我的地盤我做主！歐盟對於個人數據保護，從歐盟走向境外

我的地盤我做主！

歐盟對於個人數據保護，

從歐盟走向境外

一般數據保護條例（歐盟第2016/679號條例）於2018年5月25日生效。它適用於所有的無論是自動化的還是非自動化的數據處理。條例中最特別的部分是其領土適用範圍。許多人認為，在虛擬世界中已無邊界，並且互聯網世界的最大參與者們已經形成了大量的爭論，特別是在稅收問題上逃避地方立法的行為。因此，歐盟決定作出澄清。歐盟傳遞出的信息很清楚，不管你是在美國、亞洲還是其他地方，在處理歐盟居民的個人數據時，你都必須遵守這些規則。制裁的高昂代價意味著，這一新的法律框架必須被非常認真地對待。最高罰款額定為上一年度營業額的4%，對任何在2018年度被制裁的企業來說上一年度均為2017年度。例如，對於GAFA（谷歌、蘋果、Facebook和亞馬遜）來說，如不遵守規定，最大制裁罰款金額可估計如下：亞馬遜約為1780億美元營業額中的71億美元(高於利潤)，蘋果約為1410億美元營業額中的56億美元，谷歌約為1000億美元營業額中的40億美元，Facebook約為320億美元營業額中的12.8億美元。

前項指令之有限地域適用範圍

1995年10月24日第95/46EC號歐洲指令，2004年8月6日法國第2004-801號法律，對1978年1月6日第78-17號法國數據保護法進行了更新。

該指令可適用於不在歐盟境內設立的數據控制器，要求它們的數據處理手段位於歐盟境內。

許多數據處理器都是基於其處理的治外法權而設法規避歐洲數據保護條例的。

多年來，谷歌一直聲稱，其在法國和歐洲收集的數據不受法國法規的制約，而是受加州法規的制約，因為該公司及其伺服器都位於加州。

由於歐洲委員會的宗旨是保護個人數據，新條例應糾正這一缺陷。

條例的境外適用範圍

從2018年5月25日起，歐洲條例將適用於在歐盟內設立了數據控制器或數據處理器（一般是信息技術服務供應商）的所有個人數據的處理，而不論數據處理本身是否在歐盟內進行。

條例還規定，如果控制器或處理器不在歐盟內設立，而處理的對象是位於歐盟內的一個數據主體，則不論有關人員的國籍如何，都應適用條例。

在歐盟內設立的控制器或處理器

該條例沒有界定設立的概念。法國和歐洲法院對此作了廣泛的解釋，它們解釋設立時，優先考慮通過穩定的安排，以有效而真實的活動為基礎。

設立這一概念已經（在2015年10月1日歐盟法院 Weltimmo案中）被認定為，在有關會員國有一名代表、一個銀行賬戶和一個信箱。

此外，這種設立的法律形式並不是絕對的。因此，一個沒有法人資格的簡單的分支機構，用非歐洲籍管理器進行的個人數據的處理，也必須遵守條例。

未在歐盟內建立的控制器或處理器

如果控制器或處理器並非在歐盟內建立，也沒有在歐盟內設立機構，則適用該條例的情況是，處理數據與位於歐盟境內的居民有關，處理活動與歐盟28個成員國（包括5.2億名居民）的網際網路用戶有聯繫。

·(i) 向用戶提供物品或服務，無論這些服務是免費的還是付費的

該條例沒有關於提供貨物和服務的任何定義，但它提供了一些指示，使人們有可能將這種提供定性（第23條），例如用在一個或多個歐盟成員國內通常使用的語言或貨幣來訂購貨物和服務，或者是提及歐盟內的客戶或用戶。

然而，僅僅是訪問一個網站、電子郵件地址或其他聯繫方式則不足以定性。

換言之，必須核查數據管制員對有關人員的意圖。他是否打算向歐洲聯盟的有關人員提供貨物或服務。

·(ii)對用戶的行為進行監測，如果這種行為發生在歐盟內。

特別是，該條例規定對自然人進行觀察，以便就其作出決定，或分析或預測其個人偏好、行為和態度。

這兩個條件(i)和(ii)是可變的，而非累積的。

在歐盟之外的個人數據的轉移又如何呢？

原則上，禁止在歐盟之外轉移個人數據。其目的是保護個人數據免受數據避風港的影響，在這方面適用更靈活的規定。

這項原則有很多例外：

·向歐洲經濟區國家轉移數據

這些國家已與歐盟簽署了協議，通過這些協定，他們通過了個人數據保護條例。

·向訂有適足協議的國家轉讓數據

歐洲聯盟承認，某些國家有與歐洲條例相當的關於保護個人資料的條例。這些條例相當於歐洲法規。

·向已簽署標準合同條款或BCR（「有約束力的公司規則」）的國家轉讓數據

這些國家尚未作出充分的決定，或沒有關於個人數據保護的條例。因此，其想法是通過標準條款或公司集團內部的協議，對數據建立合同保護而非法律保護。

標準合同條款

標準條款已由歐洲委員會起草，可通過其網站查閱。這些協議是數據管制員和在國外設立的處理器之間在信息技術服務協議的框架內締結的，或者是在向集糰子公司或實體發送個人數據方面訂立的協議。

目前，在使用這些條款之前，數據管制員可以從法國的國家管理機構（CNIL）獲得授權。這項授權申請將從2018年5月25日起停止。

約束性公司規則（BCR）

BCR只關注公司集團。集團內部通過章程，所有子公司和實體承諾遵守歐洲數據保護條例。

憲章一經起草，將通過相互承認制度提交歐洲數據保護當局批准。

這項授權請求將在2018年5月25日之後繼續。

向美國轉移個人數據：「隱私保護」系統

這是歐洲聯盟和美國聯邦貿易委員會（FTC）之間的一項國際協議，美國公司可以自由遵守。根據該協議的條款，FTC會承諾確保簽署該系統的公司遵守這一國際協議所載的數據保護規則。

總之，歐洲個人數據保護條例的目的是適用於處理歐洲居民個人數據的世界各地的公司。

它結束了所有的線上服務選擇最有利和最不嚴格的國家來發展公司的經濟模式，以及捉迷藏式擇地行訴的做法。

制裁的程度消除了人們對這一新框架將要實施的堅定性的懷疑。它產生的風險很難被認為是次要的。

它要求使用歐洲聯盟28個居民5.2億人的個人數據的任何公司深思熟慮並遵守條例。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！