GDPR(General Data Protection Regulation,通用数据保护条例)于2018年5月25日正式生效。该法案的正式实施取代了欧盟曾在1995年推出的欧盟《数据保护指令》(Data Protection Directive),且在个人隐私方面迈出了一大步。它旨在保护欧盟公民的个人数据,并对企业的数据处理提出严格要求。GDPR的全面实施,意味着欧盟对于个人信息的保护及监管达到了前所未有的高度,GDPR堪称史上最严格的数据保护法案。自GDPR实施以来,据统计,截止目前罚款超过100万欧元的执法案件达70个【1】。该70个案例的罚款金额总计2,077,668,635欧元。
本文通过对GDPR实施以来罚款超过100万欧元的70个执法案例进行研究分析,总结GDPR执法案例中出现的执法依据及相关法条,结合相关案例分析数据处理中常见的问题,并对企业的数据合规提出建议。
一、从GDPR执法案例执法依据和执法力度国别性差异两个维度进行分析
从图1、图2、图3对GDPR实施以来罚金超过100万欧元的70个执法案件的处罚依据进行分析,发现违反数据处理基本原则、缺乏数据处理合法性基础、未履行充分告知性义务、缺乏保障信息安全技术和组织措施、未满足数据主体权利是监管机构处罚的重灾区【2】,监管机构引用的高频执法条款按照由高到低的顺序排列主要是 GDPR 第 5、6、32、13、12、14、25、21、9、24、35、15、17、28 条;根据GDPR的结构设置结合案例将前述条款归结到所对应的处罚依据【3】:
监管机构的执法重点包括 GDPR第5条中的数据处理的基本原则、第6条数据处理的合法性基础。其中,违反数据处理基本原则的执法力度最为显著。在笔者统计的 70个案例中,违反数据处理基本原则的案件罚款金额高达1,235,991,601欧元,占比59%,数量15个。另外,缺乏数据处理合法性基础的案件罚款金额高达472,922,034欧元,占比23%,数量30个,未履行充分告知性义务的案件罚款金额达234,100,000欧元,占比11%,数量5个,缺乏保障信息安全技术和组织措施及未满足数据主体权利的案件占比6%,数量20个。因每个处罚案例虽然只有一个处罚依据,但通常会引用多个GDPR条款,故有必要从GDPR具体条款在这70个执法案例中的引用频率的维度进行分析,发现排名前8位的条款占比近70%,包括Art.5 (Principles relating to processing of personal data), Art.6(Lawfulness of processing), Art.32(Security of processing), Art.13(Information to be provided where personal data are collected from the data subject), Art.12(Transparent information, communication and modalities for the exercise of the rights of the data subject), Art.14(Information to be provided where personal data have not been obtained from the data subject), Art.25(Data protection by design and by default), Art.21(Right to object)。(详情请参考图4【4】)
欧洲国家处罚力度排名前五位的分别是卢森堡(7.48亿欧元)、爱尔兰(6.47亿欧元)、法国(2.865亿欧元)、意大利(1.276亿欧元)、德国(6029.87万欧元)。卢森堡7.48亿欧元的罚款均来自亚马逊,其中2021/7/16对Amazon Europe Core S.à.r.l.的罚款高达7.46亿欧元,成为截止目前史上最高罚单,目前事件仍在上诉中;爱尔兰的罚款6.47亿欧元,其中2022/9/5 对Meta Platforms, Inc(facebook的母公司) 的罚款高达4.05亿欧元,成为截止目前史上第二高的罚高,2021/9/21对WhatsApp Ireland Ltd.(facebook的子公司)的罚款高达2.25亿欧元,成为截止目前史上第三高的罚单;法国的罚款2.865亿欧元,其中对Google的罚款达2亿欧元;意大利的罚款1.276亿欧元,其中来自TIM (telecommunications operator)的罚款达2780万欧元;德国的罚款达6029.87万欧元,其中来自H&M Hennes & Mauritz Online Shop A.B. & Co. KG的罚款达3525.87万欧元。从这70个案例所处的行业来看,受GDPR处罚严重的行业主要集中在科技巨头的互联网行业,如Amazon, Facebook, Google以及其他掌握了大量个人信息数据的行业如电信、航空、酒店、银行、邮政、票务、零售、汽车等。
