【数据法学】陈炜权 白玛歌 赵波:《欧盟一般数据保护条例》与中国:我们应当了解什么?
B D A I L C
欢 迎 关 注
荷兰蒂尔堡大学法学院是欧洲个人数据保护法研究的重镇,有着欧洲最大的数据隐私研究团队。该法学院多位学者深度参与了《欧盟一般数据保护条例》的起草、论证工作。随着中国数据经济的兴起,欧盟立法界和法学界对中国数据保护的法制发展和现状也表现出极大兴趣。近期蒂尔堡大学法学院的资深研究员赵波博士领衔的研究团队发布了他们的研究成果《<欧盟一般数据保护条例>与中国:我们应当了解什么?》。该成果将《欧盟一般数据保护条例》同中国的具体实际勾连起来,全面、精确地阐释了这部重要立法的基本内容及其可能对中国数据控制者和处理者带来的影响。对欧盟居民的数据或者对来自欧盟数据有强烈需求的中国企业而言,这份最新成果无疑具有较大的借鉴意义。在征得赵波研究员同意后,我们将这份报告的中文要点摘出以飨读者。
沈铨
《欧盟一般数据保护条例》与中国:
我们应当了解什么?
文 /
陈炜权 Weiquan Chen
白玛歌 Magda Brewczyńska
赵波 Bo Zhao (项目负责人)
作为一个重要立法文件,《欧盟一般数据保护条例》(以下简称《条例》)旨在提升欧盟境内个人数据保护水准,并统一欧盟境内的个人数据保护法律。由于《条例》具有域外效力,其关于数据保护义务和责任的规定将会对欧盟境外的外国数据控制者和处理者产生广泛、深入的法律和经济影响,这也包括在中国境内、但处理欧盟境内自然人数据的数据控制者和处理者。中国跨国企业在欧盟境内有设立分支机构或其它相应设置的,可能已经采取了必要的守法措施。但是多数位于中国的数据控制者和处理者,尤其是中小企业,可能并不了解《条例》,也不了解在数据处理中它们应当遵守的数据保护义务。尤其是当它们在通过互联网提供产品或服务,处理欧盟公民或居民个人数据时。这可能是因为语言障碍、地理间隔或者缺乏必要资源。《条例》生效后,这些位于中国的数据控制者或处理者可能面临违反《条例》以及大额罚款的风险。
由于现在还没有《条例》的官方中译本,这本手册的目的是综述在跨境数据处理中,《条例》规定的中国境内数据控制者和处理者的数据保护责任和义务。我们希望该手册能帮助中国境内的数据控制者和处理者理解《条例》的主要数据处理原则,以及欧盟委员会所期待的数据保护水准。我们希望数据控制者和处理者在未来数据处理实践中,能采取相应举措以更好地保护数据主体,不论他们来自于欧盟还是中国。该手册主要面向来自于私企,而非公共领域的数据控制者和处理者。该手册不为遵循《条例》提供法律意见。数据控制者和处理者应当就相关法律意见咨询业内法律专家。该手册结构如下。首先,我们简要介绍《条例》以及主要数据处理原则,然后探讨数据主体的权利以及数据控制者的相关义务。我们接着具体介绍数据控制者和处理者的共同义务和各自具体义务,以及数据向欧盟境外转移的具体要求。最后,我们简要列举数据保护监管机构及其权力,以及违反《条例》的救济措施、法律责任和处罚。
本手册受蒂尔堡大学校友基金会以及“中国境内欧盟公民数据的保护”项目的支持。原文是中英双语,出于简便的需要,本文略去英文部分。全文的链接如下:
https://www.tilburguniversity.edu/research/institutes-and-research-groups/tilt/news-pgdr-china-tilt/
我们也由衷感谢蒂尔堡大学法学院Leonie de Jong, Robin Pierce, Bart van der Sloot, Mara Paun 和李静,以及浙江大学法学院冯洋的帮助。
GDPR and China:
what do we need to know?
1. Why GDPR?
2. What are personal data? What are special categories of personal data?
3. How may the GDPR apply to organisations in China?
4. What does it mean to comply with the GDPR?
5. What are the data protection principles?
6. How to ensure the lawfulness of processing?
7. How to ensure the lawfulness of processing of special categories of data?
8. What are the conditions for consent?
9. What are the rights of the data subjects and respective obligations of the controllers?
10. What are the obligations common to controllers and processors?
11. What are the specific obligations of controllers?
12. What are the specific obligations of processors?
13. What are the requirements for transferring data outside the EU?
14. Who are the independent data protection supervisory bodies and what are their powers?
15. What are the remedies, liability and penalties under the GDPR?
1.为什么需要《欧盟一般数据保护条例》?
数据主体是指个人数据被处理的自然人。
第2[1]条第2款 说明条款14,16,18和19
自2018年5月25日起,《条例》将直接适用于所有欧盟成员国。《条例》取代实施了23年的《欧盟数据保护指令》。《欧盟数据保护指令》起草于互联网发展初期,当时很多现在使用的科技并不存在。新的欧盟数据保护框架通过统一欧盟境内数据保护法律,强化法律实施机制,以及重塑企业和组织对数据保护的方式来应对科技的快速发展,并最终更好的保护个人。
《条例》是一部复杂的法律,它包括99个条款以及大量说明条款。这些说明条款能对解释《条例》提供帮助。《条例》为自然人提供保护,适用于公共和私营法人以及自然人进行的所有类型的数据处理操作,但不适用于法律执行部门(行政/司法)基于法律执行目的的数据处理、不受欧盟法律调整的行为中涉及到的数据处理、以及完全是个人和家庭活动的数据处理。
《条例》主要条款结构如下:在一般性条款后,《条例》设立了数据保护原则和数据主体的法定权利,以及数据控制者和处理者的法定义务。然后《条例》提出了数据转移至第三国(欧盟或欧洲经济区之外的国家)或国际组织的规则,阐明了独立监管机构的职能和权力,规定了违反《条例》的救济措施、法律责任和处罚。最后,《条例》还包括了规范某些具体数据处理情形的特殊条款,例如涉及到言论和信息自由、以及劳动雇佣方面的数据处理。
2.什么是个人数据?什么是特殊种类的个人数据?
