舌尖上的地中海数据合规风味大餐 | 细腻与硬壳混搭的法国味道
法式焗蜗牛,与鹅肝酱松露并列为法国的三大国宝级菜式。虽然蜗牛作为食品食用并不起源于法国,但经过热爱饕餮的法兰西厨师之手,让柔软肥嫩蜗牛在烹饪界大放异彩。
用蜗牛做菜制作工序是非常繁琐的,需要经过去土去杂物,煮熟除去内脏,洗净,涂抹黄油;再将蜗牛肉与葱、蒜和法国特有的香料等一起捣碎,塞进洗干净的蜗牛壳中,放入烤箱,等奶油完全烤化。焗蜗牛上桌时,“滚烫的蜗牛被放在特制的盘子里,盘子里有很多小圆格,每一个格刚好放下一只蜗牛,每只蜗牛流淌的汁水就在小小的圆形槽内,随之而来的还有特制的叉子和钳子。用钳子夹住蜗牛,再用一只细小的专用叉子将蜗牛肉从壳里挑出,放入嘴中,回味无穷:黄油带着丝丝奶香,混杂着欧芹蒜香;蜗牛肉则肉质筋道,饱满带汁。再来一片法棍蘸着黄油香料吃,这才是真正的美味!”【注1】
Part 1
法国人在数据保护立法中同样体现对了像对美食一样的高要求和一丝不苟。法国内的数据保护法起源于1978年1月6日《关于信息技术,文件和自由的78-17号法》 (Law No. 78-17),实施配套条例在2005年10月20日以2005-1308号法令(Decree No. 2005-1309)形式发布。之后,跟随者GDPR的步伐,法国数据保护立法进行了一系列修订更新:
GDPR生效后直接覆盖法国,并且法国国内法如果与GDPR有冲突,GDPR必然优先适用。
作为实施GDPR的第一步,追随着2016年GDPR的正式发布,2016年10月7日,《法国数字共和国法》出台。
2018年5月24日GDPR生效实施,为确保与GDPR的一致性, 2018年6月20日第2018-493号(Law No. 2018-493)法出台,对78-17号法进行修订。同时其原有配套条例2005-1308号法令也在2018年8月1日被新的数据法实施条例2018-687号法令(Decree No. 2018-687)修订。
2018年12月12日法国政府通过的2018-1125号条例(Ordinance2018-1125)主要是针对78-17号法2018年版本(即2018-493法)进行了整体形式上的更正和修改,以根据GDPR更好地组织数据法的布局,该法令以128条新法代替了该法现有的72条。
2019年6月1日,第2019-536号法令作为新法(2018-1125号条例)实施配套条例生效,同时也替代了原有的2005-1308号法令。至此,GDPR在法国立法体系的融入正式完成。
法国数据保护法在经过了多次修订更新后,较原有78-17号法体系自然发生很大变更,同时也注入了更符合GDPR和国际惯例的新血液。
调整敏感数据范围
为了符合GDPR的要求,敏感数据的范围已经扩大,包括了基因数据、生物数据以及性取向数据。另外,也删除了了一些与GDPR不符合的规定(例如,如果在短时间内匿名处理所谓的“敏感”数据,作为处理敏感协议的除外事由)。
GDPR赋予欧盟成员国对特殊类型个人数据的处理灵活度规定,法国数据保护法基于此,规定对于生物数据的授权处理应严格限制在访问工作场所和工作所用的计算机和应用程序。
法国数据保护监管当局(Commission Nationale de l'Informatique et des Libertés, “CNIL”)还增加了有关处理遗传数据、生物特征数据、健康的数据的技术和组织措施特殊方式要求。另外在处理与犯罪定罪和违法行为有关的个人数据方面,要求相关处理活动若涉及到与法院判决中所包含的公共信息的再利用有关的自然人或道德人(例如,数据库参考),则只能在不得识别数据主体的情况下处理与刑事定罪、犯罪和相关安全措施有关的个人数据。
简化数据处理注册手续
