【2016年第4期】《欧盟数据保护通用条例》详解
王融
中國信息通信研究院互聯網法律中心,北京 100191
摘要:《歐盟數據保護通用條例》于2018年5月25日正式生效。為踏上數字時代新秩序的起跑線,全球企業都在積極準備合規工作。全面梳理其帶來的重大變化,既為企業提供參考,也為我國政府考慮大數據背景下的數據保護規則提供新視角。
關鍵詞:數據保護通用條例;變化;合規
中圖分類號:D93???????文獻標識碼:A
doi: 10.11959/j.issn.2096-0271.2016045
論文引用格式:王融.?《歐盟數據保護通用條例》詳解[J]. 大數據, 2016, 2(4): 93-101.
WANG R.?Deconstructing the EU General Data Protection Regulation[J]. Big Data Research,?2016, 2(4): 93-101.
Deconstructing the EU General Data Protection Regulation
WANG Rong
Internet Law Center of China Academy of Information and Communication Technology, Beijing 100191, China
Abstract: The EU General Data Protection Regulation (GDPR) has taken effect on May 25, 2018. In order to catch up with the new trend of digital era, companies from all over the world are actively preparing for the related compliance work. The major changes of this new regulation were demonstrated comprehensively. It will provide a reference for companies and new prospective for China’s data protection policy making in big data era.
Key words: General Data Protection Regulation (GDPR), change, compliance
1 ?引言
????2012年,歐盟啟動對1995年《數據保護指令》(以下簡稱《指令》)的修訂工作。在歷經4年多的立法協商之后,《歐盟數據保護通用條例》(General Data ProtectionRegulation,GDPR)(以下簡稱《條例》)已正式通過,并將于2018年5月25日全面實施。以下詳細介紹《條例》帶來的10個方面的主要變化。
2 變化1:適用范圍極大擴展
法律的適用范圍從過去的屬地主義向屬人主義擴展。1995年的《指令》的適用范圍取決于屬地因素,要么機構的成立地在歐盟,要么利用歐盟境內的設備進行個人數據的處理活動(僅僅是傳輸通道除外)。新《條例》不僅考慮屬地因素,還增加了屬人因素。簡言之如下。
● 對于成立地在歐盟的機構來說,法律的適用范圍并沒有發生大的變化,但強調了無論數據處理的活動是否發生在歐盟境內,都統一遵循《條例》。
● 對于成立地在歐盟以外的機構來說,則適用屬人因素。只要其在提供產品或者服務的過程中(不論是否收費)處理了歐盟境內個體的個人數據,將同樣適用于《條例》。此類情形還包括對歐盟境內個人活動的監控行為。根據《條例》說明部分的解釋,監控行為包括了利用cookie等互聯網技術工具對個人網絡活動的跟蹤分析(第3條)。
也就是說任何網站甚至App只要能夠被歐盟境內的個人訪問和使用、產品或服務使用的語言是英語或者特定的歐盟成員國語言、產品標識的價格為歐元,都可以被理解為該產品、服務的目標用戶包括歐盟境內用戶,從而需要適用《條例》。這也是緣何《條例》在全球引起極大震動的核心原因之一。不論是銀行、保險、航空等傳統行業,還是電子商務、社交網絡等新興領域,只要涉及向歐盟境內個人提供服務并處理個人數據,都將落入《條例》適用范圍,除非放棄歐盟5億發達人口市場。
3 變化2:統一的法律規則之下仍有一些例外
此次立法主旨之一是結束1995年《指令》以來各成員國之間的數據保護法律制度差異問題,《條例》的統一規定將直接適用于各成員國。但值得注意的是,《條例》仍然為各成員國預留了一定自主空間,如下所示。
● 《條例》對于兒童個人數據做出了特殊保護規定,但允許成員國對于兒童的年齡標準在13~16歲做出調整(第8條)。
● 在處罰方面,《條例》規定了實施行政罰款的一般性條件,但同時也授權成員國規定其他處罰類型的規則,這些處罰適用于違反了《條例》但并不符合行政罰款條件的違法行為(第84條)。
● DPO(data protection officer,數據保護官)的設立。除了《條例》規定的必須設立DPO的情形,《條例》還授權成員國可以擴展必須設立DPO的其他情形(第37條)。
● 成員國可以在未來針對基因、生物識別以及健康數據的保護做進一步規定(第9條)。
● 成員國可以依據《條例》的基本原則,針對雇傭領域的數據保護,做出進一步的規定(第88條)。除以上列舉之外,在《條例》中此類授權成員國可作出進一步具體規定的條款還有很多。因此,盡管統一的《條例》為企業大大降低了合規的復雜性,但仍需注意到統一之外的差異性。
?
