GDPR视角下个人数据保护及中国企业出海的合规建议
作者:朱政 白露 2023-04-132021年7月,中国企业字节跳动海外短视频平台TikTok,因违反GDPR第12条被荷兰数据保护局以侵犯儿童隐私为由罚款75万欧元。这也是GDPR实施三年以来,中国企业首次因违反GDPR而受到处罚。GDPR号称“史上最严个人数据保护立法”,严重违法罚款 2000 万欧元或全球营业额的 4%。
GDPR实施五年之际,本文旨在对GDPR视角下个人数据保护实务进行解析,并对于中国企业出海的合规提出相关实操方面的建议。
2018年5月25日,《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)正式实施。GDPR由欧盟委员会(Council of Europe)于2016年4月正式颁布,并设置了2年的缓冲期,旨在保护欧盟个人数据的权利,并对数据的跨境传输作出具体的规定。
GDPR的出台完全取代了欧盟下属组织的欧洲议会(European Parliament)和欧盟理事会(Council of the European Union)颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》(即《95指令》)。《95指令》于1995年10月颁布,其目的也是为了保护在处理数据活动的基本权利及保障个人数据在各成员国之间的自由传输。在欧盟法律体系中,“指令”(Directive)是一种“指导”成员国的立法形式,为了在欧盟各成员国之间协调立法,规定了欧盟成员国必须采取的立法行动和目标,但具体实现方式和时间则由各成员国自行决定。而法规(Regulation)则是欧盟的一项法律法案,所有成员国均可立即作为法律强制执行。
同时,GDPR也设立了“欧洲数据保护委员会” (European Data Protection Board,以下简称“EDPB”),以保障欧盟各成员国对于GDPR的统一实施。
一、GDPR的地域适用范围
(一)由欧盟内的数据控制者或处理者进行的个人数据处理
根据GDPR第3条第1款规定,GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。比如,位于德国的某家公司处理在德国的中国客户个人数据,因为德国公司作为数据的控制者或者处理者在欧盟境内,中国客户虽然国籍是中国,但其个人数据在欧盟,所以该情况仍受GDPR规范和调整。
(二)由欧盟外的数据控制者或处理者处理欧盟内的个人数据
根据GDPR第3条第2款规定,GDPR适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。比如,位于中国大陆的中国公司处理在荷兰的荷兰客户数据,中国公司作为数据处理者或控制者在中国大陆,客户在欧盟境内,个人数据从欧盟转移到中国境内,这种情况受GDPR调整。
但位于中国大陆的中国公司处理在中国大陆的欧盟客户的个人数据则不受GDPR调整。根据EDPB于2019年11月对外发布的《关于通用数据保护条例(GDPR)地域适用范围(第3条)的解释指南》举例,某德国公民在中国旅游期间办理了一张移动电话卡,需要收集其个人数据,中国移动商不会因为他属于欧盟公民就受到GDPR的约束。
二、GDPR重要概念
(一)个人数据
根据GDPR第四条规定,“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。如果个人数据经过假名或者匿名化处理不能识别到个人,那么则不认为是个人数据。
(二)数据控制者及数据处理者
控制者指的是能够决定(不论是单独决定还是共同决定)个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
处理者指的是为数据控制者处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
根据2021年7月EDPB发布的《数据控制者及数据处理者概念的指引》举例,一家大型云存储供应商向其客户提供能够存储大量的个人数据的服务。该服务是完全标准化的,客户几乎没有能力定制该服务。合同的条款是由云服务提供商单方面决定和制定的,以“要么接受要么放弃”的方式提供给客户。某公司决定利用云服务提供商来存储有关其客户的个人数据。鉴于某公司决定利用该特定的云服务提供商为该公司的目的处理个人数据,该公司仍将被视为一个控制者。只要云服务提供商不为自己的目的处理个人数据,仅代表其客户并根据指示存储数据,该服务提供商将被视为一个处理者。
三、GDPR的基本原则
(一)公平、透明和合法原则
GDPR规定对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理。公平是指企业的数据处理行为不应存在歧视,损害用户利益。透明即数据控制者应公开、明确告知用户如何收集数据,用户有哪些权利。合法则要求企业的数据处理行为必须有合法依据,没有合法依据即为非法处理。
