欧盟议会通过的《通用数据保护条例》(以下称为“欧盟GDPR”)已经于2018年5月25日生效,其被称为史上最严格的个人数据/隐私信息保护规定,违反欧盟GDPR的组织将可能面临包括巨额罚款在内的处罚。欧盟GDPR的适用不仅限于欧盟境内的主体,其效力可扩展至欧盟境外的主体(包括符合条件的中国公司或组织),因而其具有全球影响力。实际上,中国的全国信息安全标准化技术委员会已于2018年5月25日发布了《关于发布<网络安全实践指南——欧盟GDPR关注点>的通知》,介绍欧盟GDPR的适用场景、核心内容、关注点,提示读者关注GDPR实施对其产生的影响。可见,中国的有关组织应当密切关注欧盟GDPR对其业务、运营带来的影响,以免遭受巨额罚款处罚,降低合规风险。本系列文章旨在简要归纳欧盟GDPR条文要点,提示中国有关公司/组织注意相关重点规定,以期就新近实施的欧盟GDPR规避个人数据保护方面的合规风险。
1.欧盟GDPR的适用范围
欧盟GDPR适用于:
1)在欧盟境内设立的公司/组织从事活动背景下收集或处理个人数据[ 个人数据是指识别或可识别自然人的任何信息,通过包括姓名、身份识别号码、地址数据、或该自然人所特定的身体、心理、基因、精神、经济、文化或社会身份等一个或多个因素可直接或间接识别该自然人。],不论该数据在何地予以处理[ 处理指的是就个人数据进行的任何单个或一系列操作,不论该操作是否通过自动化手段,包括收集、记录、组织、划分结构、保存、调整、更改、恢复、使用、通过传输予以披露、传播、删除等。];
2)处理个人数据的公司或组织,个人数据作为其在欧盟设立分支机构(branch)活动的一部分,不论该数据在哪里予以处理;或
3)在欧盟外成立的公司或组织,其向欧盟境内个人提供货物或服务(不论是否收费);或
4)在欧盟境外成立的公司或组织,其虽不向欧盟境内个人提供货物或服务,但监控(Monitor)欧盟境内个人在欧盟内的行为;
5)处理个人数据的、在欧盟境外但于欧盟成员国法律予以适用的地方所设立的公司/组织。
例外情形是,如以上所述处理个人数据的小型及中型企业,其处理个人数据并非其核心业务,并且该个人数据处理行为不给个人带来风险的,则欧盟GDPR的一些义务(比如,任命数据保护官即Data Protection Officer)将不予适用。
举例:如果一家小型公司在欧盟之外设立,提供线上服务,业务对象主要为欧盟境内的个人,欧盟境内个人在其网站上填写申请表后获得账号和密码后,其向欧盟境内个人提供免费咨询服务,则该小型公司适用欧盟GDPR。另,如果一家公司设立在欧盟境外,其向欧盟境外的个人提供服务,其客户在前往其他国家(包括欧盟范围内的国家)时可使用其服务,如果该公司并非将欧盟境内个人作为其目标客户,则该公司不适用欧盟GDPR。
以上可见,欧盟GDPR的效力扩展到欧盟以外的区域。中国企业根据其实际业务运营情况,如果向欧盟境内个人提供货物或服务,或者监控欧盟境内个人的行为,或者本身在欧盟境内设有分支机构或关联机构,其收集了欧盟境内个人的数据信息,不论数据处理是否在欧盟境内,该中国企业就很可能受欧盟GDPR的约束,需要从合规角度采取相应措施,以遵守欧盟GDPR的规定。
2.欧盟GDPR的数据保护主要原则
可处理的个人数据的类型和量的大小取决于处理个人数据的合法理由和目的。必须遵守的主要原则包括以下:
1)合法、公平及透明原则:必须以合法、透明方式处理个人数据,确保公 平对待所处理个人数据的各个自然人。
2)特定目的:处理该数据必须具有特定目的,并在向个人收集其个人数据时告知该特定目的。
3)最少化数据:收集和处理数据以为达成特定目的所必需为限。
a.遵循充分性、相关性原则,并限于为实现特定目的所必需的范围;
b.公司/组织作为数据控制人应当评估哪些数据属于必要的数据并确保不收集不相关性数据;
c.尽可能使用匿名数据;
d.保存数据的期限尽可能短,考虑因素包括处理该数据的需求、法律 规定的保留数据的期限,并设定删除或复核该等数据的时限;
e.为公共利益目的或科学研究、历史研究目的,在采取恰当数据保护措施前提下,可在更长期限内保存个人数据。
4)准确性:必须确保为实现公司/组织的特定目的所需要的个人数据是准确 的且为最新数据,如果不准确或不是最新数据,应予以纠正。
