您的位置:首頁»熱點»正文

分析:“史上最嚴”歐盟資料保護法將生效 如何倒逼全球企業

歐盟《資料保護基本條例》(General Data Protection Regulation, 下稱《資料條例》), 將在5月25日全面生效。 近日, 已有不少海外網站與應用發出用戶條款更新提示, 用戶若遲遲未點選同意, 則將無法繼續使用服務。

《資料條例》要保護的是自然人的“個人資料”, 只要該資訊能被用於識別個人身份即為個人資料, 例如:姓名、位址、電子郵寄地址、電話號碼、生日、銀行帳戶、汽車牌照、IP地址以及cookies等。 此外, 健康、宗教信仰、政治觀點、性取向更是屬於高敏感級別個人資料, 保護力度更大。


歐盟推出《資料保護基本條例》 來源:Pixabay

值得注意的是, 這部歐盟法律的管轄範圍並不局限于歐盟境內。

因為《資料條例》採用了“市場地原則”, 亦即任何企業只要在歐盟市場提供商品或服務, 或收集個人資料, 都在這部法律的管轄範圍。

舉例而言, 如果一家中國線上銷售公司的網站上, 使用“面向歐洲的特惠產品”、“歐洲區包郵”的字樣, 或者標注了商品的歐元價格, 就可以被視為在歐盟市場提供商品或服務, 並受到該法律管轄。

收集個人資料的行為包括所有形式的網路追蹤, 例如通過“cookies”(某些網站為了辨別使用者身份, 儲存在使用者裝置上的資料)或社交媒體外掛程式, 來觀察、收集、評估客戶、員工或其他人的購物習慣、行蹤、行蹤等。

企業如果違反了《資料條例》, 罰金最高可達2000萬歐元(約合1.5億人民幣)或全球營業額的4%,

以高者為准。

受《資料條例》規範的行為主體包括任何處理歐盟地區個人資料的自然人、法人、公共當局等, 統稱為“責任人”。 包括網頁運營者、搜尋引擎服務商、社交媒體服務商、酒店、線上電商等都可能是責任人。 接受委託處理資料的“受託資料處理人”, 例如雲服務提供者, 原則上也要遵守《資料條例》相關義務。


來源:Pixabay

為維護企業利益, 《資料條例》允許歐盟企業在集團內部進行資料交流, 但如果位於歐盟的企業要向歐盟以外傳輸資料, 則需要滿足特定的條件。 例如:中國企業的德國子公司, 若要把收集到的客戶個人資訊傳給中國母公司, 就屬於這種情況。

首先, 如果資料傳輸目的地屬於歐盟委員會認定“具有適當資料保護水準”的地區,

就可以自由傳送。 這些國家有安道爾、阿根廷、加拿大、法羅群島、根西、以色列、馬恩島、紐西蘭、瑞士和烏拉圭。

如果目的地沒有獲得這樣的認可, 責任人則需要充分保證和該資料相關的個人(下稱相關人)的權利。 《資料條例》規定了幾種可能性, 例如:確保位於目的地的公司, 實施了具有約束力的資料保護規則。

此外, 在相關人全面瞭解風險後明確同意, 為了履行與相關人的合同, 為了公共利益, 或是為了行使和防禦法律權利所必需的情況下, 責任人也可以向第三國傳輸資料。 責任人必須明確記錄對資料的處理活動、資料傳輸可能的風險, 以及第三國適當資料保護的保證。

首部全面適用歐盟各國的資料保護法

相較於世界上其他區域, 歐盟素來更重視隱私和個人資料保護制度。 《資料條例》全面涵蓋了適用範圍、原則和定義、責任人的義務、相關人的權利、監管機關、罰則等內容, 堪稱“史上最嚴”。 相對於中國的資料隱私保護立法, 目前中國僅有《電信和互聯網使用者個人資訊保護規定》、《征信業管理條例》和《網路安全法》等少數幾部法律檔涉及個人資訊保護問題, 但這些立法層級不一、內容碎片化, 且多為原則性規定, 在實踐中效果有限, 個人資料保護在中國還沒有引起法制面的足夠應對。

