中国企业应对GDPR的若干实务问题研究(下)
作者:吴卫明、李荣荣 2018-07-10——以《实践指南》的关注点为线索
(续本文之“上”)
七、《实践指南》关注点六:数据主体权利
| 关注点 | 组织应对措施 |
第三章 数据主体权利 | GDPR赋予了数据主体对其数据广泛的控制权,包括知情、访问、更正、删除、限制处理、可携带、反对等权利。比如:在数据收集时,数据控制者应以简洁、透明、易懂及便于访问的方式向数据主体提供数据控制者身份及联系信息、数据处理的目的及合法基础、数据主体享有的权利等信息。 | 组织应基于当前业务特点及处理数据的合法性事由,选择需要实现的数据主体权利。 |
GDPR第17条 第1款、第2款 (删除权) | 在特定情况下,如履行目的不再需要、数据主体撤回同意或个人数据被非法处理等等情况下,数据主体有权要求删除其个人数据。GDPR也规定了若干删除权不适用情形,如为行使言论和信息自由的权利,为履行数据控制者法定义务,为设立、行使或捍卫合法权利等等。 | |
GDPR第17条 第3款 (删除权条款不适用的情形) | 数据主体有权拒绝数据控制者基于以下目的对个人数据进行的处理行为,如为公共利益,为数据控制者的合法利益,以直接营销为目的,基于科学或历史研究以及统计目的的数据处理行为等。 | |
GDPR第18条 (限制处理权) | 数据主体有权在以下情形限制数据控制者的处理行为,如质疑数据准确性,违法处理,数据到期等。 | |
GDPR第20条 (数据可携带权) | 数据控制者基于数据主体同意或履行合同所必须,以自动化方式处理数据主体提供的个人数据时,数据主体有权从数据控制者取得结构化可机读的个人数据副本,并传送给另一个数据控制者。 |
来源:全国信息安全标准化技术委员会
GDPR在鉴于部分即开宗明义指出:“自然人在个人数据处理方面获得保护是一项基本权利。《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款规定每个人都享有就其个人数据获得保护的权利”,GDPR创设了限制处理权、数据可携带权、删除权等等,并将数据主体的权利范围、权利内容以及权利保障措施等提升到前所未有的高度。
图一
Booking在《隐私声明》内容的最前面,即设置了“打印/保存”功能,易于用户获取隐私政策
图二
5月22日,苹果公司更新了隐私政策条款,添加了用户的删除数据权
八、《实践指南》关注点七:对用户画像的规定
GDPR条款 | 关注点 | 案例 | 组织应对措施 |
GDPR 第4条第4款 | 用户画像是指通过自动化方式处理个人数据的活动,用于评估、分析以及预测个人的特定方面,可能包括工作表现、经济状况、位置、健康状况、个人偏好、可信赖度或者行为表现等。 | 电商通过用户画像,开展广告、市场预测和推广工作。 | 组织如涉及对用户进行画像,需要关注如何获得合法性基础,以及向数据主体提供相应权利。 |
GDPR第13条第2款第(f)项、第14条第2款第(g)项、第22条第2款 | 在数据主体明确同意、欧盟或者成员国法律的明确授权、履行合同所必需的情形下可以使用用户画像。同时还提出,在征得数据主体同意时,应对画像相关数据来源、算法原理及相应影响等予以充分告知,并赋予数据主体反对权、删除权、更正权和限制处理权等权利。 | —— |
来源:全国信息安全标准化技术委员会
用户画像属于自动化决策的表现形式之一,能够在一定程度上影响数据主体作出决策的自自由意志和行为,根据GDPR规定,企业以用户画像方式进行数据处理时必须履行如下义务:(1)在数据主体明确同意、数据欧盟或者成员国法律的明确授权、履行合同所必需的情形下可以使用用户画像,其中,取得数据主体的明确同意也是企业目前普遍采取的方式;(2)企业应当让数据主体知晓用户画像的存在以及用户画像的结果,以符合“合法、公正、透明原则”;(3)企业应当让数据主体知晓自动处理数据的算法,若可能,应当提供连接安全系统的远程途径,该系统可以向数据主体提供直接访问其信息的途径[2];(4)企业应当保障数据主体可以在任何时间反对其处理与直接营销有关的数据画像,同时,应当采取明确引起数据主体注意的方式体现反对权条款,并清晰地与其他条款分开说明[3];(5)企业应当同时遵守欧洲数据保护委员会制定的具体指引中关于用户画像的规定[4]。
