GDPR数据主体同意制度剖析及应对策略
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策1. 引言1.1 背景介绍欧盟GDPR(General Data Protection Regulation,通用数据保护条例)作为欧洲最新的数据保护法规于2018年5月25日正式生效,旨在加强个人数据的保护并对数据处理进行规范。
在全球范围内,GDPR对企业的数据处理行为提出了更为严格的要求,不仅在欧洲国家引起了广泛关注,也对我国涉欧企业的经营活动产生了重要影响。
随着全球化进程的加快,我国涉欧企业在合作中需要遵守GDPR 的相关规定,确保个人数据的合法处理和保护。
我国企业在处理个人数据时常常存在着不规范、不严密的情况,面临着各种合规挑战和难题。
对于我国涉欧企业来说,如何适应并遵守GDPR的规定,成为了一项急需解决的问题。
在这样的背景下,了解GDPR的重要性以及我国涉欧企业所面临的合规挑战至关重要。
只有深入了解GDPR的原则和要求,才能有效应对相关风险,并确保企业在数据处理方面的合规性与安全性。
本文将对欧盟GDPR对我国涉欧企业的合规挑战及对策进行探讨,旨在帮助企业更好地适应和遵守GDPR,保护企业的合法权益。
1.2 GDPR的重要性GDPR即通用数据保护条例(General Data Protection Regulation),是欧盟于2018年5月25日生效的数据保护法规。
这一法规的重要性不言而喻,因为数据在现代社会中扮演着至关重要的角色,涉及个人隐私、商业利益、国家安全等方面。
GDPR的实施旨在保护个人数据的安全和隐私,规范企业在处理数据时的行为,强调了对数据主体的尊重和保护。
GDPR的重要性在于它提高了数据保护的标准,强调了企业和组织在处理个人数据时需要遵守的规定和程序。
这一法规的实施使得个人数据更加受到保护,减少了个人数据泄露和滥用的风险。
GDPR的推行也提升了企业的公信力和信誉度,促使企业更加注重数据隐私和安全,增强了企业与消费者之间的信任关系。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策欧盟普遍数据保护条例(GDPR)实施后,对我国涉欧企业的合规带来了诸多挑战。
本文将探讨这些挑战,并提供相应的对策。
GDPR对个人数据处理的合规要求提高了企业的责任和义务。
我国涉欧企业在处理欧盟公民的个人数据时,需要符合GDPR规定的合法性、透明性、目的限制等原则。
这要求企业对个人数据的处理流程进行全面评估,并实施相应的数据保护措施。
对策是企业应当建立内部数据保护政策和程序,确保个人数据的合规处理,防范数据泄露和滥用的风险。
GDPR强调数据主体的权利保护,包括知情权、访问权、修改权、删除权等。
这要求企业能够主动响应个人数据主体的请求,并提供适当的信息和处理方式。
对策是企业应建立健全的个人数据主体权利保护机制,明确个人数据主体的权益和企业的责任,及时回应数据主体的请求并给予合理的处理。
GDPR对数据传输的要求提升了企业数据安全保护的标准。
对于向欧盟境外传输个人数据的企业,GDPR规定了特定的合法依据和适用的安全保障措施。
对策是企业应当评估其数据传输的合法性,并针对性地采取技术和组织措施,确保数据在传输和存储过程中的安全性。
第四,GDPR强调数据保护委员会的作用和权力。
在处理个人数据方面涉及多个欧盟成员国的企业需要与各国的数据保护委员会进行合作和沟通,适应不同国家的法律和规定。
对策是企业应当了解各国数据保护委员会的要求和指导,建立与其交流的渠道,以便及时获取对本企业合规的认可和支持。
GDPR的违规处罚和赔偿制度提高了合规风险。
针对严重的违规行为,GDPR规定了高达全球年营业额4%的罚款额度。
个人数据主体还可以向法院提起赔偿诉讼。
对策是企业应密切关注GDPR的最新司法解释和行政指南,并与律师和保险机构合作,明确企业的合规责任和风险防范措施。
