歐盟史上最嚴(yán)數(shù)據(jù)保護(hù)法生效影響范圍波及全球

文|本刊記者 張莉

5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)實(shí)施，GDPR被認(rèn)為是歐盟有史以來最為嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)，其最大的特點(diǎn)在于限制企業(yè)對個(gè)人用戶數(shù)據(jù)的使用權(quán)，違規(guī)企業(yè)最高可能受到2000萬歐元或全球營業(yè)額4%的罰款。換言之，未來大企業(yè)，尤其是互聯(lián)網(wǎng)公司在使用用戶個(gè)人數(shù)據(jù)前必須先征得用戶的同意。

歐盟史上最嚴(yán)網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)“嚴(yán)”在哪？

GDPR是一套針對互聯(lián)網(wǎng)公司在歐洲行為規(guī)范的新規(guī)定，主要關(guān)注數(shù)據(jù)和隱私保護(hù)，意在保護(hù)歐盟消費(fèi)者免受身份盜用，侵犯隱私和個(gè)人數(shù)據(jù)泄漏到網(wǎng)上不法分子之手。GDPR對在線收集，轉(zhuǎn)移或處理消費(fèi)者信息的組織或企業(yè)進(jìn)行管理規(guī)范，尤其是敏感信息，如姓名、地址、信用卡號碼等。

GDPR規(guī)定通過網(wǎng)絡(luò)處理個(gè)人信息的企業(yè)或組織對確保消費(fèi)者的數(shù)據(jù)安全應(yīng)承擔(dān)法律責(zé)任，如企業(yè)應(yīng)保存處理數(shù)據(jù)方式的記錄，并對導(dǎo)致數(shù)據(jù)泄露的機(jī)構(gòu)實(shí)施嚴(yán)厲的法律處罰。據(jù)了解，GDPR早在2016年就完成立法程序，經(jīng)過兩年的過渡期后于5月25日正式生效，并取代1995年的《數(shù)據(jù)保護(hù)指令》。

新實(shí)施的GDPR拓展了有關(guān)網(wǎng)絡(luò)用戶數(shù)據(jù)的定義范圍，除了姓名、證件號碼、地址和網(wǎng)絡(luò)IP地址等常規(guī)個(gè)人信息，還將反映種族、宗教信仰甚至性取向的信息都納入了保護(hù)范圍。條例賦予了用戶“被遺忘權(quán)”、數(shù)據(jù)“可攜帶權(quán)”等權(quán)利，大幅增強(qiáng)了對個(gè)人數(shù)據(jù)的保護(hù)。GDPR還要求企業(yè)必須以合法、公平和透明的方式收集處理信息，必須用通俗的語言向用戶解釋收集數(shù)據(jù)的方式，且企業(yè)有義務(wù)采取一切合理措施刪除或糾正不正確的個(gè)人數(shù)據(jù)。

根據(jù)GDPR中的要求，每個(gè)歐盟成員國都必須設(shè)立一個(gè)監(jiān)管機(jī)構(gòu)，這些機(jī)構(gòu)將進(jìn)行跨國合作，以確保企業(yè)遵守?cái)?shù)據(jù)保護(hù)新規(guī)。歐洲數(shù)據(jù)保護(hù)委員會(huì)的主要職責(zé)是，保障GDPR在所有歐盟成員國的一致執(zhí)行，同時(shí)促進(jìn)各成員國監(jiān)管機(jī)構(gòu)之間的合作，協(xié)助調(diào)解各國監(jiān)管機(jī)構(gòu)之間的爭議，并提出指導(dǎo)方針和建議。歐洲數(shù)據(jù)保護(hù)委員會(huì)的成員包括歐盟各成員國國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的負(fù)責(zé)人，以及歐洲數(shù)據(jù)保護(hù)主管。