4 變化3:一站式監管
對于向歐盟不同國家提供業務的企業或者在不同國家都有設立地的企業來說,新《條例》會極大減輕合規成本。企業不再需要與多個不同成員國的數據監管機構打交道。根據新的一站式監管機制(one stop shop),企業主成立地所在國家的監管機構將作為主導監管機構(leadsupervisory authority),對企業的所有數據活動負有監管權力,其效力輻射全歐。當然,為保證監管的協調統一性,《條例》為此精心設計了一套復雜的咨詢機制。主導監管機構的監管決定要最大程度上反映其他成員國監管機構的意見。如果不能達成一致意見,則交由歐盟數據保護委員會(European Data Protection Board,EDPB)處理(第56、60、61條等)。
5 變化4:處理數據須有合法理由
處理個人數據必須要有合法理由,包括:數據主體的同意、履行合同需要、履行法定義務的需要以及數據控制者的合法利益等。以下對數據主體的同意、數據控制者的合法利益以及敏感數據的處理等重點條款作進一步的解釋。
????(1)關于數據主體的同意
《條例》對于數據主體的同意的有效標準相比《指令》嚴格很多。“同意”必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。如果數據控制者希望獲得的同意的事項區別于此前已取得同意的事項范圍,則需要向用戶做出單獨明確的說明;如果將同意數據處理作為簽訂合同的前提條件,而這種數據處理事實上超出了提供服務所必需的范圍,將違反有關“同意應當是自由做出”的規定(第7條)。
在這種高標準下,雖然《條例》并沒有明確禁止“推定同意”模式(敏感數據處理、數據畫像活動除外),但在實踐中通過推定方式獲得用戶同意將很難被認為是有效合法的。也就是說,當前實踐中普遍存在的通過冗長晦澀的隱私政策來獲取用戶同意,或者讓用戶在簽訂業務協議時通過“打鉤”方式作出一攬子授權的方式將失去合法性。業界普遍認為,《條例》關于有效合法同意的嚴格規定,使得用戶的同意不會像現在這樣被輕易獲得。
更重要的是,《條例》賦予了數據主體可以隨時撤回同意的權利。數據控制者應當明確告知用戶現有該權利,并為用戶方便地行使該權利提供便利。
在處理兒童個人數據時,必須獲得其父母或者其他監護人的同意。并且該舉證責任在于數據控制者,數據控制者必須能夠證明其從監護人那里獲得了“同意”(第8條)。
????(2)關于數據控制者的合法利益
1995年版的《指令》和《條例》都規定了除了獲得“同意”以外的其他數據處理的合法理由。其中包括符合數據控制者的合法利益。一般認為,數據控制者出于營銷目的對個人數據的使用要符合個人的合法利益,但同時《條例》賦予了數據主體對于營銷活動的絕對反對權。換言之,數據控制者可以以營銷為目的使用用戶個人數據,但用戶隨時可以提出反對,數據控制者必須立即停止使用。除此之外,將數據控制者的合法利益作為數據處理的合法理由的情形在實踐中非常有限。數據控制者必須能夠證明,其合法的利益顯著高于數據主體的個人權利和自由(第6條)。
????(3)關于敏感數據的處理
敏感的個人數據包括:能夠揭示個人的種族、政治傾向、宗教和哲學信仰、商業團體資格以及關于個人健康或者性生活的數據,在敏感數據類型中,《條例》還明確加入了基因數據和生物數據,這類數據的處理能夠唯一地識別出特定個人(第9條)。
敏感個人數據的特殊性在于,作為一般法則,禁止處理敏感數據,除非特定的例外條件能夠滿足。這些例外條件包括:數據主體的同意,或者數據主體已經將上述信息公開;為了建立、履行或者保護合法的訴求必須處理上述敏感信息;為了公共利益的需要或者與公共利益相關的歸檔、科學、歷史或者統計。但總體的原則是,這些對于敏感數據處理的例外情況的解釋將會非常狹窄。