GDPR对我国涉欧企业的合规带来了一系列挑战。
面对这些挑战,企业应当提高合规意识,完善内部数据保护机制,确保个人数据的合法性和安全性,并与相关机构进行积极合作,以确保企业能够适应GDPR的要求,保护个人数据主体的权益。
GDPR对我国金融行业影响及应对建议
駆園Viewpoint I栏目编辑:李明富GDPR对我国金融行业影响及应对建议文”中国人民银行济南分行刘振海马征王栋中国人民银行东营市中心支行丁福利、/保护公民免受隐私和数据泄露的影响,欧盟颁布了丿M《通用数据保护条例》((;I)PR).fl2018年5月25口GDPR正式施行以来,包括谷歌、Facebock在内的许多企业被依据GDPR起诉或处罚’与此同时,我国个人信息保护工作也在稳步推进,一方面国家法规标准陆续出台,另一方面包括金融行业在内的各行业也在根据自身特点完善落实措施.当前.越来越多的金融机构走出国门、走向世界,面对GDPR 的挑战我国金融行业将如何应对,值得我们深入探讨。
GDPR颁布与我国数据保护制度的形成GDPR适用范围不仅包括欧盟内的企业,也包括在欧盟营运以及搜集、处理或利用欧盟公民个人信息的企业或组织等。
GDPR规定用户在数据方面享有数据访问权、被遗忘权、限制处理权以及数据移植权等权利,对企业做出了非常严苛详细的规定,并对企业违法行为的惩罚力度非常大”GDPR生效的第一天,Facebook和谷歌就遭到起诉,被指控强迫用户同意共享个人数据”这一诉讼讲使Facebook和谷歌将分别面临39亿欧元和37亿欧元(共计约88亿美元)的罚款。
2019年1月22日,法国数据保护监管机构CNIL根据GDPR对谷歌开出了5000万欧元的罚单,这是GDPR颁布以来最大的罚单"在我国,个人金融信息保护制度体系也正在形成。
2017年6月1日正式实施的《网络安全法》在法律层面明确了个人信息保护工作的基本要求。
《个人信息安全规范》于2018年5月1日正式实施,《个人信息保护法(草案)》也在加紧制定当中,从金融行业看,人民银行于2016年正式发布了《中国人民银行金融消费者权益保护实施办法》并组织金融机构开展了一系列具体工作,大力推进金融消费者的个人信息保护工作。
2019年2月发布的《中国人银行网络数据安全管理指南》则从技术角度明确了个人数据安全管理要求:GDPR对我国金融行业的挑战1.GDPR与我国制度存在矛盾性和差异性。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策随着全球经济的一体化和互联网的快速发展,涉及跨国业务的企业面临着越来越多的合规挑战。
特别是对于中国企业来说,随着对欧洲市场的开拓,欧盟GDPR(General Data Protection Regulation)对企业的合规要求变得尤为重要。
本文将就欧盟GDPR对我国涉欧企业的合规挑战及对策进行分析和探讨,以期为中国企业在欧洲市场的发展提供一些参考和帮助。
1. 数据处理和保护的严格要求GDPR对于个人数据的处理和保护提出了非常严格的要求,包括数据主体的同意、数据安全措施、数据安全报告等。
这对于涉及跨境业务的企业来说,意味着在处理欧盟居民的个人数据时需要遵守一系列严格的规定,而这对于我国企业来说是一个全新的挑战。
2. 跨境数据传输和跨境合规随着企业的跨境业务增多,涉及个人数据的跨境传输也成为了一个问题。
GDPR对于跨境数据传输提出了很多要求,包括数据主体同意、特定机制等。
对于我国企业来说,如何在跨境数据传输过程中遵守GDPR的规定,是一个亟待解决的问题。
3. 处罚和风险的增加GDPR对于违反规定的处罚和风险提出了明确的规定,包括高达4%的全球年度营业额的巨额处罚。
对于我国企业来说,如果在涉及欧盟个人数据的业务中违反了GDPR的规定,将面临重大的法律和商业风险。
1. 提高合规意识企业应当加强对GDPR的了解,特别是在涉及欧盟居民个人数据的业务中,应当全面了解GDPR的规定,加强内部人员的培训,提高合规意识。
