透视GDPR


作者:朱宣烨 王伟 王啸 贾莉莉


不久之后,欧盟《一般数据保护条例》(General Data Protection Regulation,下称GDPR)将正式生效。几乎“全网”覆盖的适用范围、宽泛的个人数据保护义务以及可达全球营业额4%的超高额的处罚金额,使得每个中国企业都有必要思考如下问题:一、GDPR是否会对企业的业务造成影响;二、影响的程度有多大;三、企业应该如何应对。


就此,植德律师事务所与欧洲合作律所组织了在数据合规方面经验丰富的律师一道进行了相关的研究,并将在随后通过一系列专题进行就GDPR以及中国法下的数据合规问题进行解读。


1 GDPR的前生今世


广受热议的GDPR并非横空出世。早在1995年10月24日,欧洲议会与欧盟理事会即颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称“数据保护指令”),以协调与统一成员国数据保护法,促进个人数据在成员国之间自由流动,但是数据保护指令的规定仍需各成员转化为国内法后实施。此后欧盟陆续又出台了一系列规范对个人数据保护进行规定。随着科技的迅速发展和全球化进程,数据保护指令难以实现平衡个人信息保护和促进个人信息流动的立法宗旨。因此,2012年1月25日欧盟委员会公布GDPR草案; 2014年3月12日欧洲议会通过了GDPR的首次审读; 2015年6月15日欧盟理事会通过首次审读的版本。并最终于2016年4月8日和4月16日由欧盟理事会和欧洲议会通过,替代了数据保护指令。


GDPR延续了数据保护指令的保护个人信息和促进个人数据流动的二元化的立法宗旨,但是对内容进行了扩充和调整,GDPR的正文部分涉及的法律条款从数据保护指令的7章共34条增加到目前的十一章共99条,而且序言部分附有长达173条的鉴于条款用以辅助对GDPR的理解适用。


2 史上最严格的规范内容


(一)适用范围广


1、地域范围:宽泛的域外效力。


有业务机构设在欧盟境内,并从事个人数据处理的组织受GDPR管辖自不待言。但是GDPR已经将自身的适用范围扩展到欧盟境外,规定了多个连接点,具体而言:


如果非欧盟成员国企业(下称“数据控制者或数据处理者”)在欧盟境内未设立业务机构,但却处理欧盟境内的个人数据,为欧盟境内的数据主体提供货物或服务,无论数据主体是否被要求付费,应适用GDPR。根据GDPR相关规定,要确定数据控制者或处理者是否向欧盟主体提供货物或服务,主要是确定数据控制者或处理者是否存在明显想要为欧盟一个或多个成员国的数据主体提供货物或服务的意图。如果仅可访问数据控制者或处理者等在欧盟的网站、电子邮件地址或其他联系方式,或使用数据控制者所在国通常使用的语言,并不足以确定存在提供货物或服务的意图;但如果使用一种或多种欧盟成员国通用的语言或货币,且可以使得数据主体根据该等语言订购商品和服务,或提及位于欧盟的客户或使用者,实质上可能属于存在向欧盟的数据主体提供商品或服务的意图。1


如果非欧盟成员国企业对数据主体在欧盟境内的行为进行监控的,应适用GDPR。根据GDPR相关规定,这里的“监控”等同于“用户分析”:即在互联网上跟踪个人数据,用类似于“画像”的数据处理技术,“描绘”个人信息,分析预测个人偏好、行为模式或个人态度。所以,如果非欧盟成员国企业如果采用cookies等方式“监控”欧盟居民或在欧盟境内发生的个人行为,处理个人监控数据,该企业也适用GDPR规定并受监管。2


根据国际公法的规定,指向将GDPR作为准据法的。


2、主体范围:直接适用于数据控制者和数据处理者。


数据保护指令仅适用于数据控制者3 (Data Controller,决定数据加工目的和途径的机构)。GDPR规定其适用于数据控制者或者数据处理者(Data Processor,代表数据控制机构处理数据的实体)对个人数据的处理4。也就是说数据处理者在一些数据处理的核心环节受到监管,GDPR针对数据处理者规定了诸如信息安全措施、未经许可不能转委托、记录保存、协助义务等一系列义务。而且,GDPR明确规定信息处理者如违反数据保护的义务则可能受到行政处罚5或承担民事责任6。


(二)对数据处理的要求更严格


1、对取得数据主体的有效同意提出了详细的要求7。


同意必须清楚、有别于其他事项,并以清晰易懂的形式提供,使用清晰明了的语言。也即公司不能继续使用含混不清的术语和法律术语堆砌的条件,同意的要求必须清晰易懂,必须说明数据处理的目的。


同意必须很容易撤回,如同提供“同意”操作一样方便。


同意应当基于数据主体自由意志做出,且同意处理的数据范围没有超过必要的限度。


2、提出了记录数据处理的要求8


GDPR要求数据控制者和处理者必须记录数据处理活动的过程、相关人员和数据接收者。这一规定不适用于员工数量低于250人以下的企业或机构,除非上述企业或机构处理数据方式可能给数据主体带来高风险,威胁他们的权利和自由。


