23-06-2018
欧盟《通用数据保护条例》简析
欧盟《通用数据保护条例》(以下简称为“条例”)于2016年5月24日生效,并于2018年5月25日正式实施。条例废除了以《1995年个人信息保护指令》(以下简称为“指令”)为基础的关于欧盟数据保护的一般法律框架。欧盟成员国采用不同的解释实施指令,造成各国的保护标准参差不齐。
数据保护的改革旨在加强对数据被处理的自然人(以下简称为”数据主体“)的权利的保护,并统一各欧盟成员国的数据保护立法。通过一站式监管机制,为在不同国家均有设立地的企业提供一套统一的规则,减轻合规成本。
由于欧盟的条例具有直接适用的效力,条例在包括荷兰在内的所有欧盟成员国实施,而不需要成员国通过国内立法实施。条例对自然人及商业运营的企业均有重要影响。
实质性适用范围
条例的适用范围与指令相似,但亦存在例外情形。
条例适用于完全或部分以自动化方式对个人数据进行的处理,和不以自动化方式且构成或拟构成整理汇集系统一部分的个人数据的处理(第2条)。条例列出了例外情形,比如,自然人在纯粹的个人或家庭活动中使用数据的行为。
此外,对于个人信息的定义大致相同。个人数据指与一个已识别或可识别的自然人相关的任何信息,并新增了通过参照在线身份和定位数据的识别方法(第4条)。对于特殊类别的敏感信息的定义,在某些情况下亦包括基因数据和生物特征数据(第9条)。
适用范围的一重大改变是条例现适用于控制者(指决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织)和处理者(指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织)。条例引入了对处理者的具体的法律义务的规定,比如要求处理者对数据处理活动进行详细记录(第28条和第32条)。条例更进一步对处理者设置了更大的责任和义务范围。但是引入对处理者新增义务和责任的规定并不意味着对控制者的义务和责任的豁免。因此,控制者应当确保与处理者签订的合同完全符合条例的要求。
地域范围
条例对于数据保护的地域范围更加广泛。
首先,条例适用在欧盟内设立的控制者和处理者对个人数据的处理,无论其处理行为是否发生在欧盟内(第3条)。对“设立“的定义与现行的指令中的定义一致。“设立”指有效地开展活动,不论设立的法律形式。
其次,具有以下情形的,条例也适用并未在欧盟内设立的控制者和处理者:(1)向欧盟境内数据主体提供商品或服务,不论有偿或无偿;(2)对数据主体发生在欧盟内的行为的监控。具有以上情形的,控制者和管理者有义务在欧盟内指派一个代表(第27条)。
控制者和处理者的责任
控制者应当实施适当的技术和组织措施以确保个人数据的安全,并实行适当的数据保护政策(第24条)。
根据“隐私设计”条款的要求,考虑到现有技术、执行的成本、和数据处理的性质、范围、背景和目的,控制者应当在每个涉及个人数据处理的新的业务流程及服务中实施适当的技术和组织措施以保护个人信息安全。“默认隐私保护”条款要求当消费者购买新的产品或服务时,将自动应用最高级别的隐私设置。因此,数据主体不需要再进行隐私设置(第25条)。
数据主体有权根据条例对抗自主化决策。数据主体有权不受仅靠自动化处理,并对其产生法律效果或有重大影响的决定的限制(第22条)。此外,数据主体有权要求控制者删除其个人信息,控制者不得无故拖延(第17条)。
如果数据处理有可能对数据主体的权利和自由带来高风险(第35条),控制者应当在数据处理之前进行数据保护影响评估。该评估应当由监督机构完成。
如果企业需要对数据主体的特殊种类数据进行定期和系统的大规模监控,企业应当指派数据保护人员(第37条)。
同意
所有数据处理都应当取得数据主体的明示同意(第7条)。数据主体的同意应当在自由下作出且具体和明确。控制者应当确保同意已作出,且数据主体有权撤消该同意。
强制执行
国家监督机构负责确保规则的强制实施(第51条)。每一欧盟成员国目前均有数据保护机构。在荷兰,该机构为荷兰数据保护机构(荷兰语:Autoriteit Persoonsgegevens)。该机构可能改革为国家监督机构。
违反条例的处罚可高达2千万欧元或全球年收入4%,以较高处罚为准。
一站式监督机制
如果企业在不同国家均有设立地,各国的监督机构可能对适用的法律框架有不同的法律解释。为避免这一情形,条例引入了一站式监督机制。根据企业欧盟内主要业务所在地,在不同国家均有设立地的企业会被指派主导监督机构。主导监督机构将与企业其他经营所在地的监督机构沟通、合作来监督企业的数据处理活动(第60条)。如果相关监督机构间同意某决定,主导监督机构将通过该决定,且该决定对所有相关的监督机构有约束力。控制者和处理者必须在欧盟范围内遵守该决定。
通知数据泄露的义务
通知数据泄露的义务已经由荷兰于2016年引入,并在新的框架中大体维持不变。任何情形下应当把数据泄露事件通知适格的监督机构。控制者应当及时通知,不得无故拖延,在可行的情况下,应当在发现泄露时起72小时内发出通知。如迟于72小时,应对延迟原因进行解释。任何因泄露而给数据主体的权利和自由带来风险的情况,都应通知数据主体(第33条)。处理者应当尽快通知控制者。向监督机构发出的通知应当包含个人数据泄露的性质、数据保护人员的姓名以及联系方式、对可能发生的后果的描述。
结束语
条例引入欧盟内统一的数据保护框架。值得注意的是,成员国可能在条例的基础上增加更多义务以及监督机构的职责。民事诉讼由国内法院管辖,因此可能会适用或参照国内判例法。
从实际操作中看,企业应确保具备完备的隐私保护框架,包括技术保护,比如匿名化、加密和声音隐私政策。此外,企业应保存好能证明数据处理符合条例规定的
