随着全球化趋势的不断加强,大数据、云计算、移动互联网、物联网、社交网络以及各种智能终端在现代生活中已经非常普及,个人数据的获取和处理面临的风险与日俱增。为了更好地保护个人数据安全,欧盟委员会重新审视已有的个人数据保护法律框架,于2012年11月制定了更加严格的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR),并于2018年5月25日正式实施。
一、《一般数据保护条例》出台的背景
(一)互联网技术进步与贸易全球化的需要
近年来,随着互联网基础设施的不断升级与技术进步,智能手机、智能穿戴设备等移动终端在生活中越来越普及,个人在享受互联网带来的便捷服务的同时,其大量隐私数据也无处遁形。
与此同时,经济全球化的深入发展正在促成一个统一的全球经济体,各国之间、地区之间的经济利益错综复杂,相互依赖程度不断加深。欧盟地区作为活跃在国际市场上的一份子,区域内的个人数据也会遭到各个国家、地区、私人公司和公共机构的深入挖掘与分析,从而增加了个人数据的在线风险。因此,为了切实保护欧盟公民免受隐私和数据泄露的影响,欧盟委员会在已有个人数据保护法律框架的基础上,通过加强权利保护、明确义务主体等方式,制定了被称为“史上最严隐私条例”的《一般数据保护条例》。
(二)互联网产业新布局下的必然选择
在当下的全球互联网产业竞争格局中,美国和中国处于世界领先地位,欧盟国家则相对落后。在全球排名前二十的互联网公司中,基本上以美国和中国企业为主。在社交媒体和搜索引擎等基础应用方面,欧盟市场几乎被以谷歌为代表的美国企业垄断;而网络基础设施方面,欧盟也逐渐式微。在此背景下,欧盟转换思路,试图通过制定统一规则并将其在全球范围内推广,从而加强个人数据权利保护的方式来提高其在互联网产业的竞争力和话语权。GDPR的出台不仅有利于欧盟内部形成一致的个人数据保护标准,推动欧盟成员国自身大数据产业的平稳有序发展,更重要的是可以改变欧盟在全球互联网产业布局中的地位,提升在与美、中等数据大国相互博弈中的话语权。
(三)已有的数据保护框架需要更新与完善
早在1995年,欧盟就通过了《个人数据保护指令》(简称“95指令”),作为欧盟隐私和人权法的重要组成部分。“95指令”为欧盟成员国立法保护个人数据设立了最低标准,也由此成为20世纪90年代发达国家制定个人数据隐私保护法律的标杆。然而,随着网络技术的更新换代,个人数据的种类与数量都实现了超乎想象的增长,“95指令”在保护个人数据信息安全方面的有效性日益下降。
此外,各国基于独具特色的法律制度和文化传统,分别采取了不同的实施方式和执法过程,使得个人数据在不同的成员国享有不同的保护水平。而这种不协调以及分割式的法律实施方式一定程度上增加了法律的不确定性,公众开始怀疑网络活动的安全性,“95指令”已经明显阻碍了互联网产业的发展。因此,欧盟需要一部监管力度更大、涵盖面更广,并且具有普遍指导意义的数据保护框架,从而提升个人的数据安全程度与市场的运转活力。因此,《一般数据保护条例》便应运而生。
二、《一般数据保护条例》的主要特征
(一)全面加强数据主体的权利
1.处理个人数据须经数据主体的明示同意
实践中,用户在浏览电商网站时,其过往的搜索记录会被自动保存,以便商家针对性地推荐商品。GDPR要求数据处理者必须事先向客户说明上述功能,并获得客户同意,否则按“未告知记录用户行为”作违法处理。此外,过去很多网站的“用户协议”、“隐私政策”等形同虚设,动辄便是长达几十页的数据使用条款,用户根本没有耐心读完就匆匆点击“同意”以便注册使用,从而导致法律预期的落空。故而,GDPR在这方面给出了明确规定,企业不能再使用冗长、模糊不清、难以理解的隐私政策来从用户处获得数据使用许可。
具体来说,GDPR第6条对数据主体的同意设置了新的条件,使其作为数据处理合法性的基础。首先,数据主体的同意必须基于其具有一个或多个特定目的;其次,数据主体必须自愿给出说明,详细表明其已经同意对个人数据的处理,且该说明必须是明示的,包括书面声明或明确肯定的行动表示,缄默或不行动不构成同意。另外,请求获得同意时应与其余事项完全区别开来,并且须采用容易理解的形式,使用清晰直白的语言,除此之外,任何违反GDPR的声明都不具有约束力。最后,数据主体应当有权随时撤回其同意。在撤回之前其合法性不受影响,并且撤回同意应当和表达同意一样简单,不能给用户设置撤回同意的任何阻碍。
