《通用数据保护条例》的源起
大数据分析技术使企业能够跟踪和预测个人行为,并用于自动化决策、推广。个人数据的网络泄露使欧盟公民面临巨大的个人风险。同时,现行的《关于个人数据处理保护与自由流动指令》未能有效地解决数据收集、存储、传输等问题。
为了解决上述问题,2016年欧洲会议通过了《通用数据保护条例》,并于2018年5月25日生效。该条例取代了《关于个人数据处理保护与自由流动指令》。这是一项严格的数据保护立法,规定了处理、存储和管理规则,且无须各成员国内部转化,即对欧盟范围内所有的个人数据产生适当的保护。任何瞄准欧盟市场的企业同样受其约束。虽然该条例用于欧盟成员国,但其影响具有全球性,对数据发展带来了新的挑战。
同时,《通用数据保护条例》仍然规定了繁重的合规义务,影响到世界各地的企业。受《通用数据保护条例》约束的企业必须遵守严格的个人数据保护规则,并要求风险较高的企业开启数据保护影响评估。这些企业必须保障与其供应商和服务提供商签订的合同中包含特定的数据保护条款,能够回应个人请求的系统和流程。这些个人请求保护下的权利,包括访问、更正、端口、删除或限制个人数据处理的权利。
《通用数据保护条例》的特点
实施更严格的同意标准
为了保证数据采集、储存等环节的客观性,《通用数据保护条例》设定了更为严格的同意标准。一方面,企业在收集前必须通知数据所有者,并取得数据所有者明确的授权;另一方面,该条例列出了需要提供的具体信息,包括控制者的身份,处理的目标,法律依据等,从而充分保障了数据所有者的知情权。
加强数据主体的权利
《通用数据保护条例》赋予了数据主体多项权利,例如,被遗忘权、可携带权等。尤其是被遗忘的权利,是该条例的亮点。该条例规定数据所有人有权要求数据持有人和处理人删除与其相关的个人数据。但该权利在获得保护的同时也同样受到限制,在遵守法定义务、公共利益和保障言论自由或为了实现科学研究时不应当删除。
此外,数据管理需对其使用个人数据的安全性、可用性、保密性和完整性负责。例如,在获得同意权后,数据持有者应当按照法规进行收集、存储和处理,并有责任证明收集程序的合规性。如果不遵守以上规定,数据主管部门可以对数据持有人处以高额罚款。例如,普华永道无法证明他们对数据处理获得了有效同意,因而被希腊数据管理机构处以高达15万欧元的罚款。与此同时,该条例还规定了一套获取个人数据的原则:合法性、忠诚度和透明度、特定目标、收集数据的限制、准确性、完整性、保密性。
引入了强制性违约通知
条例规定各企业在个人数据安全受到高危信息安全泄露时,则受数据泄露的企业必须在发现数据泄露后72小时内通知数据保护机构。
如果数据处理对数据权利和自由带来了高风险,则仍需要对涉及的对象进行数据影响评估。此类评估必须详细说明为应对风险和确保合规而采取的安全防护措施。
违法成本大幅度增加
对于轻微违规行为,企业可被处以其全球收入的2%或1000万欧元的罚款(以较高者为准)。对于更严重的违规行为,最高可处以全球收入的4%或2000万欧元的罚款(以较高者为准)。
如果一个企业不遵守《通用数据保护条例》,它可能会付出高昂的代价。鉴于任何人都可以提交投诉,所以违反《通用数据保护条例》被发现的概率很大。目前,罚款较高的案件有谷歌案、英国航空案、万豪酒店集团案,分别被罚约5000万欧元、约2亿欧元和约1.6亿欧元。
扩大了数据保护的范围
由于收集和处理与欧盟公民相关信息的任何人或任何企业都必须遵守数据保护原则,无论其基于何处或数据存储在何处,甚至是云存储也不例外。这意味着,个人数据的定义得到了扩大。原来的个人数据包括可直接或间接识别个人的信息。而根据新的定义,IP地址、电子邮件,电力设备等标识均被作为个人信息。
从现状来看,《通用数据保护条例》规定的信息几乎涵盖所有个人数据,从根本上改变了全球企业处理数据的方式。《通用数据保护条例》立法宗旨是通过让消费者更好地了解是谁以及出于什么原因收集他们的数据,从而增强数据所有者的权能。在此基础上,该条例允许消费者选择不成为数据收集的主体。
《通用数据保护条例》对数据安全合规造成的影响
合规成本的增加
《通用数据保护条例》对数据提供者提出了严格的要求,明确数据收集、存储、传输等问题。该条例将对目前收集、存储和管理个人数据的技术平台和数据架构产生重大影响。由于该条例要求数据控制器和处理器记录所有的处理活动。因此,各企业必须对其技术平台和数据架构进行彻底的内部评估,包括各种信息系统、网站、数据库、数据仓库和数据处理平台,以便更好地收集个人数据以及个人数据存在的位置等。
为了满足条例的要求,公司需要投入大量人力和资源来升级其技术平台、更新隐私政策、改变广告做法以及调整数据存储和管理流程等。这些问题的解决都需要投入大量的个人技术开发和高额的技术维护。这让企业的合规成本持续增长。
此外,针对拥有高敏感数据和处理或存储大量欧盟个人数据的组织,需要聘用数据合规官。数据合规官保障数据安全、监督数据的存储和传输以及内部合规性审计等事务。但企业聘用数据合规官的费用相当昂贵,并且这项费用是公司的长期固定支出。
企业经营策略发生变化
企业合规成本的增加会使企业考虑生产利润和合规成本的得失,尤其是一些中小型企业,迫于高额运营成本的压力,会改变经营策略,选择退出欧盟市场。在《通用数据保护条例》生效后,美国YouTube公司开始在欧洲支持第三方预订广告服务。Facebook以及谷歌因其“强制同意”而被起诉。这些案例反映了一个事实,即外国公司在欧盟的商业活动也已经受到《通用数据保护条例》的严重影响。
提升用户体验感,增加对企业的信任
《通用数据保护条例》要求企业为欧盟居民提供强大的隐私保护权,如数据访问权等。如果用户希望了解公司收集了自己哪些数据以及适用目的,该用户可以要求公司及时给予回应。例如,某公司会收到客户数以千计关于公司如何使用个人数据的请求,如果客户对公司处理其个人数据的方式不满意,可以要求公司删除个人数据。此外,员工居住在欧盟或来自欧盟的公司还需要处理其员工的个人数据,如照片、银行详细信息、税务和养老金详细信息、健康和安全报告、疾病记录以及工资信息等。
虽然《通用数据保护条例》给企业套上了沉重的枷锁,但从企业的长远发展来看,其对用户的隐私进行了保护,这既是企业诚信发展的要求,也是增加用户信任度、提升企业声誉的有效途径。
(作者单位:安徽师范大学法学院)