二、结合执法案例,介绍GDPR处罚案例高频引用的罚款依据及相关条款
(一)数据处理的基本原则(Art5. GDPR Principles relating to processing of personal data)
截止目前,在GDPR执法案例中,处罚金额最高的Amazon Europe Core S.à.r.l. 和和第二高的Meta Platforms, Inc.均因违反该原则而被处罚。
1. 数据处理的基本原则
包括合法、公正、透明原则(lawfulness, fairness and transparency) 、目的限定原则(purpose limitation)、数据最小化原则(data minimisation)、准确性原则(accuracy)、存储限制原则(storage limitation)、完整性、机密性原则(integrity and confidentiality)、问责制原则(accountability)。
企业处理数据的合法性基础主要来源于数据主体的“同意”。同意需要符合自愿的原则,且数据主体有权随时自由地撤回自己的同意。征求同意的请求应以可以理解、易于访问的形式做出,且需要符合明确、具体的要求。GDPR给出如下解释, If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. 除了数据主体的同意,GDPR还列出了其他一些数据处理的合法性基础,如(在数据主体是合同一方时)为了履行合同的需要,或者为了公共利益的需要等。公正、透明原则要求对个人数据的收集、使用、处理以及处理的程度、处理的目的、数据控制者的身份等必须为数据主体知悉。
目的限定原则要求收集个人数据的目的应具体、明确、合法,且数据处理不能与该目的相违背,GDPR解释说“the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. ” 数据最小化原则要求企业处理个人数据应当与目的相符,收集、处理的个人信息应当是充分的、相关的,且与处理目的相关。存储限制原则是数据最小化原则的应有之义。储存限制原则要求对个人数据的存储期限不能长于完成处理目的,企业应建立数据删除的期限或定期对数据进行审查。
数据准确性原则要求企业对其处理的数据保持适时地更新,并采取一切合理的措施确保错误数据被及时清除或更正。完整性、机密性原则要求数据处理应当以确保个人数据的适当安全性的方式进行,包括采取适当的技术和组织措施以保护数据免遭未经授权或非法处理以及意外的丢失、销毁或破坏。问责制原则是指企业应对履行GDPR的规定负责,且能证明其已经履行了前述规定的原则。
2. GDPR最高罚单:Amazon Europe Core S.à.r.l.案
从目前可以获得的信息来看,Amazon案件的起因是2018年5月10,000名个人通过一个法国隐私权保护组织La Quadrature du Net对亚马逊进行投诉, 监管机构对亚马逊如何对其顾客的个人信息进行处理展开调查后发现亚马逊的广告定位系统没有获得顾客的同意而存在侵权,故对其处以7.46亿欧元的罚金。There are certain requirements for compliant consent that need to be met in order to stay in line with the GDPR, like using clear, plain language and explaining how data is going to be used, why and by whom. 该处罚案例的细节因Amazon在上诉中,故根据当地的法律,该案件处于保密阶段,直至上诉期结束。Amazon强烈反对这一处罚决定,理由是自己不存在数据泄露,而且也未把顾客信息披露给第三方。有评论认为,Amazon提出的理由,不会非常奏效。“GDPR focuses not only on data security but also on the data privacy aspects– how companies use personal data, if the company is transparent, and if the processing is lawful. So whether a data breach occurred or not, may not be crucial in this case. ”
根据GDPR关于数据处理基本原则的规定,Amazon要想证明自己没有违反该原则,难度非常大。Amazon在回应该事件时只提到了自己没有泄露数据,也没有披露给第三人,但没有正面回应是否获得顾客的同意,根据前述所介绍的数据处理的的基本原则要求,数据的收集及处理必须征得数据主体的同意,而且对个人数据的收集、使用、处理以及处理的程度、处理的目的、数据控制者的身份等必须透明,是否有数据泄露等并不是判定自己没有违反该原则的依据。
3. 爱尔兰目前最高罚单:Meta案
