AD
对8700万用户个人信息泄漏一事,脸谱公司CEO扎克伯格在美国国会的作证可谓举世瞩目。显然,国会作证仅仅是脸谱公司承担责任的开始;接踵而来的可能不仅仅是美国监管当局的处罚,还可能有来自欧盟监管当局的巨额罚单。对此,中国企业并不只是看客,因为2018年5月25日生效的欧盟《通用数据保护条例》(GDPR)同样适用于有涉欧业务的中国企业。
1.GDPR为什么让企业害怕?一提起GDPR,最让企业害怕的当属其规定的天价处罚。天价处罚有两档规定,最高级别行政处罚的上限为2000万欧元(约为1.5亿人民币)或企业上一年度全球总营业额的4%,两者择高处罚。这种处罚针对的行为包括违反GDPR规定的个人数据处理基本原则、违反收集同意的要求、侵害个人数据权、非法进行个人数据的跨境转移、不遵守欧盟成员国监管机构作出的行政命令等。次高行政处罚的上限是1000万欧元(约为7722万人民币)或企业上一年度全球总营业额的2%,两者择高处罚这种处罚针对的行为包括违反GDPR有关收集儿童个人数据的要求,违反GDPR第4章对企业(包括数据控制者和处理者)设定的个人数据处理的义务等。
面对GDPR天价罚款,脸谱公司赶在GDPR正式生效前,将15亿非欧洲用户的个人数据从爱尔兰的服务器“悄悄地”转移到了美国本土。这样,对这些在亚洲、非洲、澳大利亚和拉丁美洲的15亿用户,脸谱公司就不用遵守GDPR关于收集同意等方面的严格要求。但是,应该强调的是,对这些用户提供服务时产生的收益仍然要纳入欧盟监管当局计算罚款的基数。
2.GDPR为什么跟中国企业有关?GDPR的适用范围非常宽泛,即使不在欧盟地域范围内营业,中国企业仍有可能受GDPR规制。GDPR第3条规定,除了在欧盟地域范围内设立营业场所的企业受其规制之外,其他不在欧盟地域范围内设立营业场所的主体,如果从事下列活动,也要受其规制:(1)对在欧盟地域范围内的数据主体提供商品或服务,不论是否要求处理相关主体的支付信息。这里的“提供商品或服务”是根据企业是否显然希望给在欧盟一个或多个成员国居住的居民提供商品或服务来判断的。如果仅仅是可以访问企业的网站、提供可联系的邮件或其他联系地址,或者网站
只是使用了中文,都不构成“显然希望”。然而,如果使用了欧盟一个或多个成员国的语言或者货币提供商品或服务或者专门提及欧盟的客户,就足以构成“显然希望”。(2)对欧盟地域范围内的数据主体在欧盟地域范围内的活动进行监控的活动。这里的“监控”活动包括追踪网上行踪、进行用户画像等。最后,应当强调的是,所谓“欧盟地域范围内的数据主体”,并不要求是持有欧盟一个或多个成员国国籍的公民,只要在欧盟一个或多个成员国居住满三个月的居民即可。
因此,如果中国企业的网站使用了德语等欧盟成员国官方语言或者以欧元在网上提供商品或者服务,或者企业提供的产品或服务对欧盟居民进行了网上跟踪或者用户画像,那么即使企业不在欧盟设置营业场所,也属于涉欧企业,也要受到GDPR的规制。
3.GDPR要求涉欧企业履行哪些义务?GDPR对于企业收集和处理个人数据设置了一系列义务,一旦违反了这些义务,企业就可能面临天价罚款。因此,中国涉欧企业必须熟悉并认真对待GDPR规定的四大类要求。
一是遵守个人数据处理的七项基本原则,违反这些原则可能面临最高级别行政处罚。GDPR规定了合法、公平与透明原则,目的限定原则,最少收集原则,准确原则,存储限制原则,完整与保密原则和责任原则。其中,责任原则十分重要但常被忽视。该原则要求企业高管不能以不知道有GDPR或者存在前面六大原则的要求来规避责任,而是要对前面六大原则的落实负责。
二是尊重和保护个人数据权,侵害这些权利可能面临最高级别的行政处罚。GDPR规定了欧盟居民享有访问权、修改权、被遗忘权、限制处理权、携带权和反对处理权。其中,被遗忘权在当下最有争议,指的是欧洲居民有权要求企业在特定情况下将其个人数据彻底删除,这些特定情况下包括但不限于个人数据的处理没有合法依据、个人数据处理的目的已经实现、欧洲居民撤回同意。这里的彻底删除有两层含义,一是主张被遗忘权的欧洲公民的个人数据尚未被企业向第三方公开的,企业应将自己服务器中的该公民个人数据完全删除,但法律强制要求留存的除外;二是如果企业在收到遗忘权主张前已经将该公民的相关个人数据向第三方公开的,则除了删除自己服务器上的相关个人数据之外,企业还要通知相关第三方删除相关个人数据。
