天下彩

我们能从欧盟GDPR条例上学到什么?

我们期待你的参与,把你看到的最新、最有趣、最好看的文章给大家一起分享。

我们能从欧盟GDPR条例上学到什么?

作者: http://www.tefidesigns.com | 时间:2019-03-31

  GDPR出台后,公众进一步意识到隐私问题的严重性,这也导致美国和其他国家/地区的消费者提出质疑,为什么自己没有获得同样的保护。二十年前,中国被国外视为不懂得保护知识产权的国家,如果不加快个人信息保护立法,日后中国将可能被视为“不懂保护个人信息”的国家,譬如出现百度总裁李彦宏发表的“中国人愿意用隐私交换便利”那样的论断。结合我国国情和个人信息保护立法现状,笔者认为可以借鉴欧盟以下经验做法:

  ◆  ◆  ◆

  (二)向功能性、穿透性监管方向努力。鉴于我国行业监管割裂现状,短期内,想要像欧洲那样成立一个既能管到政府、警察、公共组织,又能插手互联网、医疗卫生、金融、就业等领域个人数据处理的监管机构是不现实的,但功能性监管、穿透式监管无疑更有利于个人权益保护,应当是努力方向。建议目前在各个行业主管部门成立独立的个人数据保护机构,如在金融稳定委员会下设立个人金融信息保护专业委员会,统一指导银行、证券、保险及其他金融、类金融机构的个人信息保护工作,逐步提升个人信息保护水平。

  看懂经济写作营第1期学员,看懂经济专栏作家

  4、创新引入两项重要权利。GDPR开创性地引入了被遗忘权和可携带权,对信息权益保护和信息自由流动提出了高标准要求。

  6、要求欧盟机构、数据控制者和数据处理者设立“数据保护官”(DPO)。DPO的职责包括:督促数据控制者和数据处理者履行数据保护义务、配合监管机构工作、代表所在机构处理数据保护实务、负责接收咨询等。DPO的联系方式向监管部门和社会公众公开。DPO可以是机构内部员工,也可以外聘,各机构应当向DPO提供履职相关的数据访问权限和资源。数据控制器或处理者不得因执行任务而解雇或处罚DPO。

  1、确认自身的生产经营活动是否在GDPR的适用范围内。

  (四)加大对违法违规行为惩处力度。在现有法规基础上,监管部门应大幅度提高行政处罚标准(从严、顶格),不断扩大监管覆盖面和提高检查频次,震慑违法行为。各级人民法院应不断降低司法救济成本,大力打击“侵害公民个人信息”违法犯罪,提高被侵害人补偿标准,增加人民群众在个人信息领域的安全感。

  一、GDPR是个啥?

  2、对数据保护相关概念作出严谨的定义。GDPR系统、严谨地定义了“个人数据”、“数据主体”、“数据处理”、“数据使用”、“同意”等概念,在全球范围内起到了标准制定者的示范作用。

  GDPR不是突然冒出来的,早在1995年欧盟就出过一个《个人数据保护指令》(Directive 95/46/EC),不过“指令”的层级有点低,欧盟成员国可“参照执行”,不像“条例”那样具有直接、强制的适用效力。根据GDPR,欧盟成立了欧洲数据保护监管局(EDPS),负责辖内个人数据保护和信息自由流动的监管工作。各欧盟成员国须成立专门的数据保护监管部门,负责执行GDPR和相应的国内法,如德国的联邦数据保护机构(BFDI),法国的国家信息与自由委员会(CNIL)等。如果对监管部门的决定不满意,还可以向欧洲法院(CJEU)或欧洲人权法院(ECtHR)直接提起诉讼。

  五、 我国可以吸引借鉴哪些制度?

  ◆  ◆  ◆

  1、打破了传统立法管辖权。传统的立法管辖权通常按照国家/地域划分。而GDPR的约束同样适用于向欧盟居民提供产品或者服务,甚至只是收集或监控数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。这意味着,欧盟境外的实体,通过互联网等形式处理欧盟境内个人的个人数据,也适用GDPR。

  3、建立专门的信息安全和隐私保护部门,或委托专业、合法的第三方机构处理个人数据。

  6、反对权(Right to object)。信息主体可以对以下事项提出反对:一是数据控制者以“公共利益”或“追求合法利益”名义处理个人信息;二是用于市场营销目的的数据处理;三是在接收服务的同时自动采集信息的(主要指网站Cookie);四是以科学、历史研究或统计目的为名义的信息采集和处理行为。反对结果将由监管部门或法院判定。

  2、认真学习GDPR各条款,履行相关义务,如:取得相关信息主体的“明示同意”、完整记录数据处理过程、停止后台自动采集数据等违规行为、随时准备好证明自己的数据处理合法等。

  二、GDPR赋予个人哪些权益?

  (三)明确数据处理原则,加强个人权益保护。建议通过立法明确“有限采集”、“按约定使用”、“有限存储”等数据处理原则,强化个人信息安全保护。完善个人信息“知情权”、“异议纠错权”等保护措施,要求数据控制人主动履行信息告知义务。在行政管理和技术负担允许下,推进个人信息“限制处理权”、“删除权”、“可携带权”等逐步实现,在有条件的机构试点设立“数据保护官”职位。

  7、与自动决策和用户画像相关的权利(Automated individual decision-making、including profiling)。根据GDPR的规定,数据主体有权不适用、拒绝或不参加完全基于自动化处理(包括用户画像)的信息处理。例如,无人为干预下的拒绝在线信贷申请、网络招聘或在线绩效评估等。

