中国企业应对GDPR的若干实务问题研究(上)
作者:吴卫明、李荣荣 2018-07-10——以《实践指南》的关注点为线索
2018年5月25日,《欧盟数据保护通用条例》(General Data Protection Regulation,简称“GDPR”)正式生效。对于该条例,尽管有不少中国企业提前进行了研究和布局,然而,规则生效带来的冲击依然是巨大的。为了给予中国企业必要的指导,全国信息安全标准化技术委员会(以下简称“信标委”)于GDPR生效当日发布了《网络安全实践指南—欧盟GDPR关注点》(简称“《实践指南》”)。虽然该《实践指南》是中国相关机构对GDPR的理解,但对于实践依然具有积极的指导意义。本文拟结合《实践指南》对GDPR相关问题作出分析,以期对企业的实务工作具有借鉴意义。
一、《实践指南》出台的背景及目的
《欧盟数据保护通用条例》(General Data Protection Regulation,简称“GDPR”) 于2018年5月25日正式生效。虽然欧洲议会(The European Parliament )早在两年前(即2016年4月14日)就审议通过并正式公告了GDPR,被冠以 “最严数据隐私条例”,GDPR的正式生效还是给很多跨国企业造成不小冲击。比如,GDPR生效的第一天,隐私权倡导组织Noyb.eu就代表数据主体向欧洲监管机构提起了针对Facebook、Android、WhatsApp、Instagram违反GDPR规定的诉讼。同时,《纽约每日新闻》、《洛杉矶时报》、《迈阿密先驱报》等一些美国新闻网站在欧洲暂时关闭,《时代》和《华盛顿邮报》则重新修改了专门针对欧盟用户同意的隐私与服务条款。中国的互联网科技企业也不例外,腾讯微信团队于5月28日发布了《关于欧盟数据保护通用条例的通知》,当欧盟用户撤销授权公众号获取其个人信息时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息;腾讯在GDPR生效前一个月发布了自5月20日起停止为欧洲用户服务的消息;小米生态链企业Yeelight则宣布,由于无法满足GDPR要求,将不再向欧洲用户提供服务……
GDPR关于个人数据保护的条款内容十分丰富,鉴于部分共计173条,正文部分共计99条(分为十章),包含适用范围、地域范围、数据主体同意的要件、特殊类型的个人信息处理、数据主体权利、数据控制者和处理者的义务、个人数据向第三国或国际组织的传输、数据保护的监管机构职权、数据主体权利被侵犯后的救济途径和处罚措施等等,体现了全面的个人数据保护和促进个人信息合法自由流动的双重立法理念。同时,在个人信息的定义与范围、个人信息处理的原则、“同意”的形式和内容等方面,国内的《个人信息安全规范》与GDPR存在诸多相通之处。
对于企业而言, GDPR规定了数据主体的哪些权利、国内企业与欧盟企业合作时是否必然适用GDPR、在欧盟设立的下属企业如何应对GDPR、如何完善自身隐私政策条款内容、如何快速应对GDPR所产生的影响等等实务问题,更具有现实意义。笔者关注到,全国信息安全标准化技术委员会(以下简称“信标委”)于GDPR生效当日即发布了《网络安全实践指南—欧盟GDPR关注点》(简称“《实践指南》”),简要介绍了GDPR适用的场景、核心内容和关注点,并结合案例说明了如何理解GDPR的核心条款,并提示了组织采取何种应对措施以符合GDPR的规定,属于官方机构对GDPR的权威解读。然则,在与GDPR有关的文章“铺天盖地”的主流趋势下,《个人信息安全规范》的归口部门信标委员出台的《实践指南》被淹没在了GDPR的“洪流”中。
本文即以《实践指南》提及的关注点为线索,对企业如何解决适用GDPR过程中遇到的实务合规问题予以研究。
二、《实践指南》关注点一:适用 GDPR的场景
GDPR条款 | 关注点 | 案例 | 组织应对措施 |
GDPR第3条 | 一是数据控制者或数据处理者在欧盟境内设有分支机构(establishment)。 | 在欧盟本地运营的A国(A国指某一非欧盟成员国)连锁酒店,直接将其收集的住客个人数据传输至A国总部进行处理,则需要履行GDPR中相关责任和义务。 | 组织[1]涉及海外业务、全球化经营或业务合作等场景时,应注意其是否适用GDPR。 |
二是数据控制者或数据处理者在欧盟境内不设分支机构(establishment)的情形 | A国企业开发的软件或系统被嵌入某款设备,该设备向欧盟地区销售,该设备的制造商在欧盟境内设立了销售代表处,相关软件或系统收集个人数据的过程需要适用GDPR等 | ||
三是GDPR主要适用欧盟境内发生的个人数据处理行为,其保护对象为欧盟境内的数据主体 | 当欧盟公民抵达A国,例如进入A国大学学习,在A国商场购物等,且欧盟公民返回欧盟境内后,大学、商场不再对其行为进行跟踪或分析,则大学、商场无需适用GDPR。 |
来源:全国信息安全标准化技术委员会
本文开篇提到的Facebook、Android、WhatsApp、Instagram以及国内的小米、腾讯直接对欧盟境内的数据主体提供商品或服务,或者在欧盟境内设立了分支机构,按照GDPR第三条以及《实践指南》关注点一的解读,前述企业遵守GDPR无疑。但是,以下案例中的B公司是否要遵守GDPR呢?
