“史上最严”欧盟数据保护法将生效 如何倒逼全球企业
世 界 说
王 剑 一
发自 德国 法兰克福
欧盟《数据保护基本条例》(General Data Protection Regulation,下称《数据条例》),将在5月25日全面生效。近日,已有不少海外网站与应用发出用户条款更新提示,用户若迟迟未点选同意,则将无法继续使用服务。
《数据条例》要保护的是自然人的“个人数据”,只要该信息能被用于识别个人身份即为个人数据,例如:姓名、地址、电子邮件地址、电话号码、生日、银行帐户、汽车牌照、IP地址以及cookies等。此外,健康、宗教信仰、政治观点、性取向更是属于高敏感级别个人数据,保护力度更大。
△欧盟推出《数据保护基本条例》 来源:Pixabay
值得注意的是,这部欧盟法律的管辖范围并不局限于欧盟境内。因为《数据条例》采用了“市场地原则”,亦即任何企业只要在欧盟市场提供商品或服务,或收集个人数据,都在这部法律的管辖范围。
举例而言,如果一家中国在线销售公司的网站上,使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样,或者标注了商品的欧元价格,就可以被视为在欧盟市场提供商品或服务,并受到该法律管辖。
收集个人数据的行为包括所有形式的网络追踪,例如通过“cookies”(某些网站为了辨别用户身份,储存在用户装置上的资料)或社交媒体插件,来观察、收集、评估客户、员工或其他人的购物习惯、行踪、行踪等。
企业如果违反了《数据条例》,罚金最高可达2000万欧元(约合1.5亿人民币)或全球营业额的4%,以高者为准。
受《数据条例》规范的行为主体包括任何处理欧盟地区个人数据的自然人、法人、公共当局等,统称为“责任人”。包括网页运营者、搜索引擎服务商、社交媒体服务商、酒店、在线电商等都可能是责任人。接受委托处理数据的“受托数据处理人”,例如云服务提供商,原则上也要遵守《数据条例》相关义务。
△来源:Pixabay
为维护企业利益,《数据条例》允许欧盟企业在集团内部进行数据交流,但如果位于欧盟的企业要向欧盟以外传输数据,则需要满足特定的条件。例如:中国企业的德国子公司,若要把收集到的客户个人信息传给中国母公司,就属于这种情况。
首先,如果数据传输目的地属于欧盟委员会认定“具有适当数据保护水平”的地区,就可以自由传送。这些国家有安道尔、阿根廷、加拿大、法罗群岛、根西、以色列、马恩岛、新西兰、瑞士和乌拉圭。
如果目的地没有获得这样的认可,责任人则需要充分保证和该数据相关的个人(下称相关人)的权利。《数据条例》规定了几种可能性,例如:确保位于目的地的公司,实施了具有约束力的数据保护规则。
此外,在相关人全面了解风险后明确同意,为了履行与相关人的合同,为了公共利益,或是为了行使和防御法律权利所必需的情况下,责任人也可以向第三国传输数据。责任人必须明确记录对数据的处理活动、数据传输可能的风险,以及第三国适当数据保护的保证。
首部全面适用欧盟各国的数据保护法
相较于世界上其他区域,欧盟素来更重视隐私和个人数据保护制度。《数据条例》全面涵盖了适用范围、原则和定义、责任人的义务、相关人的权利、监管机关、罚则等内容,堪称“史上最严”。相对于中国的数据隐私保护立法,目前中国仅有《电信和互联网用户个人信息保护规定》、《征信业管理条例》和《网络安全法》等少数几部法律文件涉及个人信息保护问题,但这些立法层级不一、内容碎片化,且多为原则性规定,在实践中效果有限,个人数据保护在中国还没有引起法制面的足够应对。
在《数据条例》之前,欧盟关于数据保护的统一指引是1995年的《个人数据保护指令》。
△1995颁布的《个人数据保护指令》部分截图 来源:EUR-Lex
那时还没有智能手机,社交网络、电商平台和在线广告还在初始阶段。为了适应20多年间技术的快速发展,欧盟成员国又陆续出台了自己的法律,导致各个国家之间的数据保护水平各异,不利于欧盟内部市场的发展,统一立法的呼声渐起。
指令和条例是两种不同的欧盟法律形式:指令不直接适用于各国,要由成员国转化成国内法,在转化过程中,成员国还有一定的裁量空间;条例则直接在成员国适用。因此,《数据条例》是首部直接适用欧盟各国的数据保护法律,经过两年的过渡期后,即将全面生效。
《数据条例》保留了欧盟法律中既有的数据保护原则,同时又有新的发展。其中,最重要的原则就是“合法性原则”。它的意思是,只有在两个条件下才能收集和处理个人信息:要么有法定事由,例如为了国家安全和公共利益,要么有相关人的同意。
《数据条例》扩展了欧盟原有法令中关于相关人权利的规定。