  举个例子:在谷歌西班牙案中,谷歌被要求删除当事人的过期的、财务困难(破产)信息。谷歌公司申辩称,其作为网络搜索引擎,只对外提供各个原始网页的链接,法院应当要求原始网页删除个人金融信息。法院认为,网络搜索引擎的搜索结果展示了个人信息,属于GDPR规范的数据控制者。GDPR关于过期信息需要删除的规定,同样适用于复制原始信息的控制者,谷歌公司应当按照当事人的合法请求删除个人信息。法院同时认为,个人信息擦除权不是绝对的,应当与其他权利特别是公共利益进行平衡。如果信息主体是公众人物,或者该信息被公众获知是合理的,那么公众获取信息的权利将大过信息主体的个人权利。

  ◆  ◆  ◆

  文 | 文舒

  总而言之,要么退出欧洲,要么遵守GDPR规定。

本文首发于微信公众号:央行观察。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

  GDPR,全称《通用数据保护条例》(General Data Protection Regulation),是欧洲议会制订的第2016/679号条例。经过两年的过渡期,该条例于2018年5月25日正式在欧盟成员国施行。将“Data”翻译称“数据”显得很专业,但实际上主要是为了保护个人信息。可能是由于二战时有过侵犯人权的“黑历史”,战后欧洲对个人隐私保护特别严格,将个人信息隐私权视为一项基本人权。这一点是美国,甚至联合国的法律都没有达到的高度。

  四、相关企业应当如何应对?

  毫无疑问,GDPR将对各国企业在欧盟市场的投资、销售和运营产生显著影响,是必须直面的重大法律监管障碍。违反条例后果将会很严重,我国企业也应当:

  2、异议纠错权(Right to rectification)。个人有权更正、更新自身错误、不准确、过时的信息,同时也负有提供“不准确的证据”、更新后信息证明材料的义务。但这种义务不能给信息主体造成“不合理的负担”。欧盟人权法院在司法实践中经常遇到信息主体不能提供“不准确证据”的情形。信息主体可以对有争议的信息提出个人声明,数据控制者应予记载。

  (一)高标准、高层级立法。尽快出台《个人信息保护法》和《个人金融信息保护条例》,引起政府、学界、公众对个人信息和隐私权保护的重视,提示我国个人信息保护水平。不仅是欧美发达国家,亚太地区的日本、韩国、新加坡、马来西亚甚至台湾都出台了专门的《个人信息保护法》。

  3、明确了数据处理原则。《条例》规定数据处理应合法、正当、透明;处理数据的目的有限;仅处理为达到目的的最少数据;确保数据准确、时新;储存数据的期限不得长于为达到目的所需的时间和采取技术和管理措施以保护数据安全等原则。《条例》禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。《条例》还特别规范了儿童个人数据的处理,即处理16 岁以下的儿童的数据处理必须获得该儿童父母/监护人的同意或授权。

  4、限制处理权(Right to restriction of processing)。具有以下情形时,信息主体有权要求数据控制者“临时地”限制处理其数据:1)对个人数据的准确性提出质疑;2)处理方式不合法,而信息主体未要求删除个人信息的;3)数据控制者不再需要个人信息,但数据主体为了提起、行使或辩护法律性主张而需要该数据的;4)在核实数据控制者的正当理由是否优先于数据主体的正当理由之前,数据主体反对处理的。在限制处理期间,“已标记”的个人数据只能由控制者存储。除非信息主体明示同意或者出于公共利益,数据控制者禁止开展“已标记”数据处理活动。

  三、GDPR有什么特别之处?

  日前,Google公司收到一张来自法国的罚单,金额5000万欧元(约3.8亿人民币),理由是Google违反了欧盟《通用数据保护条例》,在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制并非自客户自愿等问题。这让人在“吃瓜”之余,不得不佩服腾讯公司的法务,腾讯QQ机智地在《条例》刚出来的时候就宣布退出欧盟。这个号称史上最严格的数据保护法规都有哪些规定?我们又能从中学到点什么?

  5、数据可携带权(Right to data portability)。GDPR中新增了数据可携权条款。为了进一步加强数据主体对其自身数据的控制,数据主体有权从控制者处接收回其提供给控制者的个人数据,而且数据还应以常用的、机器可读的格式提供。这项权利旨在使数据主体能够将数据传输给另一控制者,而不受前一控制者的阻碍。在技术上可行的情况下,数据主体也可要求控制者将个人数据直接传输给另一控制者。

  1、知情权/访问权(Right to be informed)。分为信息主体主动询问权和被动告知权。信息主体有权询问数据控制方是否保有、处理自身信息,并方便地、免费地获取个人数据。数据控制人和处理人有义务在“合理期限内(不超过1个月)”主动告知信息主体,哪些个人信息被采集了、将怎样使用等。

  ◆  ◆  ◆

  3、删除权/被遗忘权(Right to erasure‘the right to be forgotten’)。信息主体有撤回同意和要求删除个人信息的权利,超出授权期限或授权事项结束后,个人数据应当被擦除。

  5、大幅提升违规成本。《条例》规定违法的惩罚金额由成员国自行确定,惩罚上限处于欧盟立法中较高标准。对于一般性违法行为,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重违法行为或造成严重后果,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者),全面提升了对个人数据的保护力度。法国对谷歌公司涉嫌违反GDPR的处罚还不是顶格处罚,如果按照全球营业收入的4%计算,那将是高达44亿美元的罚单。

  ◆  ◆  ◆

发表《我们能从欧盟GDPR条例上学到什么?》新评论

友情链接

相关介绍

GDPR出台后,公众进一步意识到隐私问题的严重性,这也导致美国和其他国家/地区的消费者提出质疑,为什么自己没有获得同样的保护。二十年前,中国被国外视为不懂得保护知识产权