GDPR已經為數字經濟企業畫出一張資料保護的操作紅圖。 與其擔驚受怕抱有歐盟“執法不嚴、違法不究”的僥倖心理, 不如早日“退而結網”完善資料保護合規制度建設。
(歷經多年商討的GDPR新條例的實施, 意味著歐盟的資料保護水準將達到前所未有的高度。 堪稱世界史上最嚴格的資料保護法律, 必將對未來全球數字經濟產生深遠影響。 圖/AFP)
劉權/文
2018年5月25日, 歐盟《一般資料保護條例》(General Data Protection Regulation, 簡稱GDPR)將正式生效。 GDPR序言共173條, 正文分為11章99條。 歷經多年商討的GDPR新條例的實施, 意味著歐盟的資料保護水準將達到前所未有的高度。 堪稱世界史上最嚴格的資料保護法律, 必將對未來全球數字經濟產生深遠影響。
GDPR即將生效, 中國發佈的《資訊安全技術個人資訊安全規範》(下稱《資訊規範》)也於2018年5月1日起實施。
一些國內企業長期缺乏規則意識, 可能並沒有嘗到應有的苦果。 由於多種因素導致的執法不嚴、違法不究的情形,
面對即將落下的GDPR利劍, 全球數位經濟企業需要積極應對, 努力減少合規風險, 防止入“罪”被“罰”。 各國政府也需要積極擔當作為, 為本國數字經濟企業的海外發展保駕護航。
GDPR一大“殺手鐧”:重罰
除了擴大個人資料的保護範圍、賦予資料主體一系列強大的權利外, GDPR有兩大“殺手鐧”:一是設定了重罰;二是確立了“長臂”管轄原則。
對於資料處理的違法行為, GDPR主要設定兩個等級的處罰。 第一等級最高可處以1000萬歐元, 或上一財年全球營業額2%的行政處罰, 以較高者為准。 如果根據全球營業額進行處罰, 在地域上是全球範圍內, 而非在歐盟境內的營業額;在基數上, 是全球營業額(annual turnover), 而非全球淨利潤。 該等級的處罰究竟適用哪些情形, GDPR第83條第4款規定三大類資料違法行為:第一, 資料控制者與處理者沒有盡到相應資料保護義務。 譬如未實施適當的技術和組織措施、未盡職責保持資料處理活動的記錄、沒有及時向監管機構通知資料已洩露、未進行資料保護影響評估等;第二, 沒有對資料保護認證組織履行義務;第三, 沒有對監管部門履行義務。
針對嚴重違法的資料處理行為,
可見, GDPR設定的“罪”是相當多的, “罰”是非常嚴厲的。 制定任何法律的目的不在於處罰, 處罰只是保障法律有效實施的必要手段。 “重典治亂”未必總能取得良好效果, 但確實可以起到一定威懾作用。 GDPR以重罰為理念, 試圖倒逼數字經濟企業完善資料保護制度。
無論是對於資料處理違法行為的認定及其嚴重程度判斷, 還是對於處罰金額的最終作出, 歐盟監管機構都享有巨大的執法裁量權。 如何減少資料保護監管的權力尋租, 防止監管“俘獲”, 消除腐敗, 確保公正執法, 是接下來歐盟當局特別是法治水準不高的一些成員國需認真對待的問題。
另一“殺手鐧”:“長臂”管轄原則
確立“長臂”管轄原則, 或稱為效果原則, 是GDPR的另一大“殺手鐧”。 法律是國家主權的體現,一般只在一國領土範圍內發生效力,即屬地原則。但隨著近些年來網路技術的不斷提高,具有虛擬性、無國界性的電子商務、互聯網金融,在全球範圍內得到蓬勃發展。在數字經濟時代,再繼續堅持傳統的屬地主義原則,或許無法有效保護本國公民的權益和國家利益。
GDPR的適用範圍極廣,將法律適用的屬地主義與屬人主義原則結合起來,擴大法律適用的域外效力。
首先,在歐盟境內設立資料控制或處理機構,不管其對個人資料處理的行為是否發生在歐盟境內,都受GDPR的拘束。此管轄規則屬於傳統的屬地主義原則,在歐盟內設有機構,當然應受歐盟法的約束。