3、提出数据保护影响评估9和事先咨询制度10 


如数据处理行为的性质、范围、内容和目的可能对自然人的权利和自由产生高风险时,数据控制者在进行数据处理之前应当进行影响评估(并做记录)以此替代将数据处理活动(以及类似于国际数据传输等活动)通告数据保护主管机构的一般性责任。一次评估可能解决一系列带来类似高风险的信息处理操作。风险仍然较高的领域,仍需咨询监管机构。


4、要求设立数据保护官(DPO)11


GDPR规定,在符合特定条件的情况下,必须任命DPO,该等条件包括控制者和处理者需要经常系统地监控数据主体,而且监控的规模较大、数据种类特殊或涉及到刑事定罪以及违法行为。


(三)新增多项数据主体权利


1、信息泄露通知12


GDPR规定,如果发生数据泄露事件,泄露通知必须在知晓数据泄露事件发生后的72个小时内向主管监管机构报告。数据处理者还需要在第一时间通知用户和数据控制者。


2、访问权13


GDPR强调数据透明化,数据主体有权从数据控制者那里获取信息,以确认数据控制者是否要对与他们相关的个人数据进行处理、处理地点、处理目的。此外,控制者应以电子格式免费提供一份个人数据的副本。


3、被遗忘权14


被遗忘权赋予数据主体权利,让其可以要求数据控制者清除他/她的个人数据,停止进一步传播数据,并尽可能使第三方停止处理数据。GDPR第17条中概述了数据删除条件,包括拟删除的数据与原数据处理目的不再相关或数据主体撤销同意。


4、可携带权15


GDPR个人数据的可携带权,赋予数据主体接收与自己相关的数据,并有权将这些数据发送给另一个数据控制者。


5、隐私保护设计16


GDPR要求控制者应以有效的方式实施适当的技术和组织措施,满足本条例的要求,保护数据主体的权利。即在系统设计起步就纳入数据保护,而不是系统开发完成后再增加保护。


(四)严厉的法律责任


1、行政处罚:


GDPR的行政处罚金额极具视觉冲击力。罚金仅仅区分为两档,既适用于数据控制者又适用于数据处理者,分别针对不同的违法行为:


处以1000万欧元或者上一年度全球营业收入的2%,二者取额度高者;其主要针对:违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求等等17;


处以2000万欧元或者企业上一年度全球营业收入的4%,二者取额度高者。其主要针对:违反数据处理原则,数据处理没有合法基础,违法同意要求,侵害数据主体的合法权利等18。


2、民事责任:


民事责任中,为了确保数据主体利益的实现,确立“连带责任+过错推定”的模式。


就对外(数据主体)责任的承担上,为了确保数据主体获得有效赔偿,GDPR规定数据控制者和数据处理者就信息主体的全部损失承担连带责任19。


就内部的责任分配上,数据控制者就其违反GDPR规定的数据处理行为担责;数据处理者只对其未遵守GDPR规定的特别是针对数据处理者的义务或者其超过数据控制者的合法指示的行为造成的损失担责20。


3“它亦温柔”


需要注意的是,GDPR亦并非一味地关注数据主体的绝对权利,而是强调应当根据比例原则,平衡数据权利和其他根本性权利或利益。21典型的表现有:


(一)制度本身体现了利益的平衡和促进流通的价值选择


1、跨境数据流动


发生在欧盟内的数据跨境流动是被允许的, 但是对于向第三国或者国际组织进行数据转移须符合一定的情形,而GDPR对于跨境数据流动较之数据保护指令,提出了多条更加可行的、有效的途径:


欧盟委员会通过检查确定该第三国、第三国的特定区域或者国际组织是否不再具有充分决定保护水平22。


有约束力的公司规则23:经审核批准有约束的公司规则(Binding Corporate Rules, BCR), 以事业群或从事联合经济活动的集团企业在集团内部实现数据的跨境转移。该机制最早由欧盟第29条工作组发展而来, 是欧盟委员会提出的标准化格式合同的一个替代选择。


标准合同条款24:欧盟委员会或者监管部门根据GDPR程序批准的数据保护条款。


其他:数据主体被告知可能的风险后明确表示同意、执行合同所必要、为了公共利益等25。


2、行政处罚


行政罚款数额的确定应当考虑行为的性质、主观状态、为减少数据主体损失而采取的措施、责任的轻重程度、是否存在违法行为等等11项综合考虑因素,来确定罚金金额26。


GDPR背景引言中也强调了比例原则,主张根据案件具体情况的考虑,做出适当的罚款金额27。 并明确,如果“如果违法行为不会对有关数据主体的权利构成重大风险,在这种情况下,可以用警告(warning)代替罚款。


(二)通篇的例外条款


根据笔者的统计,GDPR中涉及例外或者克减的条款达38条。几乎贯穿条例始终,体现了平衡的思想。


数据处理的豁免条款28。


数据主体具体权利的限制条款:引发热议的数据访问权、被遗忘权、数据可携权等条款均有限定条件,远非其定义中的那么绝对。


给予中小企业多种豁免,比如:规模在250人以下的中小企业可以豁免数据处理记录义务。


行为准则和认证机制成为数据控制者和数据处理者遵守条例的重要证据,降低举证的成本。


设有“有关特殊数据处理情形的规定”一章,将与表达自由、雇佣关系、宗教等七个事项交由成员国在给定框架内自行制定具体规则。