GDPR生效后,数据控制者不再需要履行数据处理的官方注册义务。取而代之的是,数据控制者应确保遵守GDPR的规定履行“问责制”义务,包括维护其处理活动的记录,通过设计实施数据保护以及在可能导致对自然人的权利和自由具有“高风险”的处理进行数据保护影响评估(DPIA)。
但是,在某些特定领域,例如国家安全和与健康有关(针对参与健康数据处理的组织,例如医学研究,临床诊疗或其他给予公共利益的处理活动)的数据处理,法国仍然保留了事先通知和授权。
数据保管期限
数字共和国法要求,隐私通知中必须标明可适用的数据保留期限,或若无法界定明确的期限,则应该明确界定标准。
明确数据出境程序
对于数据传输至欧盟以外的情况, CNIL可向法国最高行政法院(Conseil d'État)提出请求,暂时中止该等国际传输。该行政法院随后必须向欧洲联盟法院(CJEU)申请,以获得有关充分性决定或欧盟委员会在数据传输方面批准或批准适当保障措施的有效性的初步裁定。
定制儿童数据保护
GDPR第8条允许成员国立法降低儿童个人数据的年龄限制(前提是该年龄限制不低于13岁,最高上限不超过16岁)。在法国,年龄上限为15岁:针对15岁及以上未成年人, 从事特定医学研究、学习或评估的数据控制者应确保使用清晰可获取的语言独立得到未成年人的同意;获取15岁以下的未成年的数据,则必须通过征得未成年人和法定监护人的共同同意。
同时数字共同国法中也将被遗忘权延伸至在未成年人状态收集的个人数据。
扩大公共管理机构的权利
修订后的法国数据保护法还扩大了公共管理的权利,使其仅在涉及个人行政决策的某些情况下,可以基于算法使用自动化的个人决策。
除涉及律师-委托人特权所涵盖的信息或新闻来源的机密或受医疗机密保护的信息除外,CNIL的调查文件可以不受保密限制。允许CNIL在行使线调查权中,在特定条件下使用伪造身份。
集体诉讼扩大赔偿范围
法国数据保护法规定,2018年5月24日之后发生的数据泄露事件造成损害时,集体诉讼赔偿可包括因数据泄露而遭受的物质和精神损失的赔偿。
数据主体可以委托保护隐私和个人数据的协会、消费者协会、特定工会代表、司法服务机关、公务员或工会代表作为集体诉讼代言人。
提升制裁和处罚
为与GDPR保持一致,现有数据保护法增加了有关收回证明/授权以及罚金的行政处罚方式,同时大大增加了原有的行政处罚额度 --- CNIL有权处以最高2,000万欧元的罚款,或上一财政年度全球年度总营业额的4%。
刑事处罚上,将未向数据保护当局以及涉及的相关数据主体的报告数据安全事件责任罪从原来的只针对电信运营方扩大到所有控制者。另外,新增阻碍CNIL行动罪。
Part 2
法国数据保护大掌勺CNIL的作用在新法中被进一步扩展和强化 —— CNIL可以建立和实施执行标准,例如指南、建议、行为准则和参考文件,以促进个人数据处理与适用的数据保护法律一致,并协助控制者和处理者的事先风险评估。CNIL可考虑到地方或地区当局和公司的特定需求,决定对符合GDPR和法国数据保护法的人员、产品、数据系统或程序进行认证。
CNIL组成
CNIL与法国数据保护法同时在1978年设立,目前共由18个成员组成,1名主席,6名最高司法机构代表,4名议员,5名国家议会主席委派的专家以及2名法国经济、社会和环境顾问。根据2019年的官方报告,CNIL目前共有199名工作人员,其中63%为女性,法律专家最多,占比36%。
指南发布
自2018年起,尤其针对GDPR的实施,CNIL已经颁发多份法国境内指南性文件以及工具,包括初创企业GDPR合规指南、当地监管和健康行业指南、数据处理者指南、数据记录模版、隐私政策范本、数据保护影响评估(DPIA)软件等。
