物联网时代,欧盟新通用数据保护条例简介以及对广大中国企业的可能的深刻影响

(原文发自比利时法律时事一点通 2018-02-14)生活中的你,是不是会收到信用卡公司来电告知你有不明巨额消费的情况?是不是发现自己在一次网购后,收到无数莫名的商家发来的邮件和广告?当网站要求你必须填写姓名、住址和身份证号时,是不是会有所迟疑?这些都是欧盟的最新一项立法亟待解决的问题,也是本期比利时法律时事一点通要向大家介绍的“欧盟通用数据保护条例”。

根据比利时鼎盛华人律师行介绍, 欧盟通用数据保护条例(Regulation (EU) 2016/679,又称作The European Union’s General Data Protection Regulation,简称GDPR条例),旨在加强对个人通用数据的保护力度和建立统一数据保护的规则。通过这GDPR条例的执行,确认和加强了对欧盟居民的个人数据保护;也在欧盟层面上统一了各成员国多样的立法。本法将于2018年5月28开始实施。

比利时鼎盛华人律师行主任Jack Chen律师认为,这部条例对欧盟个人数据保护具有里程碑式的意义。例如个人访问网站(比如Facebook)或者其他手机软件(App),那么该网站和手机软件的运营主体就有义务保护这些个人信息不被泄露和滥用。这对主流行业的影响是巨大的,传统行业比如银行、保险、航空,新兴行业例如电子商务、社交网络等领域,一旦涉及向欧盟居民提供电子产品服务或者收集、处理个人数据,都必须执行GDPR条例,否则将面临法律处罚。当然,新条例对市场的一大益处,就是在欧盟单一市场(single market)建立了统一的通用数据法律保护制度。数据收集处理机构,在调整内部策略的时候,不需要被不同国家的不同的法律规定困扰,大大降低了时间成本和经济成本。

Jack Chen律师特别强调,不仅仅是在欧盟的中资公司,只要是和欧盟有关的国内企业,如果其所在行业收集或者处理了欧盟公民个人信息,那么无论该企业是否在欧盟境内成立或者注册,都需要遵守GDPR的规定,否则将面临高达2千万欧元的处罚。比如,欧盟居民登录了中资公司或者中欧合资公司的页面进行购买操作,欧盟居民使用了中资银行作为交易媒介,或者欧盟居民成为了中资航空公司会员并提供了个人信息。上述举例中涉及的企业都应当受到GDPR的规范。简而言之,GDPR对中外企业采取的是一视同仁的态度,把企业纳入管辖的唯一标准就是企业是否收集、处理了欧盟居民的个人数据。

管辖范围:GDPR条例的显著特点就是,保护范围从属地主义向属人主义扩展。简单来说,如果处理数据、提供数据产品或者服务的企业在欧盟境内成立,那么无论数据处理活动是否在境内,都应统一遵循条例;如果企业或者机构成立在欧盟境外,那么只要处理的数据、或者在提供产品或服务的过程中处理了欧盟居民个人的数据,GDPR条例就有管辖权。如此,欧盟企业、和收集、处理欧盟居民的个人数据的非欧盟企业都需要履行GDPR条例。所以,如前所述中国企业应当清楚的认识和注意到,如果收集、处理了欧盟居民的个人数据,企业行为就毫无选择地已经被纳入了GDPR条例的管辖范围。

具体管辖对象:GDPR条例保护的对象是个人数据。在这个数据时代,欧盟的立法者认为,每个人的个人数据都应当收到法律保护。首先,个人数据,比如银行账号,姓名、家庭住址、身份证号等,不能随意被收集和处理。第二,收集和处理个人数据的机构有义务防止数据被滥用;这些机构必须尊重数据所有人(data owner)的权利。如果数据所有人发现自己的数据被滥用了,有可以提起抗辩的权力。涉及国家安全活动或者执法需要的个人信息,不是本条例的管辖范围。另外,GDPR条例针对的是数据采集机构(data controller, 即采集欧盟居民数据的机构)、数据处理机构(processor,即代表数据收集机构处理数据的机构,比如网络云处理器);以及在欧盟境外的收集或处理欧盟居民数据的机构。