其次,即使在歐盟境內沒有設立資料控制或處理機構,有兩類資料處理行為也受GDPR的約束。一類是向歐盟內的資料主體提供商品或服務,無論是否收費或免費;另一類是對資料主體發生在歐盟內的行為進行監控的。此管轄規則實際上確立了GDPR的屬人主義原則,即不管企業在歐盟內有沒有設立機構,只要其對歐盟資料主體提供了商品、服務,或對其進行了監控,就受GDPR的拘束。屬人主義原則的確立,大大擴大了GDPR的管轄範圍。
再次,在歐盟內沒有設立機構,但資料處理行為,依國際公法可適用歐盟成員國法律,受GDPR的拘束。根據此管轄規則,歐盟監管機構既不依據屬地主義,也不依據屬人主義,仍然可能依國際公法規則對資料處理行為進行監管。
GDPR所確立的三大管轄制度,可稱之為“長臂”管轄原則。通過分析該規則可以發現,世界上任何一家與歐盟有相關貿易往來的數字經濟企業,即使沒有在歐盟境內設立任何機構,也可能受GDPR的管轄。重罰機制,加上“長臂”管轄原則,使GDPR威力無比。
“罪”與“罰”都是明確的。GDPR帶給數字經濟企業的是實實在在的可預測的法律風險。GDPR已經為數字經濟企業畫出一張資料保護的操作紅圖。與其擔驚受怕抱有歐盟“執法不嚴、違法不究”的僥倖心理,不如早日“退而結網”完善資料保護合規制度建設。“想吃大蛋糕,又不願失去更多麵包”的全球數字經濟企業,應當抓緊按圖行事不斷完善企業資料治理。
企業應對GDPR的當務之急
歐盟對於資料保護設定比較嚴格的高標準,必然會有很多數字經濟企業一時滿足不了要求,或一直不願花大成本滿足標準,所以罰款也必將蜂擁而至。那到底罰誰?
由於人力、物力、財力等執法資源的有限性,未來歐盟對於資料保護的“選擇性執法”在所難免。名企首當其衝。“槍打出頭鳥”,選擇“殺”一些名企,達到“儆百”的目的,可能是歐盟未來資料保護執法的常態。
然而,不管是名企還是非名企,既然選擇歐盟大市場,就應當根據GDPR的要求,建立健全合規的資料保護制度。名企財力雄厚,儘管被高額罰款,可能還承受得起。但是,對於非名企,特別是一些中小企業來說,歐盟的一次罰款或制裁,可能馬上就會使其瀕臨破產。
“羊未亡,牢需補。”全球數字經濟企業應當高度重視GDPR。隨著中國《資訊規範》也將實施,中國企業可以從以下幾個方面,儘快完善資料保護制度:
第一,高度重視個人資料保護。企業高管團隊應當對GDPR有清醒的認識和準確的預判,儘早制定周密的戰略計畫,不計成本消除各種不合規隱患,加強人員管理與培訓。企業相關業務部門應及時全面分析已經採集、存儲的個人資料的種類、用途與獲取方式,刪除不合法、不必要的個人資料,實現個人資料保存時間的最小化,並不斷加強資料安全保障。
第二,完善資料主體的權利設置與行使操作規程。GDPR賦予了資料主體一系列強大的權利,對於這些權利的保護不足和侵犯屬於嚴重違法行為,歐盟監管機構可處以最高額度的罰款。在賦予資料主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外,還應當核實這些權利設置與行使是否符合GDPR的要求,例如檢查設置的同意權是否符合GDPR的要求。我國《資訊規範》要求收集個人資料時原則上應獲得授權同意,收集個人敏感資訊還需明示同意,另外還明確了撤回同意權。
第三,完善資料處理機制。運用適當的組織措施與技術措施,確保資料處理符合GDPR的基本原則與合法性條件。以透明的方式,使用簡明易懂的語言,及時如實告知收集、存儲、使用個人資料的情況。建立健全資料保護影響評估機制與事先協商制度,對個人資料進行去標識化處理,完善資料匿名化處理規程,提高資料處理過程的安全性,並對個人資料處理活動進行記錄。