2. 落实数据安全措施企业应当采取有效的数据安全措施,包括数据加密、访问权限控制、网络安全防护等,以确保在处理欧盟居民的个人数据时符合GDPR的规定。
3. 建立合规机制企业应当建立和完善跨境个人数据传输的合规机制,包括与欧洲合作伙伴签订合规协议、与第三方服务提供商建立合规关系等,以确保在跨境数据传输过程中合规并避免法律风险。
4. 加强合规监管企业应当建立有效的合规监管体系,包括内部合规监管机构、合规监管流程等,以确保在涉欧业务中合规并及时发现和解决合规风险。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策随着欧盟《通用数据保护条例》(GDPR)的实施,对于我国涉及欧盟企业的合规挑战也越来越严峻。
本文将详细分析欧盟GDPR对我国企业的影响及相关的应对策略。
GDPR是一项欧盟数据保护法规,其目的是保护个人数据的隐私和数据权利,强化数据保护和个人隐私保护,同时加强监管与执法。
GDPR的实施对我国的企业产生了如下影响。
1. 适用范围扩大GDPR适用范围非常广泛,不仅适用于在欧盟内的企业,也适用于在非欧盟国家处理与欧盟有关的个人数据的企业。
因此,任何在欧盟境内进行数据收集、处理或存储的企业都必须符合GDPR规定。
2. 数据保护义务加强GDPR强化了企业数据保护的义务,并要求企业采取多种技术和组织措施确保个人数据的安全和完整性。
如果企业无法对数据进行充分保护,他们将面临数据泄露和黑客攻击等风险,并可能承担相应的法律责任。
3. 个人数据权利更强GDPR确保个人数据处理的透明度,强化了个人隐私保护的权利。
企业必须告知消费者他们如何使用其数据以及如何保护其数据。
消费者有权要求企业提供其所持有的所有数据,更新或更正信息,或者删除其个人数据等。
4. 高额罚款风险GDPR强制要求企业保护个人数据的隐私权,违规者将会面临严重的罚款。
最高可达全球营业额的4% 或2000万美元的罚款,这个数额可使公司财面临破产的威胁。
二、对策为了避免面临GDPR法规的违规处理而遭受的高额罚款和品牌损害,我国企业需要降低合规风险,修订营销战略和改进数据保护措施。
以下是一些相关的企业应对策略:1. 国内和欧盟数据保护法规的比较研究对于涉及欧盟企业的国内企业来说,必须详细研究GDPR的要求和规定,以确保符合GDPR要求的相关数据处理措施,并积极推动营销方案的修订。
2. 数据处理流程的改善企业需要优化数据处理流程,确保其遵守GDPR的要求,以避免个人数据处理的违规行为。
这需要从人员、流程和技术方面着手,提高数据的安全性和保证个人隐私的保护。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策欧盟的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)于2018年5月25日正式生效,成为全球范围内保护个人数据最严格的法规之一。
对于涉及欧盟个人数据的企业,无论其所在国家为何,都必须遵守GDPR的规定。
对于中国的企业来说,涉及欧盟个人数据的合规挑战是存在的,以下是一些可能的挑战及对策。
1. 数据主体权益保护:GDPR强调数据主体对其个人数据的控制权。
对于中国企业而言,需要确保用户清楚知晓其个人数据将如何收集、使用和存储,并且尊重用户的选择权。
企业可以通过更新隐私政策、提供个人数据相关的用户教育和意见收集机制等方式增加用户对数据使用的控制。
2. 数据传输限制:GDPR要求在涉及欧盟个人数据的转移时,必须确保该数据的合法性和安全性。
中国企业在处理欧盟个人数据时,需要采取措施保护数据的安全性,如加密传输、使用安全的数据存储设备等。
中国企业可以考虑与欧盟企业签订数据处理协议,明确双方在数据传输方面的责任和义务。
3. 数据保护官任命:GDPR要求涉及大量个人数据处理的企业任命一名数据保护官。
对于中国企业而言,任命一名合适的数据保护官并确保其熟悉GDPR的规定是必要的。