GDPR规定基于数据主体的同意、履行合同所必须、基于法定义务、保护数据主体的核心利益、为了公共利益等六种情形才符合合法性要求。而数据主体的“同意”是企业处理数据的合法性基础的主要来源。Amazon被监管机构罚款7.46亿欧元就是因为Amazon无法证明其广告定位系统是在获得顾客的同意的前提下进行的。实务中,建议避免用一揽子勾选的方式获得用户同意,这会导致数据主体无法清晰明确自己同意的内容;建议非软件使用之必要目的,避免强制性让用户同意收集处理数据才让用户使用软件,这会导致被认定为数据主体非自愿同意数据处理。
(二)目的限制原则
个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。如果出现新的目的与先前的目的有冲突的,数据控制者必须重新获得数据主体的同意才能继续处理。比如招聘软件基于为用户推荐工作而收集的信息,如果招聘公司想对批量的信息进行分析,出具招聘者的相关分析报告,就需要重新获得数据主体的同意。
(三)数据最小化原则
个人数据的处理应当是与实现数据处理目的相当的、相关的和必要的。数据控制者不可在实现提供给数据主体服务目的之外,额外收集用户信息。如某学习英语的网站要求开启用户手机的定位系统,收集用户的位置信息,则违反了数据最小化原则,因为学习英语并不必然需要收集用户的位置信息来实现服务目的。
(四)准确性原则、存储限制原则、完整与保密原则、可问责性原则
准确性原则要求个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,能够及时得到擦除或更正。
存储限制原则规定对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间。只有在为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由的情况下,超过此期限的数据处理才能被允许。
GDPR要求数据控制者在处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。
GDPR要求数据控制者有责任遵守以上六项义务,并且有责任对此提供证明,实务中,未遵守一般数据处理原则也是监管机构的主要执法依据之一。这就要求数据控制者不止要遵守各项处理原则,在经营的过程中也需要保留足够的记录以证明对遵守数据保护义务采取了足够的措施。这也进一步说明了公司内部建立数据合规体系的必要性。
四、GDPR数据主体的权利
(一)信息透明度和信息机制
根据GDPR要求,数据控制者必须以一种简洁、透明、易懂的方式,用清晰、直白的语言与数据主体进行沟通,比如在网页告知数据主体权利义务或取得数据主体同意时不能使用晦涩难懂的、有歧义或误导性的语言设置,尤其针对儿童的信息更应如此。例如,在TikTok处罚案中,荷兰数据保护局就是以没有用“可以理解的语言”告知儿童关于个人数据的处理,从而违反了GDPR第12(1)条的规定对TikTok进行处罚。
(二)数据访问权、更正权、被遗忘权(擦除权)
控制者应当保证数据主体可以随时访问自己的数据并获得关于自己相关的数据信息,如数据处理的目的、类型,存储期限等。
数据主体有权要求控制者将登记的错误的个人信息更正为正确的信息。
数据主体有权要求控制者删除其数据,比如个人数据对于实现其被收集或处理的相关目的不再必要。
(三)数据携带权
数据主体有权获得已经提供给控制者的经过整理、普遍适用格式的个人数据,并将其提供给另一个数据控制者。但不同数据控制者管理方式的不同、数据存储的格式不同,导致数据从一个控制者到另一个控制者是否适用是实务中的一个待进一步完善的问题。另外,GDPR对数据可携带性作了一些限制,数据可携带权不适用于在履行公共职责时处理个人数据的数据控制者。如果处理某些个人数据是基于公共义务或者法定义务,则数据主体无法向数据控制者主张可携带权。
(四)自动化的个人决策(包括用户画像)
数据主体有权反对用自动化决策或用户画像的方式处理个人数据,即控制者基于对数据主体数据的收集,对数据主体作出任何形式的自动处理、分析或判断,比如许多网站对于用户消费习惯的评估。
(五)反对权、限制处理权
反对权是指数据主体有权随时反对为了营销而处理相关的数据。
限制处理权要求数据主体对个人数据的准确性有争议,可以给与控制者以一定的期限以核实个人数据的准确性,如果处理是非法的,并且数据主体反对擦除个人数据,要求对使用其个人数据进行限制。
实务中,对于数据主体权利的满足体现在整个数据合规体系建设的过程中,比如数据控制者公司内部对于所收集数据的处理,隐私政策对于数据主体权利的告知、获得授权或提供与数据主体的沟通渠道等。
五、数据出境
GDPR在第五章专门规定了如何将个人数据从欧盟转移到第三国或国际组织,即基于认定具有充足保护的转移、转移所需要的适当安全保障、特殊情形下的克减,三种方式并非并列关系,而是呈阶梯关系,也就是说上一条件不满足才适用下一条件。