第四,必要時任命資料保護官。GDPR要求相關企業以透明的方式,任命具有專門資料保護知識的資料保護官(Data Protection Officer,DPO)。DPO可以確保資料控制者和處理者遵從GDPR的相關規定,同時也扮演著與監管機構之間的連絡人和合作者的角色。如果經評估必須設立DPO,則應保障DPO的任命、權利和職責符合強制性規定,並為DPO獨立履行職責提供充足的資源。另外,企業可考慮聘請外部資料保護顧問。
第五,完善資料洩密報告與處理機制。GDPR要求原則上自知道個人資料洩露72小時內,向監管機構報告,並將可能產生高風險的洩露資訊通知受到影響的個人。企業應詳細記錄個人資料洩露情況,及時採取補救措施,不斷修改完善現有的資料洩露管理流程。我國《資訊規範》要求企業定期組織內部相關人員,進行個人資訊安全事件應急回應培訓和應急演練,及時更新應急預案。
另外,數字經濟企業還應當從更新隱私權聲明與政策、刪除相關協定文本中侵犯資料主體權利的“霸王”條款、完善資料跨境流動機制等方面積極採取應對措施,減少不合規風險。
政府應為數字經濟發展保駕護航
經濟基礎決定上層建築。GDPR是法律,屬於歐盟的上層建築,但其所要調整的卻是全世界的數字經濟企業。由於不同國家的經濟發展水準存在很大差別,所以不同的經濟基礎與同一的上層建築之間,必然存在難以調和的矛盾。一方面個人資料權利要保護,另一方面技術要創新、市場要發展,二者之間發生衝突在所難免。
GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護個人資料權利,可能會對技術與市場的發展產生一定的阻礙。發展數位經濟,建設數位中國,不僅需要靠企業不斷提升資料治理水準,還需要靠政府主動採取措施,解決企業無法克服的實際困難。
首先,政府應當高度重視GDPR給數字經濟帶來的挑戰。嚴格的個人資料保護,帶來高額合規成本。由於資訊資產管理的運營成本會顯著增加,而且擔心被重罰,一些企業已經暫停歐盟的相關業務。GDPR的實施可能不利於中小數字經濟企業成長,並可能助長巨頭企業的壟斷地位。因而,政府應當在戰略上予以重視,積極制定各種鼓勵扶持政策,有效支援企業提升資料治理水準,消除資料壟斷,降低GDPR合規風險。
其次,與歐盟積極溝通,完善對話協商機制。相關政府職能部門需要認真研究歐盟GDPR的監管規則,緊密協同配合,擔當有為。在積極制定政策法律不斷完善企業資料保護水準的基礎上,與歐盟監管當局開展平等對話協商,表明難點與決心,贏得理解,減少不必要的處罰與貿易糾紛。
再次,完善資料保護執法合作機制。在第四屆世界互聯網大會上,習近平主席在賀信中指出,全球互聯網治理體系變革進入關鍵時期,希望與國際社會一道,做到發展共同推進、安全共同維護、治理共同參與、成果共同分享。對於GDPR 的監管挑戰,各國政府應當充分研究歐盟資料保護監管的利益關切和行動計畫,加強資訊開放與共用,健全實體法之間的協調機制,尋找監管標準的最大公約數,積極尋求產業合作和個人資訊保護執法合作,實現全球資料保護的共商共治。
除了作為重罰的依據,歐盟還可能將GDPR作為新的技術壁壘,阻礙全球數字經濟企業在歐盟的發展擴張。在我國正在推行“一帶一路”倡議的大背景下,GDPR也可能成為阻擋我國數字經濟企業“走出去”的障礙。但無論如何,在互聯網時代,合規經營是數字經濟企業做大做強的不二法則。儘管“規”可能很嚴厲,但只要“規”是合法有效的存在,企業就應當嚴格遵守。
(作者為中央財經大學法學院副教授、北京大學法學博士、中國網路與資訊法學研究會理事,編輯:李恩樹)
(本文首刊於2018年4月30日出版的《財經》雜誌)
法律是國家主權的體現,一般只在一國領土範圍內發生效力,即屬地原則。但隨著近些年來網路技術的不斷提高,具有虛擬性、無國界性的電子商務、互聯網金融,在全球範圍內得到蓬勃發展。在數字經濟時代,再繼續堅持傳統的屬地主義原則,或許無法有效保護本國公民的權益和國家利益。GDPR的適用範圍極廣,將法律適用的屬地主義與屬人主義原則結合起來,擴大法律適用的域外效力。
