经过两年多的预备期,2018年5月25日,欧盟制定的《一般数据保护条例》(General Data Protection Regulation,GDPR)正式开始生效。在全球现有的数据隐私保护法规中,GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。这项法规不仅决定了企业如何通过合法的技术及业务创新来获取基于个人数据的巨大价值,同时也因为严格的处罚条款而使众多企业出现了生死攸关的“归零风险”。
对于中国企业来讲,尤其要注意的是GDPR的适用范围。一方面,对于中国企业在欧洲设立或者收购而成的子公司,无论其数据处理活动是否在欧盟境内,均需遵守GDPR。另一方面,如果中国企业为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息,或者为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,也要受GDPR的管辖。因此,对于已经在欧盟进行战略布局或者拟将业务网络拓展到欧盟的中国企业(尤其是银行、电子商务、互联网、航空、IT企业和软硬件生产商)来讲,必须重视GDPR的合规,否则将会遭受重大的财务和声誉上的损失。
1 GDPR关键要素解析
GDPR包括序言和11个章节,共99条具体保护条款。其中重点聚焦于个人数据主体的各项权利。这意味着数据主体对自己的个人数据有了更强的把控能力,可在使用企业的产品或服务时提出更多的合法诉求。同时,GDPR中也进一步明确了需特别管理的个人数据以及相关处理的要求,这也对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求。
a 数据主体的各项权利
在个人数据主体的权利方面,GDPR中阐述的用户权利可概括为以下几个主要方面,即数据访问权、数据纠正权、被遗忘权、限制处理权、可携带权、自主决定权以及拒绝权等。通过这些权利,数据主体可随时向企业要求个人数据备份,或要求其提供个人数据的使用目的,并可对相关数据进行更正、删除、导出转移等多项操作。同时,用户也可向企业明确提出要求,禁止企业对其个人数据的某些处理及使用,以避免受到某些自动化决策的影响。此类来源于个人用户的限制甚至拒绝要求,也是GDPR中明确提出的重点内容。
b 特殊类型的个人数据
过去企业对隐私保护的关注各不相同,对个人数据的定义也存在一定差异,但此次GDPR中明确了特殊类型的个人数据类别,涉及到种族、政治观点、宗教信仰、工会,以及个人的基因数据、生物特征值、健康信息、性生活及取向等。针对这些敏感的个人数据,企业需将其与其他个人数据进行独立管理,并提供更加严密的安全保护措施。
c 未成年人的个人数据
针对未成年人,GDPR也规定了具体条款进行特殊保护。当企业向未成年人提供产品或服务并处理其个人数据时,GDPR明确指出需获取16岁以下未成年人的监护人同意及授权,而不可仅向未成年人征询同意。
d 面向企业的隐私保护管理要求
对于企业而言,GDPR也提出了全方位的隐私保护管理要求,从不同方面开展持续性的监管工作。
第一,对于已收集的个人数据,若企业已没有了收集数据时的使用目的,则需主动将相关数据进行清除;
第二,若企业发生了数据泄露事件,将在72小时内向监管机构披露个人数据方面的泄露问题,并且在某些影响用户安全的情况下,还需同时向受影响的个人进行披露;
第三,企业需设立数据保护专员(Data Protection Officer,DPO)负责企业的隐私保护工作,完善相关的管理制度、工作流程,开展基于业务的隐私影响评估,并根据企业自身情况,在欧盟境内设立相关代表人,全面并及时地响应用户需求。
2 GDPR隐私保护阶段性实施方法
既然GDPR这一柄“达摩克利斯之剑”已经悬在头上,企业如何去应对这项法规,并满足相对应的合规要求,正是“5.25”之后的重中之重。因为企业对个人数据的处理一旦触发了GDPR的违规条款,则会面临着可高达企业全球年营业额的4%的罚款(企业全球年营业额的4%或2000万欧元,两者取高)。
对于GDPR的正式执行,诸多企业对其产生了一定的担忧及疑虑,本文整理并汇总了一部分GDPR正式执行后可能带来的重大挑战,并提出了相应的建议。
1 个人数据类型的定义及识别
企业在梳理个人数据时往往感到界定困难,甚至出现企业内部不同部门或团队,对相同的数据采取不同定义的情况。
建议:“可识别”这个概念,往往是在多项数据结合之后实现的,因此即使某一项数据无法直接识别某个具体用户,但由于其与其他数据结合后可识别用户,这些数据仍需要进行保护。
2 未成年人的个人数据处理授权
针对16岁以下未成年人的监护人同意和授权,企业很难真实识别未成年人与其监护人的关系,存在一定的违规风险。
建议:可针对不同国家适用的官方文件进行进一步判断,可参考的文件包括但不限于出生证明、收养证明等。
3 个人数据的跨境传输
GDPR中已明确数据跨境的要求,但部分企业存在数据中心单一或欧盟境内没有相关设施的情况。
建议:若企业无法在欧盟境内设立数据中心,应考虑通过有约束的公司规则(Binding Corporate Rules、BCR)、标准合同条款、经批准的行为准则或其他认证机制,进行个人数据的跨境传输。
结语
随着今日GDPR的正式生效,各国的政府及监管机构也对数据隐私保护工作愈发重视,相关法律法规也在逐步完善或实施的过程中,诸多中国企业也对数据隐私保护进行了全面规划,相关工作可谓任重而道远。我们也期待在可预见的未来,越来越多的企业会逐步提升自身的数据隐私保护能力,在持续发展的大背景下,为企业的用户提供更加安全可靠的商品或服务。