(hù)官可以是正式職員,也可以基于服務(wù)合同完成工作。數(shù)據(jù)控制者應(yīng)公開數(shù)據(jù)保護(hù)官的聯(lián)系方式,并將名單向監(jiān)管機(jī)構(gòu)匯報(bào)。
GDPR第27條
第1款、第3款
如果組織面向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),或監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為,應(yīng)通過書面形式在歐盟境內(nèi)任命一名代表。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
數(shù)據(jù)保護(hù)官類似于我國《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全負(fù)責(zé)人以及《個人信息安全規(guī)范》的個人信息保護(hù)負(fù)責(zé)人,主要負(fù)責(zé)保障數(shù)據(jù)主體權(quán)利以及企業(yè)網(wǎng)絡(luò)安全等數(shù)據(jù)保護(hù)方面的工作,是企業(yè)與監(jiān)管機(jī)構(gòu)、數(shù)據(jù)主體的溝通橋梁。企業(yè)應(yīng)在如下五個方面確保數(shù)據(jù)保護(hù)官的地位:(1)應(yīng)當(dāng)公布數(shù)據(jù)保護(hù)官的聯(lián)系方式,并報(bào)告給監(jiān)管機(jī)構(gòu)[21];(2)應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官適當(dāng)、及時(shí)地參與有關(guān)個人數(shù)據(jù)保護(hù)的所有事宜;(3)通過提供必要資源和專業(yè)知識培訓(xùn)支持?jǐn)?shù)據(jù)保護(hù)官執(zhí)行任務(wù);(4)不會因?yàn)閿?shù)據(jù)保護(hù)官執(zhí)行任務(wù)而將其解雇或者給予處罰;(5)當(dāng)數(shù)據(jù)保護(hù)官履行其他職責(zé)時(shí),確保不會出現(xiàn)利益沖突[22],所以,企業(yè)可以考慮由法務(wù)總監(jiān)、網(wǎng)絡(luò)安全負(fù)責(zé)人、審計(jì)部門負(fù)責(zé)人兼任數(shù)據(jù)保護(hù)官,而進(jìn)行數(shù)據(jù)處理的業(yè)務(wù)部門負(fù)責(zé)人、總經(jīng)理的職責(zé)一般與數(shù)據(jù)保護(hù)官存在利益沖突,不建議兼任數(shù)據(jù)保護(hù)官。
十一、 《實(shí)踐指南》關(guān)注點(diǎn)十:對數(shù)據(jù)保護(hù)影響評估的規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
第35條第1款
第35條第3款
數(shù)據(jù)控制者在進(jìn)行數(shù)據(jù)處理之前,基于數(shù)據(jù)處理的性質(zhì)、范圍、內(nèi)容及目的判斷處理活動可能對個人的權(quán)利和自由構(gòu)成高風(fēng)險(xiǎn)時(shí),應(yīng)實(shí)施DPIA。在以下情形下,通常需要實(shí)施DPIA:一是基于數(shù)據(jù)的自動化處理,包括數(shù)字畫像,對自然人個人方面的系統(tǒng)和廣泛的評估,而據(jù)此做出的決定對該自然人產(chǎn)生法律效力或者重大影響;二是大規(guī)模特殊類別個人數(shù)據(jù)或有關(guān)犯罪記錄和違法行為的個人數(shù)據(jù);三是對公共區(qū)域大規(guī)模的系統(tǒng)化監(jiān)控。
組織如構(gòu)成上述情形,應(yīng)考慮實(shí)施數(shù)據(jù)保護(hù)影響評估(DPIA)。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