德國從2017年年初就開始對其國內(nèi)的數(shù)據(jù)保護(hù)法進(jìn)行修正，以更好地與歐盟《通用數(shù)據(jù)保護(hù)條例》對接。盡管新條例在歐盟成員國境內(nèi)統(tǒng)一實(shí)施，但各成員國還是保留了一定的特別立法空間。因此，在德國，一方面，歐盟GDPR將取代目前實(shí)施中的《德國聯(lián)邦數(shù)據(jù)保護(hù)法》；另一方面，同樣于5月25日生效的《德國數(shù)據(jù)保護(hù)調(diào)整和實(shí)施法》將作為對現(xiàn)行《德國聯(lián)邦數(shù)據(jù)保護(hù)法》的修正，對歐盟GDPR進(jìn)行符合本國國情的更細(xì)化補(bǔ)充，包括擴(kuò)大歐盟新條例下數(shù)據(jù)保護(hù)委托的適用范圍，以及對企業(yè)員工的信息保護(hù)﹑視頻監(jiān)控、檔案設(shè)置，還有受影響人權(quán)利方面等設(shè)置特別規(guī)定。

中企不可大意

為保障新規(guī)的推行，歐盟增設(shè)的獨(dú)立監(jiān)管機(jī)構(gòu)—?dú)W洲數(shù)據(jù)保護(hù)委員會(huì)也于同一天正式成立。根據(jù)GDPR中的要求，每個(gè)歐盟成員國都必須設(shè)立一個(gè)監(jiān)管機(jī)構(gòu)，這些機(jī)構(gòu)將進(jìn)行跨國合作，以確保企業(yè)遵守?cái)?shù)據(jù)保護(hù)新規(guī)。歐洲數(shù)據(jù)保護(hù)委員會(huì)的主要職責(zé)是，保障GDPR在所有歐盟成員國的一致執(zhí)行，同時(shí)促進(jìn)各成員國監(jiān)管機(jī)構(gòu)之間的合作，協(xié)助調(diào)解各國監(jiān)管機(jī)構(gòu)之間的爭議，并提出指導(dǎo)方針和建議。歐洲數(shù)據(jù)保護(hù)委員會(huì)的成員包括歐盟各成員國國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的負(fù)責(zé)人，以及歐洲數(shù)據(jù)保護(hù)主管。

許多人可能認(rèn)為，如果公司是在中國處理數(shù)據(jù)，就不用遵守歐盟新條例。但事實(shí)上不是這么回事，條例將不僅對位于歐盟內(nèi)的企業(yè)發(fā)生效力，對于歐盟域外企業(yè)，無論企業(yè)在歐盟境內(nèi)有無分支機(jī)構(gòu)，只要它們存儲(chǔ)、處理、交換任何歐盟個(gè)人的數(shù)據(jù)，也在這一條例的管轄范圍之內(nèi)。

“任何公司，在任何地方，不論規(guī)模大小，如果數(shù)據(jù)庫里含有歐盟公民的信息，不論該歐洲公民身處何處，該公司均受GDPR的約束。”Ecovis北京創(chuàng)始人、德國律師霍毅在國際商會(huì)中國國家委員會(huì)數(shù)字經(jīng)濟(jì)委員會(huì)日前舉辦的中國企業(yè)應(yīng)對GDPR研討會(huì)上指出，對于臉書、推特這類美國社交網(wǎng)絡(luò)公司，由于它們在歐盟內(nèi)有大批用戶，至少在保存、處理歐盟用戶數(shù)據(jù)時(shí)，必須符合這一條例的規(guī)定。也就是說，今后只要涉及到使用歐盟個(gè)人數(shù)據(jù)，中國公司就一定要遵守歐盟新規(guī)。

德國資深法律顧問羅伯特·費(fèi)希納認(rèn)為，歐盟《通用數(shù)據(jù)保護(hù)條例》會(huì)讓企業(yè)有很強(qiáng)的危機(jī)感，而且基本上所有的企業(yè)都會(huì)被牽涉其中。他說：“歐盟之所以推行《通用數(shù)據(jù)保護(hù)條例》，主要是為了保護(hù)公民或者個(gè)人用戶的數(shù)據(jù)與隱私權(quán)，所以該條例對企業(yè)應(yīng)如何處理以及更好地保障隱私數(shù)據(jù)作出了嚴(yán)格規(guī)定。至于說哪些企業(yè)會(huì)受到該條例的約束，答案是所有在歐洲運(yùn)營業(yè)務(wù)的公司，不論業(yè)務(wù)范圍是什么領(lǐng)域或者是以什么樣的形式。中國企業(yè)當(dāng)然也會(huì)被涉及，比如那些賣東西到歐洲的網(wǎng)站都需要收集和處理用戶的一些基本信息。”