首先,在歐盟境內設立資料控制或處理機構,不管其對個人資料處理的行為是否發生在歐盟境內,都受GDPR的拘束。此管轄規則屬於傳統的屬地主義原則,在歐盟內設有機構,當然應受歐盟法的約束。
其次,即使在歐盟境內沒有設立資料控制或處理機構,有兩類資料處理行為也受GDPR的約束。一類是向歐盟內的資料主體提供商品或服務,無論是否收費或免費;另一類是對資料主體發生在歐盟內的行為進行監控的。此管轄規則實際上確立了GDPR的屬人主義原則,即不管企業在歐盟內有沒有設立機構,只要其對歐盟資料主體提供了商品、服務,或對其進行了監控,就受GDPR的拘束。屬人主義原則的確立,大大擴大了GDPR的管轄範圍。
再次,在歐盟內沒有設立機構,但資料處理行為,依國際公法可適用歐盟成員國法律,受GDPR的拘束。根據此管轄規則,歐盟監管機構既不依據屬地主義,也不依據屬人主義,仍然可能依國際公法規則對資料處理行為進行監管。
GDPR所確立的三大管轄制度,可稱之為“長臂”管轄原則。通過分析該規則可以發現,世界上任何一家與歐盟有相關貿易往來的數字經濟企業,即使沒有在歐盟境內設立任何機構,也可能受GDPR的管轄。重罰機制,加上“長臂”管轄原則,使GDPR威力無比。
“罪”與“罰”都是明確的。GDPR帶給數字經濟企業的是實實在在的可預測的法律風險。GDPR已經為數字經濟企業畫出一張資料保護的操作紅圖。與其擔驚受怕抱有歐盟“執法不嚴、違法不究”的僥倖心理,不如早日“退而結網”完善資料保護合規制度建設。“想吃大蛋糕,又不願失去更多麵包”的全球數字經濟企業,應當抓緊按圖行事不斷完善企業資料治理。
企業應對GDPR的當務之急
歐盟對於資料保護設定比較嚴格的高標準,必然會有很多數字經濟企業一時滿足不了要求,或一直不願花大成本滿足標準,所以罰款也必將蜂擁而至。那到底罰誰?
由於人力、物力、財力等執法資源的有限性,未來歐盟對於資料保護的“選擇性執法”在所難免。名企首當其衝。“槍打出頭鳥”,選擇“殺”一些名企,達到“儆百”的目的,可能是歐盟未來資料保護執法的常態。
然而,不管是名企還是非名企,既然選擇歐盟大市場,就應當根據GDPR的要求,建立健全合規的資料保護制度。名企財力雄厚,儘管被高額罰款,可能還承受得起。但是,對於非名企,特別是一些中小企業來說,歐盟的一次罰款或制裁,可能馬上就會使其瀕臨破產。
“羊未亡,牢需補。”全球數字經濟企業應當高度重視GDPR。隨著中國《資訊規範》也將實施,中國企業可以從以下幾個方面,儘快完善資料保護制度:
第一,高度重視個人資料保護。企業高管團隊應當對GDPR有清醒的認識和準確的預判,儘早制定周密的戰略計畫,不計成本消除各種不合規隱患,加強人員管理與培訓。企業相關業務部門應及時全面分析已經採集、存儲的個人資料的種類、用途與獲取方式,刪除不合法、不必要的個人資料,實現個人資料保存時間的最小化,並不斷加強資料安全保障。
第二,完善資料主體的權利設置與行使操作規程。GDPR賦予了資料主體一系列強大的權利,對於這些權利的保護不足和侵犯屬於嚴重違法行為,歐盟監管機構可處以最高額度的罰款。在賦予資料主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外,還應當核實這些權利設置與行使是否符合GDPR的要求,例如檢查設置的同意權是否符合GDPR的要求。我國《資訊規範》要求收集個人資料時原則上應獲得授權同意,收集個人敏感資訊還需明示同意,另外還明確了撤回同意權。
第三,完善資料處理機制。運用適當的組織措施與技術措施,確保資料處理符合GDPR的基本原則與合法性條件。以透明的方式,使用簡明易懂的語言,及時如實告知收集、存儲、使用個人資料的情況。建立健全資料保護影響評估機制與事先協商制度,對個人資料進行去標識化處理,完善資料匿名化處理規程,提高資料處理過程的安全性,並對個人資料處理活動進行記錄。