2.明确提出了数据可携带权和被遗忘权(擦除权)
相比“95指令”,GDPR增加了数据可携带权和被遗忘权(擦除权)。数据可携带权是指数据主体有权获得其先前提供给控制者的相关个人数据,且其获得的个人数据应当是经过整理的、普遍使用的以及机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。作为GDPR的一项创新性权利,数据可携带权旨在平衡数据“自由”与“安全”两个相互抗衡的概念,使数据主体既能确保自身个人数据的安全,同时在需要作数据迁移的时候又能够降低成本。这一制度也有效避免了个人数据的锁定效应,同时有利于活跃市场,促进服务提供商的公平竞争。在实践中,数据可携带权的使用常见于社交网络的信息共享、员工离职或者更换保险公司时的情景。
被遗忘权是GDPR引入的一个全新概念,当个人数据已和当初收集处理的目的无关、数据主体不希望其数据被继续处理或数据控制者已失去保存该数据的法定理由时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。控制者在删除义务之外还负有进一步帮助实现主体被遗忘权的告知义务,从而扩张了传统意义上的被遗忘权。为回应GDPR的要求,Facebook的用户可在搜索后删除历史记录,该搜索日志六个月后将真正清除;用户提交的用于账户验证的身份证件副本,30天后方能彻底清除。
3.特别规定了对敏感数据的处理
敏感数据又称为特殊类别的个人数据,密切关系着个人的身体健康、生命及财产安全,对其处理存在特定的风险。GDPR专门规定了“特殊类别的个人数据”的处理条件:对于那些显示种族或民族背景、政治观念、宗教、哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据应当由数据控制者或其代理人负责实施数据保护影响评估( DPIA),该评估结果会直接影响处理数据的条件。GDPR的规定揭示了特殊数据的特定风险,企业在兼顾经济利益的同时,要尽可能的关注个人数据的安全,充分体现对基本人权的维护与尊重。
(二)明确相关主体的义务
1.将数据处理者纳入需要承担义务的范畴
与数据控制者不同的是,数据处理者仅负责使用特定方法对数据进行分析,并不参与数据前期搜集和具体使用的环节。因此,从这个角度来看,数据处理者与数据主体并不产生直接关联。然而,为了提高个人数据在整个传输过程中的安全性,GDPR仍将其纳入了监管范畴并明确规定,数据处理者必须在GDPR的框架下切实履行保护数据主体个人隐私权利不受侵犯的责任。GDPR还规定,数据处理者只有在收到控制者的书面指示时才可以处理个人数据;与此同时,如果没有控制者之前的特别授权或一般书面授权,处理者不应聘用另一个处理者。
2.首次提出企业数据保护专员(DPO)制度
为了提升企业对于数据保护法律框架的遵从度,在员工中树立个人数据保护与风险防控意识,GDPR首次创设了数据保护专员(DPO)制度。数据保护专员是在企业内部设立的专门负责数据保护的人员。其职责主要体现在三个方面,一是与数据主体进行沟通,从而发现企业数据管理可能存在的问题并及时进行整改;二是对企业是否违反GDPR的相关规定进行自我监督,并与数据监管机构对接沟通合作;三是培养企业成员在数据控制和处理中的合规意识。
3.规定了数据控制者与处理者的及时告知义务
GDPR明确规定,在个人数据发生泄露的情况下,如果可行,控制者在知悉后应当及时(不超过72小时)将个人数据泄露情况告知监管机构,除非个人数据泄露对于自然人的权利与自由不太可能带来风险,否则必须告知;对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。当个人数据泄露很可能给自然人的权利和自由带来高风险时,控制者应当同时向数据主体传达个人数据泄露情况。此外,数据处理者在获知个人数据泄露后,也应当及时告知控制者。
当今大数据时代数据分析与挖掘技术日趋成熟,网络黑客和恐怖分子窃取数据的机会增加,手段也更加搞明,数据泄露带来的财产损失、名誉受损等现象时有发生。因此,GDPR的这一规定无疑加重了数据控制者和处理者的责任,能够鞭策他们做好数据安全保护措施,从而提升用户的数据安全,尽可能降低风险。
(三)进一步拓宽GDPR的适用范围