在《資料條例》之前, 歐盟關於資料保護的統一指引是1995年的《個人資料保護指令》。


1995頒佈的《個人資料保護指令》部分截圖 來源:EUR-Lex

那時還沒有智慧手機,

社交網路、電商平臺和線上廣告還在初始階段。 為了適應20多年間技術的快速發展, 歐盟成員國又陸續出臺了自己的法律, 導致各個國家之間的資料保護水準各異, 不利於歐盟內部市場的發展, 統一立法的呼聲漸起。

指令和條例是兩種不同的歐盟法律形式:指令不直接適用於各國, 要由成員國轉化成國內法, 在轉化過程中, 成員國還有一定的裁量空間;條例則直接在成員國適用。 因此, 《資料條例》是首部直接適用歐盟各國的資料保護法律, 經過兩年的過渡期後, 即將全面生效。

《資料條例》保留了歐盟法律中既有的資料保護原則, 同時又有新的發展。 其中, 最重要的原則就是“合法性原則”。 它的意思是, 只有在兩個條件下才能收集和處理個人資訊:要麼有法定事由, 例如為了國家安全和公共利益,要麼有相關人的同意。

《資料條例》擴展了歐盟原有法令中關於相關人權利的規定。

傳統上,只有物質損害才能獲得賠償。但這一新法實施後,相關人還可以要求精神損害賠償。

此外,相關人可以要求責任人告知以下資訊:資料的內容、來源、接受者,儲存資料的目的、時間的長短以及確定時間長短的標準,以及在向第三國傳輸資料時的資料安全水準保證。

相關人有權要求責任人免費提供一份儲存資訊的副本,還擁有更正資訊、限制處理的範圍、提出抗告、向監管機關申訴、尋求法律救濟的權利。

《資料條例》還首次明文規定了“遺忘權”,個人可以要求責任人刪除關於自己的資料,只要滿足法定的理由,責任人就應當立即刪除。這些理由包括:該資料對於收集資料的原目的而言,已不再是必需;個人撤回其關於收集資料的同意;責任人對資料的處理不合法;刪除資料是履行歐盟或其成員國法律義務所必需的;媒體、網店或線上遊戲服務商等收集了兒童的個人資訊。


《資料條例》保護自然人的“個人資料”,只要被用於識別個人身份的資料 來源:視覺中國

此外,可以依據《資料條例》提出法律救濟的物件不只有權利受侵害的個人。消費者保護協會或資料保護領域的團體既可以代表個人,也可以主動地對違反《資料條例》的責任人採取行動。

在德國,如果提告人結合使用德國《反不正當競爭法》和歐盟《資料條例》,理論上,市場競爭者也有可能對責任人違反資料保護的行為進行法律行動。因為《資料條例》的目的之一,就是通過統一的資料保護法,創設公平的市場環境。具體情況還有待《資料條例》生效後進一步觀察。

企業網站資料保護聲明或成主風險源

《資料條例》要求責任人必須讓相關人理解資料的處理過程,是謂“透明性原則”。為此,條例規定了內容繁多的義務。未來,企業網頁上的資料保護聲明有可能成為主要的合規風險來源。

概括而言,網頁上應當有資料保護聲明,這份聲明必須能夠使每一位訪問者清楚地知道,是誰在提取、使用自己的個人資訊,在多大範圍內、出於什麼目的使用和提取。


國外社交網站推特發佈全新《隱私政策》將於5月25日生效 來源:推特截圖

此外,聲明必須告知網頁使用者所享有的權利,以及提出抗告的方式。因此,網頁上要有運營者的聯繫方式,還要說明負責資料保護法律事務的連絡人。

有一個普遍的誤解是,網頁運營者常認為,一旦用戶登入網頁,就已經表示他同意網頁收集他的資料。

雖然,單純收集使用者的動態IP位址是屬於法定許可範圍,但若要收集和處理其他資訊,例如通過聯繫表單的方式要求使用者提供姓名、電子郵箱位址和電話號碼等,符合《資料條例》的做法是要取得用戶事前的同意。