GDPR规定对于“可能造成对自然人权益和自由的高风险”的数据处理应该开展DPIA,并授权欧盟成员国相关监管当局提交具体列示清单,法国已经积极的提交了需要采用DPIA的事项清单以及豁免清单,其中需要采用DPIA的事项包括针对脆弱主体(病患、雇员、儿童等)的基因数据处理以及为识别该类主体对生物数据的处理,特定情况的数据画像,系统性监控雇员活动,社会和健康领域较大规模数据处理等。
而针对仅为人力资源目的处理低于250员工的数据(画像除外)、管理供应商关系、开展工会管理、非赢利组织开展日常活动对非敏感数据的处理、个体诊疗和开药所需;律师或公证员在个案服务 、工作时间管理进入控制(排除生物数据设备或其他敏感信息处理)、酒驾呼吸测试等情况下进行的数据处理可以免除DPIA的义务。
硬壳监管
2018年(19年官方数据尚未出来)CNIL收到的数据主体保护请求重点领域集中在线上声誉(要求行使线上内容删除权);商业(反对营销邮件);人力资源(监控体系;摄像;车辆定位);银行和借贷等。根据2018年工作年报,CNIL共启动310起调查,颁发48个命令,进行11起处罚。
2019年1月21日法国数据监管当局根据GDPR对Google处以5000万欧元的罚款【注2】,成为GDPR执法典型案例,也体现了CNIL的强势监管态度和手段。
三年规划
2019年3月CNIL发布三年规划(2019-2021)旨在为所有方(个人、专业人士和欧盟群体)分配和实现GDPR的承诺和潜力。其中细化为五个战略重点:
“(1) 提高针对公民日常生活中数字化事件的优先级
(2) 确保GDPR时代平衡的数据保护规定
(3) 推动数据策略
(4) 针对数字技术和网络安全提供专业化建议
(5) 体现坚持价值观的创新公共服务
”和焗蜗牛一起发源于18世纪的法国数据保护法,经过时间的洗礼,至今已经通过欧盟法令、Act、Decree、Ordinance、判例等形式层层搭配构架了丰富全面的立法体系。在监管规划上,法国人紧紧追随GDPR的步伐,瞻前顾后细腻前行。处罚力度上,CNIL在谷歌的处罚展示出震撼性的硬壳实力,体现了政府对违规行为的纠察决心,如同法式焗蜗牛的药用效果一般明显可见。
注1:http://globaltraveler.cn/info.aspx?id=11457&typeid=2
注2:监管当局认为Google个性化广告行为违法GDPR的透明度和信息通知义务,针对获取的用户同意未让用户充分了解用户使用范围,且没有获得用户的具体明确同意。
舌尖上的地中海数据合规风味大餐系列
舌尖上的地中海数据合规风味大餐 | 探索意大利的自主与融合
舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细
上周回顾
周一
全球数据保护资讯 | 出售用户定位数据,美四大运营商被罚两亿美元
长租公寓、业主、租客三方叫苦,租金都去哪儿了?——再次认识“租金贷”
【网络研讨会邀请函】未雨绸缪——印度个人数据保护法案的影响和对策| 3.6
周二
周四
往期好文回顾
“告知同意”原则的新发展及对保险业务数据应用带来的影响 (2020.03.05)
人脸识别技术在智慧社区中应用的个人信息保护要点(2020.02.19)
隐私保护设计(PbD):个人信息保护的学霸方法论(2020.02.12)
健康医疗数据合规手册(2020.02.06)
你应该了解的疫情阻断武器 ——互联网医疗(2020.02.04)
欧盟一般数据保护条例(GDPR)的2019年盘点(2020.1.16)
2019年医疗领域数据合规和个人信息保护大事记(2020.01.15)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~