企業(yè)如符合實(shí)施數(shù)據(jù)保護(hù)影響評估的前述情形,實(shí)施數(shù)據(jù)保護(hù)影響評估應(yīng)注意以下三個方面:(1)評估應(yīng)當(dāng)至少包含預(yù)計(jì)的處理操作及操作目的、對數(shù)據(jù)主體的權(quán)利進(jìn)行風(fēng)險(xiǎn)性評估、預(yù)期的風(fēng)險(xiǎn)防范措施等[23],如處理過程是高風(fēng)險(xiǎn)的,應(yīng)當(dāng)在處理之前向監(jiān)管機(jī)構(gòu)征詢意見[24];(2)應(yīng)充分考慮行業(yè)協(xié)會或者其他機(jī)構(gòu)制定的行為準(zhǔn)則[25];(3)在不影響保護(hù)商業(yè)利益、公共利益或者網(wǎng)絡(luò)安全的情況下,應(yīng)該就將要進(jìn)行的數(shù)據(jù)處理向數(shù)據(jù)主體或代表征詢意見[26]。
十二、 《實(shí)踐指南》關(guān)注點(diǎn)十一:通過設(shè)計(jì)實(shí)現(xiàn)數(shù)據(jù)保護(hù)的規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
鑒于第(78)項(xiàng)、
GDPR第25條
第1款
數(shù)據(jù)保護(hù)設(shè)計(jì)理念應(yīng)當(dāng)融入到產(chǎn)品和業(yè)務(wù)開發(fā)的早期過程(Privacy by Design),例如,設(shè)計(jì)假名化等機(jī)制有效地落實(shí)數(shù)據(jù)保護(hù)原則,并且將必要的保障措施融入到數(shù)據(jù)處理過程之中。此外,組織可實(shí)施相應(yīng)的措施以確保在默認(rèn)情形下,僅僅處理為實(shí)現(xiàn)目的而最少必需的個人數(shù)據(jù)。
組織應(yīng)注意其產(chǎn)品和業(yè)務(wù)的設(shè)計(jì)理念與GDPR保持一致。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
數(shù)據(jù)保護(hù)設(shè)計(jì)理念要求企業(yè)在產(chǎn)品或服務(wù)研發(fā)之初就應(yīng)該履行數(shù)據(jù)保護(hù)義務(wù),堅(jiān)持保護(hù)用戶隱私權(quán)的理念,在搜集信息前就采取預(yù)防性的保障措施,如產(chǎn)品或服務(wù)的默認(rèn)設(shè)置即具有保護(hù)用戶數(shù)據(jù)信息功能(詳見下圖四);隱私政策條款的展示頁面中,特別標(biāo)注了處理用戶特殊類型數(shù)據(jù)的條款(詳見下圖五)。
圖四:Safari 瀏覽器默認(rèn)設(shè)置“阻止跨網(wǎng)站跟蹤”
圖五:支付寶隱私政策特別標(biāo)注了用戶特殊類型數(shù)據(jù)
十三、 《實(shí)踐指南》關(guān)注點(diǎn)十二:數(shù)據(jù)泄露強(qiáng)制通知的規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第33條、
GDPR鑒于部分第(86)項(xiàng)
在發(fā)生個人數(shù)據(jù)泄露時(shí),除非個人數(shù)據(jù)的泄露不會產(chǎn)生危及自然人權(quán)利和自由的風(fēng)險(xiǎn),否則數(shù)據(jù)控制者應(yīng)在獲知泄露之時(shí)起的72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)發(fā)送通知報(bào)告。另外,當(dāng)個人數(shù)據(jù)泄露可能對自然人的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí),數(shù)據(jù)控制者還應(yīng)當(dāng)向數(shù)據(jù)主體告知數(shù)據(jù)泄露的相關(guān)情況。
組織應(yīng)注意如發(fā)生個人數(shù)據(jù)泄露等安全事件,需履行的通報(bào)和告知義務(wù)。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
