一般数据保护条例
2018年5月25日,欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)将正式生效。
1、简介
GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。
堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。
2、内容
一、概述
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护条例》(GeneralDataProtectionRegulation),该条例将在欧盟官方杂志公布正式文本的两年后(2018年)生效。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护条例。新条例将取代1995年发布的《欧盟数据保护指令》(Directive95/46/EC),并直接适用于欧盟各成员国。它旨在加强对自然人的数据保护,并一统此前欧盟内零散的个人数据保护规则,同时降低企业的合规成本。新条例由11章共99条组成,其中关于数据主体(datasubject)的权利以及数据控制者(datacontroller)和数据处理者(dataprocessor)的义务的条款特别需要企业进行深入研究,确保在条例生效前完成合规更新工作。
二、重要条款
以下简要介绍条例中的几项重要条款,具体规定请参见条例原文。1.管辖范围(第3条)该条例适用于:(1)住所在欧盟的数据控制者、处理者;(2)住所虽然不在欧盟的数据控制者、处理者,但是其在向欧盟内数据主体提供商品和服务的过程中(无论是否需要付费)处理了欧盟内数据主体的个人数据,或对数据主体进行监测;(3)住所虽然不在欧盟的数据控制者,但在根据国际条约欧盟成员国法律适用的地方。2.处理个人数据的原则(第5条)处理个人数据应当:(1)合法、正当、透明;(2)处理数据的目的是有限的;(3)仅处理为达到目的的最少数据;(4)确保数据准确、时新;(5)储存数据的期限不得长于为达到目的所需的时间;(6)采取技术和管理措施以保护数据的安全;(7)数据控制者有责任并应能够证明其做到了以上几点。3.合法处理数据(第6条)至少满足以下中的一项,处理数据才是合法的:(1)数据主体同意了为特定目的处理其数据;(2)处理数据是为签订或履行合同所需的;(3)处理数据是为遵守法定义务所需的;(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;(5)处理数据是为了公共利益或行使*授予的权力;(6)处理数据是为追求数据控制者的合理利益,但不得损害数据主体的利益。4.儿童个人数据的处理(第8条)处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁。5.处理特别类型的个人数据(第9条)禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。6.被遗忘权(第17条)当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。7.可携带权(第20条)数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。8.个人数据泄露通知(第33、34条)数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或*带来巨大风险时,数据控制者必须毫不延误地通知数据主体,以便数据主体及时采取措施。9.设置数据保护官(第37、38、39条)为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(dataprotectionofficer)。10.巨额罚款(第83条)对于一般性的违法,罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
三、结语
欧盟此次通过的《一般数据保护条例》对1995年的《欧盟数据保护指令》进行了大刀阔斧的改革:将适用的主体范围扩大到了*的企业;增加了透明原则、最少够用原则等一般性保护原则;开创性地引入了被遗忘权、可携带权等;并且对于违规活动进行严格的处罚,全面提升了对个人数据的保护力度。此外,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。业界也有人担心这种严格的数据保护将会阻碍对数据商业价值的开发。因此,在实践中面对纷繁复杂的情况时,需要找到其中的平衡点。对于欧盟以外的国家,新条例无疑树立了一个高标准的个人数据保护法律模板。鉴于欧盟对于数据跨境传输的严格要求,其他国家可能需要跟上欧盟的步伐,以免在数据利用方面受到限制。当越来越多的国家提高了对个人数据的保护力度,落后者可能会被禁闭在无限网络的狭小空间之内。
3、杀手锏
重罚
除了扩大个人数据的保护范围、赋予数据主体一系列强大的权利外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。
对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如果根据全球营业额进行处罚,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annualturnover),而非全球净利润。该等级的处罚究竟适用哪些情形,GDPR第83条第4款规定三大类数据违法行为:第一,数据控制者与处理者没有尽到相应数据保护义务。譬如未实施适当的技术和组织措施、未尽职责保持数据处理活动的记录、没有及时向监管机构通知数据已泄露、未进行数据保护影响评估等;第二,没有对数据保护认证组织履行义务;第三,没有对监管部门履行义务。
针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。GDPR第83条第5款规定了五大类严重违法的具体情形:第一,违反数据处理的基本原则与条件。数据处理应当遵循六大原则:合法、正当与透明原则,目的有限原则,数据最小化原则,准确性原则,储存限制原则,完整性与保密性原则。数据处理应当符合相应的合法性条件;第二,侵犯数据主体的同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利;第三,不符合条件将个人数据传输给第三国或国际组织;第四,没有对成员国履行相应的义务;第五,未能遵守监管机构的相关要求。
可见,GDPR设定的“罪”是相当多的,“罚”是非常严厉的。制定任何法律的目的不在于处罚,处罚只是保障法律有效实施的必要手段。“重典治乱”未必总能取得良好效果,但确实可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。
无论是对于数据处理违法行为的认定及其严重程度判断,还是对于处罚金额的最终作出,欧盟监管机构都享有巨大的执法裁量权。如何减少数据保护监管的权力寻租,防止监管“俘获”,消除腐败,确保公正执法,是接下来欧盟当局特别是法治水平不高的一些成员国需认真对待的问题。
长臂管辖
确立“长臂”管辖原则,或称为效果原则,是GDPR的另一大“杀手锏”。法律是国家主权的体现,一般只在一国领土范围内发生效力,即属地原则。但随着近些年来网络技术的不断提高,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内得到蓬勃发展。在数字经济时代,再继续坚持传统的属地主义原则,或许无法有效保护本国公民的权益和国家利益。
GDPR的适用范围极广,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力。
首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。
其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。此管辖规则实际上确立了GDPR的属人主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。属人主义原则的确立,大大扩大了GDPR的管辖范围。
再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据属人主义,仍然可能依国际公法规则对数据处理行为进行监管。
GDPR所确立的三大管辖制度,可称之为“长臂”管辖原则。通过分析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受GDPR的管辖。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。
“罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的可预测的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。“想吃大蛋糕,又不愿失去更多面包”的全球数字经济企业,应当抓紧按图行事不断完善企业数据治理。