编者按 关于GDPR执法进展与趋势,目前GDPR之下有近70起公开宣布的罚款案件,还有很多正在调查进行中,虽然目前执法属于初步阶段,还没进入最全面最严格的实施阶段,但从现有案例和处罚数据的分析可以看出,GDPR执法机关的权利正在逐步地提高,执法力度将会越来越大。近日,垦丁网络法沙龙广州站,非常荣幸地邀请到了来自科文顿柏灵律师事务所的两位资深顾问罗嫣女士和Kristof Van Quathem先生,就GDPR实施一周年后的执法动向以及数据跨境传输监管趋势进行分享与讨论。
GDPR实施一周年以来,欧洲各监管机构展开了众多执法行动,欧盟各级法院也有多宗和GDPR相关的诉讼。这些最新进展对中国出海企业合规经营产生了重要影响。互联网出海企业面临的合规压力也越发紧迫,企业在强数据合规监管形势下如何做好自身的合规制度建设,又怎样具体地结合企业的实际情况把GDPR的要求具体落地,确实属于非常值得思考和探讨的问题。
2019年9月15日,中秋佳节的最后一个假日的下午,垦丁网络法沙龙广州站,非常荣幸地邀请到了来自科文顿柏灵律师事务所的两位资深顾问罗嫣女士和Kristof Van Quathem先生,就GDPR实施一周年后的执法动向以及数据跨境传输监管趋势进行分享与讨论。同时,本期沙龙还非常荣幸地邀请到了租租车法务总监叶意女士,为大家详细讲解数据影响评估制度下的用户画像问题,以及邀请了主要为出海互联网企业提供整套法律解决方案的资深出海法律顾问王捷女士,从GDPR视角切入,为大家带来了出海企业数据保护合规制度的搭建的落地设计方案。本期主持由英国高林睿阁律师事务所广州代表处的商法及公司法组负责人、TMT专业团队成员乐蓉女士担任。参与本期沙龙的法务同行分别来自腾讯微信、虎牙直播、租租车、荔枝FM,视源电子、卓志集团等多家广州地区的知名互联网企业(排名不分先后)。
沙龙的上半场,是由来自科文顿柏灵律师事务所驻布鲁塞尔办事处的资深顾问Kristof Van Quathem先生以及GDPR白皮书作者之一、国际隐私专家的罗嫣女士作为主讲嘉宾。Van Quathem先生是近期欧盟标杆性案件“BSA”一案的主辩律师,他系统性地详细地讲解了GDPR的具体背景、GDPR的适用的地理范围、GDPR特别需要关注的关键方面、关于个人数据泄露的问题,以及GDPR最新的执法动态和趋势。
透过Van Quathem先生深入浅出的讲解,可了解到数据隐私法律其实是有着悠久的历史,而欧洲则在其发展过程中起到了非常关键作用,其中2018年5月25日生效的《通用数据保护条例》(GDPR),并非一部全新的法律,其依据的框架是存续了20年之久的欧盟《数据保护指令》。GDPR直接适用于欧盟所有成员国,其更新了之前的《指令》并为整个欧洲的数据隐私法律创建了统一的标准。因此,在这个意义来说,GDPR“与其说是一场革命,不如说是一次进化”。
在GDPR的关键方面,Van Quathem先生特别强调了“法律基础(legal basis)”的重要性,即“仅在具有适当法律依据的情况下处理个人信息”,该“法律基础”包括六个方面的依据,其中GDPR对于“相关个人已经就相关处理活动给予其同意”的要求的规定是非常严格的,必须是要给予特定的事项,且是清晰的,明确的,并在没有歧义和自由意志的情况下进行。而且“个人同意”是最后一个选择,最后一道防线,只有在当所有合法基础都不能适用的时候,才能选择“个人同意”这个依据。Van Quathem先生还特别举了一个例子去详细说明该情况。例如在收集员工考评数据的时候,其实是不适用“个人同意”的,因为员工基于劳动合同的绑定关系,是无法自由地作出“同意”的。关于GDPR执法进展与趋势,目前GDPR之下有近70起公开宣布的罚款案件,还有很多正在调查进行中,虽然目前执法属于初步阶段,还没进入最全面最严格的实施阶段,但从现有案例和处罚数据的分析可以看出,GDPR执法机关的权利正在逐步地提高,执法力度将会越来越大,罚款金额也会越来越大,相关的案件数量也会不断上升。如果企业的违法行为涉及到新的侵入性技术,或者严重侵犯个人隐私,并且没有完成GDPR要求的DPIA或采取适当的风险降低措施的话,势必会引起监管机关的高度关注,并可能面临严重的法律规制。