实践中,互联网服务提供者通常采用cookies技术监控、跟踪用户活动,并预测用户行为,完全符合GDPR规定的用户画像定义。如Google制定的隐私政策(Privacy Policy)中,开篇即专门提醒用户注意阅读另行制定的Cookies 政策(Cookies Policy)。具体如下图所示:
图三:goole的隐私政策截屏
九、《实践指南》关注点八:对数据处理者的规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第4条 第(8)项 | 数据处理者是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。 | 组织如属于数据处理者,应根据数据控制者明确的指示处理个人数据,履行相应的保密义务,在数据处理服务结束时,删除或返还所有的个人数据,接受数据控制者的审计等。 |
GDPR第28条 第1款、第2款 | 当数据控制者委托数据处理者具体处理数据时,数据控制者应选择采取了合适的技术和组织方面措施的数据处理者,以确保数据处理符合GDPR的要求,及保障数据主体的权利。在没有数据控制者事先或一般性的书面许可时,数据处理者不应再与另外的数据处理者合作。 |
来源:全国信息安全标准化技术委员会
GDPR特别强调数据处理者处理个人数据的权限不能超出数据控制者的书面许可,否则,处理行为将成为“无源之水、无本之木”。例如,近期持续发酵的Facebook数据泄露事件中,英国剑桥大学的学者柯刚通过相关软件获取了Facebook海量用户信息,剑桥分析公司通过柯刚获取了用户信息,并将其用于与政客营销商业服务有关的数据处理。剑桥分析公司作为数据处理者,并未获得数据控制者Facebook处理用户信息的任何书面许可,所以,剑桥分析公司在Facebook数据泄露事件中也负有不可推卸的法律责任。
除了《实践指南》提及的组织应对措施外,数据处理者还应当履行如下义务:(1)应当实施适当的技术性和组织性措施,确保处理过程的安全性,如保证处理系统和服务具有保密性、完整性、可用性、可恢复性的功能,对技术性和组织性措施的有效性进行定期测试、访问、评估等[5];(2)处理者在知道个人信息泄露后,应立即通知控制者[6];(3)协助数据控制者遵守网络安全、个人数据泄露向监管机构报告、个人数据泄露后告知数据主体、数据保护影响评估等义务[7];(4)与除自身以外的其他数据处理者合作处理数据时,应当就其他处理者义务的履行对控制者承担全部责任[8];(5)处理者仅在其未遵守GDPR对于处理者义务的特别规定、超出控制者的合法指令或者与违反控制者的指令时,为数据处理导致的损害负责,但数据主体也有权直接向处理者主张索赔,如属于控制者的责任,处理者可事后向控制者追偿[9]。
十、《实践指南》关注点九:对数据保护官、欧盟境内法律代表的规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第37条 第1款 | 通常情况下,数据控制者和数据处理者任命数据保护官的情形包括:(1)公权力机构处理数据的;(2)数据处理的主要活动范围、目的要求经常性、系统性、大范围地监测数据主体;(3)大规模处理特殊类别个人数据。 | 组织如存在上述情形,应考虑设立数据保护官或任命欧盟境内法律代表。 |
GDPR第37条 第5款、第6款、第7款 | 数据保护官应具备专业的数据保护法律和实践的知识,以保证其履行相应职责。数据保护官可以是正式职员,也可以基于服务合同完成工作。数据控制者应公开数据保护官的联系方式,并将名单向监管机构汇报。 | |
GDPR第27条 第1款、第3款 | 如果组织面向欧盟境内的数据主体提供商品或服务,或监控欧盟境内数据主体的行为,应通过书面形式在欧盟境内任命一名代表。 |
来源:全国信息安全标准化技术委员会
数据保护官类似于我国《网络安全法》规定的网络安全负责人以及《个人信息安全规范》的个人信息保护负责人,主要负责保障数据主体权利以及企业网络安全等数据保护方面的工作,是企业与监管机构、数据主体的沟通桥梁。企业应在如下五个方面确保数据保护官的地位:(1)应当公布数据保护官的联系方式,并报告给监管机构[10];(2)应当确保数据保护官适当、及时地参与有关个人数据保护的所有事宜;(3)通过提供必要资源和专业知识培训支持数据保护官执行任务;(4)不会因为数据保护官执行任务而将其解雇或者给予处罚;(5)当数据保护官履行其他职责时,确保不会出现利益冲突[11],所以,企业可以考虑由法务总监、网络安全负责人、审计部门负责人兼任数据保护官,而进行数据处理的业务部门负责人、总经理的职责一般与数据保护官存在利益冲突,不建议兼任数据保护官。