GDPR并未明確規(guī)定監(jiān)管機(jī)構(gòu)的具體名稱,而是由各個成員國確定各自監(jiān)管機(jī)構(gòu)的任務(wù)、權(quán)限和職權(quán)。企業(yè)向監(jiān)管機(jī)構(gòu)履行告知義務(wù)的內(nèi)容應(yīng)當(dāng)包括如下方面:(1)描述個人數(shù)據(jù)泄露的性質(zhì),盡可能地包括相關(guān)數(shù)據(jù)主體以及個人數(shù)據(jù)記錄的類別和大致數(shù)量;(2)數(shù)據(jù)保護(hù)負(fù)責(zé)人或者其他能夠獲得更多信息的聯(lián)系點(diǎn)的名稱和聯(lián)系方式;(3)描述數(shù)據(jù)泄露的可能性后果;(4)描述控制者應(yīng)對數(shù)據(jù)泄露事件而采取的措施或計(jì)劃采取的措施,包括能夠減輕負(fù)面影響的措施[27]。
GDPR雖然沒有明確規(guī)定企業(yè)向數(shù)據(jù)主體履行告知義務(wù)的具體時(shí)限,但該項(xiàng)告知義務(wù)的時(shí)限要求實(shí)際上比向監(jiān)管機(jī)構(gòu)履行告知義務(wù)的更高,即需要減輕即時(shí)損害的,需要立即與資料當(dāng)事人溝通,而需要采取適當(dāng)措施防止持續(xù)或類似的個人資料遭泄露的,則可能需要更多時(shí)間進(jìn)行溝通,企業(yè)履行告知義務(wù)的內(nèi)容應(yīng)當(dāng)包括如下兩個方面:(1)個人數(shù)據(jù)泄露的性質(zhì);(2)提出減輕潛在不利影響的建議。
十四、 《實(shí)踐指南》關(guān)注點(diǎn)十三:數(shù)據(jù)跨境傳輸?shù)囊?guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第五章
GDPR提出了多種數(shù)據(jù)跨境流動機(jī)制。比如,直接向通過歐盟進(jìn)行充分性認(rèn)定的第三國傳輸數(shù)據(jù),還可通過實(shí)施被認(rèn)可的行為準(zhǔn)則,簽署符合相關(guān)要求的格式合同、有約束力的公司準(zhǔn)則、通過相關(guān)認(rèn)證等方式證明數(shù)據(jù)接收方滿足適當(dāng)?shù)谋Wo(hù)能力,來保證數(shù)據(jù)跨境流動的安全性;此外,在征得數(shù)據(jù)主體明示同意、基于公共利益、履行有利于數(shù)據(jù)主體的合同或基于組織正當(dāng)利益等情形下也滿足數(shù)據(jù)跨境傳輸要求。
組織如涉及數(shù)據(jù)跨境傳輸,應(yīng)選擇適用于其業(yè)務(wù)的跨境傳輸機(jī)制。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
與我國《網(wǎng)絡(luò)安全法》規(guī)定的跨境傳輸采取安全評估機(jī)制不同,GDPR規(guī)定了多種數(shù)據(jù)跨境流動機(jī)制,除直接向通過歐盟進(jìn)行充分性認(rèn)定的第三國傳輸數(shù)據(jù)(即允許直接跨境傳輸 )外,其他渠道均允許成員國境內(nèi)的控制者在符合特定條件下對個人數(shù)據(jù)進(jìn)行跨境傳輸。鑒于中國并不在“充分性認(rèn)定”的第三國名單內(nèi)[28],若涉及處理歐盟境內(nèi)數(shù)據(jù)或者在歐盟境內(nèi)設(shè)立分支機(jī)構(gòu)的中國企業(yè),應(yīng)考慮通過簽署相關(guān)要求的格式合同、有約束力的公司規(guī)則、通過實(shí)施被認(rèn)可的行為準(zhǔn)則或相關(guān)認(rèn)證、征得數(shù)據(jù)主體明示同意等渠道,進(jìn)行個人數(shù)據(jù)的跨境傳輸。
十五、 《實(shí)踐指南》關(guān)注點(diǎn)十四:處罰規(guī)定
GDPR條款
關(guān)注點(diǎn)
組織應(yīng)對措施
GDPR第83條
第4款