如果企业规模较小,可以考虑外包数据保护官的职责,或者将该职责交由现有的内部职员负责。
4. 数据处理合同和监管关系:GDPR要求在涉及个人数据处理的合同中,确保第三方处理者按照GDPR的规定进行数据处理。
中国企业可以与涉及欧盟个人数据处理的合作伙伴签订数据处理协议,并与其明确各自的责任和义务。
企业还需要了解当地数据保护监管机构的要求,并确保与其建立良好的合作关系。
5. 数据失窃和泄露事件应急响应:GDPR对于数据失窃和泄露事件有严格的要求,要求企业在72小时内向相关监管机构报告事件。
中国企业需要建立完善的数据安全管理体系,包括定期进行数据安全培训、制定灾难恢复计划、建立紧急联系机制等,以应对可能发生的数据失窃和泄露事件。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策欧盟的《通用数据保护条例》(GDPR)是于2018年5月25日正式生效的一项数据保护法规,适用于欧盟境内及与欧盟成员国有关联的所有企业。
对于我国涉欧企业而言,GDPR带来了一系列的合规挑战。
本文将讨论这些挑战,并提出相应的对策。
GDPR对数据处理的合规要求更加严格。
根据GDPR,企业需要获得数据主体的明确同意,且只能处理与明确目的相关的数据。
这对于我国许多企业来说是一个新的挑战,因为以往他们可能更加灵活地处理个人数据。
对于涉及欧洲市场的企业,需要加强对个人数据的合规性审核,明确数据的使用目的,并保证数据主体的明确同意。
GDPR要求企业建立合规性的数据处理流程和数据保护措施。
企业需要通过合适的技术和组织措施保护个人数据的安全,防止数据泄露和滥用。
对于我国企业而言,需要加强内部数据保护意识的培训和教育,并确保合适的技术措施来保护数据的安全。
还需要建立数据处理的流程和标准,并定期进行数据保护风险评估和漏洞扫描,确保企业的数据处理过程符合GDPR的要求。
GDPR赋予了数据主体一系列权利,包括访问自己的个人数据、要求删除个人数据等。
对于我国企业而言,需要建立相应的流程来响应数据主体的权利要求,并及时对其进行处理。
这可能需要与内部不同部门进行协调和合作,确保及时、有效地响应数据主体的权利要求。
第四,GDPR对于数据出境也有一定的限制和要求。
如果将个人数据转移到非欧盟国家,需要确保该国家的数据保护法律与GDPR的标准相当。
对于我国涉欧企业而言,如果要将个人数据转移回国内,需要确保国内的数据保护法律和标准与GDPR相符合。
否则,企业需要通过合适的措施,例如数据安全协议或标准合同条款等,来保护数据的安全和隐私。
在面对GDPR的合规挑战时,涉欧企业可以采取一些对策来应对。
建立并加强数据保护团队,确保企业内部有专门的人员负责数据保护事务,并能够及时回应GDPR引起的变化和要求。
gdpr管理体系-概述说明以及解释
gdpr管理体系-概述说明以及解释1.引言1.1 概述概述:GDPR(General Data Protection Regulation,全称《通用数据保护条例》)是欧盟于2018年5月25日开始生效的一项数据保护法规,旨在加强和保护个人的隐私权利。
GDPR的出台对于个人数据的处理和使用提出了更为严格的要求,对于组织和企业来说是一项重要的挑战。
GDPR管理体系是为了确保组织在个人数据的处理和保护方面符合GDPR法规的要求而建立的一套规范和程序。
它涵盖了组织内部的数据处理流程、数据安全措施以及对个人数据主体权利的保障等方面。
建立和实施GDPR管理体系可以帮助组织合规并建立起可持续和有效的数据保护机制。
本文将从GDPR的背景和意义以及GDPR管理体系的基本原则两个方面进行探讨。
首先,我们将介绍GDPR的背景和意义,从制定背景、法规要求和影响等方面对其进行阐述。
其次,我们将深入探讨GDPR管理体系的基本原则,包括数据保护原则、数据处理流程、个人数据主体权利保护等方面的内容。
通过对这些基本原则的分析,我们可以更好地理解GDPR管理体系的核心要素。
