国际规则与标准化

您的位置是:首页>国际贸易规则>国际规则与标准化

解析GDPR及对中国涉欧企业的影响

发表于:2018-05-24 17:18 作者:admin

田贵生 郑州大学西亚斯国际学院

摘要:欧盟《通用数据保护条例》(简称GDPR),于2018525日正式在欧盟28国强制实施。该条例条款详尽复杂,涉及范围广泛,且惩罚措施严厉,把信息安全中关于隐私保护的范畴和重要性提升到前所未有的高度。条例的实施,对欧盟企业及与欧盟发生业务往来的企业都有着重大影响。中国涉欧企业也应积极应对GDPR的实施,本文在GDPR内容解析的基础上,探讨了其对中国涉欧企业的影响,并提出相应建议。

GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟针对隐私保护实施的一项新立法,是有史以来规模最大、最具惩罚性的隐私保护法。该条例于201211月制订,2016414日通过,2018525日正式生效,以替代1995年出台的《欧盟数据保护指令》(简称95指令)。GDPR旨在使欧盟和泛欧盟经济区达到更广泛的法律一致性,同时推出更严格的规定来保护欧盟公民免受隐私和数据泄露的影响。受GDPR实施的影响,各国涉欧企业都开始改变或停止在欧盟地区的传统做法。例如,谷歌和Facebook都已经修改了用户政策条款,苹果公司已停止了在机器学习和人工智能系统开发中使用用户数据,美国多家新闻网站拒绝或暂时拒绝欧盟访客,韩国大型在线游戏《仙境传说》直接关停了欧盟地区服务器。鉴于GDPR实施的重要性,中国涉欧企业需在熟悉该条例相关内容的基础上,结合相应受到的影响,积极主动地采取有效的应对措施。

一、解析GDPR的主要内容

(一)制定了数据处理的规定和原则

GDPR第四条对个人数据的规定:“个人数据是任何指向一个已识别或可识别的自然人的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。”该条例对个人信息进行了宽泛地解释:不仅用户提供的交易信息如银行账号、地址和联系方式等属于个人信息,某些网络数据也可以被认定为个人信息,例如IP地址。在判定某一数据是否能够识别自然人时,要将合理范围内所有可以采用的技术、非技术手段,以及该数据和数据控制人或使用人持有的其他信息之间的关系等因素都考虑进去。对于特殊类别的个人信息,比如遗传数据和生物特征数据,GDPR规定了更严格的保护措施。GDPR数据处理的核心原则延续了之前的95指令,主要有7大原则:合法、公开、透明性;目的限制;数据最小化;准确性;存储限制;完整机密性;问责制。GDPR允许企业“合法”处理个人数据,如果企业有法律依据,则可以在某种未经同意的情况下合法处理个人数据:数据是合法收集的,有正当理由去使用数据及数据处理过程也是合规的;此外,GDPR专门针对公共部门获取数据的情况也进行了限制。

(二)数据主体的权利扩大

GDPR对数据主体的权利有进一步扩大的新规,主要有以下几方面:

1)增加了数据的可携权。数据可携权是指数据主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一控制者。GDPR 要求数据控制者保障数据具有结构化、通用、机器可读以及操作性等技术可行性特点,该权利使得个人数据在不同的服务提供者之间转移更容易实现。(2)创新性的设计了被遗忘和删除权。被遗忘和删除权是指数据主体有权要求数据控制者删除其数据,并不得有不合理的延迟。GDPR详细构筑了被遗忘和删除权的构成要件,包括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。该权利意味着数据主体对数据的存留拥有更多的决定权。(3)针对个人数据的同意增加了要件。数据主体的同意是指数据主体自愿做出的明确的、具体的同意其数据被处理的指示。GDPR 扩大了同意的要件,要求同意必须以易于理解且与其他事项显著区别的形式呈现,数据主体有权随时撤回。(4)保障个人对其数据的访问权、限制处理权与拒绝权。数据主体有权获得其数据处理与否及其处理目的、分类、存储的方式,并有权要求纠正以及限制数据的处理行为,在营销以及部分科学研究与统计活动中,数据主体有权拒绝有关其个人的数据处理。(5)规定了特殊数据处理。特殊数据指隐私数据或者称特殊类别的的个人数据,这些数据关系着个人身体健康、生命及财产安全,对其处理存在特定的风险。GDPR专门规定了对这类数据的处理条件。

(三)数据义务主体的义务增加

数据的义务主体主要有数据的控制方和数据的处理方。GDPR要求作为数据义务主体企业履行更多的义务。主要有以下几点:(1)任命专门的数据保护专员(Data Protection OfficerDPO),一般任期两年,可连任。有的企业可以任命多名的DPO,也可以指定独立的DPODPO的指定应当是透明的,向公众及监管机构通报其姓名和详细的联系方式。DPO负责创建访问控制,降低风险,确保数据控制者和数据处理者符合GDPR的规定。数据主体也可以联系DPO来行使自己的权利,同时DPO也扮演着与监管机构间的联系人和合作者的角色。(2)个人数据泄露报告(Date Breach Notification)。GDPR要求数据义务主体在数据泄露的24小时内报告监管机构和数据主体。如果数据泄露可能危及数据主体的安全时应当及时通知数据主体,以便个人及时采取措施。(3)建设“隐私内置”机制。要求产品或服务主体的整个生命周期贯穿隐私和数据保护。(4)实施隐私保护影响评估,即对于高风险的数据处理活动,需要事先评估,主要有系统性的评估、必要性评估和数据主体风险性评估等。