(一)基于认定具有充足保护的转移
根据GDPR第45条规定,当欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或—个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。也即实践常提的“数据出境白名单”,目前,欧盟委员会已认定安道尔、阿根廷、加拿大(仅适用于商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国具有同等保护水平。显然,中国不在该白名单内。
(二)转移所需要的适当安全保障
如果没有根据第45条而做出的决定,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或—个国际组织。GDPR提供了(a)公共机构或实体之间之间签订的具有法律约束力和可执行性的文件;(b)有约束力的公司规则;(BCRs)(c)和(d)数据保护标准条款;(SCC)(e)经批准的行为准则(Codes of Conduct),以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;或者(f)经批准的验证机制等几种可行的方式。
BCRs由于必须获得数据保护机关的批准才可以采用,因此目前仅有少量大型总部设在欧盟的跨国企业采用了BCRs工具进行数据跨境转移,比如西门子电子、惠普、宝马汽车等一百多家跨国企业。所以在实务中,SCC成为了数据跨境转移中被使用最多的方式。2021年6月4日,欧盟委员会通过了个人数据传输到第三国时应采用的新版标准合同条款(“新SCC条款”),发布了最终版实施决定。SCC由最初的“控制者传输至控制者”(C to C)及“控制者传输至处理者”(C to P)两版增至“控制者传输至控制者 ”(C to C)、“控制者传输至处理者”(C to P)、“处理者传输至处理者 ”(P to P)、“处理者传输至控制者”(P to C)四个版本。新SCC条款也将Schrems II案的判决反映其中,即使使用 SCC 等适当的保护措施,组织也应始终评估第三国的数据接收者是否能够遵守 GDPR 的所有要求。
(三)特殊情形下的克减
如果不存在根据第45条而做出的充足保护认定或根据第46条而制定的适当安全措施,将个人数据转移到第三国或国际机构,只有满足如下情形之—才能进行,如充分告知数据主体数据的各项传输风险,数据主体仍然同意的;企业与数据主体签订、履行合同的必要情形;保护数据主体或者他人的重大利益或公共利益等。
六、中国企业出海的合规建议
根据目前执行情况,尽管主要处罚的是头部互联网公司,如Facebook,google等掌握大量用户个人信息的公司,但基于合规考虑及与客户的合作顺畅,仍然建议企业根据GDPR要求搭建公司内部的数据合规体系,通过满足GDPR的一般要求来规避风险。
(一)内部评估
对公司内部各部门进行调研,明确公司收集哪类个人信息,是否包含敏感个人信息,如何存储、处理等,判断公司获得数据是否获得数据主体的授权,是否已经告知处理数据的特定目的及数据主体享有的各项权利。需要注意的是,公司通常会在经营中注意到公司业务可能涉及到的数据类型,往往忽视公司内部管理,雇员的信息合规,内部员工的数据保护也是公司数据合规体系建设的重要部分。
(二)采取措施建立数据合规体系
内部整合,建立跨部门合作机制。数据合规工作不止是法务部门(外聘律师)或技术部门能单独完成的,公司应当统筹各部门,根据GDPR的要求采取组织及技术措施将相关数据保护措施进行落地。
完善网站或APP设置。尤其针对to C的系统,对于用户同意、撤回等权利通过弹窗等多种方式明确数据主体的权利,清晰、直白的获得数据主体的同意。
内部建立制度。将所有数据及管理方式进行整合,可建立内部数据合规管理制度,统一管理。
起草或修订隐私政策、服务协议。根据GDPR的要求,起草或修订对外的隐私政策呈现在公司的官方网站,对于数据主体的数据收集、存储、使用目的、权利等进行明确告知。
起草数据保护合同模板(Data Protection Agreement)。针对于跨境合作,起草数据保护合同模板,合同内根据业务模式明确数据控制者或处理者的角色及各自义务,实务中通常将SCC作为附件一并签署。
设立数据保护官(Data Protection Operator)、专用隐私邮箱等其他方式。
(三)其他符合GDPR要求的相关措施
不同行业因业务模式不同收集的信息不同,所需要采用的合规措施有所不同。所以需根据行业及公司的具体情况判定采取何种具体的合规措施。
参考材料
1. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation
2. Guidelines 07/2020 on the concepts of controller and processor in the GDPR