罗嫣女士为大家带来的是关于《理解数据本地化法律规定与数据跨境传输的限制》主题演讲。
罗律师立体有序、图文并茂地为我们体系化地梳理了关于数据本地化法律规定以及条文与条文之间的逻辑关系,清晰地剖析了什么是数据本地化法律,何为数据跨境传输限制等内容,并由此引出,为了符合这些法律要求,企业必须采取的措施包括哪些等等。
罗嫣女士表示,通常的数据本地化法律是指要求将收集于某司法管辖区的数据在该司法管辖区的物理边界之内进行存储和处理的法律规定。但各国颁布数据本地化法律的原因各不相同。值得注意的是,某些数据本地化法律不要求数据本身被保存在境内,而只是要求可以提供该数据在境内的副本。根据GDPR的要求,一般情况下是不准许数据被跨境传输的,但在几种情况下是允许的。虽然数据跨境传输限制并不要求数据在本地保存,但产生了对应的合规义务,并会给企业带来较高的成本。值得关注的是,数据本地化法律和数据跨境传输限制在不同司法管辖区中是各不相同的,因此,需要遵守的具体规则可能会因国家和适用法的变化而不同。但是,公司可以采取一些基础性措施以确保他们做好了符合不同司法管辖区不同法律规则的准备。例如确定公司的数据流,以及(在任何需要的地方)去确保数据的可用性,以便满足当地政府和监管机关的对应要求。最后,罗嫣女士给出了一些具体的示例场景(例如,某国公司准备发布某款手机App帮助用户收集某类型个人信息,该公司在位于某他国的云服务商来保存用户的信息),邀请在场的来宾一起参与讨论和思考,在该场景下,企业需要考虑的法律问题包括哪些,以及怎么做合规落地。
在沙龙的下半场,由资深出海法律顾问王捷女士以及租租车法务总监叶意女士作为主讲嘉宾。
首先,王捷女士紧接着罗嫣女士提出的实务场景的问题,从GDPR视角切入,与大家分享了出海企业数据合规制度方案设计的具体落地十大步骤。 王捷女士表示,GDPR主要依赖自我监督,但公司也需要自己去证明自身的合规情况,特别是在欧盟或地方政府机构提出要求的时候。因此,受GDPR规制的企业,其主要的任务是,需要审查其个人数据收集和处理的方式,评估自身现有的隐私保护制度和框架是否需要修改或调整,以便遵守GDPR的要求。结合多年的互联网企业法务海外业务实践经验,王捷女士梳理出GDPR数据合规总体思路,总结出了适用于出海企业落地合规制度的十个步骤,并就每一个合规步骤展开了具体落地操作阐释和给出了实操建议。
其中,值得企业法务注意的是,可以考虑在组织架构的更新变化下,去体现管理层对数据合规的重视,从而更好地自上而下地推动GDPR合规项目的落地。例如企业负责数据合规的人员需要告诉该事项的主要利益相关方,让高管们深知GDPR合规流程的重要性,理解到GDPR的到来可能也会导致公司的运营模式发生重大的改变,否则可能导致高额的处罚。又例如,可以考虑在董事会下设立数据合规委员会,负责公司整体的数据合规风险管控,并在核心高管人员中设立一名专职或兼职的人士专门负责GDPR的合规工作,同时,建立对应的合规问责制度,把GDPR的合规制度加入到员工考评中,明确奖罚和责任与补救制度。 另外,值得一提的是,在其他合规的步骤中,需要企业法务重点联合业务团队(包括产品研发、设计、运营、运维、数据合规、客服等等)一起进行的是企业内部的深度细致且系统的业务访谈工作,以及对企业内部数据流和数据库的尽职调查工作。其工作逻辑是,在对目标企业的隐私数据框架进行调整前,需要知道企业正在收集哪些类型的个人数据以及具体的处理流程。当了解了哪些类型的数据存在问题以及存在哪些问题,数据合规人员便可以比较好地去确定适用GDPR的哪些具体要求。因此,对企业所涉及的所有个人信息生命周期全流程(收集、处理、传输、共享、存储、销毁)的分析和具体合规摸查,是非常重要的。王捷女士分别在每一个合规步骤中给出了具体的合规指引和落地实操方法,并在最后给出了关于建立公司内部体系化的隐私保护体系的总体框架建议。
压轴出场的嘉宾是叶意女士,曾任职于唯品会和阿里巴巴大文娱集团等知名企业,企业合规实践经验十分丰富。她为我们分享的是大家非常感兴趣的《GDPR项下用户画像与自动化推广的合规关注》主题。