(四)数据传输规则的完善

随着全球一体化和现代科技的推进,个人信息在跨境数据流中比重增加,但个人数据容易受到侵害。GDPR明确规定,除非满足特定条件,欧盟公民的个人数据不得转移到不能达到与欧盟同等保护水平的国家。对此,GDPR规定了数据流合法路径:(1)充分性要求,给出了具体满足充分性要求的方法和标准,并要求对各国是否满足要求进行持续监督。(2)有约束力的公司规则。对跨国公司内部跨境数据流转移规则给予正式的法律地位,并详细规定了该规则的认可程序和内容标准。(3)标准的合同条款。规定数据控制方和数据处理方之间的合同应当至少包含哪些内容,如数据处理的目的、期限、个人数据的类型、数据主体的类别以及双方的权利义务等。

(五)执法监管机制的加强

GDPR加强了监管机构的执法权,包括行使各项调查权,督促企业采取纠正措施,保障公司司法救济,提起司法诉讼等。据此,欧盟实施“一站式”投诉服务来处理跨境投诉,并成立欧盟数据保护理事会,以便监督法案实施,提供合规与认证建议,协调处理投诉。GDPR还规定了不同罚款标准,对未采取措施来避免或降低侵害数据的义务方或处理方,最高可处1000万欧元或全球营业额2%作为罚款(以二者中最高者为准);对违反数据处理原则、侵害数据主体权利、违规传播的数据义务方或处理方,最高可处2000万欧元或全球运营额4%的罚款(以二者中最高者为准)。

二、GDPR的实施对中国涉欧企业的影响

(一)中国涉欧企业全部纳入新条例的管辖范围

GDPR的适用范围很广,不但欧盟内有实体的企业需要接受管辖,而且同样适用于在欧盟成员国没有实体,也不在成员国内处理个人信息,只在欧盟境内提供商品或劳务,或跟踪欧盟居民的行为的企业,而这些企业都需要受到监管。

中国作为全球发展最快的经济体之一,企业的业务范围已经扩展到包括欧盟在内的全球各地。无论是银行、保险、航空等这些传统的行业,还是电商网站、娱乐、社交等新兴领域,只要在欧盟成员国内开展业务,就必须保护欧盟成员国民众的个人资料与隐私,即使公司业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的客户,都必须遵守GDPR,一旦违反,将面临严厉的处罚。中国的大型跨国公司,如阿里巴巴、腾讯、海航、小米、摩拜、ofo、大疆等必定纳入GDPR适用范围。一些中小型企业,或者进行跨境电商业务的小型企业,只要其接触欧盟成员国客户的个人数据,也需要受到相应监管。

(二)中国涉欧企业需更加重视隐私安全

GDPR引入了从设计着手保护隐私(privacy by design)和默认保护隐私(privacy by default)两项原则,要求各类组织机构在产品和服务的初始设计阶段过程中,就将数据与隐私保护考虑在内。根据数据分析公司SAS的调研,全球仅有不到一半的企业(49%)表示他们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导,仍然处于观望状态。

GDPR为所有企业制定了更高的标准,为行业的发展设定了隐私底线,为公平竞争提供了外部环境。这必然迫使中国涉欧企业认真审视自身的隐私保护政策,倒逼其努力合规。阿里云是当前亚洲合规资质最全的云服务商,其在公司内部进一步加强人员培训与机制流程,使数据保护成为阿里云全公司的核心理念。在产品规划中,阿里云遵从默认隐私设计理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。针对“数据的被遗忘和删除权”,目前,阿里云为客户提供账号删除功能,全球客户都可以自助操作完成。

(三)中国企业会面临欧盟市场形成的法律壁垒

GDPR是一个庞大的法律体系,有99条密集文件,尤其是对于不了解欧盟相对法律的企业,要确保合规就存在很大难度。技术力量薄弱则是企业合规的一个重要问题,据调查很多企业并不了解自身所拥有的数据、数据的存储位置及数据与业务的关系。强数据保护规则必然会带来泛安全化的负担,高标准的信息保护门槛也会给中小企业造成合规负担。如在条例精神下通过的美欧跨境数据传输“隐私盾协议”,行政手续繁复,登记费用高昂,且硬性要求企业设置数据保护官与数据中心,极大地增加了企业的成本。GDPR的实施客观上形成进入欧洲市场的法律壁垒,自由贸易及其依附的商业发展面临挑战。小米生态链旗下智能照明产品Yeelight已暂停欧洲地区的部分服务(如房间灯光、场景灯光、灯光收藏等功能)。针对最新条例的要求,Yeelight的软件升级工作正在进行中。

