植德觀點 透視GDPR

Things turn out best for the people who make the best of the way things turn out.

----John Wooden

前言：

兩天之後，歐盟《一般數據保護條例》（General Data Protection Regulation，下稱GDPR）將正式生效。幾乎「全網」覆蓋的適用範圍、寬泛的個人數據保護義務以及可達全球營業額4%的超高額的處罰金額，使得每個中國企業都有必要思考如下問題：一、GDPR是否會對企業的業務造成影響；二、影響的程度有多大；三、企業應該如何應對。

就此，植德律師事務所與歐洲合作律所組織了在數據合規方面經驗豐富的律師一道進行了相關的研究，並將在隨後通過一系列專題進行就GDPR以及中國法下的數據合規問題進行解讀。

1

GPDR的前生今世

廣受熱議的GDPR並非橫空出世。早在1995年10月24日，歐洲議會與歐盟理事會即頒布了《關於涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》(以下簡稱「數據保護指令」)，以協調與統一成員國數據保護法，促進個人數據在成員國之間自由流動，但是數據保護指令的規定仍需各成員轉化為國內法後實施。此後歐盟陸續又出台了一系列規範對個人數據保護進行規定。隨著科技的迅速發展和全球化進程，數據保護指令難以實現平衡個人信息保護和促進個人信息流動的立法宗旨。因此，2012年1月25日歐盟委員會公布GDPR草案; 2014年3月12日歐洲議會通過了GDPR的首次審讀; 2015年6月15日歐盟理事會通過首次審讀的版本。並最終於2016年4月8日和4月16日由歐盟理事會和歐洲議會通過，替代了數據保護指令。

GDPR延續了數據保護指令的保護個人信息和促進個人數據流動的二元化的立法宗旨，但是對內容進行了擴充和調整，GDPR的正文部分涉及的法律條款從數據保護指令的7章共34條增加到目前的十一章共99條，而且序言部分附有長達173條的鑒於條款用以輔助對GDPR的理解適用。

2

史上最嚴格的規範內容

（一）適用範圍廣

1、地域範圍：寬泛的域外效力。

有業務機構設在歐盟境內，並從事個人數據處理的組織受GDPR管轄自不待言。但是GDPR已經將自身的適用範圍擴展到歐盟境外，規定了多個連接點，具體而言：

如果非歐盟成員國企業（下稱「數據控制者或數據處理者」）在歐盟境內未設立業務機構，但卻處理歐盟境內的個人數據，為歐盟境內的數據主體提供貨物或服務，無論數據主體是否被要求付費，應適用GDPR。根據GDPR相關規定，要確定數據控制者或處理者是否向歐盟主體提供貨物或服務，主要是確定數據控制者或處理者是否存在明顯想要為歐盟一個或多個成員國的數據主體提供貨物或服務的意圖。如果僅可訪問數據控制者或處理者等在歐盟的網站、電子郵件地址或其他聯繫方式，或使用數據控制者所在國通常使用的語言，並不足以確定存在提供貨物或服務的意圖；但如果使用一種或多種歐盟成員國通用的語言或貨幣，且可以使得數據主體根據該等語言訂購商品和服務，或提及位於歐盟的客戶或使用者，實質上可能屬於存在向歐盟的數據主體提供商品或服務的意圖。1

如果非歐盟成員國企業對數據主體在歐盟境內的行為進行監控的，應適用GDPR。根據GDPR相關規定，這裡的「監控」等同於「用戶分析」：即在互聯網上跟蹤個人數據，用類似於「畫像」的數據處理技術，「描繪」個人信息，分析預測個人偏好、行為模式或個人態度。所以，如果非歐盟成員國企業如果採用cookies等方式「監控」歐盟居民或在歐盟境內發生的個人行為，處理個人監控數據，該企業也適用GDPR規定並受監管。2

根據國際公法的規定，指向將GDPR作為準據法的。

2、主體範圍：直接適用於數據控制者和數據處理者。

數據保護指令僅適用於數據控制者3（Data Controller,決定數據加工目的和途徑的機構）。GDPR規定其適用於數據控制者或者數據處理者（Data Processor，代表數據控制機構處理數據的實體）對個人數據的處理4。也就是說數據處理者在一些數據處理的核心環節受到監管，GDPR針對數據處理者規定了諸如信息安全措施、未經許可不能轉委託、記錄保存、協助義務等一系列義務。而且，GDPR明確規定信息處理者如違反數據保護的義務則可能受到行政處罰5或承擔民事責任6。

（二）對數據處理的要求更嚴格

1、對取得數據主體的有效同意提出了詳細的要求7。

同意必須清楚、有別於其他事項，並以清晰易懂的形式提供，使用清晰明了的語言。也即公司不能繼續使用含混不清的術語和法律術語堆砌的條件，同意的要求必須清晰易懂，必須說明數據處理的目的。

