《欧盟GDPR对我国涉欧企业的合规挑战及对策》由会员分享,可在线阅读,更多相关《欧盟GDPR对我国涉欧企业的合规挑战及对策(12页珍藏版)》请在金锄头文库上搜索。
1、欧盟GDPR寸我国涉欧企业的合规挑战及对策摘要:2018年5月25日欧盟GDPRE式在欧盟各成员国间实施。由于GDPR寸个人信息的保护处于领先地位,适用范围广,并且惩罚措施严厉,该条例的实施必然会影响我国涉欧企业的发展。在阐述GDP殿立背景和主要内容的基础上,进一步分析GDPR寸我国涉欧企业的影响:我国涉欧企业将面临严格的管辖、加重隐私安全、成本提高、获取个人数据难度大等一系列问题。在此基础上,通过提出相应措施以促进我国企业合规及个人信息保护制度的建立。关键词:GDPRM遗忘权;企业合规2012年11月,欧盟委员会制定了通用数据保护条例(GeneralDataProtectionRegulat
2、ion,以下简称GDPR)。2016年4月14日,欧盟通过GDPR。2018年5月25日,GDP法规在欧盟28个成员国间强制实施。GDPRt保欧盟公民、居民在对其个人数据享有充分自决权的基础上,建立了一个统一的、高水平的个人数据保护体系。由于GDPRI有直接适用的效力,无需进行国内法的转化,消除了不同成员国间因不同解释而造成的分歧,企业不再需要与多国数据主管机构进行交涉,只需与其主营业地所在国的数据保护主管机构沟通即可,避免了因数据保护执法上的混乱而造成的成本提高。在挑战与机遇并存的基础上,必将对未合规经营的企业带来不利影响。因此,中国涉欧企业需要在熟悉GDPR勺基础上,主动采取有效措施以做到
3、企业合规,减少风险。一、欧盟GDPR勺设立背景1993年11月1日,随着马斯特里赫特条约正式生效,欧盟正式成立。在1995年10月24日,欧盟通过关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令(以下曾称95指令)。95指令是欧盟成员国保护个人数据的最低标准,规定了对个人数据保护的一般原则、各方主体的权利与义务,规定了法律责任,规定了跨境数据传输制度。但根据欧盟法律规定,该指令无法直接适用于欧盟成员国,需要转化为国内法才可以适用。各成员国将该指令转化为国内法时,所做出的解释不同,由此造成对个人数据保护的复杂性、不确定性以及成本的增加。由于95指令的条文需要成员国转化为国
4、内法,成员国在立法、执法过程中存在较大的解释空间,以及随着信息技术发展迅速,95指令对个人信息保护出现了挑战,不同成员国对个人数据保护存在分歧。此时,欧盟为了建立统一数据市场,加强对个人数据的保护以及数据的自由流通。2012年1月25日,欧洲议会公布了通用数据保护条例草案,旨在欧盟成员国内建立统一的个人信息保护立法,2018年5月25日GDPRE式实施。通过法律层级的转变,由“指令”转变为“条例,GDPR的法律效力不需要在成员国进行转化,具有直接适用的法律约束力,统一了成员国之间的数据保护规定。二、欧盟GDPR勺内容概述GDP噬一了欧盟范围内个人数据保护立法的统一,以维护数据流动的安全与高效为
5、目的,与95指令相比,GDPR勺内容主要体现在以下几个方面:(一)GDPRT大了个人数据的范围和原则根据GDP就义,个人数据是指已识别的或可识别的自然人(数据主体)的信息。数据主体是指:可以通过信息直接或间接确认的自然人,可以通过姓名、身份证号码、定位数据、在线身份等识别数据,或是通过参照该自然人的一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素予以识别。GDPR!确提出对个人敏感数据的高度保护,专门提出了“特殊类型个人数据”。该条例对个人数据进行了更宽泛的解释,如:网络数据包括IP地址和Cookie,生物识别数据包括指纹等。同时,在判定某一数据能否识别自然人,要将合理范围内的技