(四)中国涉欧企业的销售方式需进行改变

涉欧企业实施消费者数据“许可”和“反对”也必须符合GDPR法规要求,这意味着沿用多年的数据收集和管理方式、营销手段受到挑战,比如利用电子邮件做的精准营销时,消费者则有权说“不”,否则企业将面临巨额罚款。GDPR实施后,中国涉欧企业也就不能像以往在线上通过各种手段获取和联系客户,这使得精准营销难以实现,产品推销、邮件营销、会员代销等传统的销售方式必将面临挑战。比如C2C模式下的电子支付、电子商务,以及云服务、区块链、大数据征信等场景,将更加紧密地涉及用户个人数据的收集、控制、处理及利用。在GDPR的监管下,企业面临维护用户隐私与充分发挥数据价值、寻求商业利益之间的平衡难题。因此中国涉欧企业应力争改变自身组织,管理和保护数据的方式。目前,顺丰为欧盟消费者和欧洲员工分别制定了相应的隐私政策,并在APP下单等信息收集页面为欧盟消费者接收营销信息设置了单独的勾选项。

三、中国涉欧盟企业应对GDPR的建议

(一)建立合规制度

GDPR实质是关于数据隐私保护的条例,中国企业要在欧盟开展业务,就需要符合GDPR的规定,提高企业高管和员工对GDPR合规的重视程度,从以下几个方面着手建立合规的制度:(1)企业有必要选派专人执行GDPR合规工作,并提供必要的权限和经费支持,同时企业需加强对内部员工的培训,确保相关员工和合作伙伴都能根据相应的工作和职能要求,准确理解数据保护的原则,严格执行隐私保护制度中的每一项规定。

2)实施对数据进行加密和匿名化处理。企业需要对数据进行加密储存和传输,采用多种加密方式(AES/DES/SSL等),确保数据的安全,对于敏感数据要进行匿名化处理,比如记录证件号码时,隐藏中间的生日数据段等,避免因为数据泄露导致直接指向可识别的自然人。(3)建立个人数据泄露应急机制。GDPR规定如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件,并启动企业的个人数据泄露应急机制,尽可能阻止泄露范围的扩大,尽量减少因数据泄露造成的损失,同时确保因数据泄露受到影响的人员能及时得到通知。

(二)适当改变处理数据的流程

中国涉欧企业应严肃认真对待数据的管理,充分了解自身所储存处理的数据,并对相关数据进行严格安全的保护。(1)要认清自己是数据控制方还是数据处理方。比如企业通过第三方数据分析服务商(如Google Analytics)来分析用户行为,那么企业是数据控制方,数据分析方就是数据处理方。(2)要了解自身企业所拥有的数据。对含有个人资料的大数据应用,如行销、统计研究分析等,应用有效的技术与算法,达到真正去识别化或去连结化的目标,以确保当事人隐私。(3)企业应检查内部个人资料处理流程,完善内部个人资料保护组织及技术措施,降低因个人资料不当处理所引发的巨额罚款的风险,减少企业营收损失及商誉损失进而维持投资人、员工及客户对企业运行管理的信任。(4)数据的存储期不宜过长。由于用户拥有“被遗忘权”,所以即使企业被授权使用数据,许多数据的存储期也不宜过长。一旦数据不再对企业有用,就应该及时删除该数据。

(三)通过第三方机构解决合规问题

中国涉欧企业需要紧跟监管机构的政策动向,了解GDPR对业务运营造成的影响。如果企业暂时不具备开展GDPR合规测评的能力,可通过第三方专业安全机构进行合规分析、漏洞检测和渗透测试,找出企业的漏洞加以改进。具备条件的企业则可以考虑使用欧盟数据监管当局批准的《行为规范》或者申请获得有关遵守GDPR的认证。但值得注意的是,GDPR要求企业对合作的第三方进行审计,否则对合作第三方的数据违规可能承担连带责任。2018年初小米聘请第三方咨询公司针对GDPR做了对标检查,并修正了对标过程中所发现的问题。阿里云与第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。华为云也通过提供系列全栈安全服务及自检措施,帮助用户和伙伴满足GDPR合规要求。

(四)构建中国企业与欧盟交易的风险评估机制

风险评估系统在对外交易过程中非常重要。法国在60多个国家拥有自己的信息网络,以及建立了信用服务网点。一旦与其他国家进行交易,系统能够及时有效地分析数据和对风险进行评估。如果风险程度评估过高,则可对其进行有效的控制,减少资金的损失。因此,中国企业可加大建立健全风险评估系统的支持力度,通过构建网络服务市场和信息服务网点,检测和评估与欧盟交易的风险,并进行风险控制,以此保障中国企业的利益。此外,中国政府也可与其他国家建立信息联盟,加强信息交流,通过这些措施的实施,完善中国企业应对GDPR的风险保障机制,使其能够顺利地开展相关交易。

友情链接