第四,必要時任命資料保護官。GDPR要求相關企業以透明的方式,任命具有專門資料保護知識的資料保護官(Data Protection Officer,DPO)。DPO可以確保資料控制者和處理者遵從GDPR的相關規定,同時也扮演著與監管機構之間的連絡人和合作者的角色。如果經評估必須設立DPO,則應保障DPO的任命、權利和職責符合強制性規定,並為DPO獨立履行職責提供充足的資源。另外,企業可考慮聘請外部資料保護顧問。
第五,完善資料洩密報告與處理機制。GDPR要求原則上自知道個人資料洩露72小時內,向監管機構報告,並將可能產生高風險的洩露資訊通知受到影響的個人。企業應詳細記錄個人資料洩露情況,及時採取補救措施,不斷修改完善現有的資料洩露管理流程。我國《資訊規範》要求企業定期組織內部相關人員,進行個人資訊安全事件應急回應培訓和應急演練,及時更新應急預案。
另外,數字經濟企業還應當從更新隱私權聲明與政策、刪除相關協定文本中侵犯資料主體權利的“霸王”條款、完善資料跨境流動機制等方面積極採取應對措施,減少不合規風險。
政府應為數字經濟發展保駕護航
經濟基礎決定上層建築。GDPR是法律,屬於歐盟的上層建築,但其所要調整的卻是全世界的數字經濟企業。由於不同國家的經濟發展水準存在很大差別,所以不同的經濟基礎與同一的上層建築之間,必然存在難以調和的矛盾。一方面個人資料權利要保護,另一方面技術要創新、市場要發展,二者之間發生衝突在所難免。
GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護個人資料權利,可能會對技術與市場的發展產生一定的阻礙。發展數位經濟,建設數位中國,不僅需要靠企業不斷提升資料治理水準,還需要靠政府主動採取措施,解決企業無法克服的實際困難。
首先,政府應當高度重視GDPR給數字經濟帶來的挑戰。嚴格的個人資料保護,帶來高額合規成本。由於資訊資產管理的運營成本會顯著增加,而且擔心被重罰,一些企業已經暫停歐盟的相關業務。GDPR的實施可能不利於中小數字經濟企業成長,並可能助長巨頭企業的壟斷地位。因而,政府應當在戰略上予以重視,積極制定各種鼓勵扶持政策,有效支援企業提升資料治理水準,消除資料壟斷,降低GDPR合規風險。
其次,與歐盟積極溝通,完善對話協商機制。相關政府職能部門需要認真研究歐盟GDPR的監管規則,緊密協同配合,擔當有為。在積極制定政策法律不斷完善企業資料保護水準的基礎上,與歐盟監管當局開展平等對話協商,表明難點與決心,贏得理解,減少不必要的處罰與貿易糾紛。
再次,完善資料保護執法合作機制。在第四屆世界互聯網大會上,習近平主席在賀信中指出,全球互聯網治理體系變革進入關鍵時期,希望與國際社會一道,做到發展共同推進、安全共同維護、治理共同參與、成果共同分享。對於GDPR 的監管挑戰,各國政府應當充分研究歐盟資料保護監管的利益關切和行動計畫,加強資訊開放與共用,健全實體法之間的協調機制,尋找監管標準的最大公約數,積極尋求產業合作和個人資訊保護執法合作,實現全球資料保護的共商共治。
除了作為重罰的依據,歐盟還可能將GDPR作為新的技術壁壘,阻礙全球數字經濟企業在歐盟的發展擴張。在我國正在推行“一帶一路”倡議的大背景下,GDPR也可能成為阻擋我國數字經濟企業“走出去”的障礙。但無論如何,在互聯網時代,合規經營是數字經濟企業做大做強的不二法則。儘管“規”可能很嚴厲,但只要“規”是合法有效的存在,企業就應當嚴格遵守。
(作者為中央財經大學法學院副教授、北京大學法學博士、中國網路與資訊法學研究會理事,編輯:李恩樹)
(本文首刊於2018年4月30日出版的《財經》雜誌)