6 變化5:堅實強大的數據主體權利
相比于1995年版《指令》,《條例》對數據主體的權利規定細致入微,為個人有效行使權利提供了堅實的法律保障。
????(1)知情權
《條例》規定數據控制者必須以清楚、簡單、明了的方式向個人說明其個人數據是如何被收集處理的。可以想見的是,當前企業普遍應用的隱私政策必須進行大幅改革,才能滿足合規要求。《條例》規定了應當告知用戶的信息包括以下內容(第12、13條)。
● 數據控制者的身份和聯系方式、數據控制者指定的代表信息、DPO的相關信息、數據的接收者或數據接收者的類型。
● 數據處理的目的和合法基礎。如果合法基礎是用戶的“同意”,則要告知用戶享有撤回“同意”的權利,并且該撤回不得影響先前的數據處理中用戶的合法利益。該信息應當以單獨、顯著方式顯示。
● 如果涉及自動化的數據處理,包括數據畫像活動,則需要提供基本的算法邏輯以及針對個人的運算結果。
● 個人數據的保留周期以及采取該周期的理由。
● 依據法律,數據主體享有權利、投訴權以及相關的監管機構。
● 如果數據傳輸到第三國,則需要告知用戶該第三國是否通過歐盟的充分性決定,如果沒有通過,則需要告知數據控制者采取了何種保障措施。
● 如果數據不是從數據主體處直接收集而來,則需要告知其數據的來源和類型。
(2)訪問權
數據控制者應當為用戶實現該權利提供相應的流程,如果該請求是以電子形式提出的,則也應當以電子形式將數據提供給個人。控制者不能基于提供該服務而收費,除非數據主體的請求明顯過量,超過負擔(第15條)。
(3) 反對權
對于兩種情形,數據主體享有絕對的拒絕權:始終有權隨時拒絕數據控制者基于其合法利益處理個人數據;始終有權拒絕基于個人數據的市場營銷行為。《條例》還引入了限制處理的權利。例如,當數據主體提出投訴(如針對數據的準確性)時,數據主體并不要求刪除該數據,但可以限制數據控制者不再對該數據繼續處理(第21條)。
除了以上權利之外,《條例》還全面引入了新型的權利類型,其中最引入注目的是“數據可攜權”(第20條)、“被遺忘權”(第17條)。
“個人數據可攜權”,是指用戶可以無障礙地將其個人數據從一個信息服務提供者處轉移至另一個信息服務提供者。例如,Facebook的用戶可以將其賬號中的照片以及其他資料轉移至其他社交網絡服務提供商。當然,該權利不僅適用于社交網絡服務,還包括云計算、網絡服務以及手機應用等自動數據處理系統。信息控制者不僅無權干涉信息主體的此項權利,還需要配合用戶提供數據文本。從目前第20條規定來看,數據可攜權適用于數據主體提供給數據控制者的數據,因此個人的網絡行為軌跡是否屬于該范疇,還有待于歐盟數據保護委員會做出解釋。
“被遺忘權”,《條例》第17條刪除權(“被遺忘權”)共計3款。其中,第1款的核心仍然是傳統個人信息保護法中已經確立的刪除權:當用戶依法撤回同意或者數據控制者不再有合法理由繼續處理數據時,用戶有權要求刪除數據。關于“被遺忘”的精神更多體現在第17條第2款:如果數據控制者將符合第1款條件的個人數據進行了公開傳播,應該采取所有合理的方式予以刪除(包括采取可用的技術手段和投入合理成本),數據控制者有責任通知處理此數據的其他數據控制者,刪除關于數據主體主張的個人數據鏈接、復制件。也就是說,數據控制者不僅要刪除自己所控制的數據,還要求數據控制者負責對其公開傳播的數據,要通知其他第三方停止利用并刪除。這是對傳統“刪除權”的擴張。