十一、《实践指南》关注点十:对数据保护影响评估的规定
GDPR条款 | 关注点 | 组织应对措施 |
第35条第1款 第35条第3款 | 数据控制者在进行数据处理之前,基于数据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时,应实施DPIA。在以下情形下,通常需要实施DPIA:一是基于数据的自动化处理,包括数字画像,对自然人个人方面的系统和广泛的评估,而据此做出的决定对该自然人产生法律效力或者重大影响;二是大规模特殊类别个人数据或有关犯罪记录和违法行为的个人数据;三是对公共区域大规模的系统化监控。 | 组织如构成上述情形,应考虑实施数据保护影响评估(DPIA)。 |
来源:全国信息安全标准化技术委员会
企业如符合实施数据保护影响评估的前述情形,实施数据保护影响评估应注意以下三个方面:(1)评估应当至少应当包含预计的处理操作及操作目的、对数据主体的权利进行风险性评估、预期的风险防范措施等[12],如处理过程是高风险的,应当在处理之前向监管机构征询意见[13];(2)应充分考虑行业协会或者其他机构制定的行为准则[14];(3)在不影响保护商业利益、公共利益或者网络安全的情况下,应该就将要进行的数据处理向数据主体或代表征询意见[15]。
十二 、《实践指南》关注点十一:通过设计实现数据保护的规定
GDPR条款 | 关注点 | 组织应对措施 |
鉴于第(78)项、 GDPR第25条 第1款 | 数据保护设计理念应当融入到产品和业务开发的早期过程(Privacy by Design),例如,设计假名化等机制有效地落实数据保护原则,并且将必要的保障措施融入到数据处理过程之中。此外,组织可实施相应的措施以确保在默认情形下,仅仅处理为实现目的而最少必需的个人数据。 | 组织应注意其产品和业务的设计理念与GDPR保持一致。 |
来源:全国信息安全标准化技术委员会
数据保护设计理念要求企业在产品或服务研发之初就应该履行数据保护义务,坚持保护用户隐私权的理念,在搜集信息前就采取预防性的保障措施,如产品或服务的默认设置即具有保护用户数据信息功能(详见下图四);隐私政策条款的展示页面中,特别标注了处理用户特殊类型数据的条款(详见下图五)。
图四:Safari 浏览器默认设置“阻止跨网站跟踪”
图五:支付宝隐私政策特别标注了用户特殊类型数据
十三、《实践指南》关注点十二:数据泄露强制通知的规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第33条、 GDPR鉴于部分第(86)项 | 在发生个人数据泄露时,除非个人数据的泄露不会产生危及自然人权利和自由的风险,否则数据控制者应在获知泄露之时起的72小时内向监管机构发送通知报告。另外,当个人数据泄露可能对自然人的权利和自由产生高风险时,数据控制者还应当向数据主体告知数据泄露的相关情况。 | 组织应注意如发生个人数据泄露等安全事件,需履行的通报和告知义务。 |
来源:全国信息安全标准化技术委员会
GDPR并未明确规定监管机构的具体名称,而是由各个成员国确定各自监管机构的任务、权限和职权。企业向监管机构履行告知义务的内容应当包括如下方面:(1)描述个人数据泄露的性质,尽可能地包括相关数据主体以及个人数据记录的类别和大致数量;(2)数据保护负责人或者其他能够获得更多信息的联系点的名称和联系方式;(3)描述数据泄露的可能性后果;(4)描述控制者应对数据泄露事件而采取的措施或计划采取的措施,包括能够减轻负面影响的措施[16]。
GDPR虽然没有明确规定企业向数据主体履行告知义务的具体时限,但该项告知义务的时限要求实际上比向监管机构履行告知义务的更高,即需要减轻立即损害的,需要立即与资料当事人沟通,而需要采取适当措施防止持续或类似的个人资料遭泄露的,则可能需要更多时间进行沟通,企业向履行告知义务的内容应当包括如下两个方面:(1)个人数据泄露的性质;(2)提出减轻潜在不利影响的建议。
