條例簡介
GDPR發展來源
1981年,歐洲議會就通過了有關個人數據保護的《保護自動化處理個人數據公約》,這是世界上首個有約束力的有關規範數據使用、保護個人隱私、促進數據交流的國際公約。
1995年,歐洲議會和歐盟理事會通過了《關於涉及個人數據處理的個人保護以及此類數據自由流動的指令》(簡稱《個人數據保護指令》)。
2016年4月歐洲議會和歐洲理事會通過GDPR,取代了1995年數據保護指令的條例,並於 2018 年 5 月 25 日生效。
適用對象
如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務,那么適用於GDPR。 這包括使用歐盟語言或貨幣,為歐盟居民量身定製產品,或在歐盟範圍內積極行銷。“監控”定義為線上跟蹤人員創建個人資料,或分析和預測個人偏好,行為模式或態度。
主要特點
一、適用範圍廣
在地域上,雖然 GDPR 是歐洲的立法,但其規定的適用範圍缺不僅限於歐洲。業務機構設在歐盟境內並從事個人數據處理的組織自然在 GDPR 管轄範圍之內,而非歐盟成員國企業在歐盟境內未設立業務機構,但卻處理歐盟境內的個人數據,為歐盟境內的數據主體提供貨物或服務,無論數據主體是否被要求付費,也都適用 GDPR。此外,如果非歐盟成員國企業對數據主體在歐盟境內的行為進行監控,也適用 GDPR。
這意味著,無論企業的業務機構是否設立在歐盟境內,或者其數據處理或控制行為是否發生在歐盟境內,只要其數據處理行為涉及到歐洲公民,都需要遵守 GDPR 的規定。因此,許多擁有國際業務的大企業都需要注意。
就主體範圍而言,GDPR 則直接適用於數據控制者和數據處理者(Data Processor,代表數據控制機構處理數據的實體)。對於這些主體,GDPR 規定了信息安全措施、未經許可不能轉委託、記錄保存、協助義務等一系列義務。而且,GDPR 明確規定信息處理者如違反數據保護的義務則可能受到行政處罰或承擔民事責任。
二、受保護者權利多
GDPR 所保護的個人數據範圍廣泛,包括個人姓名、政府身份證號碼、位置信息、IP位址、Cookie 等,既涵蓋真實世界的信息,又涵蓋網路世界的信息。GDPR 所保護的對象稱為數據主體。除了常規的權利之外,GDPR 新增的幾個重要數據主體權利如下:
信息泄露通知:一旦發生數據泄露事件,必須在知曉數據泄露事件發生後的 72 個小時內向主管監管機構報告。數據處理者還需要在第一時間通知用戶和數據控制者。
訪問權:數據主體有權從數據控制者那裡獲取信息,以確認數據控制者是否要對與他們相關的個人數據進行處理、處理地點、處理目的。此外,控制者應以電子格式免費提供一份個人數據的副本;
被遺忘權:數據主體有權要求數據控制者清除他/她的個人數據,停止進一步傳播數據,並儘可能使第三方停止處理數據;數據主體還可撤銷之前授權同意與數據處理相關的選擇;
可攜帶權:數據主體有權接收與自己相關的數據,並有權將這些數據傳送給另一個數據控制者。
隱私保護設計:數據控制者應當以有效的方式實施適當的技術和組織措施,滿足本條例的要求,保護數據主體的權利。即在系統設計起步就納入數據保護,而不是系統開發完成後再增加保護。
此外,GDPR 對未成年人的數據保護也有特殊要求:企業和組織取得父母的同意,才能處理 16 歲以下兒童的個人資料。
三、對數據處理要求更嚴格
GDPR 規定,在數據處理過程中,必須以清楚、獨立、清晰的方式向數據主體表達其用戶條款,以獲得數據主體的同意;同意許可必須容易撤回(可以理解為:一鍵點擊同意,也能一鍵撤回同意許可);同意許可必須基於主體自由意志做出,且同意處理的數據範圍不可超過必要限度。
此外,GDPR 還規定,員工數量在 250 人及以上的企業或機構必須記錄數據處理活動的過程、相關人員和數據接收者。員工數量在 250 人一下的企業,如果理數據方式可能給數據主體帶來高風險,威脅他們的權利和自由,也必須做出記錄。如數據處理行為的性質、範圍、內容和目的可能對自然人的權利和自由產生高風險時,數據控制者在進行數據處理之前應當進行影響評估(並做記錄)以此替代將數據處理活動(以及類似於國際數據傳輸等活動)通告數據保護主管機構的一般性責任。
如果控制者和處理者需要經常系統地監控數據主體,而且監控的規模較大、數據種類特殊或涉及到刑事定罪以及違法行為,則必須設立數據保護官(DPO)。非歐盟企業也要遵守這一規定,在歐盟當地設立 DPO。
四、處罰嚴厲
GDPR 的處罰涉及行政處罰和民事處罰。
行政處罰分為兩類,對數據控制者和數據處理者都適用。第一類針對違反隱私保護設計,以及默認隱私保護,沒有實施充分的IT安全保障措施、違反數據泄露通知要求等違法行為,處以最高 1000 萬歐元或者上一年度全球營業收入的 2%,二者取其高;第二類針對違反數據處理原則,數據處理沒有合法基礎、違反同意要求、侵害數據主體的合法權利等違法行為,處以最高 2000 萬歐元或者企業上一年度全球營業收入的 4%,二者取其高。
民事處罰也分為兩類。就對外的被侵權數據主體而言,為了確保其獲得有效賠償,數據控制者和數據處理者就信息主體的全部損失承擔連帶責任。而在內部的責任分配上,數據控制者就其違反GDPR規定的數據處理行為擔責;數據處理者只對其未遵守GDPR規定的特別是針對數據處理者的義務或者其超過數據控制者的合法指示的行為造成的損失擔責。
當然,這些處罰也會根據行為的性質、主管狀態以及違規事件發生後的應急回響情況等多重因素綜合考量,並對中小企業給予一定的豁免權。
企業反應
第一種是針對歐盟用戶,推出相應的數據保護措施。
例如,5 月中旬,FaceBook 向歐洲用戶說明數據使用要求並請求用戶授權面部識別許可,以便為用戶提供更多選擇。而關於此前的 FaceBook 和劍橋分析公司醜聞,歐盟司法專員 Vera Jourova 在接受採訪時表示,由於 GDPR 的條例沒有追溯效力,所以不會對 FaceBook 採取嚴厲處罰。否則,FaceBook 可能會被罰破產。但從今天起,它將處於歐盟的嚴厲監管之中。
第二種是將整改範圍擴大到全球用戶,如微軟和蘋果。
由於這些公司業務線龐雜,用戶數量巨大,單獨將歐盟用戶區分出來並制定相關數據保護條例更加艱難。因此,他們只能面臨全球用戶推出保護策略。
第三種對於歐盟用戶而言可能不是個好訊息。
一些不願意處理 GDPR 合規性的公司直接關閉了針對歐盟用戶的業務。包括 Verve(網路行銷)、Ragnarok Online(線上遊戲)、Super Monday Night Combat(線上遊戲)、Unroll(電子郵件訂閱服務)、Brent Ozar Unlimited(軟體供應商)、Tungle(遊戲軟體提供商)以及 Drawbridge設備身份服務)等在內的多家企業都位列其中。