与95指令相比,GDPR适用的地域范围更加宽广。在欧盟内部设立的数据控制者或处理者对个人数据的处理要受到GDPR的管辖,不论其实际数据处理行为是否在欧盟内进行;此外,即使数据控制者或处理者不在欧盟设立,只要满足以下任一条件也会受到GDPR的监管:(1)为欧盟内的数据主体提供商品或服务,不论此项商品或服务是否要求数据主体支付对价;(2)对发生在欧洲范围内的数据主体的活动进行监控。
由此一来,GDPR的管辖范围大大扩展,可谓是欧盟在数据保护方面的“长臂管辖”原则。该《条例》通过当天,很多美国媒体网站由于未能提前做好数据合规工作,只能暂时屏蔽欧盟地区用户,以免触犯新法。而很多公司为了免受天价处罚,索性直接批量删除欧洲范围内的客户资料。此后,中国的腾讯公司也对QQ国际版、微信国际版做出了相应调整。
三、中国企业如何应对
(一)全面加强个人数据保护意识
欧洲委员会经过四年讨论和两年过渡期,于2018年5月25日正式生效的《一般数据保护条例》俨然已成为了“世界上最严格的个人数据保护条例”,志在为欧盟公民的个人数据保护带来革命性的变化。
反观中国的互联网企业,过去十几年的飞速发展无疑与依靠用户数据发财,漠视用户权利,为所欲为的做法密不可分。百度董事长兼首席执行官李彦宏曾说过,中国人对隐私问题比较开放,或者说没有那么敏感,如果通过牺牲隐私而获得便捷、效率、安全,在很多情况下中国人是愿意这么做的!李彦宏的这番话在引发巨大争议的同时,也折射出了不少中国互联网企业对于用户隐私的态度。
GDPR相比之前的数据保护法,不仅分的细、管的宽,而且罚的狠,稍不注意就会面临2000万欧元或全球营业额4%的罚款(两者取其高)。因此,忽视用户个人数据与隐私的的时代已经一去不复返,企业必须从根本上意识到这个问题,全方位落实,不能只发展不要安全,只要效率不要责任。
中国信息安全研究院副院长左晓栋表示,对于已经进入欧洲市场的企业,在个人数据保护以及应对GDPR方面准备非常不足,而造成这一现状的原因并不是技术或资金问题,核心在于观念意识。中国企业大多还抱着之前“打擦边球”的想法或者纯粹的侥幸意识,实则忽略了欧盟在个人数据保护方面的执法决心。
对于尚未进入欧洲市场的企业来说,因为中国的个人数据保护立法的缺失,更考虑到企业以后进入国际市场的宏伟蓝图,早日进行个人数据保护合规是非常必要的,也为企业获得可持续发展提供支持。
(二)建立完善的个人数据管理制度
2018年11月28日,中国消费者协会发布了《100款App个人信息收集与隐私政策测评报告》。报告显示,目前大多数App存在过度收集或使用个人信息,没有隐私条款或隐私条款不达标等问题。可见,中国互联网企业在个人数据保护方面做的还非常不够,如果用GDPR去衡量的话,已经严重违规。因此,为了更好地“走出去”,企业必须建立一套完善的个人数据管理制度,并且全面对接GDPR。
首先,企业应该做好自查与审核工作。参照欧盟《一般数据保护条例》对控制和处理个人信息的情况进行梳理,确定企业行为在合理范围之内。根据《一般数据保护条例》的要求,设立数据保护专员,对所有在线业务及产品的个人信息数据操作情况进行审查,及时采取合规举措,对处理个人数据的程度进行评估,以期达到GDPR的要求。
其次,对于今后将要研发或推广的产品和服务,企业应该在开发过程中嵌入GDPR的检测工作。并且通过对员工尤其是产品开发人员的合规培训,在产品设计之初就融入个人数据合规理念,整合必要的保障措施,给予用户对其个人数据的控制权和随时撤回同意的权利。同时,加强数据控制者与用户之间的联系,保证用户能够确保自身信息安全以及申诉渠道的畅通;同时,也应确保企业能够及时向数据主体通报数据泄露情况。
最后,企业内部应该形成定期培训机制,从而建立用户数据保护与规范的企业文化。通过意识层面的强化认识,借助定期培训的方式,能够让数据保护的理念与文化传承下去,使得数据保护成为企业员工的自发行为,从而构建真正的企业数据合规。
参考文献
[1] 欧盟《一般数据保护条例》,译作者丁晓东.
[2] 欧盟《一般数据保护条例》(GDPR)与中国应对,吴沈括.
[3] 欧盟《一般数据保护条例》:演进、要点与疑义,金晶,欧洲一体化研究
[4] 欧盟《一般数据保护条例》的出台背景及影响,何治乐,黄道丽,信息安全与通信保密 2014,10.
[5] 欧盟《一般数据保护条例》的主要内容及对我国的启示,金融与经济,2018.04.