《通用数据保护条例》(General Data Protection Regulation,简称
GDPR)为欧洲联盟的条例,前身是
欧盟在1995年制定的《计算机数据保护法》。
内容解读
2018年5月25日,欧洲联盟出台了《通用数据保护条例》。
条例全文
欧盟《通用数据保护条例》
目录
一.序言。
二. GDPR的地域适用范围。
三.个人敏感数据。
四.问责机制—从设计着手隐私保护和默认隐私保护。
五. 数据主体的权利(知情权)。
六.数据主体的权利(访问权、更正权和可携权)。
七.数据主体的权利(删除权、限制处理权、反对权和自动化个人决策相关权利)。
八.数据处理者。
九.数据泄露和通知 。
十. 数据保护官。
十一. GDPR下的数据处理者。
一
序言
欧盟议会于2016年4月14日通过的《通用数据保护条例(General Data Protection Regulations)》(“GDPR”)将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
二
GDPR的地域适用范围
欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
第一,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。
并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。
因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级
域名(例如.eu或.nl)可能导致商品或服务被视为在欧盟境内提供。
第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。
目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。
后续措施
各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛,所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。
同意——处理个人数据的正当理由
根据荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”),“同意”是处理个人数据的六项法律依据之一。在没有法律依据的情况下处理个人数据是不被允许的。欧盟《一般数据保护条例》(General Data Protection Regulation,“GDPR”)也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。基于此,本文主要对DPA和GDPR在以下方面的差异进行阐述:(1)同意机制的法律框架和(2)有效同意的构成要件。
同意的法律框架
DPA下“同意”的概念完全依照欧盟第95/46/EC号指令中的定义,即“数据主体的同意是指:数据主体依照其意愿自由作出的特定的、知情的指示。通过该等指示,数据主体表明其同意处理与其相关的个人数据。”
法律框架由多个可广泛解释的条款构成,这使其产生了法律不确定性。因此,一个由欧洲隐私监管机构组成的独立咨询顾问机构——第29条工作组,在2011年7月对“同意”概念作出了全面分析。工作组的意见解释了同意机制相关法律框架的几个关键要素。这些要素是,并且一直是欧盟数据保护机构解释“同意”概念的重要指南。简而言之:
同意必须是自由作出的。这意味着数据主体在作出同意时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体会受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,同意并不当然被认为是自由作出的。
同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。
同意必须是在知情的情况下作出的。根据DPA第33、34条,数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量,信息提供必须使用数据主体能够理解的语言。复杂的法律术语是不合适的。
而且,被提供的信息必须是清楚且足够显著的,以使数据主体不能轻易忽略。另外,信息必须是直接提供给数据主体的,仅指示可供访问的信息的地址(例如,网络上的“某处”)是不够的。
同意还须结合DPA中提到的进一步要求。基于同意的数据处理,要求该同意是明确的。数据主体明确作出的指示,不能对其意愿留有不明确的空间。如果存在合理怀疑,则认为不明确。
根据第29条工作组的意见,不明确的同意不适用于基于不作为或者沉默取得同意的方式(例如,不适用于预先勾选的选择框)。
在处理特殊类别的数据(例如,健康数据)时,同意必须是明示的。需要数据主体给予积极回复。
GDPR下同意的法律框架
GDPR第4条第11款将“同意”定义为:“数据主体的同意是指,数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示,数据主体表明其同意处理与其相关的个人数据。”