總體看來,《條例》對于數據主體權利的補充完善,不僅極大增強了數據主體對于個人數據的控制能力,也對企業如何保障實現數據主體的權利提出了具體的要求,對企業的制度建設、措施配置、業務流程乃至IT系統設計產生直接影響。
7 變化6:嚴格問責——數據控制者
《條例》大大簡化了企業日常的合規負擔,特別是廢除了目前各成員國關于數據處理及境外轉移的許可或者備案程序。但是取而代之的是要求企業在內部建立完善的問責機制,以實現《條例》規定的真正落地。特別是,《條例》旨在對個人數據處理中的個人權利和自由提供充分的尊重和保障,因此,對于數據控制者和處理者的約束規范十分嚴格。歐盟數據保護機構第29條工作組已經將制定相關細則列為了工作優先項。
7.1 DPO
對于設立地在歐盟的機構來說,以下是必須設立DPO的法定情形:
● 政府部門及公共機構作為數據控制者的;
● 機構核心業務涉及以下大規模活動:日常地以及系統性地監控數據主體、處理特殊類型的個人數據,或者數據處理活動與刑事定罪相關。
DPO必須具備數據保護專業知識和技能,有能力且能獨立地履行職責。DPO的聯系方式必須予以公布,且向監管機構報備。集團公司可以指定一位DPO,但前提是DPO能夠方便地介入公司其他運營地,處理相關事務。此外需要注意的是,《條例》允許成員國通過國內立法擴展必須指定DPO的其他情形(第37條)。
對適用于《條例》,但設立地在國外的機構而言,其必須在歐盟境內指定一個代表(機構),以作為該機構與數據保護監管機構之間的聯系點(第27條)。
7.2 文檔化管理
文檔化管理(documentation)的目的是做到一舉一動都有據可查。數據控制者必須全面記載其數據處理活動,包括數據處理的目的、數據的類型、數據接收者的類別以及轉移至第三國的數據接收者、數據保存的時間、采取的安全保障措施等,保留與數據處理者的合同附件。250人雇員以下的中小企業可以豁免該要求,但是核心業務涉及大規模的處理個人數據或者敏感數據以及涉及違法定罪數據處理的不能例外。文檔化管理不僅是企業內部的管理措施,而且是數據保護監管機構履行職責的重要抓手(第30條)。
7.3 數據保護影響評估
對于高風險的數據處理活動,要事先進行數據保護影響評估(data protectionimpact assessment,DPIA)。《條例》并沒有對高風險進行界定,但以下情形,應當事前評估:對個人特征的系統性評價(該評價會對數據主體產生法律上的影響)、對大量敏感數據的處理以及對公共領域大規模的系統性監控(第35條)。
7.4 事先協商
如果數據保護影響評估的結果顯示是高風險,且數據控制者沒有有效降低風險的措施,數據控制者應當就數據處理活動向相關的數據保護監管機構進行事先協商(prior consultation)。監管機構應當在收到協商申請的特定期限內提出處理意見,并可以采取糾正措施。除此之外,成員國在制定涉及數據保護的立法時,也應當事前征求數據保護監管機構的意見(第36條)。
7.5 數據泄露報告
《條例》將數據泄露定義為導致偶然的或者非法的數據破壞、損失、改變、非授權的披露等(第4(12)條)。一旦發生數據泄露事故,數據控制者需要及時通知監管機構,如果可行,應不超過72 h,除非該泄露不可能造成對個人權利和自由的破壞,若未在72 h內報告監管機構,則后續報告應當說明延遲報告的理由。對于數據處理者而言,其應當在意識到泄露事故及風險后及時報告數據控制者(第33條)。
數據泄露報告(data breach notification,DBN)中至少應當包含以下內容:關于數據泄露事故的描述,涉及的數據主體的總量、類型以及數據記錄的總量,企業DPO的姓名和聯系方式,泄露可能造成的結果,企業已經采取的止損措施。數據控制者應當將所有的數據泄露事故予以文檔化,以便監管機構能夠檢查其合規工作(第33條)。