B属于中国某运营商的下属大数据分析公司,在欧盟没有设立任何分支机构;用户张某使用该运营商的SIM卡,在去法国旅行前开通了境外通信业务,在法国旅行期间共计通话100分钟,共计发送了20条短信/彩信;如果B公司只对张某等中国公民在欧盟成员国旅行期间的通信情况等进行了加工、处理、分析,最终形成了中国公民欧洲游通信情况的分析报告,根据该报告所反映的属性趋势情况,向同样符合该等属性的中国公民推送了境外游的营销广告。那么,B公司是否有义务遵守GDPR呢?
GDPR第3条第2款将数据主体界定为“欧盟境内的数据主体”(data subjects who are in the Union),并未明确规定为“欧盟公民”(Eu citizens),张某等中国公民的个人通信信息行为发生地在欧洲,但B公司处理了中国公民的数据信息,所以,尚不能援引GDPR第3条第2款直接判定,上述案例中的B公司是否应遵守GDPR。
关于如何理解“欧盟境内的数据主体”,欧盟委员会专门就数据保护的适用对象问题(Who does the data protection law apply to?)做了如下官方案例答复, “如果您的公司是欧盟以外的服务提供商,且为欧盟成员国以外的客户提供服务。您的客户可以在去其他国家(包括欧盟内部)旅行时使用公司提供的服务。如果您的公司没有明确地针对欧盟的个人提供服务,那么,该公司不受GDPR规则的约束。” [2]根据欧盟委员会的前述官方答复,GDPR保护的对象主要为欧盟成员国的公民,而非“世界公民”。所以,上述案例中,如果B公司只对中国公民提供商品或服务,且张某未在法国长期居留以至于取得了“法国公民”的资格,笔者认为,B公司不必然遵守GDPR。
三、《实践指南》关注点二:适用的数据范围
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第4条第(1)款 | 个人数据,是指与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人,是指借助标识符,例如姓名、身份标识、位置数据、网上标识符,或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可被直接或间接识别出的个人。 | 组织应识别其处理个人数据或特殊类别(敏感)个人数据的具体类型。 |
GDPR第9条第(1)款、 GDPR第10条
| 特殊类别(敏感)个人数据,是指揭示种族或民族出身,政治观点、宗教或哲学信仰以及工会成员的个人数据,以及唯一识别自然人为目的的基因数据、生物特征数据、自然人的健康、性生活或性取向数据,还包括刑事定罪和犯罪相关的个人资料等。 |
来源:全国信息安全标准化技术委员会
企业处理特殊类别(敏感)数据比处理一般个人数据时的注意义务更严格,主要如下:(1)个人数据是否为特殊类别(敏感)数据是判断合法性基础(即无需数据主体的同意)的特别情形之一,即未经数据主体同意,亦非欧盟法或成员国法律所允许的,控制者应当确认前述处理活动是否与最初收集数据的目的一致;[3](2)无论企业的规模或人数,控制者(以及适用情况下的控制者的代理人)均应当依其职责保存处理活动的记录,处理者(以及在适用情况下的处理者的代表)均应保存代表控制者执行的所有处理活动类别的记录,而雇员少于250人的企业或组织处理特殊类别(敏感)数据以外的个人数据时,则不必然履行前述保存处理活动记录的义务[4];(3)控制者和处理存在处理大规模特殊类别(敏感)个人数据情形的,必须设立数据保护官(Designation of the data protection officer)[5]。