在总结部分,我们将强调GDPR管理体系的重要性,它不仅是组织合规的基础,也是保护个人数据隐私的有效手段。
同时,我们也会展望GDPR 管理体系的未来发展,随着科技和信息时代的快速发展,GDPR管理体系也将不断适应新的挑战和变化。
相信在不久的将来,GDPR管理体系将在全球范围内得到更广泛的应用和推广。
总之,本文将通过对GDPR管理体系的概述,帮助读者更加全面地了解GDPR及其对组织和个人数据保护所带来的影响。
通过对GDPR管理体系的基本原则的探讨,读者可以更好地理解如何建立和实施符合GDPR 要求的数据保护机制。
最后,我们将展望GDPR管理体系的未来发展,为读者提供对未来数据保护趋势的思考和参考。
文章结构:本文按照以下结构进行组织:1. 引言1.1 概述1.2 文章结构1.3 目的2. 正文2.1 GDPR的背景和意义2.2 GDPR管理体系的基本原则3. 结论3.1 总结GDPR管理体系的重要性3.2 展望GDPR管理体系的未来发展在引言部分,首先我们将概述本文内容,简要介绍GDPR管理体系的重要性。
欧盟《一般数据保护条例》监管实效与应对策略
欧盟《一般数据保护条例》监管实效与应对策略欧盟2016年5月24日通过的《一般数据保护条例》(GDPR),于2018年5月25日正式实施,其前身是欧盟1995年制定的《计算机数据保护法》。
GDPR实施以来,因为其严格的规定、高昂的罚款、广泛的适用范围,被称为史上最严格个人数据保护法案,GDPR的出台从正面来看有助于推动我国跨国企业的数据治理水平,值得我们学习借鉴,但从另一个方面来看,欧美发达国家单方面以立法形式,强迫他国遵守本国法律的行为,对国际贸易活动产生了深远影响,我们需要尽快予以有效应对。
一、GDPR对个人信息保护的主要内容一是强化监管机构的监督力度。
打破传统立法管辖权,明确了GDPR长臂管辖原则,同时在欧盟辖内设立专门的监管机构,并赋予其欧盟数据监管的最高机构的地位,为增强监管机构的执法权,赋予了其对违法行为进行巨额罚款的权利。
二是强化个人数据主体权利,明确数据主体的司法救济、赔偿权、被遗忘和删除权,提高了数据主体授权数据处理的有效标准。
三是强化企业数据管理的义务,明确企业有接受检查和信息披露的义务,并以制度方式要求企业实行数据文档化管理,并强制要求企业以规定形式设立数据保护官(DPO)职位,一旦数据发生数据泄漏,企业必须在规定时间内向社会公众履行告知义务。
二、GDPR的监管实效(一)以巨额罚款倒逼企业提升个人数据处理水平。
GDPR 实施以来,一部分企业为避免高昂的处罚成本,选择暂时撤出了欧盟市场,而另一部分有实力的大型企业为继续在欧盟范围内开展业务,选择积极谋求与GDPR的合作,不断改进和完善自身个人数据处理的综合水平。
GDPR定义了个人在互联网背景下拥有的信息权利,保护了自然人的信息权益,并以巨额的罚金倒逼信息采集机构、处理机构、使用机构积极维护个人享有的信息权利。
从GDPR近年来罚款原因看,逾三成罚款源于数据处理机构的数据处理行为缺乏合适的依据,还有近三成的罚款源于处理机构没有采取有效的技术手段保护个人数据安全。
欧盟GDPR对我国涉欧企业的合规挑战及对策
欧盟GDPR对我国涉欧企业的合规挑战及对策1. 引言1.1 了解欧盟GDPR欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)是一项于2018年5月25日正式实施的数据保护法规,旨在加强个人数据保护,提高数据处理透明度,同时规范数据处理及跨境数据流动。
GDPR对数据的处理和保护提出了严格要求,要求企业在收集、存储、处理以及删除个人数据时需要获得用户明示同意,同时要明确告知用户数据处理的目的和方式。
GDPR还规定了个人数据的权利,包括访问、更正和删除数据的权利,以及数据的可携带性和限制数据处理等。
欧盟GDPR的实施给我国涉及欧企业带来了挑战,要求这些企业需要全面了解并遵守GDPR的相关规定,确保个人数据的合规处理和保护。
只有深入理解GDPR,才能避免因个人数据处理不当而导致的罚款和损害企业声誉的风险。
