《通用数据保护条例》内容及实践浅析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《通用数据保护条例》内容及实践浅析
作者:冯梦琦
来源:《法制与社会》2019年第12期
摘要本文以欧盟《通用数据保护条例》(GDPR)的颁布和实施为背景,对GDPR的内容和影响进行简要的分析。

GDPR规定的核心内容为对互联网企业占有和使用用户数据进行限制,以保护数据主体的个人信息自主权益。

这一规定对全球范围内各大互联网企业造成了较大的冲击,但是规范数据的使用,保护个体用户的数据权益是现今互联网法制建设的主题。

关键词通用数据保护条例个人信息保护互联网作者简介:冯梦琦,哈尔滨商业大学法学院硕士研究生,研究方向:经济法。

2016年4月14日,欧盟议会和欧盟理事会通过了《通用数据保护条例》(以下简称“GDPR”),2018年5月25日,GDPR正式生效。

自此,欧盟正式启动了史上最严格的个人信息保护规则。

一方面,GDPR赋予了个体用户对于自身数据更多的自主权和选择权;另一方面,GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则。

虽然GDPR作为市场监管类规则,并未解决数据作为无形资产的权利归属,但是规则明确地将数据的支配权利赋予了“数据主体”(datasubject),即产生数据的个体用户。

GDPR是在1995年欧盟议会出台的《数据保护指令》(以下简称“DPD”)的基础上重新制定而来,具体而言其变化注要体现在以下几个方面:
首先,GDPR的适用范围较DPD有明显的扩大,几乎涵盖了全球所有的跨境互联网服务提供商,其不仅适用于欧盟境内与用户数据有关的所有企业,而且适用于与向欧盟境内数据主体提供服务有关或涉及监测欧盟境内数据主体的企业。

其次,GDPR十分强调数据主体的权利保护,其赋予了数据主体更加广泛、更加细化且更具有可操作性的各项权利,内容包括但不限于对数据的知情权、修改权、注销权、限制处理权、可移植性决定权、拒绝处理权等。

GDPR条款一旦落实,数据主体就能够基本实现随时接触、授权处理、取消授权、修改和注销自己产生的数据信息,可以很大程度避免作为数据控制者(controller)和处理者(processor)的企业在未授权的情况下形成数据主体的数据侧写并据此获利,企业也无法在未授权的情况下向数据主体进行偏好推送或差别定价。

数据主体的知情权包括数据主体有权知道其个体用户的哪些类型的数据被企业收集并进行处理,具体有哪些企业对相关数据收集和处理,企业收集和处理个体用户主体的目的以及处理后信息的用途,相关数据是否会对第三方披露等。

数据主体的修改权是指其认为个体用户数据有错误、发生变动或内容不完整时,有权要求数据控制者立即进行修改。

数据主体的注销权亦被译被遗忘权,是指在满足一定的条件时,数据主体有权要求数据控制者和处理者立即删除自己的用户数据,且这一规定赋予了数据主体对于删除用户数据独有的决定权,只要其认为个体
的用户数据对于收集者不在必要,数据主体主观上以任何理由撤销授权,或者企业违反法律对数据进行收集和处理等情况出现,数据主体即可行使该权利。

限制处理权赋予数据主体对数据控制者和处理者处理其数据的行为享有的实施干预和限制的权利,且与行使注销权需要满足的条件相类似,数据主体主观拒绝或企业吃力数据的行为不合法或数据本身存在瑕疵时,数据主体即可行使该权利。

数据可移植性决定权是数据主体有权决定数据控制者是否能够将其获得的常规数据直接移植(转移)给另一个数据控制者,数据的可移植性又被称为数据的可携带性,因此有人将这项权利称为数据可携带权。

数据主体的拒绝处理权仅针对企业对數据的处理活动,数据主体有权直接拒绝数据控制者对其收集到的用户数据进行处理,包括利用算法和系统实现的自动处理,同时若技术层面无法避免系统对数据的自动处理,数据主体可拒绝企业依据自动处理系统所做出的决策。

此外,GDPR还对数据控制者和处理者设置了前所未有的严格限制性规定,赋予了其多项义务。

例如,数据控制者和处理者必须以透明、简洁、易获得的方式向数据主体披露其享有的与数据有关的权利,并且在收集和处理用户数据时,必须获得明确的授权。

同时企业必须采用适当的技术、设置恰当的组织机构等,以保证一定的数据安全水平。

这不仅对提供互联网服务企业的内部控制处了较高的要求,还对二级服务商,即向互联网企业提供主机服务的处理器服务商提出了较高的要求。

再比如,数据处理者必须详细记录数据处理活动,方便数据主体随时访问和查看;数据处理者及相关工作人员必须就数据安全事件在规定时间内向数据监管机构进行报告。

GDPR要求数据控制者和处理者以明示的方式询问数据主体是否允许搜集个体用户数据,即企业不得设置程序默认数据主体授权收集其个人数据,包括不得默认勾选“我已同意授权”或“同意上述条款”等。

如果数据主体拒绝提供个体用户数据,企业即有义务修改程序使其无法获取用户数据,若数据主体撤销了之前的授权,企业则必须对其之前收集到的数据进行处理,使其成为non PII信息,即个体不可识别信息。

GDPR不仅要求数据控制者和处理者自身对数据的收集和使用合法合规,还要求其对所收集和处理的个人信息数据采取严格的安全措施,避免数据的损坏、丢失或泄露。

GDPR同时要求满足一定条件的机构设置数据保护官(dataprotection officer),如要对数据进行处理的政府机构,因业务需要对数据主体进行大规模系统监测的控制者和处理者,需要对数据主体的特殊数据或涉及刑事记录的数据进行处理的控制者和处理者。