需注意的是,我国《个人信息安全规范》(GB/T 35273—2017)规定的个人敏感信息与GDPR规定的特殊类别(敏感)个人数据都将个人的基因、健康、生物识别信息、性取向、宗教信仰、民族出身等信息囊入其中,但两者之间具有如下主要区别之处:(1)我国规定的个人敏感信息范围更加宽泛:除了GDPR列举的数据种类外,我国将个人财产信息(如银行账号、房产信息、信贷记录、征信信息等)、个人身份信息(如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等)、网络身份标识信息(如系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等)、婚史、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。而按照GDPR规定,网络身份标识信息、身份信息则未被纳入特殊类别(敏感)个人数据范围之内。(2)两者的定义模式不同,GDPR对特殊类别(敏感)个人数据的定义采取列举式,而我国采取概括和列举并列式:除了前述列式的个人敏感信息类型外,我国规定的人敏感信息泛指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。例如,李四是某证券公司的“操盘手”,手机通讯录包含了众多投资机构负责人的联系方式,如网络服务提供者泄露了李四手机通讯录中的联系人信息,将对李四名誉造成重大损害,那么,李四的“联系人信息”将从《个人信息安全规范》认定的“个人信息”升级为“个人敏感信息”。
四、《实践指南》关注点三:数据处理的基本原则
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第5条 | 个人数据处理的基本原则,包括合法、公正、透明、数据最小化、目的限定、存储限制、完整性和保密性、问责等; | 组织应保证其数据处理活动遵循基本的原则。 |
GDPR第4条第2款 | 数据处理是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,且无论此操作是否采用自动化的手段。 |
来源:全国信息安全标准化技术委员会
“合法、公正、透明”是企业处理个人数据的首要原则,如何认定“合法”需要结合GDPR第6条关于“合法正当性理由”综合判定,“公正、透明”强调企业应以方便数据主体明确易懂的方式处理个人信息;“数据最小化”是指以个人数据处理目的之必要为限度,如某P2P平台搜集了借款人的血型,则易被认定为超出提供借贷撮合服务的“数据最小化”限度;“目的限定”和“储存限定”原则都规定了例外情形,即为了公共利益、科学或历史研究或者统计目的而进一步处理,应符合GDPR第89条第1款规定,不应被认定为不符合初始目的或者可以较长时间储存个人数据,该原则旨在保持数据主体利益与社会公共利益之间的平衡。
“完整性和保密性”是指企业应当采取适度的方式确保个人数据安全,防止未经授权的、非法的处理、意外遗失、灭失或损毁,强调企业处理数据时应履行“安全义务”[6]。数据泄露是全球范围内最常见的网络安全事件之一,也是数据主体同意填写个人信息时最担心的因素之一,关键信息系统、网络安全和数据安全领域的领导者泰雷兹公司于2018年3月20日发布的《2018泰雷兹数据威胁报告》显示, 26%的受访者曾于2016年表示遭遇了数据泄露,2017年的占比上升至36%,而到2018年该比例明显上升至67%[7]。所以,企业应当采取先进、全面、足够的技术手段以及管理措施,以保护数据主体信息的“完整性和保密性”。
“问责”是GDPR第5条第2款单独规定的原则,同时也是保障企业遵循前述六大原则的“兜底原则”,即企业应当证明其自身符合前述六大原则,且应当对造成数据主体的损害承担赔偿责任。
五、《实践指南》关注点四:数据处理的合法正当性事由
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第6条第1款 | 数据处理行为首先应具备合法性基础,GDPR规定的六种合法性情形包括:数据主体的同意、合同履行、履行法定义务、保护个人重要利益、维护公共利益以及追求正当利益。 | 组织应保证其数据处理活动满足合法性要求。 |
GDPR第4条第(11)项 | GDPR强调同意是指“数据主体通过书面声明或经由一个明确的肯定性动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的(freely given)、特定具体的(specific)、知情的(informed)、清晰明确的(unambiguous)”,且撤回同意的方式应该与表达同意同等便利。 |
来源:全国信息安全标准化技术委员会
