2018年5月25日,欧洲议会通过的《通用数据保护条例》(General Data Protection Regulations ,以下称GDPR)正式生效。GDPR作为欧盟1995年 《关于个人数据处理保护与自由流动指令》的更新升级版,更加全面、细致地对数据信息作出了保护。GDPR共有11章,99条,包括一般条款、原则、数据主体的权利、控制者和处理者、个人数据向第三国或国际组织的传输、独立监管机构、合作与一致性、救济责任与惩罚、有关具体处理情形的规定、授权法案与实施性细则以及最终条款等章节。
1、基本原则
GDPR规定了数据处理的若干基本原则,包括合法、公正、透明、目的限定、数据最小化、准确性、存储限制、完整性和保密性、问责等。
2、适用范围
GDPR就权利义务主体和客体作出了规定。GDPR的适用主体,主要是指GDPR对哪些人具有拘束力。依据GDPR第3条规定,GDPR适用于数据控制者或数据处理者在欧盟境内设有分支机构;或者虽然不具备该情形,但只要数据控制者或数据处理者面向欧盟境内的数据主体提供商品或服务,或监控欧盟境内数据主体的行为,同样适用GDPR。
3、主体权利
GDPR对个人数据信息的保护主要采取权利模式,这些权利包括同意权、知情权、被遗忘权、访问权、更正权、可携带权等。被遗忘权是GDPR的一大亮点,该规定极大丰富了被遗忘权的内涵和边界。GDPR第 17条第1款规定,在特定情形下企业应当应客户要求删去其数据;第2款延长了传统被遗忘权的手臂,即企业不仅负有删除数据的义务,还需对该数据的公开传播负责,通知其他使用该数据的第三方停止使用、删除数据;第3款对适用被遗忘权的豁免情形作出了规定。
4、主体义务
在GDPR框架下,数据控制者应当履行的义务可分为一般义务和特殊义务。数据控制者和数据使用者的义务包括记录义务、安全处理义务、合作义务、数据泄露通知义务、评估义务等。比如数据泄露后,数据控制负有通知义务,GDPR对这一通知义务进行了较为详尽的规定。数据泄露发生后,数据控制者应当在72小时内通知监管机构相关事项。在一定条件下,数据控制者还应当将泄露事项通知数据主体。
5、主体责任
任何法律想要实际运行,离不开恰当的责任设置,GDPR也规定了民事责任和行政责任。民事责任以权利主体的损害赔偿请求权为核心。行政责任则主要是指,数据义务方违反义务时将受到来自欧盟及其成员国的警告、申诫、责令整改或中止数据传输,甚至罚款。除去其广泛的适用范围、新型权利义务关系外,严厉的处罚措施也是GDPR引发全球关注的重要原因。GDPR根据违规程度,设置了两档罚金:第一档处以1000万欧元或者上一年度全球营业收入的2% ,两者取其高;第二档处以2000万欧元或者企业上一年度全球营业收入的4% ,两者取其高。此外, GDPR还对数据处理的正当性事由、儿童例外保护、数据保护官、数据跨境传输等方面作出了规定。
中国企业应对GDPR的合规建议
GDPR与中国企业也同样息息相关,GDPR的实施导致中国企业在数据保护的法律适用与合规管理上产生了一定的矛盾和困惑。要求中国企业在处理与欧盟成员有关的数据时,应当在企业内部设立相应的部门和职位,并对相关人员进行必要的培训,避免因违反GDPR而付出巨大的代价。
1. 确立合规治理对象
同时关注GDPR所确立的长臂管辖原则,中国企业根据自己的行业特征,梳理自身业务开展情况,确立合规对象,是企业进行信息数据合规治理的首要任务。企业应了解各业务处理的个人数据的来源、类型、存储位置、用途、访问权限、共享和披露情况、安全保障措施等信息,确定合规对象。
2. 优化企业内部信息数据治理能力
一直以来,在我国,无论是立法、执法层面,还是企业内部,对数据信息的关注度都比较低。在GDPR框架下,中国企业应当重新审视内部组织机构,重新设置处理信息数据的业务部门,规划相应的职位,规划、建设自身的个人数据管理内控机制。
中国企业还应当根据所处行业性质,通过默认隐私保护、数据保护专员、数据影响评估、数据泄露通知等机制建立一套从产品设计到应用、从管理到流程、从规范到技术的最佳实践,以最大限度的降低合规风险。
3. 主动与监管部门沟通
由于GDPR与《网络安全法》、《信息安全技术个人信息安全规范》《关于开展APP违法违规收集使用个人信息专项治理的公告》等国内法律规范存在一定程度的冲突,中国企业选择不同的治理规范将适用不同的权利义务规范,构建不同的内部合规体系,承担不同的责任。
如何化解不同的规范适用带来的冲突,是企业规避合规风险、提高合规治理能力的必然要求。企业在设计合规时,应当积极主动与国家网信、电信、公安、工商等有关部门沟通,了解有关部门的态度并寻求对相关问题的解决方式。同时,可通过委托律所、咨询公司等专业机构,与GDPR方的有关监管部门取得联系,以获取良好的沟通效果。
来源:合规官
版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