如果數據控制者采取了適當的保護措施,特別是采取的措施(如加密)使得數據難以被一般人理解,或者其后續采取的措施能夠使威脅不會成為實際的結果,則數據控制者可以不必履行數據泄露報告義務,但這些證明責任都在數據控制者。當然,數據監管機構可以否決數據控制者做出的風險判斷,強制要求做出報告(第34條)。
依照《條例》規定,強制性的數據泄露報告是沒有門檻的,因此企業應當為此建立周密的制度安排,包括數據安全管理流程、泄露事故發現、上報預案等,以符合條例的嚴格要求。
7.6 安全保障措施
《條例》對于安全保障(security of processing)措施給予了更具體的規定,特別強調了以下措施:
● 對個人數據的匿名化和假名化;
● 確保提供持久的機密性、完整性、可用性和系統可恢復性的能力;
● 在物理或者技術事故下及時回復數據可用性、可訪問性的能力;
● 建立定期測試、評估、評價技術和管理措施是否有效的體系(第32條)。
關于其中對于個人數據匿名和假名,《條例》明顯做出了區分。假名數據是指在缺乏其他信息的前提下(且該信息被獨立存儲),不能夠被識別指向特定個人的數據。假名數據仍然屬于個人數據,因此適用于個人數據的安全保障,特別是對于能夠將假名數據恢復身份識別屬性的額外信息必須單獨安全存儲。但相比于普通個人數據,假名數據在遵循的規范方面要相對寬松。例如假名化以后,數據控制者可以將數據用于收集該數據時所確定目的之外的其他目的。
匿名數據是指已經完全移除了個人可識別信息之后的數據,該數據不能夠再識別出特定個人。匿名數據不再屬于個人數據,不受《條例》規范。
?
8 變化7:嚴格問責—— 數據處理者
對于數據處理者而言,《條例》帶來了重大變化。1995年版《指令》主要適用于數據控制者。數據處理者主要通過合同的方式承擔數據保護責任。然而新《條例》對于數據控制者、數據處理者在大多數情況下提出了相同的要求,例如數據處理者也承擔對數據的安全保障義務,在管理措施、技術上采取必要的措施,包括指定DPO、在發生數據泄露事故時及時報告數據控制者等。
此外,《條例》還細致規定了數據控制者和數據處理者之間的合同應當至少包含哪些內容,例如數據處理的目的、期限、個人數據的類型、數據主體的類別以及雙方的權利業務。
數據處理者僅能按照數據控制者書面的要求處理數據,必須確保其員工能夠遵守有關保密的要求;在數據安全、數據泄露、數據保護影響評估等方面對數據控制者提供協助。如果沒有數據控制者的同意,數據處理者不得二次分包業務;數據控制者可以對分包采取概括性授權,但如果具體的分包商發生了變化,數據處理者有義務及時告知數據控制者,后者有權提出反對。數據處理者對其分包商的數據處理活動完全負責,有義務將數據保護的要求施加給二級分包商。在數據處理服務終止時,數據處理者應當刪除或者將數據全部返還給數據控制者,除非根據法律的要求必須保留這些數據。
數據處理者的違規行為同樣將受到《條例》規定的嚴格處罰,數據監管機構擴展的監管權力也同時適用于數據處理者,包括進入數據控制者的工作場所、發布警告、發布數據處理禁令等。用戶個人也有權直接從數據處理者處主張賠償,當然如果是因為數據控制者的錯誤指令,則數據處理者可以再向數據控制者索賠(第28條)。
新規中對數據處理者構建的一系列規范要求,將對當前的云計算生態體系帶來重大影響。按照新規,數據控制者和數據處理者之間的合同在很多情形下需要重新談判達成。特別是由于《條例》使數據處理者大大增加了合規風險,二者合同中關于安全保障措施、風險管理以及服務的價格都會受到影響。
?
