微信公众号 APP 下载
注册世界说
×
获取 世界说 App

分析|“史上最严”欧盟数据保护法将生效 如何倒逼全球企业

作者  世界说  2018-06-06 17:25


世 界 说

王 剑 一

发自 德国 法兰克福


欧盟《数据保护基本条例》(General Data Protection Regulation,下称《数据条例》),将在5月25日全面生效。近日,已有不少海外网站与应用发出用户条款更新提示,用户若迟迟未点选同意,则将无法继续使用服务。


《数据条例》要保护的是自然人的“个人数据”,只要该信息能被用于识别个人身份即为个人数据,例如:姓名、地址、电子邮件地址、电话号码、生日、银行帐户、汽车牌照、IP地址以及cookies等。此外,健康、宗教信仰、政治观点、性取向更是属于高敏感级别个人数据,保护力度更大。


△ 欧盟推出《数据保护基本条例》 来源:Pixabay


值得注意的是,这部欧盟法律的管辖范围并不局限于欧盟境内。因为《数据条例》采用了“市场地原则”,亦即任何企业只要在欧盟市场提供商品或服务,或收集个人数据,都在这部法律的管辖范围。


举例而言,如果一家中国在线销售公司的网站上,使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样,或者标注了商品的欧元价格,就可以被视为在欧盟市场提供商品或服务,并受到该法律管辖。


收集个人数据的行为包括所有形式的网络追踪,例如通过“cookies”(某些网站为了辨别用户身份,储存在用户装置上的资料)或社交媒体插件,来观察、收集、评估客户、员工或其他人的购物习惯、行踪、行踪等。


企业如果违反了《数据条例》,罚金最高可达2000万欧元(约合1.5亿人民币)或全球营业额的4%,以高者为准。


受《数据条例》规范的行为主体包括任何处理欧盟地区个人数据的自然人、法人、公共当局等,统称为“责任人”。包括网页运营者、搜索引擎服务商、社交媒体服务商、酒店、在线电商等都可能是责任人。接受委托处理数据的“受托数据处理人”,例如云服务提供商,原则上也要遵守《数据条例》相关义务。


△ 来源:Pixabay


为维护企业利益,《数据条例》允许欧盟企业在集团内部进行数据交流,但如果位于欧盟的企业要向欧盟以外传输数据,则需要满足特定的条件。例如:中国企业的德国子公司,若要把收集到的客户个人信息传给中国母公司,就属于这种情况。


首先,如果数据传输目的地属于欧盟委员会认定“具有适当数据保护水平”的地区,就可以自由传送。这些国家有安道尔、阿根廷、加拿大、法罗群岛、根西、以色列、马恩岛、新西兰、瑞士和乌拉圭。


如果目的地没有获得这样的认可,责任人则需要充分保证和该数据相关的个人(下称相关人)的权利。《数据条例》规定了几种可能性,例如:确保位于目的地的公司,实施了具有约束力的数据保护规则。


此外,在相关人全面了解风险后明确同意,为了履行与相关人的合同,为了公共利益,或是为了行使和防御法律权利所必需的情况下,责任人也可以向第三国传输数据。责任人必须明确记录对数据的处理活动、数据传输可能的风险,以及第三国适当数据保护的保证。


 

首部全面适用欧盟各国的数据保护法


相较于世界上其他区域,欧盟素来更重视隐私和个人数据保护制度。《数据条例》全面涵盖了适用范围、原则和定义、责任人的义务、相关人的权利、监管机关、罚则等内容,堪称“史上最严”。相对于中国的数据隐私保护立法,目前中国仅有《电信和互联网用户个人信息保护规定》、《征信业管理条例》和《网络安全法》等少数几部法律文件涉及个人信息保护问题,但这些立法层级不一、内容碎片化,且多为原则性规定,在实践中效果有限,个人数据保护在中国还没有引起法制面的足够应对。


在《数据条例》之前,欧盟关于数据保护的统一指引是1995年的《个人数据保护指令》。


△ 1995颁布的《个人数据保护指令》部分截图 来源:EUR-Lex


那时还没有智能手机,社交网络、电商平台和在线广告还在初始阶段。为了适应20多年间技术的快速发展,欧盟成员国又陆续出台了自己的法律,导致各个国家之间的数据保护水平各异,不利于欧盟内部市场的发展,统一立法的呼声渐起。


指令和条例是两种不同的欧盟法律形式:指令不直接适用于各国,要由成员国转化成国内法,在转化过程中,成员国还有一定的裁量空间;条例则直接在成员国适用。因此,《数据条例》是首部直接适用欧盟各国的数据保护法律,经过两年的过渡期后,即将全面生效。


《数据条例》保留了欧盟法律中既有的数据保护原则,同时又有新的发展。其中,最重要的原则就是“合法性原则”。它的意思是,只有在两个条件下才能收集和处理个人信息:要么有法定事由,例如为了国家安全和公共利益,要么有相关人的同意。