十四、《实践指南》关注点十三:数据跨境传输的规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第五章 | GDPR提出了多种数据跨境流动机制。比如,直接向通过欧盟进行充分性认定的第三国传输数据,还可通过实施被认可的行为准则,签署符合相关要求的格式合同、有约束力的公司准则、通过相关认证等方式证明数据接收方满足适当的保护能力,来保证数据跨境流动的安全性;此外,在征得数据主体明示同意、基于公共利益、履行有利于数据主体的合同或基于组织正当利益等情形下也满足数据跨境传输要求。 | 组织如涉及数据跨境传输,应选择适用于其业务的跨境传输机制。 |
来源:全国信息安全标准化技术委员会
与我国《网络安全法》规定的跨境传输采取安全评估机制不同,GDPR规定了多种数据跨境流动机制,除直接向通过欧盟进行充分性认定的第三国传输数据(即允许直接跨境传输 )外,其他渠道均允许成员国境内的控制者在符合特定条件下对个人数据进行跨境传输。鉴于中国并不在“充分性认定”的第三国名单内[17],若涉及处理欧盟境内数据或者在欧盟境内设立分支机构的中国企业,应考虑通过签署相关要求的格式合同、有约束力的公司规则、通过实施被认可的行为准则或相关认证、征得数据主体明示同意等渠道,进行个人数据的跨境传输。
十五、《实践指南》关注点十四:处罚规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第83条 第4款 | GDPR对违规组织采取根据情况分级处理的方法,并设定了最低一千万欧元的巨额罚款作为制裁。如果组织未按要求保护数据主体的权益、做好相关记录,或未将其违规行为通知监管机关和数据主体,或未进行数据保护影响评估或者未按照规定配合认证,或未委派数据保护官或欧盟境内代表,则可能被处以1000万欧元或其全球年营业额2%(两者取其高)的罚款。 | 组织可向其内部通报GDPR处罚规则,进一步提升安全意识。 |
GDPR第83条 第5款、第6款 | 如果发生了更为严重的侵犯个人数据安全的行为,如未获得客户同意处理数据,或核心理念违反“隐私设计”要求,或违反规定将个人数据跨境传输,或违反欧盟成员国法律规定的义务等,组织有可能面临最高2000万欧元或组织全球年营业额的4%(两者取其高)的巨额罚款。 |
来源:全国信息安全标准化技术委员会
GDPR的巨额罚款给跨国企业带来巨大震慑力,上述GDPR关于处罚机制适用对象已突破欧盟成员国范围,同“关注点一:适用 GDPR的场景”,只要向欧盟境内公民提供商品或服务,无论企业设立在哪个国家,如触发GDPR的处罚机制,都将面临巨额罚款。比如,GDPR生效当日,Noyb.eu 起诉的四家公司中,Google (Android)虽然属于美国注册[18]的公司,也成为了被诉对象。
除了上述由监管机构处以行政处罚外,根据GDPR第82条规定,企业还将面临民事赔偿责任,其中,控制者都应对违反GDPR关于处理行为所造成的损害负责。处理者只有在没有履行GDPR关于特别针对处理者的义务,或在控制者的合法指示之外或相反的情况下,才须对处理所造成的损害负法律责任。
注:本文仅作为学术研究之用,不代表监管的意见,也不属于法律意见或操作指导。任何对本文观点的引用,均不代表作者的任何操作指导,作者不承担任何法律责任。
[1] 详见GDPR第12条。
[2] 详见GDPR 详见GDPR鉴于部分第(63)项。
[3] 详见GDPR鉴于部分第(70)项。
[4] 详见GDPR鉴于部分第(72)项。
[5] 详见GDPR第32条第1款。
[6] 详见GDPR第33条第2款。
[7] 详见GDPR第28条第3款第(f)项。
[8] 详见GDPR第28条第4款。
[9] 详见GDPR第82条。
[10] 详见GDPR第37条第7款。
[11] 详见GDPR第38条。
[12] 详见GDPR第35条第7款。
[13] 详见GDPR第36条第1款。
[14] 详见GDPR第35条第8款。
[15] 详见GDPR第35条第9款。
[16] GDPR第33条第3款。
[17] 欧盟委员会公布的“充分性认定”的第三国名单包括安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私保护框架)。
[18]Google (Android)注册地址为Amphitheatre Parkway, Mountain View, CA 94043, USA.
