4月份对于Facebook和扎克伯格来说,都是比较闹心的一个月,Facebook被爆出曾在2016年美国大选之前,泄露5000万名用户资料,Cambridge Analytica公司通过一定的手段向这些用户发送政治广告。
先是股价大跌,小扎赶紧公开道歉,之后又接受了国会的车轮大战听证会,“西装、坐垫、备考笔记”连续几日刷屏,小扎承诺未来将会加强Facebook的内容管理。
Facebook事件给生活在网络地球村的运营者和使用者提出了一个非常关键的问题,如何在享受信息共享的同时注重个人数据保护。
虽然不像Facebook事件这样在国内家喻户晓,但是与此相关的另一个欧盟数据保护法规则实则暗潮汹涌。2016年4月27日,欧洲议会通过了《一般数据保护GDPR》(简称“GDPR”)并将在2018年5月25日生效。
该条例共99个条文,全文共263页,为应对数字技术带来的各项挑战,对1995年的《欧盟数据保护指令》进行了大刀阔斧的改革,全面提升了对个人数据的保护力度,其核心目标是将个人数据保护深度嵌入组织运营。
欧盟对个人信息保护及其监管达到了前所未有的高度,行更加严格的执行并施加更加严厉的惩罚,称史上最严格的数据保护GDPR。
什么是“个人数据”和“特殊类型个人数据”?
GDPR中“个人数据”的范围非常广泛,“数据主体”指一个已识别(identified)或可被识别的(identifiable)自然人。
与已确认身份的或可确定身份的自然人(“数据主体”)有关的任何信息;可确定身份的自然人指可直接或间接确定身份的人,特别是通过引用其姓名、身份证号、位置数据等标识符、在线识别符或通过引用一项或多项特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的因素。
其中GDPR第九条规定了“特殊类型个人数据”,即表明自然人种族或族裔、政治观点、宗教或信仰、工会会员资格的,或基因数据、生物识别数据等可唯一识别自然人的,或与个人健康状况、性生活或性取向相关的数据,原则上禁止处理。
GDPR与我们有关系吗?
答案是:有。
GDPR不光管辖欧盟内注册的公司(“欧盟内的数据控制着及处理者”),而且非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息;
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,则该等公司就受到GDPR的管辖。
这个GDPR将对中国企业的数据管理和信息安全,以及数据收集、处理和交易产生重大影响。GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。
对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。
GDPR关于数据处理相关义务有哪些呢?
个人信息处理的基本原则包括以下几项:
合法、公平、透明原则
•目的限制(purpose limitation):
个人数据的收集必须具有明确、具体和合法的目的,且之后对个人数据的处理不能与收集时的目的不同;
•最小化原则(data minimization):
处理个人数据的范围以充分实现数据处理目的所必须为限;
•准确性原则(accuracy):
个人数据需保持准确,并随时更新;数据控制者或处理者必须采取措施,以保证对于实现数据加工的目的不准确的个人数据能够被及时删除或更正;
•存储限制(必要最短) (storage limitation):
个人数据中可识别数据的存储时间以实现数据加工目的所必须为限;
•完整、保密原则(integrity and confidentiality):
以能适当确保个人数据安全的方式处理个人数据;
•权责一致原则(accountability):
个人信息控制者负责对数据处理行为遵守以上原则承担责任。
数据处理的合法原则
GDPR第6条规定了合法处理数据的情形:
•获得数据主体的同意;
•为履行数据主体作为一方的合同所必须;
•为履行数据控制者的法律义务所必须;
•为保护数据主体或另一自然人的重大利益所必须;
•为实现公共利益所必须;
•为实现数据控制者或第三方的合法利益所必须,除非对数据主体的数据利益的保护应高于该等利益,其中(3)-(6)必须在欧盟法或成员国法中明确规定。
GDPR第7条和第8条规定:
•同意必须是具体的、清晰的,是用户在充分知情的前提下自由做出的;
•如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围,则需要向用户做出单独明确的说明;
•如果将同意数据处理作为签订合同的前提条件,而这种数据处理事实上超出了提供服务所必需,将违反有关“同意应当是自由做出”的规定;
•数据主体可以随时撤回同意的权利;
•在处理儿童个人数据时,数据控制者必须能够证明其从监护人那里获得了同意。
史上最严数据保护法就要来了!
如果违反GDPR,面临的最高处罚是“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。
英国老牌代码安全审计机构 NCC Group 的分析报告指出,如果已经实行了GDPR,英国信息专员办公室(ICO)去年对英国公司开出的罚单就会是6900万英镑(约合6.1亿人民币),而不是88.05万英镑了。
对GDPR,你准备好了吗?
对于GDPR的实施,我们应采取哪些措施呢?我们应当审阅公司现有数据保护政策,全面提高数据保护的合规水平;包括但不限于保留所有数据处理记录,以供监管部门审查。
在新的项目、技术和业务流程周期中设置隐私检查流程;对高风险活动进行并记录评估,以确定使用个人数据的风险(数据保护影响评估);定期对是否符合政策和程序进行审计;必要时进行修改等措施。
相关链接
【塞浦路斯又将建设新码头,再现新商机】
【英国移民“疾风世代”事件,首相道歉】
【法国避难与移民法案通过,助非法移民无罪】
如果您对投资移民还有什么疑问或者还想了解更多,请拨打凌宇移民热线:4001-020-101,也可以在线咨询凌宇移民专家,我们将竭诚为您服务。
