历经两年过渡期后,被称为欧盟有史以来最严厉的个人信息保护立法《统一数据保护条例》(GDPR)于2018年5月25日在欧盟全体成员国正式生效。GDPR对我国的企业合规、数据管理、相关立法、对外贸易谈判等都可能产生直接和深远的影响。针对GDPR的相关规定和可能影响,应尽快采取措施,完善企业合规,强化数据安全监管,制定个人信息保护相关立法,并处理好对外贸易谈判等事宜。
2018年5月25日,欧盟制定的《统一数据保护条例》(GDPR)正式在全体成员国范围内生效,这将使28个欧盟成员国的个人数据保护法更具有一致性。GDPR包括前言、正文11章(99条),具体内容覆盖7个方面:
(1)扩展了“个人数据”定义的范围,继承和发展了95指令的定义,除了姓名、手机号、用户名、IP地址、定位地址这些常规信息外,还包括生物信息、健康数据、政治观点等敏感信息。
(2)设置了极强的域外管辖效力,除了适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,如果存在向欧盟境内数据主体提供商品和服务的、监控数据主体在欧盟境内行为等情况的也要适用GDPR。
(3)明确了对个人数据的处理原则,这是处理个人数据应遵守的基石,其中合法、公平、透明原则、目的限定原则、最小范围原则、准确性原则、存储限制原则、完整性与保密性原则主要是为了规范数据处理行为,保障数据主体的权益,责任原则是为了确保上述原则得以有效正确的实施。
(4)完善了数据主体的权利,除规定了95指令中已有的知情权、访问权、纠正权等,还增设了一系列新的权利给数据主体,例如删除权(被遗忘权)、限制处理权、持续控制权(数据可携权)和拒绝权等。
(5)加重了数据控制者和处理者的义务,GDPR开始重视数据处理者的地位,直接对其规定了大量数据保护义务,明确了数据控制者与处理者在法律责任承担上的划分,并新增了控制者和处理者的数据泄露报告义务、数据系统保护和默认保护义务以及数据保护影响评估义务。
(6)规定了向第三方国家或国际组织转移个人数据的限制,保留了95指令的“充分保护水平”,要求第三国具有与欧盟同等的个人数据保护水平,同时丰富了考量因素,强调不仅要看该国的成文立法,更要看其法律执行的有效程度。
(7)完善了执法监督机制,专门设立欧洲数据保护委员、规定了数据保护专员制度等以明确个人数据保护专门机构,并规定了大量具体救济与制裁条款,以实现欧盟个人数据保护法救济与制裁水平一体化。
适应信息和通信技术的发展以及对商务活动应用的加深,改变个人与企业对个人数据不平衡的控制能力是GDPR出台的直接动因。20世纪90年代,互联网仍然停留在信息发布和传输阶段,基于海量数据交互的互联网应用尚未出现,因此欧盟95指令是立足于计算机自动处理个人数据背景下的个人数据保护规则,不足以应对互联网发展和大数据浪潮。基于此背景,欧盟认为有必要对个人数据保护规则的内容进行更新换代,在确保公民的个人数据得到充分保护的前提下使个人数据得到最大限度的利用。
保护欧洲公民的基本权利与促进数据流通并重是GDPR确立的立法宗旨。个人数据保护权是欧洲公民的一项基本权利,GDPR旨在强化对公民这一权利的保护,但这并非是绝对的,GDPR同时也注重促进个人数据在欧盟境内的自由流通,如建立了统一的法律规范,使欧盟企业开展商务活动变得更加简单和成本低廉;要求各国设立数据监管机构,是为了使企业节省不必要的行政和开支。另外,GDPR在每一项个人数据权利的条款之后,都规定了大段的例外情形,第23条中还规定了总体的例外规则,适用于整个GDPR,这均是为了平衡国家利益与个人权利、公共事务与个人权利以及数据主体权利与其他自然人权利之间的关系而制定的。
GDPR关注境内中小企业发展,其对经济的影响有待于将来的执法明确。欧盟十分关注境内中小企业的发展问题,GDPR的前言中也指出,出台GDPR的重要目的之一就是为微型、中小型企业提供稳定、透明的法治环境,促进其发展,减少数据自由流动的障碍,建立和巩固欧盟单一市场。GDPR的具体规定中也对中小型企业放宽了要求,例如GDPR第30条中,对于雇员低于250人的企业,降低了其义务。GDPR从起草到出台经历了长达4年的商讨期,广泛征求了各方意见。2016年公布后,又留出了两年的过渡期。相信欧盟在出台GDPR之前已经进行了充分的权衡和考量,因此在欧盟执法机构依据GDPR开展具体执法活动之前,尚不能武断地认为GDPR一定会对欧盟经济发展造成阻碍。
GDPR的正式实施不仅将提高我国企业合规成本,而且其对数据主体权利的规定可能会与我国的数据安全管理产生冲突。从长远看,还会影响到我国个人信息保护相关立法和国际谈判事宜。
(1)GDPR将导致我国互联网及新兴产业在欧盟的推进减缓
根据GDPR的适用范围,因向欧盟境内的自然人提供商品与服务而收集、处理用户信息的中国互联网及相关企业将因合规成本的大幅提高而减慢进军欧盟的步伐。阿里巴巴、腾讯等大型的中国互联网企业,海尔、华为等制造企业,国航、南航等航空公司已经拓展了很多欧洲业务,小米、摩拜、oFo、大疆等新兴企业也正在布局欧洲市场。如果这些企业违反GDPR将面临高达全球年收益额4%或2000万欧元的巨额罚款。因此,部分企业不得不暂停或停止在欧盟的服务,如小米生态链企业的YeeLight智能灯泡产品,因为无法赶在GDPR生效之前满足合规要求,暂停服务;2018年4月,QQ国际版发布公告称在欧洲暂停运作,也被普遍认为是规避GDPR冲突的做法。