三是履行企业收集和处理个人数据的义务,违反这些义务可能面临次高行政处罚。GDPR对企业处理个人数据设置了三个层级的义务。第一个层级是适用于所有企业的通用义务,包括防止知情同意困境的主动保护义务和数据安全处理义务。目前,企业通常使用格式合同的方式要求用户选择同意才能使用其服务,但这种方式的结果可能是用户不得不同意,即使格式合同包括了诸多对用户不利的条款,例如规定数据泄露企业不用承担责任。这就是所谓的“知情同意困境”。为了解决这个问题,GDPR规定了三大主动保护义务,即场景义务、设计式数据保护义务和默示数据保护义务,要求企业在处理个人数据之前(包括产品或服务的设计、生产环节,如选择使用哪种软件)和处理过程中,都要根据当前的技术、执行成本、数据处理的性质、范围、目的和侵害个人数据权的风险,主动采取适当的技术和管理措施,保障个人数据的安全。此外,数据安全处理义务指的是企业要采取加密和匿名化处理措施保障数据的访问是受限的、分享数据的数据是经匿名化处理的,并在发生数据违规时在72个小时内主动上报给欧盟成员国数据监管当局,且在可能出现侵害个人数据权高风险的情况下通知涉及的个人。第二个层级是适用于特定数据处理情形的义务,包括数据保护影响评估和指派数据保护官。GDPR规定企业在使用用户画像等自动决策技术、处理敏感信息、对公开场所进行大规模监控(如安装摄像头)等三种情况下必须事先在欧盟指派一名数据保护官,并进行数据保护影响评估。GDPR实施后,欧盟成员国数据监管当局会公开必须进行评估的场景,企业在开展评估前也要事先咨询其数据保护官和欧盟成员国数据监管当局。第三个层级是企业的加分措施,如使用经欧盟数据监管当局批准的《行为规范》或者申请有关遵守GDPR的认证。
四是执行数据跨境转移的审批规则,违反这些规则面临最高级别的行政处罚。在进行重复性而又涉及大量个人数据的跨境数据转移前,企业都要经过欧盟成员国数据监管当局的批准,如采纳欧盟委员会批准施行的关于跨境数据转移的“标准合同条款”或提交针对跨境数据转移的“有约束力的公司规则”供审批。
4.中国涉欧企业接下来要做些什么?面对即将生效的GDPR,中国涉欧企业应当吸取中兴合规不力的教训,将GDPR的合规提到日程上来。事实上,GDPR在很大程度上也考虑了企业合规的问题。例如,对于数据保护官开展工作可能遇到的障碍,GDPR要求企业必须提供必要资源支持数据保护官履行其职责。又如,要求员工在250人以上的企业在合规时必须将所有已采取的措施都记录在案,以备欧盟成员国数据监管当局查验和后续作出行政处罚时参考。
具体而言,建议企业首先选派专人执行GDPR合规工作,并提供必要权限和经费支持。GDPR合规是个系统而动态的工作,需要一定的人力和财力的投入。这样的投入相对于天价行政处罚而言是必要的。其次,对企业所拥有的个人数据进行清查和分类,并设置企业的隐私政策。其中,敏感信息包括种族、政治观点、宗教信仰、工会会员、基因数据、生物学数据、健康数据、性生活或性取向;中国涉欧企业除了获得欧洲居民的明确同意以及为自己企业雇佣的欧洲居民进行人事、医保方面必要的处理之外,都不建议对敏感信息进行处理。再者,对数据进行加密和匿名化处理,审查数据是否获得数据主体的同意及其合作第三方的合同,并考虑数据跨境转移的合法途径。其中,GDPR要求企业对合作第三方进行审计,否则对合作第三方的数据违规可能承担连带责任。最后,对特定情形下的数据处理指派数据保护官、进行数据保护影响评估,跟进欧盟数据监管当局更新的GDPR具体执行规则,并对员工进行培训。此外,具备条件的企业可以考虑使用欧盟数据监管当局批准的《行为规范》或者申请获得有关遵守GDPR的认证。
作者是中央财经大学法学院讲师