今年9月5 日爱尔兰对Meta Platforms, Inc( Facebook的母公司) 的罚款高达4.05亿欧元,成为截止目前GDPR第二高的罚单。监管机构给出的原因是Meta违反了数据处理的基本原则,尤其是关于未成年人隐私保护的规定。据路透社报道, Meta 允许13-17岁的未成年用户在Instagram上创建自己的商业帐户,这意味着他们的邮件地址、电话号码会在应用程序中公开显示。The inquiry examined, in particular, the public disclosure of email addresses and/or phone numbers of children using the Instagram business account feature and a public-by-default setting for personal Instagram accounts of children. 该案件最终经过Concerned Supervisory Authorities (“CSAs”)及the European Data Protection Board (“EDPB”)审议决议确定了最终的罚款金额4.25亿。除了罚款之外,DPC还给予训诫及指令并要求Meta采取改正措施,规范数据处理行为。“In addition to these administrative fines, the DPC has also imposed a reprimand and an order requiring Meta Platforms Ireland Limited to bring its processing into compliance by taking a range of specified remedial actions. ” 这个案件从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。
DPC给出惩罚的理由时,除了引用了数据处理基本原则,如第5 (1)(a) 条(合法、公正、透明原则)第5 (1) (c)条(数据最小化原则), 还引用了其他条款第6 (1)条(同意), 第8(1)条(未成年人同意的有效方式),第12(1)条(透明原则的细化), 第13条(收集数据时,应充分告知数据主体的信息), 第24条(数据控制者的责任:采取组织和技术措施保证并能证明其已符合GDPR的规定), 第25条(设计和默认的数据保护) and 35 GDPR(数据保护影响评估)。其他条款实质也是数据处理原则进一步的细化。
(二)数据处理的合法性基础
在GDPR执法案例中, Google 2019年1月21日因违反该原则被法国处罚了5000万欧元,2021年12月21日因违反该原则再次被法国处罚了1.5亿欧元;意大利于2020年1月15日因TIM (telecommunications operator) 违反该原则,处罚2780万欧元。
1. 数据处理的合法性
数据处理合法性基础引用的主要条文是Art. 6 GDPR Lawfulness of processing,对企业而言,最主要的是数据处理应获得数据主体的有效同意;除了上文关于数据处理的合法性原则提到的要点之外,尤其注意的是在考察用户是否自由作出同意时 ,应该尤为注意企业是否设置了不合理的条件,如以不必要的个人数据处理活动作为履行合同必要条件的情形。换言之, 如果企业会要求用户同意其采集一些和服务没有关系的非必要数据,或把必要数据用于其他目的, 而用户不同意就拒绝提供服务,就构成了未取得数据主体的有效同意而非法处理数据的情形。
另外,GDPR在第8条项下明确规定,对于16周岁以下的未成年人的个人数据进行处理的合法基础在于未成年人的监护人做出有效同意。GDPR中还存在部分个人数据处理场景需要企业获得用户明确同意,例如处理第9条项下的特殊种类个人数据,包括涉及种族或民族、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和人的健康数据等,GDPR明确规定禁止企业对这类数据进行处理,除非获得明确同意; 处理第22条项下对自动决策结果的适用(The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her except that the decision is based on the data subject’s explicit consent), 以及第 49 条项下( 缺乏充分性保护决定与适当保护措施 ) 的跨境数据传输等需要明确同意。
该条文经常和第5条项下数据处理基本原则及关于数据主体权利的条文一起被引用。关于合法性原则上文已提到,数据主体的权利会在下文中单独提出,此处不再赘述。
2. TIM (telecommunications operator)商业营销违反欧洲GDPR
