歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)解讀

王 翔

杭州天翼智慧城市科技有限公司，浙江 杭州 310012

一、出臺背景

《通用數(shù)據(jù)保護(hù)條例(General Data Protection Regulations)》(“GDPR”)由歐盟議會于2016年4月14日通過，2018年5月25日正式生效實施。

為規(guī)范數(shù)據(jù)收集使用行為，維護(hù)自然人個人數(shù)據(jù)保護(hù)的基本權(quán)利，GDPR在適用范圍、數(shù)據(jù)使用、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者責(zé)任義務(wù)、數(shù)據(jù)監(jiān)管，以及法律責(zé)任等方面作了詳細(xì)的規(guī)定。

二、主要內(nèi)容

(一)GDPR適用范圍廣

1.GDPR擴大了“個人數(shù)據(jù)”的范圍，即與確定的或可識別的自然人相關(guān)的任何信息。

2.在歐盟內(nèi)設(shè)立的控制者或處理者對個人數(shù)據(jù)的處理，無論其處理行為是否發(fā)生在歐盟內(nèi)，適用GDPR。

3.對歐盟內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)處理，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)，也適用GDPR。

4.設(shè)立在歐盟外，但依據(jù)國際公法可適用歐盟成員國法律的，同樣適用GDPR。

(二)嚴(yán)格界定數(shù)據(jù)處理合法理由

GDPR規(guī)定了6條處理數(shù)據(jù)的合法理由，如獲得數(shù)據(jù)主體同意、為履行數(shù)據(jù)主體參與的合同必要、為控制者或者第三方追求合法利益必要等。

(三)賦予數(shù)據(jù)主體更多權(quán)利

數(shù)據(jù)主體享有知情權(quán)、數(shù)據(jù)訪問權(quán)、糾正權(quán)、被遺忘權(quán)、限制處理權(quán)等諸多權(quán)利。

(四)嚴(yán)格規(guī)范控制者義務(wù)

GDPR嚴(yán)格規(guī)范控制者數(shù)據(jù)處理行為，要求控制者：

1.具備數(shù)據(jù)保障措施，防范安全風(fēng)險。如：進(jìn)行個人數(shù)據(jù)匿名化和加密措施等。

2.記錄處理活動，做到有據(jù)可查。GDPR要求控制者全面記載處理活動，記錄內(nèi)容要求包含數(shù)據(jù)處理目的、數(shù)據(jù)主體類別、個人數(shù)據(jù)的分類描述、數(shù)據(jù)接收者類別等內(nèi)容。

3.對于高風(fēng)險的數(shù)據(jù)處理活動，前置數(shù)據(jù)保護(hù)影響評估及事先咨詢。GDPR對應(yīng)當(dāng)事前評估的數(shù)據(jù)類別、評估內(nèi)容，以及對控制者和監(jiān)管機構(gòu)的要求等進(jìn)行了規(guī)定。

4.符合法定情形的，必須設(shè)立數(shù)據(jù)保護(hù)專員(Data Protection Officer，簡稱DPO)。GDPR詳細(xì)規(guī)定了DPO的設(shè)立、地位和職責(zé)。

5.數(shù)據(jù)泄露應(yīng)及時通知?？刂普卟坏貌划?dāng)延誤報告，至少應(yīng)當(dāng)在知道時起72小時內(nèi)通知監(jiān)管機構(gòu)，并對通知應(yīng)當(dāng)包含的內(nèi)容進(jìn)行了規(guī)定。

(五)嚴(yán)格規(guī)范處理者義務(wù)

GDPR大大增加了處理者的義務(wù)，除了遵守與控制者簽訂的數(shù)據(jù)處理協(xié)議內(nèi)容外，同樣要求處理者具備數(shù)據(jù)保障措施、記錄處理活動、承擔(dān)數(shù)據(jù)泄露相應(yīng)義務(wù)等。同時，GDPR還規(guī)范了數(shù)據(jù)處理協(xié)議的內(nèi)容，禁止處理者擅自分包業(yè)務(wù)等。

(六)特別規(guī)制數(shù)據(jù)畫像行為

數(shù)據(jù)畫像，較多體現(xiàn)在利用個人數(shù)據(jù)的大數(shù)據(jù)分析活動，如市場營銷活動。當(dāng)數(shù)據(jù)畫像活動對數(shù)據(jù)主體產(chǎn)生法律效果或者類似重大影響時，僅僅在符合以下條件之一時才是合法的：1.數(shù)據(jù)主體明確同意；2.按照歐盟或成員國法律規(guī)定；3.數(shù)據(jù)主體和數(shù)據(jù)控制者之間簽訂履行合同必要。

三、對中國企業(yè)的影響

GDPR適用范圍極廣，不受地域的限制。即使中國企業(yè)沒有在歐盟設(shè)立分支機構(gòu)，但是歐盟用戶上這個中國企業(yè)的網(wǎng)站注冊購買商品或服務(wù)，此時如果這個企業(yè)不當(dāng)收集了該用戶的信息，就可能被歐盟監(jiān)管部門處以巨額罰款。相較于我國現(xiàn)行的《網(wǎng)絡(luò)安全法》、《信息安全技術(shù)-個人信息安全規(guī)范》等個人信息保護(hù)領(lǐng)域的法律法規(guī)及國家標(biāo)準(zhǔn)，在適用GDPR時要注意以下幾個方面：

(一)關(guān)于樹立個人信息保護(hù)意識

大數(shù)據(jù)運營方要確保企業(yè)管理層、業(yè)務(wù)部門、安全保障部門等及時知曉GDPR的生效及其帶來的主要變化，可通過培訓(xùn)、講座等多種形式，樹立起個人信息保護(hù)意識。若屬于GDPR規(guī)定的必須設(shè)立數(shù)據(jù)保護(hù)官的情形，應(yīng)按照要求設(shè)置數(shù)據(jù)保護(hù)官。

(二)關(guān)于獲得用戶的同意

《網(wǎng)絡(luò)安全法》要求數(shù)據(jù)采集需要得到用戶同意，但未規(guī)定“同意”的標(biāo)準(zhǔn)；《信息安全技術(shù)-個人信息安全規(guī)范》(以下簡稱“《規(guī)范》”)則專門界定了“明示同意”，并賦予用戶撤回同意的權(quán)利。相較之下，GDPR對用戶“同意”的規(guī)范更為細(xì)致。

(三)關(guān)于用戶的知情權(quán)

在履行用戶知情權(quán)方面，我國《網(wǎng)絡(luò)安全法》和《規(guī)范》與GDPR規(guī)定類似，若適用GDPR，要注意以下幾點：

1.數(shù)據(jù)采集要公開透明，要以明確、易懂的方式向用戶公開數(shù)據(jù)采集、存儲以及使用的目的、方式、范圍。

2.大數(shù)據(jù)運營方可以按照《規(guī)范》中對隱私政策的涵蓋內(nèi)容、發(fā)布規(guī)范，以及《規(guī)范》附錄中提供的隱私政策模板及填寫說明，完善各自的隱私政策。

3.對于間接采集數(shù)據(jù)，即不是直接向用戶采集數(shù)據(jù)，GDPR特別規(guī)定了在4種情形下可以不必向用戶履行告知義務(wù)。比如，用戶已經(jīng)知道告知內(nèi)容的情形。