GDPR条例是以欧盟条例(regulation)的形式颁布的,要求欧盟所有成员国直接实施,不需要成员国另行立法。由于篇幅有限,这里比利时鼎盛华人律师行着重摘取了部分立法要点介绍给大家。

1.政府的一站式监管(one-stop shop):GDPR条例要求每个成员国必须设立独立的监管部门(independent supervisory authority),对通用数据领域予以监管;在欧盟层面,将会设置欧盟委员会数据保护官(European Commission Data Protection Officer)。精简了以往复杂的机构和程序,统一了政府监管权力。

2.数据保护影响评估(data protection impact assessment):如果对个人数据的处理可能对权利人的权益造成损害的风险,尤其是在新技术的使用情况时,数据控制方应当进行数据保护影响评估。

3.关于“个人同意”(consent)的规定:个人同意(即同意书)是信息收集或使用的前提;数据所有权人需要做出清晰、直白的“同意”意思表达,否则同意行为无效。Jack Chen律师认为,这样的要求给数据收集、处理机构的到数据所有权人的直接的肯定答复,不应当再使用其他默认选项设置。另外,数据收集、处理方必须告知数据所有权人享有“收回同意”的权利。

4.“数据画像”分析(profiling):数据画像并不是我们通常理解的画像,它是利用收集到的个人通用数据,经过一些软件算法推算出该自然人的工作状态、经济情况、健康、个人喜好、行为、地址等私人信息。简单的例子就是,一些搜索引擎会根据浏览的主页面,推算出客户的喜好,进而有选择性的推送广告,以达到商业目的。新法出台后,这一数据画像的行为需要符合以下三个条件之一,才是合法的:(1)数据所有人的明确同意(explicit consent); (2) 欧盟或者成员国法的明确授权; (3)数据主体和数据控制方之间就数据处理事宜已签订、执行合同。

Jack Chen律师认为,为了履行条例,相关企业包括和欧盟有业务关系的广大国内企业应当准备好明确的数据处理协议,向数据所有人(通常是用户)清晰地介绍数据画像处理活动的过程以及结果,告知其享有对数据画像的反对权,以避免有关法律责任、降低法律风险。

5.数据泄漏报告(data breaches notification):如果发生数据被泄漏或者被盗的情况,数据控制方有义务在72小时内、向所在国家的监管机构报告;如果已经对数据所有人造成权益损害,数据控制方也应当及时告知止损。

处罚措施:若出现重大违法情况,企业将会面临非常严重的上限至公司全球营业额的4%或者上限2千万欧元的经济处罚。

总之,正如前文所提及的,GDPR条例将于明年开始正式实施。为此,企业应当做好充分准备,理解新法的规定避免重大经济损失。为此,比利时鼎盛华人律师行Jack Chen主任建议,第一,相关企业应当开始对员工进行数据保护的培训,提高员工保护个人数据的意识;同时应该设置一名“数据保护主管”(data protection officer),统筹规划。

第二,提高企业网络安全等级,防止数据被泄露或被盗用;一旦发生这类情况,必须及时向欧盟成员国监管部门报告、并告知数据所有人,中国企业必须牢记,这些都是GDPR条例规定的法律义务。第三,在进行“数据画像”之前,向客户提供准备详细准备的数据收集、使用协议(obtain data subject consent)。企业需要让法律部门或者聘请专业的律所草拟所谓的数据收集、使用协议,使用明晰的语言,使数据所有权人清楚明白这份同意协议即将给自己产生的影响。

比利时鼎盛华人律师行可以为在欧盟的中资公司或者和欧盟有关的国内企业提供关于欧盟最新GDPR条例的专项法律培训和服务;更多详情欢迎和我们联系info@bbclaw.eu