第4条第1款和第9条说明条款28-30和51-54
个人数据是指同已被识别或可被识别的自然人有关的信息。一个人可被识别的情况是指:他/她能被直接或间接地识别,尤其是借助某些识别标志的方式,例如姓名、识别码、位置数据、网络识别标志或者借助一个或多个该自然人特有的身体、生理、基因、心理、经济、文化或社会身份特征。
由于数据分析的进步,一定有更多的数据被认定为个人数据。通常自然人可能会同网络识别标志相联系,例如IP地址或者cookie;这就会留下能对个人进行描述和评估的痕迹,并最终识别数据个体。
因此,《条例》适用于所有个人数据处理行为,除非处理的数据以某种方式匿名化,不能或不再能识别该个体。
某些信息被认定为特殊种类的个人数据,值得受到更多保护。这类数据揭示种族和民族来源,政治观点,宗教和哲学信仰,或者贸易联盟成员身份;这些数据也包括基因数据,生物数据,关于健康、自然人性生活和性取向的数据。(参见第7节,“如何确保特殊种类个人数据处理的合法性?”)原则上(《条例》)禁止处理该类数据。
3.《条例》如何适用于在中国的企业和组织?
数据控制者是指决定个人数据处理目的和处理方式的自然人或法人、公共机关、机构或其它组织。本质上说,控制者决定个人数据为什么被处理以及如何处理。数据控制者应履行义务和承担责任。
共同数据控制者是指两个或两个以上共同决定处理目的和处理方式的控制者。
数据处理者是指为控制者处理个人数据的自然人或法人、公共机关、机构或其它组织。数据控制者应当只选用能充分保证实施合理技术和组织措施的处理者。数据处理者违反《条例》规定,擅自决定处理目的和方式的,该处理者在本次处理中应当被认定为控制者。
第3条 说明条款14,23和24
《条例》主张广泛的地域适用范围。它规范设立在欧盟境内的企业和组织的个人数据处理,而且适用于欧盟之外的企业和组织。《条例》保护在欧盟境内任何人的个人数据,无论其国籍或者公民身份。
尽管在欧盟境内数据控制者和处理者没有设立机构或其它设置,《条例》适用于:
1.当在欧盟境内的数据主体的个人数据被处理,而该数据处理同为该数据主体提供商品或服务有关,无论有无支付要求。
为了判断商品或服务是否提供给欧盟境内的数据主体,应当确认控制者和处理者期望为在欧盟一个或多个成员国内的数据主体提供服务的意图是否明显。仅仅在欧盟境内能够访问(控制者或处理者的)网站、邮箱地址或者通讯信息不足以充分说明(提供服务的意图明显)。但结合其它因素,例如使用在某个或多个成员国通用的某一语言或货币,并可以使用该语言预订商品或服务,或者提及在欧盟境内的消费者或用户,则能够判断控制者明显期望为欧盟境内的数据主体提供商品或服务。
2.当(在欧盟境内发生的)个体行为被监测时。为判断某项数据处理活动能否被认定为对数据主体行为进行监测,应当查明自然人是否在互联网上被追踪,包括可能随后使用描述和评估自然人的数据处理技术,尤其(该技术)是为了做出同该自然人有关的决定,或者描述和预测其个人偏好、行为和态度的。
因此,在中国的企业和组织(作为控制者或处理者)以欧盟境内的数据主体作为目标(客户)或监测其行为的,必须遵守《条例》并履行相关数据保护的义务。
除了各种跟踪和描述评估性的互联网监测,“监测”在《条例》中可能指其它形式的描述和评价,包括以风险评估以及位置跟踪为目的,比如通过手机应用程序以及忠诚计划。监测也可以是通过使用智能设备的(数据)处理操作完成,比如所谓的物联网等,比如通过可穿戴设备来监测健康状况等。
4.遵守《条例》意味着什么?
遵守《条例》意味着保护个人数据,尊重数据主体的数据保护权利,以及满足《条例》规定的义务。这将有助于避免潜在的诉讼和高额的行政罚款。
《条例》并没有制定这样一个数据保护措施清单:依照清单行事就等同于确保数据保护。相反,数据控制者和处理者有一定自由根据数据处理的本质、范围、情形和目的、当前技术水平、实施成本以及其对个人权利和自由的危险,自行选择合理和有效的技术和组织措施。
《条例》规定的义务可分类如下:
由一般数据处理原则衍生的义务——第5至11条;
与数据主体权利相对应的义务——第12至23条;
控制者和/或处理者的具体义务——第24至40条以及第42条;
向第三国或国际组织转移个人数据的相关义务——第44至49条;
欧盟法律和成员国法律规定的其它义务——由《条例》外其它法律调整。
感谢作者的授权
本文仅作学习交流之用
于非闇
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”