“数据主体同意”个人数据为一个或多个特定目的而处理是处理数据正当性事由的首要情形,也是我国《网络安全法》、《民法总则》等个人信息保护方面法律法规规定的强制性要求,常见的同意形式主要体现形式为专门的隐私政策服务条款、用户注册协议或具体交易协议中的授权条款、网络服务提供者制定的履行网络安全义务的规章制度等等。例如,Facebook 的服务条款之一有如下约定:“针对需要特殊保护的数据(例如您在Facebook用户画像范围内或Life Events专栏内分享的有关您的宗教观、政治倾向、您”感兴趣“的人或者您的健康状况的信息)处理,我们就此有权向您选择的对象披露,且有权对您的内容进行个性化处理。”该条款并未以取得Facebook用户对其分享宗教观等数据信息的同意,所以, Noyb.eu vs. Facebook 的诉讼中,Noyb.eu提出的申诉请求之一即是请求通过申诉程序裁决该控制方的处理行为是否已完全符合GDPR第6条第1款第(a)项及的要求,以及违规程度如何。[8]
其他五种数据处理的合法性正当事由并不以同意为条件,但根据GDPR第6条第2款、第3款、第4款的规定,是否构成合法性正当事由需要满足较为严苛的条件,如认定符合“履行法定义务”和“维护公共利益以及追求正当利益”情形时,需要从被处理的数据类型、目的限制、储存限制、处理操作和处理程序、个人数据可能被披露的实体等“弹性”因素予以综合判定,且GDPR同时给予了欧盟成员国对前述情形的立法权。例如, Facebook将对用户进行营销的数据处理表述如下:“为了履行我们Facebook服务条款或Instagram使用条款的必要”,Noyb.eu 就该条款认为,Facebook显然试图在民商事法律条款中“隐藏”对处理行为的同意,以期引起误解,使人认为该等处理行为符合GDPR第6条第1点第(b)款的规定。[9]
所以,其他五种数据处理的合法性正当事由的认定难度较大,在援引合法性正当事由的判例出现或者认定具体情形的法律条文出台前,建议企业仍然需要取得数据主体的“同意”后再进行数据处理。
六、《实践指南》关注点五:对儿童的特殊保护规定
GDPR条款 | 关注点 | 组织应对措施 |
GDPR第8条 | 如果直接向儿童提供信息社会服务时,该儿童的年龄应当为16周岁以上。若儿童未满16周岁,只有在征得监护人同意或授权的范围内其处理才合法。成员国可以通过法律对上述年龄进行调整,但不得低于13周岁 | 组织如涉及儿童个人数据的处理,应予以特别保护。 |
来源:全国信息安全标准化技术委员会
组织涉及儿童个人数据的处理,尤其需注意履行如下义务:(1)应当采取合理努力,在现有技术条件下,验证儿童的监护人是否予以同意[10];(2)GDPR第7条第1款的特别保护措施不应影响到成员国的一般合同法律(如与儿童有关的合同效力、构成或实行)[11];(3)对于儿童的任何信息,企业应当以简单明了、且易于获取的方式以及通过清楚明确的语言,并采取合适措施提供第13 条和第14 条所提到的任何信息(主要为企业从数据主体搜集个人数据时应披露的信息,如企业的身份、联系方式、储存限制等)。
(未完待续)
注:本文仅作为学术研究之用,不代表监管的意见,也不属于法律意见或操作指导。任何对本文观点的引用,均不代表作者的任何操作指导,作者不承担任何法律责任。
[1] 《实践指南》统一采用“组织”表述,如无特别注明,本文内容提及的“企业”与“组织”表示同一主体。
[2]访问网址:https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_en.
[3] 详见GDPR第6条。
[4] 详见GDPR第30条。
[5] 详见GDPR第37条。
[6] 具体详见GDPR第32条至34条。
[7] 访问网址:https://dtr.thalesesecurity.com/.
[8] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[9] 引自《GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook》。
[10] 详见GDPR第8条第2款。
[11] 详见GDPR第8条第3款。