利剑高悬下的欧盟数据保护
2018年5月生效的General Data Protection Regulation(GDPR,一般数据保护条例),是欧盟目前最重要的数据保护法律,对欧盟各国具有普遍适用性和整体约束力。根据欧华国际律师事务所(DLA Piper)的年度GDPR罚金和数据泄露调查报告显示,2021年欧洲数据保护机构依据GDPR总共开出了11亿欧元(12亿美元)的罚单。面对如此严格的监管和如此高额的罚金,出海企业学习该如何更好地遵守GDPR迫在眉睫。GDPR 旨在通过赋予数据主体对其数据更多的控制权来增强个人权利,GDPR从个人信息权利、数据收集和处理原则、监管机制和责任处罚等方面对个人数据建立了全面保护机制。
一、适用范围
GDPR不仅适用于欧盟各国,而且其适用范围还扩展至了“未在欧盟境内设立营业地,但向欧盟提供商品或服务”的机构,因此GDPR适用于全球任何地方所有定位、收集或使用任何欧盟居民个人数据的组织。
GDPR要求数据使用者必须“实施适当的技术和管理”措施以保护个人数据。具体而言,数据使用者需要明确他们保留数据并且拥有适当权利来使用这些数据;必须回答消费者(包括雇员和前雇员在内)关于他们保留了哪些类型的数据的问题,并且在某些情况下,删除他们不再需要的数据;在启动项目或首次构建产品时必须慎重考虑隐私和安全保护,并在发布之前审核项目;如有违反规则的行为,则在(发现后)72小时内通知其主要监管机构;要求其供应商同样应当保护数据安全,并在合同中注明此项承诺。
二、个人数据的定义
GDPR对“个人数据”的定义是指任何与识别的或可识别的自然人身份相关的,在公共、工作或者私人领域的信息,例如,姓名、身份证号码、地址信息或网络标识符(包括 IP 地址和 Cookie)。如果这些个人信息可追溯到具体某一个人,则还包括其身体、遗传、精神、经济、文化或社会标识符。
三、个人数据权利
知情权(Information to be provided where personal data are collected from the data subject):数据主体的知情权指的是,当该主体的个人数据在被收集、处理或转移时,数据使用者有义务告知该数据主体数据使用者的身份和联系方式、数据保护官的联系方式、数据处理将涉及的个人数据的使用目的、类型、接受者等。
访问权(Right of access):数据主体有权访问数据使用者对其个人数据处理的细节,包括该主体的个人数据是否被处理、处理的目的、个人数据的类型、数据接收者的信息(是否在第三国、是否是国际组织)、个人数据将被储存的时长、是否被用于进行个人画像等信息。
更正权(Right to rectification):数据主体有权要求数据使用者更正与其相关的不准确的个人数据、有权提供补充说明以补充不完整的个人信息。
删除权/被遗忘权(Right to erasure/right to be forgotten):数据主体有权要求数据使用者在合理期限内删除与其有关的个人数据,除非处理该个人数据有其他必要情形。
限制处理权(Right to restriction of processing):在特定情况下,数据主体有权限制数据使用者处理其个人数据,比如当个人数据的准确性受到数据主体的质疑,在一段时间内该数据的处理将被限制,直到数据使用者确认该数据的真实性。
可携权(Right to data portability):数据主体有权从数据使用者处获得与其有关的个人数据,并且该数据应该以一种有结构的、常用的、可读的方式展现。数据主体也有权要求数据使用者将其数据转移给其他使用者,且不得进行任何阻碍。
拒绝权(Right to object):数据主体有权在任何时刻拒绝对其个人数据的处理。数据使用者不得再处理其个人数据,除非数据使用者证明有压倒性的正当理由对该数据主体的个人数据进行处理,且该正当理由超过了数据主体的利益、权利和自由。
- 不受自动化处理约束的权利(the right not to be subject to a decision based solely on automated processing):数据主体有权不受自动化处理的决定的约束,除非该主体明确同意,或是该处理对数据主体跟数据使用者之间的合同是必须的。
四、个人数据泄露的责任GDPR中个人数据泄露是指导致传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权披露或访问的违反安全之事宜。GDPR明确了相关主体的责任机制,首次设立数据保护专员制度,明确了数据泄密事件发生时,相关主体应尽快通知数据主体并上报监管机构,监管机构可对违法者处以最高达总营业额的4%的罚款。如果发生个人数据泄露,且可能会导致用户个人权利和自由面临高风险(如遭到歧视、身份被盗、被欺诈、蒙受经济损失或名誉受损),GDPR 要求必须采取以下措施:
在数据保护机构 (DPA) 获悉此情况的72小时内通知相应的DPA。如果没有在此时间段内通知DPA,需要向DPA说明原因。即使导致用户个人面临的风险不太可能是高风险,也必须通知DPA。
- 毫无不当拖延的通知数据主体发生了数据泄露。
记录数据泄露情况,包括对数据泄露性质的说明,如受影响人数、受影响数据记录数、数据泄露后果,以及组织应该或已采取的任何补救措施。
五、执法情况
GDPR的执法由各个欧盟成员国负责,而欧盟层面则设立了欧洲数据保护委员会(EDPB)作为监管机构,确保数据保护规则在整个欧盟范围内得到一致应用。虽然GDPR直接适用于欧盟各成员国,但是不同成员国的执法力度不同,进而导致了不同成员国的数据保护程度之间的区别。2021年,卢森堡和爱尔兰的罚款额创下历史新高,取代意大利和德国成为罚款总额最高的两个国家。卢森堡和爱尔兰分别罚款7.46亿欧元(8.43亿美元)和2.26亿欧元(2.55亿美元),意大利以7900万欧元(8900万美元)的罚款排名第三。卢森堡国家数据保护委员会(CNDP)因此成为迄今为止单笔GDPR罚款最高的处罚机构,即对美国在线零售商亚马逊的7.46亿欧元罚款。这比2019年法国对谷歌处以的最高单笔罚款5000万欧元(5700万美元)高出14倍。
六、数据使用者应对措施
GDPR标志着欧盟在数据保护方面发生了数十年来最重要的变革,不仅要求数据使用者在公司治理体制中的隐私保护措施更加细化,数据保护协议更加细致,而且要求公司隐私和数据保护相关披露对数据主体更加友好且更加详尽。
因此,数据使用者需要清晰梳理和了解自身在业务流程中涉及的个人数据处理问题,并以此问题作为连接点做好法律合规映射:
正在处理什么类型的个人数据?(例如:财务信息、健康信息、营销相关信息等)
正在处理的个人数据针对的是什么类型的个人?(例如:持卡人、儿童、患者等)
为什么处理此信息?
如何收集此信息的以及为何要收集此信息?
如何保护此数据?
- 是否有任何第三方会收到此信息?如果有,是否按照自有的隐私政策或以其他通知方式对第三方接收方进行了披露?第三方会将个人相关信息保留多久?