在網頁上使用社交媒體外掛程式和Cookies,也必須得到用戶的同意。文章網頁設置的“分享按鈕”是種常見的社交媒體外掛程式,以分享一篇新聞文章至Facebook為例,使用者點擊分享按鈕時,新聞網站會彈出一個預填了新聞網址的Facebook視窗,讓使用者再度確認貼文內容、點擊“分享”。

在這過程中,新聞網站不僅向Facebook傳輸了文章網址,還把用戶的IP地址被傳輸到了Facebook。根據《資料條例》,新聞網站應提前向用戶取得傳送IP位址的許可,不然不得為之。


臉書CEO紮克伯格就資料洩露事件出席參議院聽證會 來源:視覺中國

某些電商網站會用“Cookies”自動記錄客戶的搜索和購物記錄,以便有目的性地推薦商品。

在《資料條例》框架下,網頁經營者必須事先向客戶說明Cookies的功能,並獲得用戶的同意,否則,“未告知記錄使用者行為”會違反法律。

為應對新條例的實施,企業網站經營者應儘早盤點資料安全標準,採取匿名化、資料加密等措施,特別是對於有內嵌網店或聯繫表單的網頁。這些機制能在傳輸過程中保護用戶的銀行卡或其他個人資訊。

《資料條例》沒有強制要求實施加密措施,加密僅是有助達到法定資料保護水準的措施之一,是否必須、在何種程度上實施加密,取決於個案考量。

此外,根據《資料條例》的“最少資料原則”,網站運營者未來只能在必需的時間內,盡可能少地儲存資料。這一要求可以通過技術設計或預置來實現。例如,通過資料聚合手段,匯總個人資料的處理,並由此實現最小化,或者實施軟體控制的刪除週期,以確保資料在規定的期限後將被自動刪除。

為了應對《資料條例》,涉足歐洲市場的企業應儘早進行內部自查,並採取相應的措施。

(作者為德國法學博士、法蘭克福SZA律師事務所中國業務部成員)

世界說

王劍一

德國 法蘭克福

責任編輯 | 余佩樺

運營編輯 | 賈珍珍

版面編輯 | 彭甯楠

文章版權歸原作者,謝絕商用

如需轉載請私信

微博 @世界說globusnews

例如為了國家安全和公共利益,要麼有相關人的同意。

《資料條例》擴展了歐盟原有法令中關於相關人權利的規定。

傳統上,只有物質損害才能獲得賠償。但這一新法實施後,相關人還可以要求精神損害賠償。

此外,相關人可以要求責任人告知以下資訊:資料的內容、來源、接受者,儲存資料的目的、時間的長短以及確定時間長短的標準,以及在向第三國傳輸資料時的資料安全水準保證。

相關人有權要求責任人免費提供一份儲存資訊的副本,還擁有更正資訊、限制處理的範圍、提出抗告、向監管機關申訴、尋求法律救濟的權利。

《資料條例》還首次明文規定了“遺忘權”,個人可以要求責任人刪除關於自己的資料,只要滿足法定的理由,責任人就應當立即刪除。這些理由包括:該資料對於收集資料的原目的而言,已不再是必需;個人撤回其關於收集資料的同意;責任人對資料的處理不合法;刪除資料是履行歐盟或其成員國法律義務所必需的;媒體、網店或線上遊戲服務商等收集了兒童的個人資訊。


《資料條例》保護自然人的“個人資料”,只要被用於識別個人身份的資料 來源:視覺中國

此外,可以依據《資料條例》提出法律救濟的物件不只有權利受侵害的個人。消費者保護協會或資料保護領域的團體既可以代表個人,也可以主動地對違反《資料條例》的責任人採取行動。

