首页-法律研究
发表时间:2018年5月28日
齐青 国浩律师(杭州)事务所 执业律师
今日,堪称史上最严格的数据保护法律,即欧盟的《The General Data Protection Regulation (GDPR)一般数据保护条例》开始正式实施。这意味着这部制定完已有两年的法律开始影响与欧盟有关的个人、企业等组织数据处理,欧盟委员会关于该部法律的执法也将进入更加深远的实践。
GDPR于2016年4月制订通过,于2018年5月25日正式实施,其涉及的数据保护内容十分丰富,包含了该条例的适用范围、数据的类型(特殊数据)、数据主体广泛的权利、数据转移、数据控制者和处理者所应采取的数据保护措施、数据保护官、欧盟数据保护委员会、欧盟数据保护执法的协调等。本文仅从笔者个人视角其部分进行简要梳理,其余部分待后续陆续推出,本文主要涉及GDPR的基本章节设置,所适用法律原则、数据主体的权利种类、数据控制者和处理者所要采取的数据保护措施、违反该条例主体的法律责任认定所需考量的因素种类及违反者面临的可能最高惩罚。
一、GDPR基本安排
GDPR正文共99条,分为十章,具体如下:
|
第一章CHAPTER I |
一般条款General provisions |
|
第二章CHAPTER II |
原则Principles |
|
第三章CHAPTER III |
数据主体的权利Rights of the data subject |
|
第四章CHAPTER IV |
控制者和处理者Controller and processor |
|
第五章CHAPTER V |
将个人数据转移到第三国或国际组织Transfers of personal data to third countries or internationalorganisations |
|
第六章CHAPTER VI |
独立监管机构Independent supervisory authorities |
|
第七章CHAPTER VII |
合作与一致性Cooperation and consistency |
|
第八章CHAPTER VIII |
救济、责任与惩罚Remedies, liability and penalties |
|
第九章CHAPTER IX |
和特定处理情形相关的条款Provisions relating to specific processing situations |
|
第十章CHAPTER X |
授权法案与实施性法案Delegated acts and implementing acts |
二、GDPR植入了长臂管辖原则(Long-arm Statute)
GDPR通过长臂管辖原则(Long-arm Statute)将其执法的触角申向触欧盟境外发生的数据处理行为。GDPR第3条规定“1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。”
适用该原则意味为,远在万里之外的中国企业即使半只脚都未踏入欧盟境内,其业务的开展只要涉及处理欧盟成员国公民的数据,其仍会受到GDPR的规制。
注:但是我们必须清楚,GDPR不是针对中国而制定的,它的出发点是保护欧盟成员国公民的个人数据。所以,中国的企业在开展涉及欧盟的业务中数据合规将不得不受到重视,应当主动适应GDPR的规定,只有这样我们才能走更远、更顺利、路途中的风险才会更小。
三、明确了个人数据处理原则
GDPR第五条明确了处理个人数据的原则,具体如下:
|
序号 |
原则 |
|
1. |
合法、公正和透明processed lawfully, fairly and in a transparent |
|
2. |
目的限制purpose limitation’ |
|
3. |
数据最小化data minimisation |
|
4. |
准确性accuracy’ |
|
5. |
期限存储storage limitation’ |
|
6. |
完整性和保密性integrity and confidentiality |
四、赋予了数据主体广泛的数据权利
GDPR第三章规定了数据主体广泛的数据权利,现列举其中主要权利如下:
|
序号 |
权利名称 |
对应条文 |
|
1. |
同意权right of consent) |
第7条 |
|
2. |
访问权Right of access |
第14条 |
|
3. |
更正权Right to rectification |
第16条 |
|
4. |
被遗忘权Right to erasure (‘right to be forgotten’) |
第17条 |
|
5. |
限制处理权Right to restriction of processing |
第18条 |
|
6. |
可携带权Right to data portability |
第20条 |
|
7. |
反对权Right to object |
第21条 |
|
8. |
自动化的个人自决权Automated individual decision-making |
第22条 |
|
9. |
…… |
…… |
五、明确了数据控制者和处理者应当采取恰当的技术与组织措施
GDPR第四章规定了数据控制者和处理者应当采取恰当技术和组织措施来保护个人数据,GDPR第25条规定“通过设计的数据保护和默认的数据保护(Data protection by design and by default)”措施来保护数据主体的权利。例如,控制者可以采取匿名化的措施。
同时,GDPR规定了控制者在默认情况下应当采取相应措施,只有某个特定处理目的所必要的个人数据被处理。尤其需要注意的是,此类措施必须确保,在默认情况下,如果没有个体介入,个人数据不能为不特定数量的自然人所访问。
六、违反GDPR的法律责任认定时需考虑的因素和可能的最高惩罚
执法的公平公正来自于执法者的谨慎执法,任何执法都会从多角度考虑违法者的违法具体情况来最终确定违法者所需承担的法律责任或应当受到的法律惩罚。欧盟委员会对GDPR的执法也不例外,根据GDPR第83条规定,在具体的个案执法中执法机构将会从以下方面考虑违法者的具体违法情形,来最终确认具体的处罚措施,具体考虑的因素如下:
|
序号 |
考虑的具体情形 |
|---|---|
|
1. |
结合相关处理的性质、范围或目的,被影响的数据主体的数量以及损害程度而确定的违法的性质、严重性与持续时间;the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; |
|
2. |
违法的性质是基于故意还是过失;the intentional or negligent character of the infringement; |
|
3. |
控制者或处理者为了减轻数据主体损失而采取的所有行动;any action taken by the controller or processor to mitigate the damage suffered by data subjects; |
|
4. |
结合控制者或处理者采取的符合第25条和第32条的技术性与组织性措施而认定的控制者或处理者的责任程度;the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32; |
|
5. |
控制者或处理者之前的所有相关违法行为;any relevant previous infringements by the controller or processor; |
|
6. |
为了纠正违法行为和减轻违法所造成的可能负面影响而和监管机构进行合作的程度;the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; |
|
7. |
为违法行为所影响的个人数据类型;the categories of personal data affected by the infringement; |
|
8. |
监管机构得知违法行为的方式,特别是控制者或处理者是否对违法行为进行了报告,以及在何种程度上进行了报告;the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; |
|
9. |
如果对同一主题事项已经对控制者或处理者发布第58(2)条规定的措施,对这些措施是否遵守; where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures; |
|
10. |
遵守符合第40条的已生效的行为准则或符合第42条的已生效的认证机制;以及adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and |
|
11. |
对于案件情形可以适用的所有加重或减轻因素,例如因为违法而直接或间接导致的经济收益、避免的损失。 any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement. |
如果数据处理者在数据处理过程中违反了GDPR相关规定,则监管机构可对其施加最高2000万欧元的行政罚款,如果是集团的话,可以施加最高前一年全球总营业额4%的罚款,两者取其高的一项进行罚款。
结语:
最后,笔者忍不住还是要唠叨下,GDPR内容十分丰富,对个人数据保护十分严格,请希望在世界大舞台上走得更远的中国企业能尽早关注、尽早在企业内部建立数据合规体系和相应制度。
今天是欧盟,也许明天会是美国、澳洲等,数据合规和隐私保护将会是更越来越受关注的领域,我们应当尽早准备。不要等到他国的执法棒向我们挥舞之时才想起努力建设合规体系,让缺芯的悲伤不在数据合规领域上演。
注:后续笔者将会陆续推出关于GDPR的相关概览及解读文章,敬请关注,更欢迎私信笔者(qiqinglawyer)交流指正。