6、术、非技术手段,以及其他信息之间的关系等因素都考虑进去。(二)扩大了适用范围GDP的加强对欧盟公民数据的保护,将适用范围扩大。一方面,数据控制者和处理者在欧盟设立机构,无论数据处理的行为是否发生在欧盟;另一方面,数据控制者和处理者没有在欧盟设立机构,但涉及以下处理行为:向欧盟的数据主体提供商品或服务,或对欧盟数据主体在欧盟发生的行为进行监控都要受到GDPR勺管制。其中“向欧盟内的数据主体提供商品或服务”包括使用欧盟语言、货币、产品的定制;“对数据主体发生在欧盟的行为进行监控”包括分析个人偏好、行为模式、监控数据主体在线创建的资料。(三)数据主体权利扩大GDPRfe95指令的基础上,规定了数据主
7、体的权利主要包括知情权、访问权、反对权、限制处理权、反自动化决策(包括画像)权、数据被遗忘权(删除权)、数据可携带权。1)新增“被遗忘权”(删除权)GDPRfc95指令的基础上增加了被遗忘权。被遗忘权是指:当个人数据不再基于合法目的被使用,个人有权要求永久删除这些数据2。可以在数据主体撤回同意、数据控制者非法处理数据的情形下使用被遗忘权。并且在数据控制者公开个人数据的情况下,要求控制者对公开传播的数据负责,以及数据控制者有通知其他第三方停止使用、删除数据的义务。(2)新增“数据可携带权”数据可携带权是一种数据转移权,GDP觊定数据主体有权要求数据控制者保障数据的系统性,并以机器可读的形式向数据
8、主体提供个人数据,或者向其他相同或类似服务商提供数据。该权利使个人数据在不同数据控制者之间更容易转移,体现公民信息的自决权。例如,房东可以将其房屋信息导出给保险公司,从而为房屋投保。(3)延展“知情权”及“访问权”GDPRT大了数据主体对于数据控制者处理其个人数据的知情权及访问权。数据主体有权在数据控制者获取其个人数据时或者数据控制者从第三方获取其个人数据时,从数据控制者获得包括个人数据来源、处理的目的、控制者身份等相关信息,以及有权纠正及限制数据的处理行为。同时,在其请求不过量的情况下,有权免费获得其个人数据的副本,以及访问个人数据的权利。(4)扩大对个人数据的同意要件数据主体的同意是指数据
9、主体自愿表达出在对其个人数据处理时明确的、具体的同意。GDPRE此基础上要求同意必须以易于理解且与其他事项显著区分的形式做出,数据主体也享有随时撤回的权利。敏感数据的处理必须要有明确的同意,同意表示模糊或一次同意多次使用被视为无效。并且,企业需要以通俗易懂的语言表达,让对方选择是否同意处理其个人数据。(四)加重数据控制者和处理者的责任GDPR寸于数据控制者及处理者的责任有所加重,明确规定了企业的数据保护义务,主要通过进行数据保护影响评估、数据泄露报告及通知、设立数据保护官(DataProtectionOfficer,简称DPO来降低风险,以督促企业合规。(五)完善跨境数据传输规则GDPRE保护
10、自然人权利的总体原则基础上,设置了跨境流动的条件,主要包括以下三方面:(1)在对第三国数据保护水平“充分认定”的基础上进行传输,并对各国是否满足要求进行监督,也就是说欧盟公民的个人数据不得转移至低于欧盟保护水平的国家;(2)GDP朗确指出在受到适当保障的情况下个人数据可向第三国或国际组织传输;(3)以国际条约为基础的法院判决或行政机构决定所涉及个人数据传输,以及允许传输的特殊例外情况。三、GDPR寸我国涉欧企业带来的风险与挑战GDPR寸企业收集、使用数据全过程进行了全方位规定,增加企业合规的难度,给我国涉欧企业带来了风险与挑战。(一)我国涉欧企业面临更广泛的管辖根据GDPR勺管辖范围,任何收集