叶意女士具体阐释并分析了用户画像与自动化推广的趋势,并就GDPR项下如何合规开展用户画像及推广给出了自己的思考和有效建议。 她表示,用户画像是通过自动化方式使用个人信息进行分析或预测个人特征的过程,主要基于已知的特征,如年龄、性别、身高等对个人进行的分类,并继而进行预测、分析。从经济学角度分析,利用用户画像和自动化推广,有利于企业降低成本,提升效用,从而帮助企业提升整体的竞争优势。很多互联网企业都有内部的商业推广应用系统,他们基于用户画像,转换成不同的产品运营策略。通过打立不同的标签,把不同的画像归类到不同的用户群体中,进行决定使用应不同的营销手段。大数据及各类巨头互联网企业的例子也说明了,基于用户画像而开展营销推广已是大势所趋,其商业价值已经在广告产业、互联网产业得到充分证明。
叶意女士进一步分析了GDPR项下对用户画像的专门规制,并具体提出了企业利用用户个人数据进行数据画像及自动化推广的合规逻辑框架。其中进行DPIA安全评估是最为重要也是难度最大的一个环节。DPIA要求对大量个人信息利用进行事先的安全评估,评估的维度需要包括数据主体、数据控制者以及数据处理者等第三方等不同维度进行。继而由企业决策者决定是否同意进行数据画像和自动化推广的决定,并制定相应的个人数据保护机制及后续的持续完善体系。叶意女士就合规框架的每一个步骤进行了详细的剖析并给出了具体的实操建议。
在沙龙活动的最后,罗嫣女士和Van Quathem先生分别就两个具体的示例场景所需注意和考虑的法律问题给出了具体的法律分析和建议。现场观众的提问和讨论也十分热烈和积极,围绕企业具体的合规实操方式进行了精彩的互动和分享。GDPR越来越受到中国企业的关注,数据合规的问题更是每一个企业都值得持续的重视,特别是当一个企业把数据作为它的竞争资产的时候。作者简介
王捷,资深出海法律顾问,荷兰RuG国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,业务领域覆盖国际浏览器、国际信息流、海外品牌营销、广告联盟、短视频、音乐互娱、应用分发、及各类创新与孵化业务与项目型法律工作;专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。八年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
联系方式:13650790754添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
编辑 方巧娟
主编 刘洋
#近期精彩文章#
FTC vs Facebook:50亿美元和解令的来龙去脉
美FTC正式起诉Cambridge Analytica,“剑桥分析”究竟做错了什么?【附FTC行政诉讼书中文版】
互联网企业专利保护与侵权诉讼攻防策略 | 垦丁网络法沙龙
网红直播频出新招,行业生态如何有序发展?资深嘉宾深入剖析娱乐行业经典诉讼案例
全文发布:国家标准《移动互联网应用(App)收集个人信息基本规范(草案)》出炉
重磅 | 微信生态系统不正当竞争案宣判,两公司向腾讯赔650000元(判决全文)
浙江高院研讨会7000字实录:电商法“避风港”知识产权规则司法适用
Up主敬汉卿名字被抢注为商标,自媒体人维权需要掌握哪些“法律锦囊”
4家公司撤回科创板发行,他们为什么主动“退群”?
还在用VPN吗?你的上家已经被抓了!
网络空间能否适用侵权责任法中的安全保障义务——兼谈“极限第一人”家属诉花椒直播案
更多好文 法律服务数字化 行为保全裁定 数据质量 暗刷流量 欧盟网络安全法 数据合规首例云服务器 信息出境安全 类电影作品 儿童网络信息保护 涉网诉讼案 流量劫持 好评返现 抄袭应用界面 抖音VS伙拍 电子合同 数据爬虫案例 数据垄断 花生日记 虎牙VS斗鱼 首例小程序案 抖音多闪微信 法国Google 处罚案 App Store经营 专利无效中网络证据 网络游戏代理 个人信息安全规范 首例恶意投诉案 区块链信息管理
商务合作、转载、投稿:添加微信fqj1203 邮件49910374@qq.com
看完,谢谢点击一下“在看”↓