微总结丨多角度刨析GDPR落地对电子商务领域的影响
背景介绍
《欧盟通用数据保护条例》(GDPR)将于2018年5月25日生效。欧盟对个人信息保护及其监管达到了前所未有的高度,这将对业务范围涉及欧盟成员国及其公民的企业产生重大影响。LCOUNCIL特邀在信息技术与电子商务领域具有丰富经验的浙江垦丁律师事务所联合创始人麻策律师,根据欧盟对企业处理个人数据、跨境数据流动、进行数据画像活动的合规要求,为企业法务同行提出实务操作的解决方案。
本期分享嘉宾:
浙江垦丁律师事务所联合创始人 麻策
麻策律师专注于提供网络法服务。任国家工商总局全国电商平台格式条款审查小组成员,浙江省工商局网络平台条款评审专家,浙江省和杭州市律协互信委委员,中国电子商务研究中心特聘研究员,杭州律协西湖分会互联网研究中心主任,法律媒体觅法Lawplus、万法通、赢了网平台讲师,律新社特约撰稿人,宁波大学社会和网络发展研究中心研究员。
另外,麻策律师还是全国首部地方电商立法《杭州市网络交易管理暂行办法》立法小组成员,并参与《浙江省电子商务条例》、《浙江省跨境电子商务条例》等多部电商立法和调研工作。
一张图告诉你何为GDPR:
一张图告诉你GDPR适用哪些企业:
案例:北京百度网讯科技有限公司和朱烨隐私权纠纷案例
被告利用网络技术记录和跟踪朱烨所搜索的关键词,将其兴趣爱好、个人需求等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,最终被告也因此被判赔精神损害抚慰金10000元,承担公证费1000元。
互联网企业在利用Cookie和网站信标技术时,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。
企业在处理个人数据合法性判断的8个维度
只有在适用以下至少一条的情况下,数据处理才被GDPR视为合法:
1.数据主体同意
2.出于履行合同必要
3.出于订立合同前为实施数据主体要求的行为之必要
4.出于履行数据控制者的法定义务的必要
5.出于保护数据主体或其他自然人重大利益之必要
6.出于实施数据控制者经授权职权范围内权限之必要
7.出于履行涉及公共利益的职责必要
8.出于追求合法利益目的而进行的必要的数据处理
这里需要注意的是,数据主体同意的方式包括但不限于:书面声明;口头声明;在浏览网页前进行选项勾选;选择特定的技术参数设置(弹框等),但是若是默示的勾选,则是不合规的“同意”形式。
企业应对不合规“同意的应对方式:
1.给予个人任何时间撤回其同意的选择
2.以简单和易于查阅的形式提供用户协议
3.以口语化、易懂的语言描述用户协议
GDPR跨境数据转移的四种合法形式
1.数据跨境的国家有足够级别的保护
以法案进行实施,例如:欧美隐私盾协议
2.通过适当的安全保护保障措施进行转让
例如:监管机构之间的数据转让
3.由主管部门批准具有约束力的公司规则
4.其它合法途径实现跨境数据转移
包括:用户知悉风险并同意跨境转移;履行合同所必须的,例如只有先进行跨境转移来签订合同;公共利益的考虑等
如何在GDPR要求下有效进行数据画像的分析
数据画像是GDPR一个新的规定,这个规定对一些新的业态,特别是对人工智能这一块,影响较大。所谓数据画像即通过不同的因素来拼凑个人的习惯。目前国内对数据画像没有明确的法律规定,GDPR认为是指为评估与自然人相关的某些个人情况,对个人数据进行任何自动化处理、利用的方式,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。
数据主体有权利拒绝自动化分析,除非:为了合同的签订和履行;联盟或成员国的法律所规定允许的;基于数据主体的明确同数据画像合规有以下要点:
1.精准广告投放:这种情况用户拒绝权
2.算法透明:用户有权了解一项特定服务是如何做出特定决策的
3.机器学习:人工智能领域影响
4.未基于敏感信息进行数据画像
如有问题,您可以通过以下方式与我们联系:
Young Yang
分机:021-62705678-1086
邮箱:youngyang@lcouncil.com
LCOUNCIL精彩推荐
最新互动福利 | 信息技术与电子商务(四)欧盟对企业处理个人数据、跨境数据流动、进行数据画像活动的合规要求
专家点评 | 从《电子商务法》(草案二次审议稿)探析电子商务平台“新义务”
无论是时事热评、专业研究还是实务工作思考,诚挚邀请各位法律界资深人士投稿。一经投稿,即视为您授权文章在LCOUNCIL平台上进行发布,您的文章我们将会进行原创作者的署名,对您的内容进行原创保护。
投稿邮箱:editor@lcouncil.com