中央財(cái)經(jīng)大學(xué)副教授劉權(quán)也表示：“比如說一個(gè)中國企業(yè)沒有在歐盟有任何分支機(jī)構(gòu)，但是歐盟用戶上這個(gè)中國的網(wǎng)站，他注冊購買商品、購買服務(wù)。這個(gè)時(shí)候，這個(gè)中國企業(yè)如果不當(dāng)收集他的信息，那么歐盟監(jiān)管當(dāng)局就可能對中國企業(yè)處以巨額罰款。”

對于中國公司，波蘭個(gè)人數(shù)據(jù)保護(hù)專家斯瓦沃米爾·科瓦爾斯基建議：“GDPR非常復(fù)雜，中國的規(guī)定和歐盟的有很大的不同，因此，請咨詢數(shù)據(jù)隱私領(lǐng)域的律師，因?yàn)樵跉W盟處理個(gè)人數(shù)據(jù)有很大的風(fēng)險(xiǎn)，你需要做好充分準(zhǔn)備，而在準(zhǔn)備之前，要明確哪些不能做，哪些能做，你需要進(jìn)行識(shí)別。”

霍毅建議，企業(yè)應(yīng)令員工接受相關(guān)培訓(xùn)、在收集數(shù)據(jù)環(huán)節(jié)取得提供數(shù)據(jù)的客戶或者合作伙伴的同意、處理數(shù)據(jù)時(shí)要合法合規(guī)，必要時(shí)委任數(shù)據(jù)保護(hù)專員進(jìn)行處理。

風(fēng)險(xiǎn)和機(jī)遇并存

人工智能企業(yè)、電子商務(wù)企業(yè)、互聯(lián)網(wǎng)金融企業(yè)以及新興的分享經(jīng)濟(jì)企業(yè)，只要與網(wǎng)絡(luò)相關(guān)，與互聯(lián)網(wǎng)相關(guān)的這些企業(yè)，他們在開展業(yè)務(wù)的時(shí)候不可避免地要收集一些個(gè)人的信息。

GDPR的生效除了給企業(yè)帶來更多的法定義務(wù)之外，也可能帶來機(jī)遇。據(jù)凱捷數(shù)字化轉(zhuǎn)型研究院日前發(fā)布的最新報(bào)告顯示，GDPR正式生效，但85%的歐美企業(yè)未能在生效日期前按時(shí)完成數(shù)據(jù)合規(guī)工作。此外，25%的企業(yè)將無法在今年年底實(shí)現(xiàn)全面合規(guī)。報(bào)告指出，那些在生效日前達(dá)成合規(guī)，并重視合規(guī)以及消費(fèi)者數(shù)據(jù)透明投資的企業(yè)已初見回報(bào)。對能夠保護(hù)消費(fèi)者個(gè)人數(shù)據(jù)并獲得其信任的企業(yè)，39%的消費(fèi)者增加了在該企業(yè)的消費(fèi)，購買該企業(yè)更多產(chǎn)品。40%的消費(fèi)者增加了與該企業(yè)的交易頻次，多達(dá)數(shù)次甚至形成了定期交易。

“在GDPR出臺(tái)前，微軟、Facebook受到的相關(guān)處罰已超過1000萬歐元。由此可見，歐盟對數(shù)據(jù)保護(hù)都非常重視，執(zhí)法嚴(yán)格，并非虛張聲勢。我國企業(yè)應(yīng)高度關(guān)注，并做好投入一定成本的準(zhǔn)備。”畢馬威管理咨詢服務(wù)總監(jiān)肖騰飛認(rèn)為，在此大趨勢下，企業(yè)做好數(shù)據(jù)保護(hù)，可以把握增收良機(jī)，創(chuàng)造更多的商業(yè)價(jià)值。