GDPR还规定了政府对数据监管的权限,当数据控制者和处理者出现违法活动时,政府可直接对其采取措施。

GDPR被媒体称为史上最严数据保护条例还有一个很重要的原因是其对违法企业的处罚力度非常大,最高罚款金额可达违法企业全球年度营业额的4%。

2019年初欧盟委员会表示,社会各界已向欧盟国家累计提出了95000多起投诉。

欧盟各国已经对一些企业展开调查并开出了部分罚单。

2018年9月19日,奥地利数据保护机构(DSB)开出了首张GDPR罚单,对违规的企业罚款4800欧元。

理由是该企业在其建筑物前安装了一台摄像机,但摄像机没有标识明示其正在实施监控,同时GDPR明确规定了数据控制者和处理者不得对公共场所进行大规模监控。

但此次奥地利监管机构并未按照GDPR规定的2000万欧元与年营业额2%二者取其高的金额进行处罚,理由是该企业年营业额仅数万欧元,对其适用2000万欧元的处罚明显过重。

2019年1月22日,法国国家互联网信息中心(CNIL)依据GDPR对谷歌处以5000万欧元的巨额罚款。

理由是谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可,这也是法国国家互联网信息中心依据GDPR开出的首张罚单。

目前谷歌已就该罚款提起了诉讼。

GDPR的颁布和实施对互联网企业产生了巨大的影响,不仅因其适用范围十分广泛,除欧盟境内涉及用户数据企业,全球所有在欧盟国家发生数据相关的业务或提供设计数据收集的服务的企业都需要遵守GDPR。

GDPR无疑将促使全球的互联网服务提供商对其提供服务的系统和模式进行全面升级,以满足其对于企业收集个人用户数据几乎苛刻的要求。

首先,相关企业需建立一套全新的内控体系,不仅要根据GDPR关于用户授权收集数据的规定更新提供服务的界面,还要重点关注已经收集到的用户数据,以及如何满足数据主体的知情权,如何向用户提供修改、删除数据的途径等问题。

很多企业甚至缺乏满足GDPR规定的技术条件。

其次,GDPR要求企业具备准确识别和定位各个数据主体的用户数据的能力,然而大多数中小企业并不具备该能力,若要对其收集到的数据进行合规的处理,需要企业投入巨额的资金。

但是若不满足GDPR的规定而在欧盟成员国境内开展业务,则可能导致巨额的罚款。

GDPR若严格落实的话,中小企业的生存将面临严峻的挑战。

从另一个角度看,GDPR的严格规定或许会为互联网行业带来新的机遇。

严格的规则和高昂的合规成本迫使一部分非正规经营的中小企业退出市场,也迫使数据管理混乱的大型企业重新搭建现有的数据收集、处理、使用流程,更清晰合规地对数据进行管理和利用,更大程度地防止数据泄露,保护数据主体个体信息安全的同时,也将提升企业的信誉。

此外,数据合规不仅仅是法律层面的问题,更是技术层面的问题。

许多数据收集、处理活动混乱的企业不具备数据控制和数据保护的技术条件。

GDPR的出台迫使这些企业进行技术升级,其明确规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。

这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击;并且强制要求软件在整个开发階段和运行数据处理阶段必须能够保护个人数据隐私。

为了保护数据主体对数据的支配性权利,企业在收集、处理用户数据的同时,还需要具备随时删除用户数据或停止/限制编辑数据的技术条件。

这意味着如果不具备相应的技术条件,企业未来可能无法经营,这也在一定程度上提高了互联网行业的准入条件。

目前来看全球拥有海量数据和大规模用户的企业已经逐步完善了其数据管理体系,各大运营商已经先后发布了符合GDPR要求的隐私保护工具。

不难发现企业在GDPR的合规道路上,很可能面临阵痛和损失,但一经合规后,符合GDPR的隐私保护政策又成为企业强有力的宣传工具,甚至可能会带来用户数量的增长。

互联网经济环境下,大量的用户数据逐渐被开发和利用,数据能够带来的巨大利益和价值逐渐受到企业的关注。

未来,数据甚至可能成为互联网企业的核心竞争力,对于数据的监管不容忽视。

同时,频繁发生的个人信息泄露事件和个人信息泄露引发的社会问题使得各国政府和公民愈发重视对于个人信息的保护,各国纷纷颁布法律限制个人信息的采集主体以保护个人信息安全,其中欧盟GDPR的颁布无疑对个人信息保护水平提出了更高的要求。

GDPR受到的前所未有的关注度也证实了互联网数据安全和个人信息保护是近年各国立法的重点关注对象,数据合规和个人信息的保护也是互联网行业目前亟待解决的问题。

我国互联网及高新技术企业近年发展迅速,在欧洲市场也应得了一席之地,因此GDPR同样会对中国的大型互联网企业产生一定的影响。

尤其由于GDPR严格规定了企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下游都由可能面临处罚。

我国对于个人信息的保护水平和立法进程相较欧盟国家仍然有待提高,中国互联网企业对于个人信息保护的意识和敏感程度相比也较弱,GDPR对中国企业的影响还未得到足够的重视。

我国的互联网企业应尽快了解GDPR的具体要求,并且有针对性地开展和归工作,防止遭受高额的处罚,避免影响中国互联网企业的信誉和形象。

相关文档
最新文档