从该新法律框架看,欧洲立法者似乎在其对法律框架的整体评估中回应了第29条工作组提出的某些修改。鉴于欧盟第95/46/EC号指令下“同意”的概念被一字不变地移植到DPA中,因此从荷兰法的角度并没有太多改动(与其他欧盟成员国相比)。该定义已变得更加规范,但大部分并非新内容。最主要的修改如下:
同意必须以声明或清晰肯定的行为作出。数据主体的行为是明确被要求的。包括,例如,点击对话框和选择特定的技术网络浏览器设置。因此,预先勾选的选择框并不构成同意。
根据第29条工作组的分析,“同意”似乎要求数据主体作出行为,GDPR明确了这一要求。这就需要相关组织重新考虑其从数据主体处取得同意的方式。
GDPR下有效同意的要件
GDPR第7条规定了有效同意的要件,其中某些在DPA中没有具体规定。有效同意的要件之一是,数据控制者必须能够证明,数据主体确实同意处理其个人数据。书面声明不是必须的,但推荐使用,因为证明责任在数据控制者这边。网上作出同意的充分记录(例如,通过在网站上的联系方式)应当作为标准。
如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。如果信息的提供不符合本规定,同意将可能无效。
根据DPA,数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR的新规定为,数据主体必须在作出同意前被告知其撤回权。此外,数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订,也可能需要相关组织内部流程的改变,以确保撤回同意与给出同意同样容易。
儿童的同意
对于向儿童提供信息社会服务(简而言之:所有在线服务,无论是免费的或付费的,包括社交媒体),应当适用特殊的同意规则。原因是,儿童应被给予额外的保护,因其一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。这种特殊的保护应适用于,当服务被直接提供给儿童时,儿童的个人数据被用于市场营销或创建个性/用户模型,以及收集儿童的个人数据的情况。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。
只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。荷兰将不会规定更低的年龄(据立法者称,没有理由改变的情况)。欧盟范围内的相关组织,在取得同意的基础上处理儿童的个人数据时,应了解欧盟各成员国在这方面的立法。
对于缺乏法律行为能力的其他数据主体,《GDPR荷兰实施法案》(“实施法案”)规定,被接管(curatele)或置于保护令(mentorschap)之下的数据主体,也需要其法定代表人的同意(同意也可由法定代表人撤回)。
考虑到现有技术,数据控制者应作出合理的努力,以证明同意实际是由法定代表人作出或授权的。
基于同意处理个人数据的相关组织
GDPR第171条规定:
“GDPR将取代欧盟第95/46/EC号指令。本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定。若处理是基于欧盟第95/46/EC号指令下的同意,且该同意的形式符合本条例的规定,则数据主体不需要再次给出同意,以使数据控制者在本条例施行之后继续处理。(…)”
主要规则是,如果同意的取得符合GDPR规定,则不需要相关组织再次取得同意。然而,当在DPA下取得的同意不符合GDPR的规定时,该同意是否将在2018年5月25日失去效力,并不完全清楚。可以认为,欧洲立法者最为重视处理的连续性:“以使数据控制者在本条例施行之后继续处理”。另一方面,根据第171条的具体表述(“本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定”以及“如果该同意的形式符合本条例的规定”)所得出的结论是:同意应被重新取得。
作为对实施法案质询的一部分,这个问题被提交给了荷兰立法者。其可能在下一版本实施法案(解释备忘录)中被进一步澄清。
实务建议
将数据主体的同意作为数据处理活动的合法依据的相关组织,应当检查当前取得的同意是否符合GDPR的要求。如果不符合,内部流程应当遵照这些要求,数据控制者也应当考虑按照GDPR的要求重新取得同意(以避免在2018年5月25日后同意失效的风险)。此外,相关组织应建立机制以证明同意是有效的,并确保同意可以被容易地撤回。
相关组织可以进一步考虑,其他(也许更适当的)数据处理的法律依据是否可行和理想。
相关组织未能履行新的义务,将面临荷兰数据保护监管机构(de Autoriteit Persoonsgegevens)或者欧盟其他国家活跃的监管机构的严重行政罚款的风险。
三
个人敏感数据
本第三份关于《通用数据保护条例》的业务通讯将阐述,荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”)所实施的《数据保护指令》(第95/46/EC号指令)和《通用数据保护条例》(General Data Protection Regulation,“GDPR”)下个人敏感数据处理的差异。
乍看之下,在个人敏感数据处理方面,GDPR(较第95/46/EC号指令)的变化似乎是有限的。与DPA相似,原则上禁止处理个人敏感数据,并且,处理此类数据的依据也与DPA大致相同。
什么是个人敏感数据?
