李律师漫话GDPR(四) | 欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招?
欢迎点击上方 中伦视界 关注我们
李律师漫话GDPR
在上次和李律师座谈后,王总便着手调整公司的数据管理制度。为符合GDPR的要求,王总请李律师修改了公司的隐私条款,并在公司APP及网站上及时发布。
前几天,李律师受邀在一个关于数据保护和安全的研讨会上讲演,也邀请王总出席。听了会上李律师和其他嘉宾的讲演和分享,王总感觉收获满满。
(一) 数据“控制者”与“处理者”
数字经济的产业链环节众多,许多企业会在数据处理中采用第三方的产品或服务。比如,王总公司的APP和网站就使用了云服务。这就涉及到GDPR中数据“控制者”与“处理者”的概念。根据GDPR的定义,数据“控制者”指的是那些决定个人数据处理目的与方式的实体,而数据“处理者”是为数据控制者处理个人数据的实体。简而言之,数据控制者直接面向数据主体(即个人),而数据处理者则在数据处理的某个环节或方面服务于数据控制者。
GDPR规定,数据控制者只能委托那些可以提供满足GDPR充分保护用户数据措施要求的机构来担任数据处理者。未经数据控制者同意,数据处理者不得再委托其他数据处理者。
GDPR要求数据处理者采取适当措施保护数据主体的权利,比如个人数据的匿名化和加密,保持数据处理系统与服务的保密性、健全性、可用性以及可恢复性,等等。数据处理者还应根据数据控制者的要求,在提供完数据处理服务后,将所有个人数据删除或返还给数据控制者,除非欧盟或成员国法律另有要求。
(二)发生数据泄露后的报告义务
如果发生个人数据泄露,除非该泄露对用户权利和自由造成风险的可能性很小,企业应及时(尽可能在知悉后72小时内)向监管机构报告,包括情况描述、后果和处理措施。如果个人数据泄露很可能对用户的权利和自由造成高度风险,企业还应及时以清晰和直白的语言告知用户,并同时告知用户可能的后果和企业准备采取的措施。但是,在下列条件下企业无需告知用户:
(1) 企业已采取合适的保护措施,且该措施已被应用到受泄露影响的个人数据上,尤其是采取了使得未经授权任何人都无法处理数据的措施(如数据加密);
(2) 企业在数据泄露后已采取措施确保对用户权利和自由的高度风险不太可能实现;或
(3) 直接告知用户需要企业作出不成比例的努力。
但在第(3)种条件下,企业应采取能同样有效地通知用户的公开发布或类似行动。
值得一提的是,在被曝光其用户数据遭第三方非法获取后,Facebook宣布的一项改进措施,就是“如果再发生数据泄露,将及时告知用户”。
(三)将个人数据传输至欧盟境外的条件
GDPR中另一个让王总困扰之处是对个人数据出境的限制。由于公司APP的服务器设在国内,欧盟境内用户的个人数据会被传输到中国进行处理。而GDPR规定,数据控制者和处理者如需将个人数据传输到欧盟境外,应满足一系列法定前提条件之一,其中与我国智能硬件商较为相关的条件有:
1. 适当的保障措施。数据控制者或处理者提供了适当的保障措施,并且数据主体拥有可执行的权利和有效的法律救济。GDPR所列举的保障措施中的一项是使用欧盟委员会制定的“标准数据保护条款”。截至目前,欧盟已批准了三个标准合同范本可供跨境数据传输双方签订。
2. 用户的明确同意。数据控制者或处理者明确告知数据主体(即用户),拟进行的数据传输没有适当的保障措施,数据传输存在风险,并获得用户对该等情形下的数据传输的明确同意。
3.履约必须。该数据传输对于(a)履行用户与控制者之间的合同或(b)应用户要求在签订合同前采取的措施来说是必要的。
根据李律师的讲演,王总认识到,如果选择第2条(即获取用户的同意),由于该同意可以随时被用户撤回,公司在运营上会存在较大的不确定性;第3条的缺点则在于“必要”的概念较为模糊,公司以此作为法定前提存在一定的合规风险。相比之下,如果公司选择第1个条件并采用欧盟已批准的标准合同范本,则较为简单明确,综合考虑实用性较强。
(四)企业数据管理制度的建设
GDPR的规定对企业的数据管理制度提出了很高的要求。比如,要满足用户对于个人数据的删除权和携带迁移权,企业就必须系统、完整地了解它所收集和处理的用户数据,以及相关的存储、访问权限、跨境传输、向第三方披露、针对敏感信息的特殊处理等情况,并形成准确记录。要能在发生数据泄露后迅速向监管机构报告,企业就要能在泄漏后很短时间内完成对事件的调查,这对企业的数据安全制度也提出了很高的要求,涉及系统监测、后果评估、应急响应等多个方面。而且,企业应记录其在数据保护方面所采取的制度和措施,在需要时可以向监管机构展示其力求合规的态度和努力。
结语
经过多次和李律师的交流,王总对GDPR的整体规定有了较为清晰的认识。王总感谢李律师热情的帮助,决定与李律师长期合作。
在当今大数据时代,各国都在积极探索和制定数据保护的法律制度。GDPR因其严格的要求和广泛的管辖范围,有可能成为全球数据保护规范的引领者。如何在保证用户体验的同时,充分保护用户对其个人数据所享有的权利,并获得用户的信任,这是每个中国智能硬件厂商都要认真思考的问题。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:
私募股权与投资基金, 资本市场/证券, 一带一路与海外投资
长按识别图中二维码,可查阅该合伙人简历详情。
作者往期文章推荐:
《李律师漫话GDPR(三) | 欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招?》
《李律师漫话GDPR(二) | 欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招?》
点击“阅读原文”,可查阅专业文章官网版。