自2018年5月25日,号称史上最严的数据保护规定《通用数据保护条例》(“GDPR”)在欧盟境内生效,但GDPR具有域外效力,对欧盟之外国家的企业数据处理行为也可能具有约束力,而GDPR的处罚力度又较大,包括Google,微软,Facebook等大型科技公司都因GDPR合规问题被欧盟处罚,不久前,有报道称Facebook将面临爱尔兰数据保护委员会作出的将近22亿美元的处罚决定。前车之鉴,对于我国有意开拓欧洲市场的互联网企业,无论企业是否在欧盟境内设立实体机构,都有潜在GDPR合规风险。
与此同时,在2016年5月24日GDPR制定不到几个月后,号称我国网络与数据安全的“根本法”《网络安全法》横空出世,2018年至今,各监管机构在各自职责范围内或单独制定,或联合制定相应监管规范,大量行政法规、部门规章、规范性文件和国家标准纷纷问世,我国网络安全、个人信息保护和数据合规领域掀起立法的高潮,我国企业也面临巨大数据合规压力。
由此,数据经济时代下,我国企业可能面临两套完全不同的法律规则的监管,是否要建立两套数据保护的合规体系?又或者说,GDPR规则与我国数据保护规定是否“兼容”?我国数据保护规范和规则与GDPR有何异同?如何建立一套能够符合我国法律规范,又能够符合GDPR规则合规制度?以上问题是摆在有意欧洲市场的企业面前的难题。
本文拟结合GDPR规定和我国规范作初步讨论,以期为企业建立数据合规体系提供有益的参考。
在欧盟设立法人或者分支机构当然要受到GDPR的规制,这很容易理解,但GDPR并不从组织形式角度进行规制,其第3条(1)款规定“在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。”换言之,任何在欧盟境内从事数据控制或处理的组织或个人都要受到GDPR的规制,而不管数据处理行为是否在欧盟境内,GDPR序言第22条对实体机构的解释“通过稳定的安排能够开展有效或实际的活动的实体”,换言之,只要通过稳定的控制或安排能够开展数据控制和处理活动的任何实体即为“在欧盟内部设立的数据控制者或处理者”。因此,我国企业应审查自身是否在欧盟设立类似数据控制或处理的实体。
例如,在欧盟本地运营的A国(A国指某一非欧盟成员国)连锁酒店,直接将其收集的住客个人数据传输至A国总部进行处理,则需要履行GDPR中相关责任和义务。(来自全国信息安全标准化委员会编制的《网络安全实践指南—欧盟GDPR关注点》,下同)。
GDPR第3条(2)款,本法适用于对欧盟境内的数据主体的个人数据处理,即使数据控制者或处理者没有设在欧盟境内,其处理行为:(a)发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付费用;或(b)对欧盟数据主体发生在欧盟境内行为的监控。
故若我国企业涉及海外业务、全球化经营或业务合作等,应注意可能存在GDPR的合规风险,需要核查的是,其数据处理行为是否与向欧盟境内数据主体提供商品或服务有关。
例如,我国企业在网站上使用了欧盟成员国之一的语言,使用欧盟国的货币计价或结算,网站宣传客户为欧盟成员国客户,向欧盟成员国境内进行配送服务等,这些行为本身与数据处理紧密相关,若我国企业存在上述行为,则可能被认定为向欧盟境内数据主体提供商品或服务,进而受到GDPR的规制。
又如,在A国运营的社交媒体平台,支持境外账户注册,且已有欧盟境内用户使用。该社交媒体平台根据用户的位置信息、浏览记录等行为信息,向用户推送个性化的信息和广告,有可能被欧盟的个人数据保护机构(Data Protection Authority)认定为监控(monitor)欧盟境内数据主体的行为,适用GDPR的可能性较高。
全球数据化背景下,欧盟公民到我国境内接受服务或交易涉及数据处理比比皆是,是否意味着只要处理欧盟公民的数据就要受到GDPR保护?