TIM被处罚的原因在于不合法的数据处理、不合规的激进营销策略,未取得数据主体的有效同意以及过长的数据储存期限。The fine was issued for violation of the GDPR, with emphasis on unlawful data processing, non-compliant aggressive marketing strategy, invalid collection of consents and excessive data retention period. 监管机构最终认定TIM违反了数据处理的基本原则Principles relating to processing of personal data Article 5; 数据处理的合法性Lawfulness of processing Article 6; 删除权Right to erasure Article 17; 拒绝权Right to object Article 21;数据处理安全Security of processing Article 32。
TIM公司进行商业营销,未经数据主体的同意,且对于已经登记谢绝营销的个人或者拒绝营销的个人继续进行商业营销“promotional calls without proper consent or despite registration of the contacted individuals in the public do not call registry, and even after they exercised the right to object. ” TIM 以纸质形式收集同意时,用一个单一的选择性加入锁定多个目的,故数据主体的同意是无法辨识且不明确,这违反了GDPR合法性原则中关于同意应以明确、可辨识的方式做出的规定,“The company collected consents in paper forms with a single opt-in for multiple purposes. Therefore, making consents indistinguishable and unspecific.” TIM apps及其营销项目收集信息时以同意作为获得该软件服务的前提条件,故为了进入该程序并获得相应的使用权,客户不得不同意其营销目的,违反了GDPR关于同意应自由做出的规定。“ There were also issue with the data collected through TIM apps and promotional programs, like “TIM Party” that conditioned consent for service. Therefore, to access the program and related benefits, customers had to express consent to promotional purposes. ”
未满足GDPR关于数据主体的权利要求,尤其是数据主体的访问权、拒绝权Further complaints pointed to a failure to respond to the data subjects’ requests with regard to their GDPR rights, in particular regarding access to their data and objection to the processing for promotional purposes.
未正确管理数据主体的同意清单 “TIM failed to properly manage lists of data subjects who wanted to be excluded from commercial campaigns.”
过长的数据储存期限,TIM储存数据的期限超过了法律允许的最长期限十年。 “TIM stored data relating to customers of other Operators (to whom TIM provided network and infrastructure service), in their CRM system, for a time exceeding the limits required by law (10 years). ”
3. Google 和 H&M
Google 2021年被法国罚款1.5亿欧元,主要原因在于谷歌的系统所设置的cookie按钮接受很容易,拒绝却很复杂,这影响了网络用户是否做出同意表示的自由,“The restricted committee, the CNIL body in charge of issuing sanctions, judged that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the "I accept" button. ”