在德國,如果提告人結合使用德國《反不正當競爭法》和歐盟《資料條例》,理論上,市場競爭者也有可能對責任人違反資料保護的行為進行法律行動。因為《資料條例》的目的之一,就是通過統一的資料保護法,創設公平的市場環境。具體情況還有待《資料條例》生效後進一步觀察。

企業網站資料保護聲明或成主風險源

《資料條例》要求責任人必須讓相關人理解資料的處理過程,是謂“透明性原則”。為此,條例規定了內容繁多的義務。未來,企業網頁上的資料保護聲明有可能成為主要的合規風險來源。

概括而言,網頁上應當有資料保護聲明,這份聲明必須能夠使每一位訪問者清楚地知道,是誰在提取、使用自己的個人資訊,在多大範圍內、出於什麼目的使用和提取。


國外社交網站推特發佈全新《隱私政策》將於5月25日生效 來源:推特截圖

此外,聲明必須告知網頁使用者所享有的權利,以及提出抗告的方式。因此,網頁上要有運營者的聯繫方式,還要說明負責資料保護法律事務的連絡人。

有一個普遍的誤解是,網頁運營者常認為,一旦用戶登入網頁,就已經表示他同意網頁收集他的資料。

雖然,單純收集使用者的動態IP位址是屬於法定許可範圍,但若要收集和處理其他資訊,例如通過聯繫表單的方式要求使用者提供姓名、電子郵箱位址和電話號碼等,符合《資料條例》的做法是要取得用戶事前的同意。

在網頁上使用社交媒體外掛程式和Cookies,也必須得到用戶的同意。文章網頁設置的“分享按鈕”是種常見的社交媒體外掛程式,以分享一篇新聞文章至Facebook為例,使用者點擊分享按鈕時,新聞網站會彈出一個預填了新聞網址的Facebook視窗,讓使用者再度確認貼文內容、點擊“分享”。

在這過程中,新聞網站不僅向Facebook傳輸了文章網址,還把用戶的IP地址被傳輸到了Facebook。根據《資料條例》,新聞網站應提前向用戶取得傳送IP位址的許可,不然不得為之。


臉書CEO紮克伯格就資料洩露事件出席參議院聽證會 來源:視覺中國

某些電商網站會用“Cookies”自動記錄客戶的搜索和購物記錄,以便有目的性地推薦商品。

在《資料條例》框架下,網頁經營者必須事先向客戶說明Cookies的功能,並獲得用戶的同意,否則,“未告知記錄使用者行為”會違反法律。

為應對新條例的實施,企業網站經營者應儘早盤點資料安全標準,採取匿名化、資料加密等措施,特別是對於有內嵌網店或聯繫表單的網頁。這些機制能在傳輸過程中保護用戶的銀行卡或其他個人資訊。

《資料條例》沒有強制要求實施加密措施,加密僅是有助達到法定資料保護水準的措施之一,是否必須、在何種程度上實施加密,取決於個案考量。

此外,根據《資料條例》的“最少資料原則”,網站運營者未來只能在必需的時間內,盡可能少地儲存資料。這一要求可以通過技術設計或預置來實現。例如,通過資料聚合手段,匯總個人資料的處理,並由此實現最小化,或者實施軟體控制的刪除週期,以確保資料在規定的期限後將被自動刪除。

為了應對《資料條例》,涉足歐洲市場的企業應儘早進行內部自查,並採取相應的措施。

(作者為德國法學博士、法蘭克福SZA律師事務所中國業務部成員)

世界說

王劍一

德國 法蘭克福

責任編輯 | 余佩樺

運營編輯 | 賈珍珍

版面編輯 | 彭甯楠

文章版權歸原作者,謝絕商用

如需轉載請私信

微博 @世界說globusnews

Next Article
喜欢就按个赞吧!!!
点击关闭提示