《数据条例》扩展了欧盟原有法令中关于相关人权利的规定。


传统上,只有物质损害才能获得赔偿。但这一新法实施后,相关人还可以要求精神损害赔偿。


此外,相关人可以要求责任人告知以下信息:数据的内容、来源、接受者,储存数据的目的、时间的长短以及确定时间长短的标准,以及在向第三国传输数据时的数据安全水平保证。


相关人有权要求责任人免费提供一份储存信息的副本,还拥有更正信息、限制处理的范围、提出抗告、向监管机关申诉、寻求法律救济的权利。


《数据条例》还首次明文规定了“遗忘权”,个人可以要求责任人删除关于自己的数据,只要满足法定的理由,责任人就应当立即删除。这些理由包括:该数据对于收集数据的原目的而言,已不再是必需;个人撤回其关于收集数据的同意;责任人对数据的处理不合法;删除数据是履行欧盟或其成员国法律义务所必需的;媒体、网店或在线游戏服务商等收集了儿童的个人信息。


△ 《数据条例》保护自然人的“个人数据”,只要被用于识别个人身份的数据 来源:视觉中国


此外,可以依据《数据条例》提出法律救济的对象不只有权利受侵害的个人。消费者保护协会或数据保护领域的团体既可以代表个人,也可以主动地对违反《数据条例》的责任人采取行动。


在德国,如果提告人结合使用德国《反不正当竞争法》和欧盟《数据条例》,理论上,市场竞争者也有可能对责任人违反数据保护的行为进行法律行动。因为《数据条例》的目的之一,就是通过统一的数据保护法,创设公平的市场环境。具体情况还有待《数据条例》生效后进一步观察。


 

企业网站数据保护声明或成主风险源


《数据条例》要求责任人必须让相关人理解数据的处理过程,是谓“透明性原则”。为此,条例规定了内容繁多的义务。未来,企业网页上的数据保护声明有可能成为主要的合规风险来源。


概括而言,网页上应当有数据保护声明,这份声明必须能够使每一位访问者清楚地知道,是谁在提取、使用自己的个人信息,在多大范围内、出于什么目的使用和提取。


△ 国外社交网站推特发布全新《隐私政策》将于5月25日生效 来源:推特截图


此外,声明必须告知网页使用者所享有的权利,以及提出抗告的方式。因此,网页上要有运营者的联系方式,还要说明负责数据保护法律事务的联系人。


有一个普遍的误解是,网页运营者常认为,一旦用户登入网页,就已经表示他同意网页收集他的数据。


虽然,单纯收集用户的动态IP地址是属于法定许可范围,但若要收集和处理其他信息,例如通过联系表单的方式要求用户提供姓名、电子邮箱地址和电话号码等,符合《数据条例》的做法是要取得用户事前的同意。


在网页上使用社交媒体插件和Cookies,也必须得到用户的同意。文章网页设置的“分享按钮”是种常见的社交媒体插件,以分享一篇新闻文章至Facebook为例,用户点击分享按钮时,新闻网站会弹出一个预填了新闻网址的Facebook窗口,让用户再度确认贴文内容、点击“分享”。


在这过程中,新闻网站不仅向Facebook传输了文章网址,还把用户的IP地址被传输到了Facebook。根据《数据条例》,新闻网站应提前向用户取得传送IP地址的许可,不然不得为之。


△ 脸书CEO扎克伯格就数据泄露事件出席参议院听证会 来源:视觉中国


某些电商网站会用“Cookies”自动记录客户的搜索和购物记录,以便有目的性地推荐商品。


在《数据条例》框架下,网页经营者必须事先向客户说明Cookies的功能,并获得用户的同意,否则,“未告知记录用户行为”会违反法律。


为应对新条例的实施,企业网站经营者应尽早盘点数据安全标准,采取匿名化、数据加密等措施,特别是对于有内嵌网店或联系表单的网页。这些机制能在传输过程中保护用户的银行卡或其他个人信息。


《数据条例》没有强制要求实施加密措施,加密仅是有助达到法定数据保护水平的措施之一,是否必须、在何种程度上实施加密,取决于个案考量。


此外,根据《数据条例》的“最少数据原则”,网站运营者未来只能在必需的时间内,尽可能少地储存数据。这一要求可以通过技术设计或预置来实现。例如,通过数据聚合手段,汇总个人数据的处理,并由此实现最小化,或者实施软件控制的删除周期,以确保数据在规定的期限后将被自动删除。


为了应对《数据条例》,涉足欧洲市场的企业应尽早进行内部自查,并采取相应的措施。


(作者为德国法学博士、法兰克福SZA律师事务所中国业务部成员)


END

 
 


 责任编辑 | 余佩桦 

运营编辑 | 贾珍珍

版面编辑 | 彭宁楠


【点击关键词  直达往期精选】


朝韩首脑会晤

德国叙利亚行动

俄罗斯大选特稿

英国双面间谍毒杀

火与怒 | 伊朗反体制观察

老总统穆加 | 洛杉矶流浪者

卡塔尔与隼 | 黎巴嫩“闪辞”总理

中美贸易战 | 特朗普“狙击”中企


    评论列表

  • 暂无