德国GDPR执法案例最高罚金是2020年10月1日对H&M Hennes & Mauritz Online Shop A.B. & Co. KG实施的3526万欧元罚款,该案是因H&M对员工信息的不合法的监控引起的,即未经数据主体的同意而实施了个人数据的监控。德国GDPR处罚金额一般比较保守,最大的罚单来自劳工领域,足以看出德国对劳动者权利的保护。 “Supervisors at the service centre had a practice of collecting detailed private information from employees returning from holidays or sick leave - even short absences - through "welcome back talks". “The information collected was often highly personal, such as details of employees' holiday experiences and sometimes included special category personal data such as symptoms of illnesses and diagnoses. ”最终,H&M对受影响的员工给予了赔偿并道歉,并提出了一个综合的数据保护方案,包括指定一位新的数据保护协调官,发布月度数据保护状态更新,以及对“吹哨人”的保护等。
(三)企业应履行充分告知性义务
1. 充分告知性义务
该义务主要规定在GDPR第13条和14条项下 (两个条款的内容基本一致), 是指企业在收集数据之前应该向数据主体提供如下信息:控制者的身份与详细联系方式, 数据保护官的详细联系方式,数据处理的目的,数据处理的合法基础,数据的类型,数据的接收者,数据将被储存的期限或用来确定此期限的标准;数据主体的权利包括数据主体对数据的访问权、更正或删除权,或者限制或拒绝权,数据可携权,可随时撤销同意的权利,向监管机构进行申诉的权利,个人数据的来源。
前述信息应当在合理时间内提供,如需要在进一步处理数据之前,提前向数据主体提供此类目的的信息;若需要将数据披露给第三方,需要在披露之前向数据主体提供;但最晚在一个月以内提供。对于数据主体已经拥有的信息,不需要再次提供。
GDPR第12条明确规定对于与个人信息处理相关的第13条和第14条规定的所有信息、或者对第15条至22条以及34条(数据泄露可能会给数据主体带来风险时应即刻告知数据主体)所规定的交流,数据控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言向数据主体提供;对于数据主体是儿童的所有信息,尤其应当如此。
2. WhatsApp违反信息披露透明的规定
WhatsApp 因未履行充分性告知义务,于2021年9月2日被爱尔兰罚款2.25亿欧元,DPC调查主要围绕WhatsApp是否履行了其数据披露透明义务,尤其是关于WhatsApp与其他Facebook公司分享和处理其收集的个人数据的透明度(Facebook在2014年收购了WhatsApp)。DPC确认WhatsApp对其服务的用户和非用户都违反了GDPR第12-14条——即未向数据主体明确、公开和透明地披露其个人数据将被如何处理,例如DPC发现WhatsApp 并未对其每一个数据处理活动提供合法的基础,违反了GDPR第13(1)(c)条。
关于罚金的计算,欧洲数据保护委员会EDPB决定WhatsApp的母公司Facebook的收入与WhatsApp的收入应合并计算,因为两家公司都是统一经营。且根据欧盟法院CJEU的判例法,当母公司和子公司进行统一经营,该经营行为因子公司触犯了法律而应承担责任时,该母子公司的总收入构成了所争议的经营的财务能力。根据GDPR 83条第5款的规定,违反数据披露透明度应施加最高2000万欧元,或前一年度全球总营业额4%两者取其高的一项进行罚款。
最后,EDPB考虑到透明度原则的重要性,要求WhatsApp在三个月内采取多项行动,以提高其数据披露的透明度,并完成相关整改。WhatsApp 必须对其用户和非用户更新其隐私公告,该公告应涵盖GDPR 第13条和第14条规定的内容,包括用户如何对其处理活动向监管机构进行申诉的权利。
(四)企业应满足数据主体权利的实现
1. 数据主体的权利
GDPR第15条-23条规定了数据主体的权利,包括数据主体的访问权(Art. 15 Right of access by the data subject),更正权Art. 16 Right to rectification, 删除权Art. 17 Right to erasure(to be forgotten), 限制处理权 Art. 18 Right to restriction of processing, 便携权Art. 20 Right to data portability, 数据主体的拒绝权 Art. 21 Right to object.