传统上,只有物质损害才能获得赔偿。但这一新法实施后,相关人还可以要求精神损害赔偿。
此外,相关人可以要求责任人告知以下信息:数据的内容、来源、接受者,储存数据的目的、时间的长短以及确定时间长短的标准,以及在向第三国传输数据时的数据安全水平保证。
相关人有权要求责任人免费提供一份储存信息的副本,还拥有更正信息、限制处理的范围、提出抗告、向监管机关申诉、寻求法律救济的权利。
《数据条例》还首次明文规定了“遗忘权”,个人可以要求责任人删除关于自己的数据,只要满足法定的理由,责任人就应当立即删除。这些理由包括:该数据对于收集数据的原目的而言,已不再是必需;个人撤回其关于收集数据的同意;责任人对数据的处理不合法;删除数据是履行欧盟或其成员国法律义务所必需的;媒体、网店或在线游戏服务商等收集了儿童的个人信息。
△《数据条例》保护自然人的“个人数据”,只要被用于识别个人身份的数据 来源:视觉中国
此外,可以依据《数据条例》提出法律救济的对象不只有权利受侵害的个人。消费者保护协会或数据保护领域的团体既可以代表个人,也可以主动地对违反《数据条例》的责任人采取行动。
在德国,如果提告人结合使用德国《反不正当竞争法》和欧盟《数据条例》,理论上,市场竞争者也有可能对责任人违反数据保护的行为进行法律行动。因为《数据条例》的目的之一,就是通过统一的数据保护法,创设公平的市场环境。具体情况还有待《数据条例》生效后进一步观察。
企业网站数据保护声明或成主风险源
《数据条例》要求责任人必须让相关人理解数据的处理过程,是谓“透明性原则”。为此,条例规定了内容繁多的义务。未来,企业网页上的数据保护声明有可能成为主要的合规风险来源。
概括而言,网页上应当有数据保护声明,这份声明必须能够使每一位访问者清楚地知道,是谁在提取、使用自己的个人信息,在多大范围内、出于什么目的使用和提取。
△国外社交网站推特发布全新《隐私政策》将于5月25日生效 来源:推特截图
此外,声明必须告知网页使用者所享有的权利,以及提出抗告的方式。因此,网页上要有运营者的联系方式,还要说明负责数据保护法律事务的联系人。
有一个普遍的误解是,网页运营者常认为,一旦用户登入网页,就已经表示他同意网页收集他的数据。
虽然,单纯收集用户的动态IP地址是属于法定许可范围,但若要收集和处理其他信息,例如通过联系表单的方式要求用户提供姓名、电子邮箱地址和电话号码等,符合《数据条例》的做法是要取得用户事前的同意。
在网页上使用社交媒体插件和Cookies,也必须得到用户的同意。文章网页设置的“分享按钮”是种常见的社交媒体插件,以分享一篇新闻文章至Facebook为例,用户点击分享按钮时,新闻网站会弹出一个预填了新闻网址的Facebook窗口,让用户再度确认贴文内容、点击“分享”。
在这过程中,新闻网站不仅向Facebook传输了文章网址,还把用户的IP地址被传输到了Facebook。根据《数据条例》,新闻网站应提前向用户取得传送IP地址的许可,不然不得为之。
△脸书CEO扎克伯格就数据泄露事件出席参议院听证会 来源:视觉中国
某些电商网站会用“Cookies”自动记录客户的搜索和购物记录,以便有目的性地推荐商品。
在《数据条例》框架下,网页经营者必须事先向客户说明Cookies的功能,并获得用户的同意,否则,“未告知记录用户行为”会违反法律。
为应对新条例的实施,企业网站经营者应尽早盘点数据安全标准,采取匿名化、数据加密等措施,特别是对于有内嵌网店或联系表单的网页。这些机制能在传输过程中保护用户的银行卡或其他个人信息。
《数据条例》没有强制要求实施加密措施,加密仅是有助达到法定数据保护水平的措施之一,是否必须、在何种程度上实施加密,取决于个案考量。
此外,根据《数据条例》的“最少数据原则”,网站运营者未来只能在必需的时间内,尽可能少地储存数据。这一要求可以通过技术设计或预置来实现。例如,通过数据聚合手段,汇总个人数据的处理,并由此实现最小化,或者实施软件控制的删除周期,以确保数据在规定的期限后将被自动删除。
为了应对《数据条例》,涉足欧洲市场的企业应尽早进行内部自查,并采取相应的措施。
(作者为德国法学博士、法兰克福SZA律师事务所中国业务部成员)
END
责任编辑 | 余佩桦
运营编辑 | 贾珍珍
版面编辑 | 彭宁楠
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20180518B1M5VS00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