9 變化8:完善跨境數據流動機制??
關于跨境數據流動的限制是在1995年版《指令》中提出的,歐盟公民的個人數據僅能轉移到與歐盟同等保護水平的國家。在實踐中,部分成員國針對跨境數據流動增加了事前的備案或者許可要求。新《條例》明確禁止了這種增設許可的做法,只要符合《條例》中跨境數據流動的條件,則成員國不得再予以限制。在此基礎上,《條例》還進一步完善了數據轉移合法機制。
????(1)充分性決定
相比于1995年版《指令》,歐盟委員會除了可以對國家作出評估外,還可以對一國內的特定地區、行業領域以及國際組織的保護水平作出評估判斷。這進一步增加了通過“充分性”決定(adequate decision)的靈活性。畢竟自1995年版《指令》實施以來,通過充分性決定的國家及地區還不超過10個。《條例》對歐盟委員會做出充分性決定的程序和標準也進行了進一步詳細規范,包括要求至少每隔4年對充分性決定進行重新審查(第45條)。
????(2)有約束的公司規則
有約束的公司規則(binding corporaterules,BCR)最早由歐盟第29條工作組發展而來,初衷是讓跨國公司或者公司集團能夠在公司內部進行跨境的數據轉移,是歐盟委員會提出的標準化格式合同的一個替代選擇。在1995年版《指令》框架下,大約有2/3的歐盟成員國認可BCR。但是取得成員國監管機構對于BCR的認可需要經歷冗長的批準程序(18~24個月不等)。此次《條例》對BCR給予了正式的法律地位,并詳細規定了BCR獲得認可的程序和內容標準(第47條)。
????(3)標準合同條款
目前歐盟委員會通過的3個標準合同條款(standard contractual clauses)仍然有效。《條例》增加了成員國數據監管機構可以指定標準合同條款的渠道,但必須要經過歐盟委員會的認可(第63條)。
????(4)經批準的行為準則
數據控制者可以成立協會并提出遵守《條例》的詳細行為準則(codes of conduct)。該行為準則可以由成員國監管機構或者歐盟數據保護委員會批準,并通過有約束力的承諾方式生效。這種情形主要針對不適用于《條例》但從歐盟接收數據的主體(第46條)。
????(5)經批準的認證機制、封印或者標識
經批準的認證機制、封印或者標識(approved certification mechanism,seal or mark)主要適用于公共機構之間的數據轉移活動。行為準則與認證機制是《條例》中引入的新型合規機制,以最大化發揮第三方監督與市場自律作用。
10 變化9:對數據畫像活動的特別規制
根據《條例》界定,“ 數據畫像”(profiling)概念外延廣泛,它是指:任何通過自動化方式處理個人數據的活動,該活動服務于評估個人的特定方面,或者專門分析及預測個人的特定方面,包括工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現等。這一概念被普遍認為能夠覆蓋目前大多數利用個人數據的大數據分析活動,如對個人偏好的分析,可涵蓋市場中最普遍的大數據分析市場營銷活動。
畫像活動如果對用戶個人產生法律上的影響或者其他重大影響,僅僅在符合以下條件之一時才是合法的:①數據主體明確同意;②歐盟或者成員國法的明確授權;③數據主體和數據控制者之間簽訂、執行合同所必需(第22條)。考慮到②③僅僅是個別情形,因此,實踐中絕大部分的數據畫像的合法基礎是用戶明確同意。而根據《條例》對于“同意”的高標準要求,業內專家認為,獲得用戶在數據畫像方面的同意將是難以操作的,這將對大數據背景下的分析營銷活動帶來極大的負面影響。
