2016日年4月26日,歐洲議會通過《通用數據保護條件》(GDPR,本意更接近《數據保護通用條例》)。該法案歷經多年商討確定,序言共173條,正文分為11章99條,其理念先進、體系完整和信息量大。但最讓人印象深刻的,一是其監管範圍極其寬泛,二是其處罰極其嚴厲,被稱為世界史上最嚴格的數據保護法律。目前,GDPR的兩年過渡期也近結束,將於2018年5月25日生效實行。
對於行業人士和監管客戶來說,GDPR是不但是一個新鮮事物,而且也是一部需要遵守的法規。尤其對於已有或是計劃拓展歐洲涉個人數數據處理的中國公司來說,如何認識GDPR,理解其監管要求,再到操作中怎樣實現自我規範,無疑需要有一個系統的瞭解。就此,陳德志律師將結合GDPR條文,分體例逐篇講解GDPR主要內容,並與大家學習共進。
GDRP的立法目的、原則與適用範圍
GDPR學習筆記(一)
一、GDRP的立法目的
GDPR於序言部分列明瞭其立法目的和出發點:
(1) 在序言第一條中,GDPR即聲明:保護與自然人相關的個人數據處理是一項基本權利。在歐盟範圍內,不論其個人的國籍或居留地,均應尊重並保護個人數據權利。
(2) 同時,GDPR承認,其目的是為實現一個自由、安全、正義和經濟的歐洲聯盟,促進歐盟經濟和社會進步,加強歐盟內部市場內經濟融,以及在自然人的福利方面做出貢獻。
二、 GDRP的原則與出發點
(1) GDPR認為,快速的技術發展和全球化給個人數據的保護帶來了新的挑戰。收集和分享個人數據的規模顯著增加。科學技術允許私人公司和公共當局以前所未有的規模利用個人數據,以從事生產經營,自然人也越來越多地在公共和全球範圍內提供個人信息 。
(2) GDPR認為,由於內部市場的運作而產生的經濟、社會一體化導致了大量的個人數據跨境流動現象。公共部門和私營部門,包括自然人、協會和歐盟之間的個人數據交換頻率迅速增加。技術已經改變了經濟和社會生活,並應在高度保護個人數據的同時,進一步促進個人數據在聯盟內和第三國和國際組織的自由流動。
(3) GDPR認為,這些發展應在一個強大的執行力的支持下,實現強有力的、更加連貫的數據保護框架,以保證自然人能掌握自己的個人數據,並建立數據主體之間的信任。基於此,GDPR進一步要求歐盟各成員國的國家當局通過合作和交換個人數據,以便能夠履行其職責或代表另一會員國的權力執行任務。
(4) 因此,GDPR要求歐盟及各成員國根據相稱性原則,在保護個人基本權利和自由的同時,確保各會員國之間的個人數據自由流動。
(5) 即GDPR一方面強調尊重私人和家庭生活、家庭和通信、個人數據的保護,自由的思想、良心和宗教、言論自由和信息自由。但同時,GDPR堅持個人數據的處理應該要為人類服務,即"保護個人數據的權利並非絕對正確,它必須考慮到它在社會中的作用"。
(6) 同時GDPR要求,歐盟及成員國內的法律應形成有效的保護機制,促進聯盟內的個人數據的自由流動且不應受限制或禁止,對此各成員國有義務應促使GDPR規則於各成員國的落地。
三、 GDPR的適用範圍
(一) 適用範圍
(1) GDPR規定,只要是對通過自動方式處理個人數據或對個人數據進行處理,就應適用GDPR。且GDPR所提供的保護應全部適用於自然人,且與處理個人數據有關,而不論其國籍或居住地點 。
(2) GDPR規定,無論數據處理行為是否發生在歐盟之內,只要相關主體在聯盟內建立了一個控制者或一個處理者,其在活動範圍內的個人數據處理行為都將適用GDPR,至於該數據處理是否是通過一家歐盟公司或是在歐盟的分支機構、子公司並不重要。
(3) GDPR規定,當數據處理時的個人數據的主體在歐盟,且其數據處理相關活動向歐盟內的主體提供了商品或服務(無論是否成交或付款),即使相關控制者或處理者不在歐盟內,也適用於GDPR。在確定一個提供商品或服務的控制者或處理者的針對數據是否處在歐盟之內時,相關電子郵件地址或其他聯繫方式,或控制者所使用的第三國語言並不是充分認定因素,而該些主體在購買商品與服務時使用的歐盟國家語言、貨幣或他們提到商品與服務的所指向的客戶和使用者將是應予以考慮的。
(4) GDPR規定,即使個人數據的處理的數據對象的控制器或處理器不設立建立歐盟之內,但如果它監測的這些數據的對象行為發生在聯盟,也應遵守GDPR。在確定哪些處理活動可被認為是監控數據對象的行為時,其主要取決於它是否在互聯網上持續跟蹤個人數據並處理以分析自然人,特別是為了預測或分析該自然人的喜好,行為和態度。