数据主体的访问权,是指数据主体有权从数据控制获得的信息,包括:数据处理的目的,数据的类型,数据接收者或接收者的类型,个人数据将被储存的预期期限,数据主体享有的更正权、删除权、限制处理权的存在,向监管机构进行申诉的权利,数据来源的任何信息(当要处理的数据不是从数据主体直接收集的),关于数据转移的保障措施,自动化的决策的存在及其处理的逻辑及对于数据主体的预期后果和影响;
更正权:当数据主体要求更正错误个人数据时,企业应当及时响应数据主体行权要求,及时更正与其有关的错误数据。删除权:当数据主体撤回同意或当个人数据处理已不必要情况下,数据主体提出删除其个人数据的请求时,企业应及时采取删除措施,清除与其相关的个人数据。拒绝权:为营销目的处理个人数据的,应当征得数据主体同意。当数据主体明确拒绝为广告营销目的处理其个人数据,企业不得向其推送广告。
限制处理权:当数据主体对个人数据的准确性提出质疑、数据处理违法情况下数据主体要求限制数据使用或数据主体行使拒绝权的情况下,数据主体有权限制企业的数据处理行为。数据可携权:当数据处理是基于数据主体同意或合同约定合法性基础,或数据通过自动化方式进行处理的情况下,提供个人数据的数据主体有权向企业要求提供结构化、通用化和可机读的与其有关的个人数据。
2. Clearview Al Inc.收集数百亿人的图像,违反欧盟 GDPR
Clearview Al Inc.今年因其违反GDPR先后被意大利、英国、希腊、法国施加了罚款,总金额达6900万欧元,虽然监管机构所给出的处罚类型稍有不同,如法国以未满足数据主体的权利进行罚款,其他三个国家则以违反数据处理的基本原则,但所依据的核心条款之一都包括了数据主体的权利。
以法国监管机构CNIL给出的处罚理由为例:CLEARVIEW AI 从各网站包括社交媒体收集大量照片及视频,数量达数百亿。该公司建立了自己的图像数据库,并提供搜索引擎进行个性化搜索和匹配。CLEARVIEW AI把这项服务提供给执法当局用以识别罪犯或受害者,并还为此建立了以人的物理特性(主要是人脸)的模版,这些生物学的数据都是非常的敏感数据,属于GDPR第9条项下的特殊种类的数据,处理该类数据必需征得数据主体的明确同意。但是,CLEARVIEW AI数据库里的图像的数据主体并不知道自己的图像被收集并被在其软件上使用,这些图像的数据主体无法合理的预知自己的图像会被一个公司加工并应用于人脸识别系统,实施执法目的。故CNIL以CLEARVIEW AI违反GDPR第6条项下数据处理必需有合法的基础(包括明确的同意、合法的利益等)及违反了GDPR第12条、15条、17条项下的规定,未以有效的令人满意的方式保证数据主体的权利尤其是访问权,而对其进行处罚。CLEARVIEW AI 限制数据主体行使访问权,限制访问的对象为提出申请前12个内收集的数据,并且无任何合法依据的将权利的行使限定为一年两次,且仅在从同一人收到大量请求时才回应部分请求,而且对数据主体要求删除的回应非常的低效。在CNIL调查时, CLEARVIEW AI配合度低,其仅回复了小部分调查表,且未对CNIL 发布的正式的通知给予任何回复,而根据GDPR第31条的规定,数据控制者应该对监管机构关于其数据处理的询问予以配合。故,鉴于CLEARVIEW AI违反了GDPR第6条、12条、15条、17条及31条的规定,对其施加罚款2000万欧元。
(五)缺乏保障信息安全的技术和组织措施
1. 保障信息安全的技术和组织措施
数据控制者应采取保障信息安全的技术和组织措施的规定主要体现在GDPR第32条数据处理的安全性Security of processing、24条数据控制者的责任Responsibility of controller、25条设计的和默认的数据保护Data protection by design and by default、28条数据处理者Processor。
数据控制者应采取保障信息安全的技术和组织措施,主要包括:个人数据的匿名化和加密;确保处理系统与服务的保密性、公正性、有效性性以及重新恢复的能力;在发生物理的或技术的故障时,能及时恢复对数据的获取与访问;建立定期测试、评估与评价技术性与组织措施有效性的流程,以保证数据处理安全;在默认情况下,只有为特定处理目的所必要的个人数据被处理;在评估安全性时,应考虑处理所带来的风险,特别是在个人数据传输、储存或处理过程中可能发生的意外或非法破坏、丢失、篡改、未经授权的披露或访问所带来的风险。企业可以设立行为准则或进行认证,证明自己已经履行了法定的义务。
2. Marriott International, Inc数据泄露案
2018 年 11 月,万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据泄露事件。该事件导致 3.39 亿酒店客户信息(包括姓名、邮件地址、电话号码、护照号码、行程信息等)被黑客窃取,涉及到 3000 万来自 31 个欧洲经济区(EEA)国家的居民,其中包括 700 万英国居民。万豪国际在 2016 年 9 月收购喜达屋酒店。据英国监管机构 ICO 调查,喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自 2014 年 7 月起便存在,直到 2018 年才发现此漏洞。