11、、传输、存储或处理涉及欧盟成员国个人信息的机构、组织都要受GDPR勺约束。我国企业即使没有在欧盟境内设立任何机构,但只要涉及欧盟成员国的语言、货币、域名以及向欧盟境内投放广告、向欧盟境内递送货物,都必须受到其监管,GDPR勺适用范围形成了长臂管辖。因此,对我国企业而言,不论银行、保险、金融、快递等传统行业,还是电子商务、云服务等新型领域,只要涉及欧盟境内个人数据,都必须要遵守GDPR勺规定。我国的涉欧企业,如:阿里巴巴、腾讯、小米必定被纳入GDPR勺适用范围3。同时,不合规的涉欧企业将面临巨大的处罚力度,我国涉欧企业只要接触欧盟成员国的个人数据,都要受到相应监管,面临巨大挑战。(二)加重中国涉
12、欧企业的隐私安全GDP的所有企业制定了更高的隐私保护标准,引入了从设计着手保护隐私和默认保护隐私两项原则,要求建立数据从收集到使用的“全程隐私”制度,要求企业在产品和服务的设计过程中就要考虑数据与隐私的保护。对于我国涉欧企业而言,需要进一步审视我国企业现存的隐私保护政策,以做到企业合规。2018年5月25日,微信海外版、新浪微博国际版以及阿里巴巴全球速卖通纷纷向欧洲用户更新隐私政策,请求重新授权,腾讯QQ也于2018年5月23日更新隐私政策,海尔、华为在欧洲有较大市场份额的企业也早已雇佣专门团队应对GDPR4。(三)GDPR各导致我国互联网及新兴产业在欧盟发展速度减缓由于GDPR调个人信息自决
13、权,强调数据主体自我决定个人数据的收集、储存、处理以及使用。虽然我国宪法未明确规定信息自决权,但根据宪法第37条对人生自由的规定和第38条人格尊严条款可以解释信息自决权作为公民的一项基本权利而存在。第39条住宅不受侵犯以及第40条保护通信自由和通信秘密可以作为宪法保护的间接性依据。作为网络时代企业核心内容的个人信息,在数据主体拥有信息自决权的基础上,必然会导致企业收集、使用、处理个人信息的难度增加,导致我国涉欧企业发展减缓。(1)合规成本的提高减缓我国涉欧企业进入欧盟市场的步伐。GDPRfe律体系庞杂,涉及范围较广,企业合规难度加大,高强度的个人数据保护规则必然会给企业造成负担。由此可见,GD
14、PR勺实施造成了我国企业进入欧盟市场的法律壁垒。Veritas指出平均每家企业在GDP总规上所付出的成本达到130万欧元,约1000万人民币,巨大的成本会迫使企业做出放弃欧盟市场的可能。如小米生态链企业的YeeLight智能灯泡产品,因无法赶在GDP胜效前满足合规需求,暂停其服务。(2)企业组织结构变化。GDPRI求数据控制者、数据处理者设立数据保护官(DataProtectionOfficer,DPO),只要企业的核心业务涉及处理大规模的欧盟公民数据、处理特殊类别的数据或犯罪记录都要设立DPO其中核心业务可以参考企业的性质、营业范围、商业目的等因素来确定。DPCB要具备专门的数据保护知识,需
15、要向监管机构报备,并有权监视组织的数据处理。当数据泄漏侵害自然人权益,应通知数据保护监管部门;当数据泄漏会导致数据主体权益处于高风险,应当通知数据主体,改变企业的组织形式,这无疑会增加企业的管理成本。(四)企业获取个人数据难度增加GDP骑予数据主体充分的“限制处理权限”的同时,弱化了企业对个人数据的控制能力。GDPR!化个人信息自决权,增加企业获取个人信息的难度,企业控制个人数据的能力降低,处理数据所需要的成本增加。主体“同意规则”使获取个人数据的难度增加,一般情况下处理数据需要征得用户同意,且同意必须以自由意愿作出,并作出明确的指示,同意范围包括基于同一目的或同一类目的。当数据处理活动存在不同目的时,每个目的都必须征得同意,禁止通过一项协议获取用户的所有同意,增加企业获取信息的难度。同时GDPR勺同意规则在企业与第三方共享数据时,要征得数据主体的同意,除非基于合同履行之必要或为了保护高于用户隐私权的公共利益和合法利益。(五)规范冲突导致企业合规困难2017年6月1日,我国首部网络安全综合性立法网络安全法(以下简称“网安法”)实施。其中,个人数据保护作为网安法的重要内容,标志着个人数据保护制度不断完善,确立了我国网络安全法律制度的基本框架。同时鉴于GDP所确定的域外效力,