(2)GDPR与我国《网络安全法》之间的冲突给数据安全管理带来挑战
GDPR赋予数据主体强大的控制权利与我国的数据安全管理存在冲突。GDPR规定了多项个人数据主体权利,数据控制者和处理者不仅无权干涉信息主体的此项权利,还应在必要的时候配合用户提供数据文本。我国《网络安全法》第37条对关键信息基础设施相关的个人信息和重要数据提出了境内存储和出境评估的规定。如果数据主体行使GDPR中规定的相关权利,如要求将个人信息转移至境外时,在欧盟开展业务的中国关键信息基础设施运营者则会面临GDPR严格管理和我国个人信息“本地化”管理之间的冲突,面对GDPR的高额罚款有可能会挑战《网络安全法》的权威,影响我国数据安全管理相关工作。
(3)GDPR有可能对中欧数字贸易带来不利影响
GDPR对在欧盟开展业务的中国企业提出了巨大的挑战,在一定程度上可能会限制中欧数字贸易的顺利开展。我国跨境数字贸易存在较大顺差,作为数字贸易的净出口国,过去5年我国年均盈余达到100~150亿美元;境外风险投资总额(60亿美元)中,约80%的投资流向发达经济体,75%投资聚集于数字相关行业,腾讯等大型互联网公司也纷纷着手在欧盟开展业务。总体来看,我国数字贸易产业对于欧盟这一发达经济体存在较大的依赖。根据德勤会计事务所的整体评估,由于在GDPR下,用户的IP地址、Cookies和设备ID等个人数据的处理变得更加困难,仅就直销、广告、网页分析、信贷等四大产业来说,将直接或间接导致1730亿欧元的GDP损失以及280万元的就业损失。
(4)我国个人信息保护立法可以借鉴GDPR有益经验
GDPR的双重立法宗旨、统一个人数据保护立法模式等对我国个人信息保护立法工作具有参考价值。当前,全球已有一百多个国家和地区制定了个人信息保护法,形成了全球范围内引人注目的立法风潮,GDPR的出台更是使得这一风潮具有了鲜明的时代特色,我国也正在研究适合自身国情的个人信息保护法。GDPR本身作为一部个人数据保护法规而言,立法技术和立法内容等都以数字经济发展为目标做了很多创新,其中的有益部分对我国个人信息保护法的制定也将具有极大的参考和借鉴价值。
GDPR生效后,有必要针对其规定采取相应措施。一方面,在欧盟开展业务的我国企业应当做好合规审查,应对欧盟执法;另一方面,我国政府相关部门应加强管理,强化我国的数据安全监管,同时应当顺应时代趋势,制定个人信息保护相关立法,并处理好对外贸易谈判等事宜。
(1)强化中欧政府间谈判交流
为应对GDPR对我国可能造成的不利影响,有必要加强中欧国际磋商和政治谈判,梳理化解中国法律和GDPR的冲突。要在中欧BIT谈判等双边谈判中,增加个人数据保护议题,在经贸合作的宏观视角下,寻求双方的共识和争议的解决。要针对GDPR本身,努力促成中欧数据流动“隐私盾”协定,建立专门机制打通中欧数据流通渠道,为我国企业提供更多的符合实际需求的跨境转移合同文本选择。要争取针对技术创新和中小企业保留例外条款,避免GDPR限制人工智能、区块链等技术的创新发展,打造良好的数字经济市场生态。
(2)建立国内数据分级分类管理制度
从保护和利用的平衡角度出发,建立分级分类管理标准和制度,对不同类型、不同级别的数据采取不同的监管手段。实施大数据等级保护制度,按照行业领域、数据价值、数据特征等属性进行分类管理,强化落实数据脱敏、信息定密、风险评估、数据流控、事态预警和应急处置等“事中、事后”监管措施,建立健全大数据保护的考核评估机制,将数据采集、存储、分析、挖掘、使用、传输、开放等全生命周期的关键环节纳入监管范围。通过数据分级分类制度,明确我国《网络安全法》框架下个人信息、重要数据的具体范围界限和管理要求,进一步协调我国国内法与GDPR衔接的关系。
(3)完善国内个人信息保护立法
GDPR的出台和实施是个人数据保护统一立法的典型代表,制定统一的个人信息保护法也是我国个人信息保护和社会经济法发展的现实需求。近年来,不断发生的个人信息泄露事件引发高度关注,制定一部统一的个人信息保护法成为社会各界的一致呼声;要有利于从国家层面明确重大问题和基本制度。通过制定统一的个人信息保护法,明确企业收集和使用个人信息的基本规范,并对数据跨境流动规则等基本问题作出回应;要促进我国互联网产业做大做强,通过国家明确的个人信息保护政策为我国的互联网企业明确行为指引,为其开拓海外市场提供良好的信誉保证。
(4)推动国内企业自主合规管理
在欧盟开展相关业务的中国企业,有必要提高认识,结合自身业务情况,由内而外积极采取多种应对措施。一是要全面进行合规评估及分析。理顺业务流程及架构,明确业务中收集、处理的数据类型以及数据存储、使用的现状,对照GDPR的要求,全面厘清业务合规漏洞;二是要加快满足合规要求。尽快从技术要求、制度建设、流程完善3个方面制定整改方案并实施,满足合规要求;三是要加强沟通与协作。加强与欧盟相应执法部门的协调与交流,存在合规困难的中小企业在必要时可向我国政府寻求帮助,由政府建立相应指导机制,缓解自身合规压力。