ICO 认为万豪国际在处理数据时,未采取确保个人数据安全的基数和组织措施,以防范对数据进行未经授权、非法的处理及意外的损失、破坏、损害等,故违反了GDPR第15(1)(f)条及第32条的安全保障义务。ICO依据GDPR第5(1)(f)条、第5(2)条、第24条、第28条、第29条、第32条、第83条,于2020年10月30日对万豪国际集团做出了2.045亿欧元的罚款。
最后,再聊一下本案的管辖,万豪国际是一国际连锁酒店,业务总部在美国。万豪国际证实根据GDPR 第4(16)条,万豪酒店是在欧盟成立的万豪的主要机构,故该案件应适用GDPR的规定,根据GDPR 第3(1)条的规定This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not,万豪国际的数据泄露案应适用GDPR。又,该事件涉及到 3000 万来自31个欧洲经济区(EEA)国家的居民,其中包括 700 万英国居民,故该案件从所泄露的数据主体是欧洲经济区的居民及举重以明轻的原则,也应适用根据GDPR的规定,依据是第3(2)条“This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union”。
三、对企业数据合规的建议
根据GDPR checklist,结合执法案例,笔者建议企业应建立一整套的数据合规体系。企业应从四个维度构建数据合规体系,包括数据处理合法性的基础及透明度、数据安全、责任和管理、隐私权。
(一)数据处理合法性的基础及透明度
企业应首先对所处理的数据做审计,以明确所处理的数据类型,以及谁对这些数据具有访问权;对敏感类型的数据如银行账户、护照号码等进行加密,对特殊类型的数据,需要获得数据主体的明确同意。应保证数据主体的访问权,查看本企业谁对该数据具有访问权,是否有第三方对该数据具有访问权(位于哪里),并确保与数据处理无关的人无权访问该数据,例如对访问数据的申请者进行身份验证。
数据处理应有合法的基础,如是否获得数据主体的有效同意,并注意企业在征求数据主体同意时不得设置不合理的条件,如不能要求用户同意其采集一些和服务或处理目的没有关系的非必要数据;在获取用户的同意时,应当确保该同意是明确而具体的,即针对不同的处理行为获取相应的同意,禁止“一揽子” 授权同意。在企业的隐私政策中提供关于数据处理及合法性基础的明确信息。应核实数据处理的目的,仅能按照数据主体知悉并同意的处理的目的对数据进行处理;若超过该目的,则需重新获得数据主体的同意。规划删除、审核数据的时间节点。
(二)数据安全
1. 任何时候都要对数据进行保护,从产品开发到每一次数据处理,都应贯彻落实数据保护的理念;利用技术措施保护数据的安全性和机密性,如只要有可能就要对个人数据采取加密、匿名、去名等措施;利用组织措施保护数据的安全性和机密性,如限制所收集的数据的数量,并删除不再需要的数据;建立定期测试、评估的流程,在系统安全方面采取更多、有效的保护措施;制定团队内部的保护政策,养成保护数据的良好意识;知道何时应该进行数据保护影响评估,并且制定评估决议程序及评估程序;发生数据泄露时应通知监管机构和数据主体:根据GDPR 第33条的规定,控制者在知悉后应当及时,至迟在72小时内,将数据泄露事件告知监管机构;根据GDPR第34条规定,若泄露会给数据主体带来很大的风险时,应及时通知数据主体发生了数据泄露。
如在万豪数据泄露事件中,ICO 指出了数据处理中存在的主要错误:insufficient monitoring of privileged accounts that would have detected the breach; insufficient monitoring of databases; failure to implement measures to reduce the vulnerability of the server (which would have restricted access to key aspects of their databases) ;另一方面,ICO 肯定万豪所采取的有利措施, (i) creating a bespoke incident website in numerous languages, (ii) sending notification emails to data subjects, (iii) establishing a dedicated call center, and (iv) providing web monitoring to affected data subjects.