GDPR對違規(guī)組織采取根據(jù)情況分級處理的方法,并設(shè)定了最低一千萬歐元的巨額罰款作為制裁。如果組織未按要求保護(hù)數(shù)據(jù)主體的權(quán)益、做好相關(guān)記錄,或未將其違規(guī)行為通知監(jiān)管機(jī)關(guān)和數(shù)據(jù)主體,或未進(jìn)行數(shù)據(jù)保護(hù)影響評估或者未按照規(guī)定配合認(rèn)證,或未委派數(shù)據(jù)保護(hù)官或歐盟境內(nèi)代表,則可能被處以1000萬歐元或其全球年?duì)I業(yè)額2%(兩者取其高)的罰款。
組織可向其內(nèi)部通報(bào)GDPR處罰規(guī)則,進(jìn)一步提升安全意識。
GDPR第83條
第5款、第6款
如果發(fā)生了更為嚴(yán)重的侵犯個人數(shù)據(jù)安全的行為,如未獲得客戶同意處理數(shù)據(jù),或核心理念違反“隱私設(shè)計(jì)”要求,或違反規(guī)定將個人數(shù)據(jù)跨境傳輸,或違反歐盟成員國法律規(guī)定的義務(wù)等,組織有可能面臨最高2000萬歐元或組織全球年?duì)I業(yè)額的4%(兩者取其高)的巨額罰款。
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
GDPR的巨額罰款給跨國企業(yè)帶來巨大震懾力,上述GDPR關(guān)于處罰機(jī)制適用對象已突破歐盟成員國范圍,同“關(guān)注點(diǎn)一:適用 GDPR的場景”,只要向歐盟境內(nèi)公民提供商品或服務(wù),無論企業(yè)設(shè)立在哪個國家,如觸發(fā)GDPR的處罰機(jī)制,都將面臨巨額罰款。比如,GDPR生效當(dāng)日,Noyb.eu 起訴的四家公司中,Google (Android)雖然屬于在美國注冊[29]的公司,也成為了被訴對象。
除了上述由監(jiān)管機(jī)構(gòu)處以行政處罰外,根據(jù)GDPR第82條規(guī)定,企業(yè)還將面臨民事賠償責(zé)任,其中,控制者都應(yīng)對違反GDPR關(guān)于處理行為所造成的損害負(fù)責(zé)。處理者只有在沒有履行GDPR關(guān)于特別針對處理者的義務(wù),或在控制者的合法指示之外或相反的情況下,才須對處理所造成的損害負(fù)法律責(zé)任。
[1] 《實(shí)踐指南》統(tǒng)一采用“組織”表述,如無特別注明,本文內(nèi)容提及的“企業(yè)”與“組織”表示同一主體。
[2]訪問網(wǎng)址:https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.
[3] 詳見GDPR第6條。
[4] 詳見GDPR第30條。
[5] 詳見GDPR第37條。
[6] 具體詳見GDPR第32條至34條。
[7] 訪問網(wǎng)址:https://dtr.thalesesecurity.com/.
[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[10] 詳見GDPR第8條第2款。
[11] 詳見GDPR第8條第3款。
[12] 詳見GDPR第12條。
[13] 詳見GDPR 詳見GDPR鑒于部分第(63)項(xiàng)。
[14] 詳見GDPR鑒于部分第(70)項(xiàng)。
[15] 詳見GDPR鑒于部分第(72)項(xiàng)。
[16] 詳見GDPR第32條第1款。
[17] 詳見GDPR第33條第2款。
[18] 詳見GDPR第28條第3款第(f)項(xiàng)。
[19] 詳見GDPR第28條第4款。
[20] 詳見GDPR第82條。
[21] 詳見GDPR第37條第7款。
[22] 詳見GDPR第38條。
[23] 詳見GDPR第35條第7款。
[24] 詳見GDPR第36條第1款。
[25] 詳見GDPR第35條第8款。
[26] 詳見GDPR第35條第9款。
[27] GDPR第33條第3款。
[28] 歐盟委員會公布的“充分性認(rèn)定”的第三國名單包括安道爾、阿根廷、加拿大(商業(yè)組織)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私保護(hù)框架)。
[29]Google (Android)注冊地址為Amphitheatre Parkway, Mountain View, CA 94043, USA.
滬公網(wǎng)安備 31010402007129號