了解欧盟GDPR是企业在合规挑战中的首要步骤。
1.2 我国涉欧企业面临的合规挑战我国涉欧企业面临的合规挑战主要来自于欧盟GDPR对数据处理和保护的严格要求。
根据GDPR的规定,企业必须合法、公正、透明地处理个人数据,保证数据的安全和机密性。
这对于一些在数据处理和保护上存在不足的我国企业来说是一项较大的挑战,需要他们进行系统的改进和升级。
GDPR还规定了个人数据跨境传输的限制,企业需要确保在数据传输过程中符合严格的要求,这对于一些依赖跨境数据传输的企业来说也是一项考验。
GDPR对违规行为的处罚和制裁机制十分严格,一旦企业违反规定将面临高额罚款和声誉损失。
我国涉欧企业需要加强对GDPR的理解和遵守,并采取有效的对策来提升数据安全管理和保护措施,以确保符合GDPR的要求,避免因违规而受到处罚和损失。
2. 正文2.1 数据处理和保护要求数据处理和保护要求是欧盟GDPR的核心内容之一,对我国涉欧企业来说,合规挑战也主要集中在数据处理和保护方面。
根据GDPR 的规定,企业在处理个人数据时必须遵守一系列严格的要求,以确保数据的安全和隐私。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
GDPR数据主体同意制度剖析及应对策略作者:邹珊傅思宇罗珏马韔来源:《成都理工大学学报·社会科学版》2020年第01期摘要:从理论根源和功能价值出发,GDPR数据主体同意制度以保护人格尊严为核心,以技术向善为导向,将“数据主体的同意”作为数字经济企业收集和处理个人数据最重要的合法性基础。
数据主体的有效同意須由数据主体自由、特定、知情、明确作出。
中国数字经济企业须以CNIL vs. Google LLM等案为戒,积极承担合规义务,同时设立数据保护专员,强化企业内部数据治理与监督机制,自主或者委托第三方开展数据治理与风险评估,对标GDPR完善企业隐私政策并通过技术设计充分保障数据主体同意权,防控企业法律风险。
关键词:一般数据保护条例;数字经济企业;个人数据中图分类号: F724.6文献标志码: A 文章编号:16720539(2020)01006107一、引言对于大数据时代的数据,无论其来源如何,都可被分为两类:个人数据与非个人数据。
数据的“可识别性”(identifiable)是区分个人数据与非个人数据的关键标准。
凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据,都是个人数据;反之,则为非个人数据[1]。
个人数据于数字经济企业而言具有商业价值,于数据主体而言具有人格利益。
个人数据是数字经济企业的生命。
根据2016年G20杭州峰会《二十国集团数字经济发展与合作倡议》中对数字经济的定义,数字经济企业(Digital Economy Enterprise)是从事以数字化的知识和信息为关键生产要素、以现代信息网络为重要载体、以信息通信技术的有效使用为效率提升和经济结构优化的重要推动力的一系列经济活动的企业,主要以互联网企业为代表,还包括农业、工业等传统领域以信息化为发展动力的企业。
对于企业而言,个人信息(1)是创新和营销的资源,构成其核心竞争力。
个人信息是支撑个性化服务、个性化定制、智能化制造等的基础,是垂直经济、平台经济、线上与线下融合经济等商业创新的灵魂。
因而个人信息被视为竞争资源、企业的新资产[2]。
保护个人数据是尊重人格利益的重要表现。
随着各国法学界对个人数据保护的关注度不断提升,个人数据逐渐被纳入到法律保护的范畴。
例如德国对个人数据权的立法就经过了由基本法保护到专项立法、由地方州立法到联邦立法、由一般人格权到具体人格权、由仅规制公权力到规制公私双领域的历程。
德国对公、私领域信息行为的态度,经过了“差别巨大——差异缩小——差距重新扩大”的过程,德国个人信息保护法的发展,是典型的“螺旋式上升,波浪式前进”,在否定之否定中不断完善,以适应现实需要的过程.[3]。