(5) GDPR規定,如果歐盟成員國的國內法律適用於國際公法,則該成員國關於數據保護的規定也應適用於處於成員國內的外交使團或領事範圍內的控制器。
(6) 此外,GDPR可適用於(但可由各成員國予以細化)法院和其他司法當局處理個人數據的處理操作和處理程序,但以保障司法機構在執行其司法任務時的行為,並不適用於法院在行使其司法權利時的處理個人數據。但如果法院委託其他特定機構協助處理數據的,則該特定主體應遵守GDPR。
(7) 由此可見,任何網站甚至App只要能夠被歐盟境內的個人訪問和使用、產品或服務使用的語言是英語或者特定的歐盟成員國語言、產品標識的價格為歐元,都可以被理解為該產品、服務的目標用戶包括歐盟境內用戶,從而需要適用GDPR。
(二)不適用
(1) GDPR不適用於與歐盟法律範圍以外的活動有關的個人數據的自由流動,如國家安全。
(2) GDPR不適用於各成員國在執行與歐盟共同的外交和安全政策有關的活動時對個人數據的處理。
(3) 如果個人數據是包含在檔案系統、文件或文件集中的,且這些數據不是按照特定標準構造的,則其不適用於GDPR的規定。
(4) GDPR不適用於自然人在純粹的個人或家庭性質活動過程中處理個人數據,因為其與職業性或商業活動無關,此類內容包括個人與家庭間的通信、地址內活動,或在這種活動範圍內進行的社交網絡和在線活動。(但GDPR強調,GDPR適用於為個人或家庭活動提供處理個人數據的方法的控制器或處理器)。
(5) GDPR不適用數據保護主管機構在處理個人數據的目的預防、調查、檢測或起訴的刑事犯罪或刑事處罰的執行行為,包括防範和防止對公共安全的威脅。
四、GDPR保護的數據範圍
(一)受保護的個人信息
(1) 與一個確定的或可識別的自然人相關的任何信息(數據對象)。可識別的自然人指可以直接或間接識別的人,特別是通過參考諸如姓名、身份證號碼、位置數據、在線身份識別等標識符,或參考與該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份有關的一個或多個因素。確定一個自然人是否可以被識別,應該考慮所有合理的可能被使用的方法,例如通過控制者或另一個人可以直接或間接地識別自然人。
(2) 假名數據。假名數據是通過在原始數據上使用一定的技術加密或脫敏方法得到的數據。GDPR鼓勵在處理個人數據時使用假名,但解讀或恢復真名的附加信息應被認為是可辨認的自然人的資料,且應與假名數據單獨分開保存。。
(3) 鑑於自然人可能與他們的設備、應用程序、工具和協議提供的在線標識符聯繫在一起,比如互聯網協議地址、cookie標識符或其他標識符,如射頻識別標籤,屬於個人數據。
(4) 兒童數據:直接向兒童提供信息社會服務的,對16週歲以上兒童的個人數據的處理為合法。兒童未滿16週歲時,處理只有在徵得父母責任的主體同意情形下,或授權兒童同意的範圍內合法。會員國可通過法律規定較低年齡,但此種較低年齡不得低於13歲。
(5) 基因數據:與自然人先天或後天的遺傳性特徵相關的個人數據。這類數據傳達了與該自然人生理機能或健康狀況相關的獨特信息,並且上述數據往往來自於對該自然人生物樣本的分析結果。
(6) 與健康有關的數據:與自然人身體或精神健康有關的個人數據,包括能揭示關於其健康狀況的健康保健服務所提供的數據。這包括關於在歐洲議會和理事會第2011/24號指令中所述的關於在註冊時所收集到的自然人的信息以及對該自然人所提供的衛生保健服務;一種數字、符號或特定於自然人的特殊身份可用於識別自然人的健康;從身體部分或身體物質的測試或檢查中獲得的信息,包括遺傳數據和生物樣本;任何信息,例如疾病、殘疾、疾病風險、病史、臨床治療或數據主體的生理或生物醫學狀態,例如來自醫生或其他衛生專業人員、醫院、醫療器械或體外診斷測試。
(二)不保護
(1)匿名數據:數據保護的原則不應適用於匿名信息,即與已識別的或可識別的自然人無關的信息,也不應適用於匿名的個人數據,即數據主體不具有或不再具有可識別性。
(2)GDPR不適用於死者的個人數據。但會員國可提供有關處理死者個人數據的規則。
(3)公認的科學研究。在符合公認的科學研究倫理標準的情況下,可允許數據主體同意某些科學研究領域的同意。但數據被試者應該有機會在特定的研究項目或研究項目的某些部分,在預期目的的範圍內給予他們的同意。
作者∣陳德志,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事公司證券行業近十年,主要執業領域為境內外上市、併購重組、企業投融資及企業合規。
閱讀更多 百律 的文章