在數據畫像活動中,獲得用戶合法有效的同意,首先應當向數據主體全面介紹數據畫像處理活動是怎么進行的,收集了用戶的哪些數據,算法的基本原理是什么,評估結果是否會對用戶產生法律上的影響。其次,應當明確告知用戶其享有對畫像的反對權。此類信息應當明確無誤地表達,并使用足夠引起用戶注意的范式,獨立于其他信息(第13.2、21條)。
此外,基于個人敏感數據的數據畫像活動是被禁止的,除非數據主體出于一個或者多個特定的目的,被給予了明確的同意,但是成員國可以通過立法明確規定即使在用戶同意的情況下,也禁止基于敏感數據的畫像活動;或者該數據畫像活動對于重大的公共利益是必需的(第22條)。
因此,對于依賴于數據畫像(包括利用cookie等跟蹤工具開展行為精準營銷)的企業來說,如何設計一套有效的機制,既能夠符合《條例》有關透明性和用戶同意的要求,同時也能使得數據分析活動得以繼續,是當前的一道難題。
11 變化10:監管權力、處罰與司法救濟
《條例》增強了監管機構的執法權,包括:通知數據控制者、處理者相關違反行為;要求違法者提供相關信息,或者向監管機構提供訪問此類信息的接口;現場調查、審計;命令修改、刪除或者銷毀個人數據;可以采取臨時性的或者限定性的數據處理禁令;科以罰金(第58條)。
《條例》規定了嚴苛的罰金,分為兩檔:①處以1000萬歐元或者上一年度全球營收的2%的罰款,兩者取其高。針對的違法行為包括:沒有實施充分的IT安全保障措施,或者沒有提供全面的透明的隱私政策,沒有簽訂書面的、數據處理協議等;②處以2 000萬歐元或者企業上一年度全球營業收入的4%的罰款,兩者取其高。此類處罰針對的違法行為包括:無法說明如何獲得用戶的同意,違反數據處理的一般性原則,侵害數據主體的合法權利以及拒絕服從監管機構的執法命令等(第83條)。
司法救濟。對于不服監管機構作出的決定或者針對監管機構的不作為,當事主體可尋求司法救濟。其中,數據主體可以通過司法途徑向數據控制者、數據處理者主張因其違反《條例》而致使數據主體遭受物質上或者非物質上的損害。如果一個以上的數據控制者、處理者涉及侵權,則共同承擔連帶責任,除非其能證明對損害的產生沒有責任。上述司法救濟的權利可以由消費者機構代表數據主體行使(第26、80、82條)。
12 結束語
從1995年版《指令》的34個簡單條文擴展到99條(263頁)的詳細規范,《條例》帶來了全面制度改革,其核心目標是將個人數據保護深度嵌入組織運營,真正將抽象的保護理論轉化為實實在在的行為實踐。對于企業而言,小至隱私政策、業務流程,大到IT系統、戰略布局,無一不需要重新審視規劃。當下著手的準備工作,決定了企業能否有底氣在2年之后站立在數字時代新的起跑線上。
王融(1979-),女,中國信息通信研究院互聯網法律中心副主任、高級工程師,主要從事電信、互聯網立法與監管政策研究工作。代表著作:《電信法》《融合背景下的中歐電信管制比較研究》《個人信息保護法研究》。主要研究方向為個人信息保護法、網絡信息安全法。發表文章30余篇。負責及參與中央網絡安全和信息化領導小組辦公室、工業與信息化部、中歐信息社會等委托研究項目,參與國家《電子商務法》《網絡安全法》及工業和信息化部部門規章立法工作。
總結
以上是生活随笔為你收集整理的【2016年第4期】《欧盟数据保护通用条例》详解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PHP进度条 小程序,php短视频源码小
- 下一篇: CCRC信息安全服务资质认证是什么