近年来,互联网技术的创新、大数据的崛起、跨境电子商务的迅猛发展冲击着1995年欧盟《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》(Directive95/46/EC,以下简称“95指令”)。
为营造良好的信息流动环境,欧盟制定了《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)。
GDPR以“任何收集或处理涉及欧盟所有成员国内的个人数据的机构组织”为规制对象,适用“长臂管辖”原则(2),并伴有严格的监管制度与严厉的处罚措施(3),一经颁布即被称为“史上最严数据保护法案”。
2018年5月28日,脸书(Facebook)和谷歌(Google)等域外跨国数字经济企业因被指控未经用户有效同意收集和处理个人数据成为GDPR法案施行后的第一批被告,这应引起从事跨国业务的中国数字经济企业的重视。
对中国数字经济企业而言,欧盟意味着五亿余人口的市场。
中国数字经济企业想要“走出去”,并在激烈的国际竞争中占据一席之地,必须重视并符合GDPR的规定,而获取数据主体的有效同意是中国数字经济企业合规的关键。
二、GDPR数据主体同意制度立法原意探析GDPR数据主体同意制度可追溯到德国个人信息自决权理论。
从制度功能价值的角度来看,GDPR数据主体同意制度将数据主体权利串联起来形成完整的权利体系。
一方面,该制度倾斜性保护数据主体,尊重人格利益,发挥着保护个人数据的重要作用。
另一方面,该制度引导数字经济企业合规发展,积极承担社会责任,驱动科技向善发展。
(一)制度溯源:个人信息自决权理论“个人信息自决权”是一项没有明文规定但经由德国法院判例发展和承认下来的特别人格权(4)。
1983年“人口普查案”直接推动了德国个人信息保护立法理念的转变——由借鉴美国的“隐私权保护”到植根于本土的“人格权保护”。
德国宪法法院对个人信息自决权理论进行了阐述(5),即个人有权根据自己的想法自行决定何时以及在何种限度内披露有关其个人生活的事实。
简而言之,信息自决权就是指当事人拥有的对其自身相涉的数据自行决定披露与使用的终极掌控的权利。
信息主体可以自由地决定其信息何时、何地、以何种方式被搜集、储存和利用,包括利用的主体是谁,可以再转给何人,为了何种目的等内容[4]。
法律保护个人信息是为了维护个人的人格尊严和人格平等。
确认个人对其信息的自主支配,就是要维护个人的人格尊严[5]。
康德提出“人是目的”理念便阐述了人的主体地位——“在全部被造物之中,人所愿欲的和他能够支配的一切东西都只能被用作手段;唯有人,以及与他一起,每一个理性的创造物,才是目的本身”[6]。
人本身是目的,人应该自治、自决,凡是与人格形成、发展有关的情事,本人有权自己决定,并在此范围内,排除他决、他律或他治[7]。
其中,知情同意就是信息权利人对个人信息支配权的具体体现,此种支配是一种独占性的支配[8]。
以维护人的尊严为出发点的个人信息自决权理论对欧盟个人数据保护的法律框架影响颇深。
GDPR以强化数据主体对个人数据的控制为导向,在立法宗旨与目的中表明,“本法保护自然人的基本权利和自由,尤其是自然人的个人数据权”。
在这一框架下,“数据主体的同意”成为允许他人收集和处理数据主体个人数据的重要条件。
GDPR为数据控制者和处理者获得收集和处理个人数据获取用户同意设置了严苛的条件——“同意由数据主体自由、特定、知情、明确作出”,让数据主体在明晰的数据收集范围和目的下自愿授权数据控制者和处理者收集和处理其个人数据,这充分尊重了数据主体的自决权。
(二)数据主体同意制度的功能价值1.联结数据主体权利,充当权利束纽带在GDPR的数据主体权利体系中,数据主体的同意将访问权、更正权、删除权(被遗忘权)、限制处理权、自动化处理决定权、拒绝权串联在一起,构成个人数据权利束。
在同意数据控制者收集其个人数据后,数据主体可通过行使访问权了解数据控制者和处理者处理其个人数据的具体情况。
