李律师漫话GDPR(三) | 欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招?
欢迎点击上方 中伦视界 关注我们
李律师漫话GDPR
王总公司正如火如荼地根据GDPR要求改进产品和内部数据管理制度,但由于GDPR内容复杂繁琐,在具体实践过程中总是碰到很多细节问题。另外,王总这些天还不断收到各种产品的隐私条款的更新通知,从电商到社交媒体不一而足,其中也有些做智能硬件的同行。这让王总不由得有些焦虑 — 看来他们公司也需要尽快起步了。王总带着核心团队与李律师进行了一次座谈,更细致地讨论了GDPR对公司产品、业务和制度的要求。
(一)用户的权利
GDPR中规定,当企业收集用户的个人数据时,用户有知情权,即企业应明确告诉用户:企业处理了哪些个人数据,处理特定个人数据的目的、类别及其法定依据,数据将被保存的期限(如无具体期限,则需告知决定保存期限的标准)等等。此外,用户还有如下等权利:
1.要求改正权:用户有权要求企业及时纠正不准确、不完整的个人数据;
2.要求删除权:在多种情形下,用户有权要求企业及时删除其个人数据,其中部分情形为:
(1)相关个人数据对于实现企业收集或处理该等数据的目的已不再是必要的;
(2)当处理用户个人数据是基于其同意的法定条件情形下,用户撤回了同意并且企业不符合其他法定条件;或
(3)用户的个人数据被非法处理。
3.携带迁移权:如果处理用户个人数据是
(a) 以用户同意作为法定条件的或
(b) 通过自动化方式进行的,用户有权获得其提供给企业的个人数据,且企业应将有关数据以整理好的、可普遍使用的和机读的形式提供给用户。并且,用户有权自由地将这些个人数据传输给其他数据处理或控制机构。
企业可以通过隐私条款将上文知情权中所述信息以及用户的要求更正权和要求删除权等内容传递给用户,这也是众多企业纷纷为了满足GDPR的要求而修改其隐私条款的原因。
(二)委任欧盟代表
GDPR规定,如企业不在欧盟境内,但在向欧盟境内用户提供商品或服务的过程中涉及处理欧盟境内用户的个人数据,企业应在欧盟境内书面委任一名代表,并授权该欧盟代表负责GDPR项下应对监管机构和用户的相关问题。但是,如果企业仅偶尔处理用户的个人数据,不作大规模的个人数据处理,也不处理特殊类型个人数据和有关刑事犯罪的个人数据,并且考虑到其性质、背景、范围和目的,该数据处理对自然人的权利和自由产生风险的可能性很小,则企业无需在欧盟委派代表。
王总公司在欧盟没有分支机构,但其销售到欧盟市场的智能手环和体重计所配套使用的App会经常性地处理欧盟境内用户的个人数据。因此,谨慎起见,李律师建议王总公司在欧盟委任一名代表,当欧盟境内用户或监管机构对王总公司产品处理用户个人数据产生相关问题或疑问时,该欧盟代表可以接收相关信息并及时将情况反馈给公司。李律师也答应为王总提供这方面服务机构的相关信息。
(三) 数据收集的目的、数据保护和安全措施
GDPR规定,个人数据的收集应当具有具体、清晰和正当的目的,且对数据的处理不应与此目的不符。企业应采取适当的措施确保只处理每个特定处理目的所必需的个人数据,该要求适用于收集个人数据的数量、处理的程度、保存期限以及访问权限等各方面。
根据GDPR的要求,企业在决定处理个人数据的方式以及处理个人数据时,应当采取合适的技术与组织措施来保护数据主体的权利。在选择技术和组织措施时,企业应考虑下列四方面的因素:(1)现有技术水平;(2)实施成本;(3)数据处理的性质、范围、环境以及目的;和(4)数据处理给自然人的权利与自由造成的各种风险及其严重性。企业应当在考虑以上四方面因素的基础上,采取适当措施以保证与风险相符的安全水平。GDPR特别列举了以下这些方面的措施:
1.个人数据的匿名化和加密;
2.能够保持数据处理系统与服务的保密性、健全性、可用性以及可恢复性;
3.在遭受物理性或技术性事件时,能够及时恢复对个人数据的获取与访问;
4.为保证数据处理的安全而定期测试与评估其技术与组织措施有效性。
GDPR要求企业在进行安全评估时,应当特别考虑处理个人数据所带来的风险,特别是在个人数据传输、存储或处理过程中的意外或非法销毁、丢失、篡改、未经授权的披露或访问。此外,企业应当采取措施确保,除非接到企业的指示或者根据法律要求,任何拥有数据访问权限的人都不会对个人数据进行处理。
GDPR刚刚生效,其中对数据保护和安全的要求又比较原则性,所以企业会需要一段时间逐渐摸索明确应如何在技术和管理上具体实现这些要求。审慎起见,企业在这方面应考虑采取业内主流或惯常的技术和手段。一个投入较低、较易着手的做法是建立一个相关的文档制度,记录企业在数据保护和安全方面采取了哪些措施,考虑了哪些因素,如何在技术水平、风险和成本等因素之间找到平衡点。这样即使出现问题,也能向监管部门解释企业对此的态度和作出的努力。
关于个人数据,许多企业颇为纠结之处是,如果将其匿名化和加密,将大大增加数据分析的难度,减少相关数据的价值。有企业会选择不存储结构化数据,而只存储用户的相关操作,在需要时再还原相关用户信息,希望以此增加第三方非法获取用户信息的难度,降低泄露风险。在系统安全性方面,企业应该至少采用密码保护措施,并建立系统权限管理制度,对内部人员获取或修改个人数据设立限制。如果企业已经在使用第三方云服务,可以考虑选用云服务商提供的安全产品,如反病毒和反黑客、漏洞检测、基线检查、防火墙、防灾备份等等。
由于时间有限,本次关于GDPR的座谈很快就结束了。GDPR的规定严格复杂,如何应用于实际业务中仍存在诸多疑问,这让王总和同事们压力重重。大家期待着与李律师的下一次交流,以便更好地调整和改进公司产品和内部机制,从而满足GDPR的要求。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:
私募股权与投资基金, 资本市场/证券, 一带一路与海外投资
长按识别图中二维码,可查阅该合伙人简历详情。
作者往期文章推荐:
《连载 | 欧盟数据保护新规来势汹汹—中国智能硬件商如何见招拆招?(二)》
点击“阅读原文”,可查阅专业文章官网版。