根据GDPR,涉及以下一种或一种以上类别的个人数据视为敏感数据:
1.种族或民族出身
2.政治观点
3.宗教/哲学信仰
4.工会成员身份
5.涉及健康、性生活或性取向的数据
6.基因数据(新)
7.经处理可识别特定个人的生物识别数据(新)
除个人敏感数据明确包括基因数据和生物识别数据外,上述类别大致与DPA中的类别相似。此外,根据GDPR,处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据。
禁止处理敏感数据的例外
根据GDPR,敏感数据的处理仅在下列例外情况下才被允许:
1. 数据主体明示同意。该等同意应当是自由作出的,特定的,知情的且明确的(参见2017年2月的业务通讯)。需要注意的是,雇主对员工医疗数据的处理(包括药物或酒精测试)不能以员工的同意为依据。这是因为,考虑到双方的层级关系,这种同意不被视为是自由作出的。
2. 在劳动法、社会保障法或社会保护法领域,雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。
3. 在数据主体因为身体上或法律上的原因(紧急情况)不能作出同意时,为保护数据主体或他人的重大利益之目的所必需的处理。
4. 处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的,并且该等处理仅涉及团体成员或前成员,同时,相关数据在未经数据主体同意的情况下不会向第三方披露。
5. 涉及已由数据主体公开的个人数据的处理。
6. 为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。
7. 根据欧盟或成员国的法律,为重大公共利益所必需的处理。该处理所追求的目的应当是适当的,且包含合理的数据保护措施。
8. 根据欧盟或成员国的法律或与医疗专业人士的合同,为预防医学或职业医学,为评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。
9. 根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由,在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁,或确保医疗保健和医药产品或医疗器械的高标准。
10. 根据欧盟或成员国法律,为公共利益,统计,科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的,尊重数据保护的基本权利,并采取了适当的、特定的措施以保障数据主体的基本权利和利益。
虽然在个人敏感数据的类型和数据处理的依据方面基本复制了DPA,但GDPR仍带来了新的变化。
首先,上述第2,7,8,9,10项参照成员国法作为数据处理的法律依据,同时,GDPR允许欧盟成员国维持或引入更多条件,包括关于处理基因数据,生物识别数据或健康数据的限制。
因此,在这些方面,成员国之间的分歧可能会继续存在,也可能进一步加深。
最近,荷兰政府发布了一项对于实施法案的提议。根据本实施法案,处理个人敏感数据的条件仍与DPA的规定相似。
第二,当个人数据的处理可能给数据主体的权利或自由造成高风险时,相关组织有义务进行隐私影响评估(Privacy Impact Assessment,“PIA”)。PIA的目的是识别此类高风险以及制定应对风险的措施。PIA必须在处理开始之前进行。
GDPR明确规定,在对个人敏感数据或与刑事记录和犯罪相关的个人数据进行大规模处理前,必须进行PIA。(我们将会在后续GDPR业务通讯中更详细地论述PIA)
第三,个人敏感数据的大规模处理可能要求数据控制者(或处理者)委派一位数据保护专员(Data Protection Officer,“DPO”)。我们将在接下来的业务通讯中讲解DPO和PIA。
实务建议
就个人敏感信息处理而言,GDPR的生效将不会对现行做法产生实质性影响,乍看之下其变化似乎也是有限的。但是,这些变化可能会对相关组织处理个人敏感数据的方式产生影响。因此,涉及个人敏感数据处理的相关组织须审查现有的政策和做法,并确保:
1.在大规模处理个人敏感数据之前实施了PIA;
2.若基于同意处理个人敏感数据,则该等同意应满足GDPR项下的新要求。注意:在雇佣关系中,原则上,同意处理敏感数据不被认为是自愿作出;
3.根据需要委派DPO;
4.个人敏感数据的处理须满足相关成员国的条件(包括限制)。
全球影响
2018年5月28日报道,
Facebook和
谷歌等美国企业成为GDPR法案下第一批被告。