若个人数据信息有误或者已更新,数据主体可要求其尽快修改;若数据主体对数据控制者和处理者处理个人数据的行为提出质疑,则可暂时限制其个人数据的处理活动。
数据主体决定撤回同意,则其个人数据应当被数据控制者和处理者遗忘。
这一逻辑完整的数据主体权利体系从数据主体的同意开始到删除权(被遗忘权)终止。
2.维护实质公平,保障数据主体权利在合同缔结过程中,数据主体大多通过接受数据控制者提供的格式条款(如隐私政策、隐私条款等)行使同意权。
数据主体无法就合同中对其数据权利有实质性影响的条款与数据控制者进行协商,因而格式条款的适用限制了数据主体的自由意志。
一旦授权数据控制者和处理者收集或处理其个人数据,数据主体就对其个人数据失去事实上的控制力,即无法获取相关数据处理信息,也无法决定个人数据的处理过程,数据主体权利的实现很大程度上依赖于数据控制者和处理者。
出于保护弱势一方的公平价值取向,数据主体同意制度為数据主体对其个人数据拟制出法律上的控制力。
个人数据中最突出的是因“可识别性”而形成的人格属性。
个人数据权就其主要内容和特征而言,在民事权利体系中,应当属于人格权的范畴[5]。
人格权系以人格为内容的权利,人格指人的尊严及价值,即以体现人的尊严价值的精神利益(ideele interese)为其保护客体[9]。
法律保护个人信息权,虽然以禁止披露相关信息为其表现形式,但背后突出反映了对个人控制其信息资料的充分尊重[5]。
数据主体同意制度通过确保数据主体的数据安全,可以间接保障数据主体的人身和财产安全。
3.促使企业承担社会责任,形成企业竞争优势流动的个人数据是数字经济企业的关键生产要素,为数字经济企业源源不断创造商业价值。
由于数字经济企业从个人数据的利用中受益,其财富的积累也消耗了大量的社会资源,应当充分尊重数据主体的权利,承担保障数据安全的社会责任,消除其发展过程中产生的负外部性。
企业承担社会责任与营利性并非绝对对立,在良性互动的情况下,企业承担社会责任也能够与其营利目标相一致[10]。
符合社会公众利益的行为,或者是引导顾客向着有益消费结构变化的行为,会使企业因顾客的青睐而获得丰厚的利润[11]。
虽然数据主体同意制度限制数字经济企业收集和处理个人数据的行为,看似增加了企业经营成本,但数字经济企业若采取积极合规行为,塑造科技向善的经营理念,无疑将获得更高的商誉,实现潜在用户市场的逐步扩张。
因此,从长远来看,符合数据主体同意制度的规定将提升企业的市场竞争力,实现长期性的盈利目的。
三、GDPR数据主体同意制度规制下Google存在的问题(一)案件基本事实2018年5月25日和28日,None of Your Business (以下简称NOYB)和La Quadrature du Net (以下简称LQDN)两个非营利组织分别向法国国家数据保护机构(以下简称CNIL)投诉,称Google在创建账户时向Android操作系统用户提供的隐私政策中未履行充分告知义务,且Google将用户个人数据进行分析和用于个性化广告未征得用户自由、知情、特定、明确的同意,缺乏收集和处理个人数据的有效法律依据。
经调查,CNIL确认Google在处理用户个人数据时存在缺乏透明度、用户获知信息不充分以及缺乏对个性化广告的有效同意等问题,并于2019年1月21日,根据GDPR对Google处以5000万欧元的罚款[12]。
目前,Google宣布将在法国最高行政法院对该决定提出上诉(6)。
(二)争议焦点之分析:“明确同意”与“明示同意”Google辩称其为提供个性化广告服务所收集和处理的浏览记录等个人数据不属于敏感个人数据,不适用第9条第(2)项第(a)款中“明示同意”(explicit consent)要求,因此其收集用户数据的行为符合GDPR的规定。
CNIL未采纳这一抗辩理由,认为其仍违反了第4条第(11)项中“明确同意”(unambiguous consent)要求。
显然,在本案中,Google对“明示同意”与“明确同意”产生了混淆。