问题本质在于如何理解GDPR保护的欧盟内数据主体?从GDPR第3条(1)(2)(3)款规定来看,欧盟内数据主体范围并非仅限于欧盟境内的公民,还包括在欧盟境内居住或活动的非欧盟成员国的公民,GDPR强调的是欧盟境内,限于欧盟地域范围,非以欧盟成员国身份进行判断。
例如,当欧盟公民抵达A国,例如进入A国大学学习,在A国商场购物等,且欧盟公民返回欧盟境内后,大学、商场不再对其行为进行跟踪或分析,则大学、商场无需适用GDPR。
但仍需注意,若服务或交易延续到该欧盟公民回到欧盟境内,则存在GDPR的规制可能。
总之,通过上述GDPR条文的理解和适用,企业可以初步判断受到GDPR规制的风险点,但做到这点并不足够,企业还要对自身业务领域进行梳理和检查,重点筛选主要业务领域是否存在GDPR合规风险较大的领域,确定后要比照GDPR规定进行调整。
摆在我国企业面前的一个难题是,我国个人信息保护的规范企业与GDPR是否兼容,依照我国个人信息保护规范建立的合规体系如何对接GDPR规则?下文将详细阐述。
欧盟统一适用GDPR规则,而我国目前的个人信息保护规范则主要由《网络安全法》和相关规范初步构建而成,与GDPR规则相比,我国个人信息保护规范不足之处在于《网络安全法》规定较为原则,而其他部门的规范性文件各有侧重,无法对企业进行有效的指引,为有效指导企业合规体系建立,在借鉴国际先进规则,结合我国国情,国家标准化管理委员会在GDPR生效的同时制定了《信息安全技术个人信息安全规范》(GB/T 35273—2017)(下称“《个人信息安全规范》”),被誉为中国版“GDPR”,虽然只是推荐性国家标准,但其定位是我国个人信息保护工作的基础性标准文件,监管层明确其作为指导的标准。
GDPR出台和我国掀起的立法高潮时间点都在大数据和人工智能快速发展的大背景下,经过梳理,我国规范与GDPR规则在基础规则方面大体一致:
此外,还有我国规范和GDPR都规定了数据记录和保存义务,个人信息安全评估义务,数据泄露处理和通知义务,限于篇幅,不一一细述。
总体而言,我国法律个人信息保护制度没有GDPR那样严格,这是由于二战时欧洲的个人信息保护制度缺位,欧洲因此付出血的代价,特别是互联网和人工智能的发展背景下,个人隐私保护难度加大,欧洲遂制定了史上最严的GDPR,而我国鼓励互联网发展和创新,对个人信息保护比GDPR较宽容,更符合我国自身发展的实际。本文简单归纳我国个人信息保护规范与GDPR规则的不同之处,见下表:
欧洲基本人权的价值取向决定了GDPR严格的个人信息保护规则,相对而言,我国《民法总则》仅规定了“个人信息应受到法律保护”,并没有明确对个人信息的权利性质进行定性,而主要通过行政法规、部门规章和规范性文件等不断进行细化、调整。因此,与GDPR一体化适用不同,我国企业需要不断根据新出台和制定的规范调整自身的合规制度。
结 语
本文初步点出GEPR规则与我国监管规范的相似和差异的要点,涉及国际合作、跨国数据合规等场景的互联网企业可以参考评估自身GDPR合规风险,为企业初步判断自身合规体系是否能够兼容我国法律规范和GDPR规则提供了相应的参考,限于篇幅和企业实际情况的差异,具体的合规风险的评估、审查、梳理,最后合规制度调整和落地,本文无法一一作答,谨以此文作数据经济时代的互联网企业合规风险的初步探讨。
作者简介
*声明:本微信订阅号对所有原创、转载、分享的内容、陈述、观点判断均保持中立,推送文章仅供读者参考。本订阅号发布的文章、图片等版权归作者享有,如需转载原创文章,或因部分转载作品、图片的作者来源标记有误或涉及侵权,请通过留言方式联系本公众号运营者。谢谢!
作者 | 苏耀云、曾恺
排版 | 庞帅光
审定 | 张 哲
来源 | “广州律协”微信公众号