(三)责任和管理
指定特定的人负责GDPR合规事宜;如需第三方代为进行数据处理,应和第三方签署数据处理的合同,签署的合同不应违反GDPR 的相关条款;如果数据控制者在欧盟之外设立,则应在欧盟内部的一个成员国指定一个代表;如需要,则应任命数据保护官,数据保护官应被授权评估公司的数据保护政策及该政策的实施。
(四) 隐私权(数据主体的权利)
隐私权方面应做到如下:用户/客户(以下简称用户)即数据主体,很容易发出请求并能收到公司所拥有的客户的所有数据;用户很容易更改、更新错误的或不完整的数据;用户很容易请求删除其个人数据;用户很容易要求公司停止处理其本人的个人数据;用户很容易收到其本人的一份个人数据,并且该数据形式可以很容易传到另一家公司;用户很容易对公司处理其个人数据进行拒绝;如公司决定对个人数据进行自动化处理,必须设立保护主体权利的程序。确保能核实请求该数据的主体身份;并应该在一个月之内回应这些要求。
用户有权知道企业拥有的关于其本人的个人数据,并有权知道企业会如何使用这些数据。用户有权知道企业计划保存这些数据的期限,并且知道保存期限的原因。企业提供给用户的第一份数据应该免费,以后提供的数据可以收取合理的费用。用户有权知道数据处理的目的、数据接收者或接收者的类型、向监管机构进行申诉的权利、数据控制者及其联系方式、数据处理的合法基础等。
另外,企业须在兼并和收购背景下重视数据共享的重要性,将其视为潜在的“优先事项”。只要标的公司的业务涉及数据,则应当把数据合规尽职调查放到与公司其他资产尽职调查同等重要的地位,遵守 GDPR的规定,从而避免日后发生数据漏洞给企业带来的巨额损失。
注释:
【1】数据来源于GDPR Enforcement Tracker https://www.enforcementtracker.com/
【2】划分依据来源于GDPR Enforcement Tracker执法案例中的(处罚)类型,因每个案例中的事件存在多方面的违法情况,故处罚引用的条款很多,有些已超出了处罚的类型范围,该处罚类型只是监管机构依据处罚的核心条款划定的。未满足数据主体权利的实现和未履行充分性告知义务的处罚依据,在法律体系上并不是割裂的,而是一体两面,前者更侧重数据主体的权利,后者更侧重为实现数据主体的权利数据控制者应履行的义务。
【3】该归类更加偏重于GDPR结构设置,因每个案例中的事件存在多方面的违法情况,处罚引用的条款很多,有些已超出了处罚的类型范围,若仅按照监管机构给出的案件的处罚类型所引用的条款划分,不是很科学,且会产生误导。
【4】罚款金额超过100万欧元的执法案例引用条款共计28条,图中所显示的条款为14条,引用次数占比86.9%;除了图中所显示的14个条款外,还有另外14个条款按引用次数排列依次为Art. 7,Art. 30,Art. 22,Art. 33,Art. 82,Art. 16,Art. 26,Art. 27,Art. 29,Art. 31,Art. 37,Art. 10,Art. 34,Art. 48,占比13.1%。
本文作者:上海申浩律师事务所 陈丽梅律师
本文内容仅代表作者个人观点,依据作者个人对法律、案例以及结合自身经验而形成,不对其准确性做完全的保证,不代表申浩律师事务所的法律意见或对法律的解读。
本文为申浩律师事务所律师原创,版权归署名的作者所有,转载须经作者本人同意。本文可通过微信转发功能全文无修改之转发,不允许通过复制等方式全部或部分的方式于其他账号中的再次发表。
如您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。