5)兼容性:不得基于与最初收集个人数据时的目的不兼容的其他目的使 用已收集个人数据。
a.需要考虑原先的目的与新目的之间的关联性、公司/组织与被收集数据个人之间的关系、数据的类型和性质(是否为敏感数据)、进一步处理数据的可能后果(其将如何影响个人)、是否存在恰当的保护措施;
b.如果最初系基于个人的同意或应法律的要求收集了个人数据,则不得超越最初作出同意的范围或法律规定所允许的范围进行进一步数据处理,进行进一步的数据处理须取得新的同意或具有新的法律依据;
c.如果旨在将已取得的数据用于统计或科学研究目的,则不必测试兼容性。
6)存储限制:必须基于实现收集个人数据的特定目的才予以存储该个人 数据。
7)完整性及保密:必须使用恰当的技术和组织手段确保个人数据的安全,以免未经授权或非法处理个人数据、个人数据意外丢失、毁损或造成损害等。
3.告知并取得个人同意
收集个人数据时应告知个人并取得其同意,数据的处理应遵守以上数据保护主要原则。以下信息应当以书面形式(经个人要求,则按口头形式)或恰当时以电子形式告知被收集个人数据的个人:
1)收集数据的公司/组织的身份(包括联系方式详情以及公司/组织的数据保护官,如有);
2)公司/组织使用个人数据的目的;
3)所涉及个人数据的分类;
4)处理其数据的法律上的正当理由;
5)保存数据的时间期限;
6)哪些人可能获得该等数据;
7)个人数据是否会被转移到欧盟外的主体;
8)个人是否有权取得数据复制件、查阅个人数据以及有关数据保护的其他 基本权利;
9)个人享有向数据保护机关投诉的权利;
10)个人享有随时撤回同意的权利;
11)如适用,自动化决策的存在以及所涉逻辑,包括后果。
以上告知语言应当简洁、明确、透明、易理解、易于个人获知该等告知信息,并不得向个人收取费用。
如果一家公司/组织从其他公司/组织处获得该等数据,除有例外情形,以上数据应当自取得该等数据后1个月内告知相关个人。
4.数据处理
只有在特定情形下,公司/组织才能处理个人数据,包括:
1)取得相关个人的同意;
2)公司/组织与个人之间存在合同约定;
3)履行欧盟或国家法律项下的法定义务;
4)为欧盟或国家法律项下公共利益所需,有必要处理该数据;
5)保护个人的重大利益;
6)为公司/组织的合法利益,且核实处理该数据不会严重影响所涉数据的 个人的基本权利和自由后。
5.敏感数据的归类以及处理敏感数据的条件
以下数据为敏感数据,须符合特定数据处理要求:
1)表明其种族、民族、政治观点、宗教信仰等的个人数据;
2)政治观点;
3)用以识别个人的基因数据或生物数据;
4)与健康相关的数据;
5)与个人性取向等相关的数据等。
只有在符合以下条件前提下才能处理敏感数据:
1)取得个人的明确同意(但有例外情形);
2)欧盟或欧盟成员国法律或集体协议要求公司/组织处理该数据,涉及劳 动、社会保障和社会保护法律的要求;
3)相关个人存在重大利益受到威胁情形;
4)非盈利组织处理其成员/会员的数据;
5)个人已经明示将该等数据公诸于众的;
6)基于欧盟或欧盟成员国法律为重大公共利益目的;
7)基于欧盟或欧盟成员国法律,为保管、科学研究、历史研究目的或其他 统计目的;
8)基于欧盟或欧盟成员国法律,为公共健康领域的公共利益目的;或
9)为预防医学、职业病学、员工工作能力评估、医学诊断等目的处理数据。
特定数据的处理可能还受制于欧盟GDPR以外的其他规定。
6.执法机构及处罚(包括巨额罚款)
数据保护机关(DPA)的职责包括公布关于数据保护问题方面的专家意见,但不能就具体案件出具意见或代替律师行事,也包括向违反欧盟GDPR的主体实施处罚措施。公司/组织必要时需要就数据违规与数据保护机关联络。就某些特定类型的数据处理,某些欧盟国家法律可能要求公司/组织取得主管数据保护机关的授权。
对于一般违反欧盟GDPR的情形数据保护机关可能实施以下处罚措施:
1) 疑似侵权——可给予警告
2) 侵权——处罚可能包括:
a. 谴责;
b.临时或确定性的数据处理禁令;或
c.金额至多为2千万欧元或上一年度全球年度总营业额的4%的罚款(以较高者为准)——罚款可单独也可附加于谴责和/或数据处理禁令执行。
除了执法机关即数据保护机关实施的处罚,个人还可向公司/组织提起赔偿之诉。