来源:金融网络空间安全
《一般数据保护法案》摘要
General Data Protection Regulation
GDPR
一、内容概述
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),并将在欧盟官方杂志公布正式文本的两年后(2018年)(2018年5月25日)正式生效。GDPR将要求各公司采取一种新的全面数据治理措施,包括数据剖析、数据质量、数据沿袭、数据屏蔽、测试数据管理、数据分析和数据归档等。该法案的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案,将成为个人信息保护里程碑式法律。
欧盟拥有较为完善的数据保护框架,包括一系列的指令、协议、法案等,其中最重要的是1995年通过的《欧盟数据保护指令》(Directive 95/46/EC) (以下简称“95指令”),为欧盟成员国立法保护个人数据设立了最低标准。相比95指令,GDPR具有更强的包容性和适应性,将会成为未来欧盟个人数据保护法的核心和主要规则。较之于以前的数据保护规定,该法案在数据主体的权利、控制者的义务、数据传输规则等方面发生了明显的变化。此后,GDPR将取代95指令,并直接适用于欧盟各成员国,旨在加强对自然人的数据保护,并一统此前欧盟内零散的个人数据保护规则。
该法案由11章共99条组成,其中关于数据主体(data subject)的权利以及数据控制者(data controller)和数据处理者(data processor)的义务的条款特别需要企业进行深入研究,确保在法案生效前完成合规更新工作。
二、重要条款摘要
以下简介法案中的几项重要条款,详请参见法案原文。
1.管辖范围(第3条)
GDPR是数据保护领域对一般性数据处理行为进行规制的基本法律,直接适用于所有成员国,提高了法律适用的一致性和数据保护在欧盟范围内的连贯性。在欧盟范围内具有重要的影响。该法案适用于:
(1)住所在欧盟的数据控制者、处理者;
(2)住所虽然不在欧盟的数据控制者、处理者,但是其在向欧盟内数据主体提供商品和服务的过程中(无论是否需要付费)处理了欧盟内数据主体的个人数据,或对数据主体进行监测;
(3)住所虽然不在欧盟的数据控制者,但在根据国际条约欧盟成员国法律适用的地方。
2.处理个人数据的原则(第5条)
处理个人数据应当:
(1)合法、正当、透明;
(2)处理数据的目的是有限的;
(3)仅处理为达到目的的最少数据;
(4)确保数据准确、时新;
(5)储存数据的期限不得长于为达到目的所需的时间;
(6)采取技术和管理措施以保护数据的安全;
(7)数据控制者有责任并应能够证明其做到了以上几点。
3.合法处理数据(第6条)
至少满足以下中的一项,处理数据才是合法的:
(1)数据主体同意了为特定目的处理其数据;
(2)处理数据是为签订或履行合同所需的;
(3)处理数据是为遵守法定义务所需的;
(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;
(5)处理数据是为了公共利益或行使政府授予的权力;
(6)处理数据是为追求数据控制者的合理利益,但不得损害数据主体的利益。
4.儿童个人数据的处理(第8条)
处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁。
5.处理特别类型的个人数据(第9条)
禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
6.被遗忘权(第17条)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
7.可携带权(第20条)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
8. 个人数据泄露通知(第33、34条)
数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体,以便数据主体及时采取措施。
9. 设置数据保护官(第37、38、39条)
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(data protection officer)。
10. 巨额罚款(第83条)
不遵守新的数据隐私法规的后果就是严厉的制裁、巨额的罚款。GDPR规定了两层罚款:对于一般性的违法,罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
制裁的严重程度是基于:
·违规的性质、严重程度和违规的持续时间;
·违规是故意的还是因疏忽而造成的;
·对个人身份信息的责任心和控制程度;
·违规是单个事件还是重复事件;
·受到影响的个人资料的种类;
·个人遭遇损害的程度;
·为了减轻损害而采取的行动;
·由违规产生的财务预期或收益。
不管如何理解细节,总而言之,相关企业不要试探GDPR的容忍度的,因为一千万欧元的最低罚款可以使很多企业倒闭。除了经济惩罚,这项法规也在保护“信任”,违反的代价远不止于财务层面,它也将给企业的声誉造成极大破坏,并且导致企业与消费者之间的信任危机。
三、总结
欧盟此次通过的《一般数据保护法案》对95指令进行了大刀阔斧的改革:将适用的主体范围扩大到了境外的企业;增加了透明原则、最少够用原则等一般性保护原则;开创性地引入了被遗忘权、可携带权等;并且对于违规活动进行严格的处罚,全面提升了对个人数据的保护力度。此外,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。
此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。同时,对于欧盟以外的国家,该法案无疑树立了一个高标准的个人数据保护法律模板。鉴于欧盟对于数据跨境传输的严格要求,其他国家可能需要跟上欧盟的步伐,以免在数据利用方面受到限制。当越来越多的国家提高了对个人数据的保护力度,落后者可能会被禁闭在无限网络的狭小空间之内。
GDPR的具体细则背后是对稳私和安全的需求,因其完善且符合时代发展的内容,生效后可能会成为国际数据隐私保护标准,成为未来主导世界数据隐私保护的国际治理模式之一。
010-57804780