同意必須很容易撤回，如同提供「同意」操作一樣方便。

同意應當基於數據主體自由意志做出，且同意處理的數據範圍沒有超過必要的限度。

2、提出了記錄數據處理的要求8

GDPR要求數據控制者和處理者必須記錄數據處理活動的過程、相關人員和數據接收者。這一規定不適用於員工數量低於250人以下的企業或機構，除非上述企業或機構處理數據方式可能給數據主體帶來高風險，威脅他們的權利和自由。

3、提出數據保護影響評估9和事先諮詢制度10

如數據處理行為的性質、範圍、內容和目的可能對自然人的權利和自由產生高風險時，數據控制者在進行數據處理之前應當進行影響評估（並做記錄）以此替代將數據處理活動（以及類似於國際數據傳輸等活動）通告數據保護主管機構的一般性責任。一次評估可能解決一系列帶來類似高風險的信息處理操作。風險仍然較高的領域，仍需諮詢監管機構。

4、要求設立數據保護官（DPO）11

GDPR規定，在符合特定條件的情況下，必須任命DPO，該等條件包括控制者和處理者需要經常系統地監控數據主體，而且監控的規模較大、數據種類特殊或涉及到刑事定罪以及違法行為。

（三）新增多項數據主體權利

1、信息泄露通知12

GDPR規定，如果發生數據泄露事件，泄露通知必須在知曉數據泄露事件發生後的72個小時內向主管監管機構報告。數據處理者還需要在第一時間通知用戶和數據控制者。

2、訪問權13

GDPR強調數據透明化，數據主體有權從數據控制者那裡獲取信息，以確認數據控制者是否要對與他們相關的個人數據進行處理、處理地點、處理目的。此外，控制者應以電子格式免費提供一份個人數據的副本。

3、被遺忘權14

被遺忘權賦予數據主體權利，讓其可以要求數據控制者清除他/她的個人數據，停止進一步傳播數據，並儘可能使第三方停止處理數據。GDPR第17條中概述了數據刪除條件，包括擬刪除的數據與原數據處理目的不再相關或數據主體撤銷同意。

4、可攜帶權15

GDPR個人數據的可攜帶權，賦予數據主體接收與自己相關的數據，並有權將這些數據發送給另一個數據控制者。

5、隱私保護設計16

GDPR要求控制者應以有效的方式實施適當的技術和組織措施，滿足本條例的要求，保護數據主體的權利。即在系統設計起步就納入數據保護，而不是系統開發完成後再增加保護。

（四）嚴厲的法律責任

1、行政處罰：

GDPR的行政處罰金額極具視覺衝擊力。罰金僅僅區分為兩檔，既適用於數據控制者又適用於數據處理者，分別針對不同的違法行為：

處以1000萬歐元或者上一年度全球營業收入的2%，二者取額度高者；其主要針對：違反隱私保護設計，以及默認隱私保護，沒有實施充分的IT安全保障措施、違反數據泄露通知要求等等17；

處以2000萬歐元或者企業上一年度全球營業收入的4%，二者取額度高者。其主要針對：違反數據處理原則，數據處理沒有合法基礎，違法同意要求，侵害數據主體的合法權利等18。

2、民事責任：

民事責任中，為了確保數據主體利益的實現，確立「連帶責任＋過錯推定」的模式。

就對外（數據主體）責任的承擔上，為了確保數據主體獲得有效賠償，GDPR規定數據控制者和數據處理者就信息主體的全部損失承擔連帶責任19。

就內部的責任分配上，數據控制者就其違反GDPR規定的數據處理行為擔責；數據處理者只對其未遵守GDPR規定的特別是針對數據處理者的義務或者其超過數據控制者的合法指示的行為造成的損失擔責20。

3

「它亦溫柔」

需要注意的是，GDPR亦並非一味地關注數據主體的絕對權利，而是強調應當根據比例原則，平衡數據權利和其他根本性權利或利益。21典型的表現有：

（一）制度本身體現了利益的平衡和促進流通的價值選擇

1、跨境數據流動

發生在歐盟內的數據跨境流動是被允許的, 但是對於向第三國或者國際組織進行數據轉移須符合一定的情形，而GDPR對於跨境數據流動較之數據保護指令，提出了多條更加可行的、有效的途徑：

歐盟委員會通過檢查確定該第三國、第三國的特定區域或者國際組織是否不再具有充分決定保護水平22。

有約束力的公司規則23：經審核批准有約束的公司規則(Binding Corporate Rules, BCR), 以事業群或從事聯合經濟活動的集團企業在集團內部實現數據的跨境轉移。該機制最早由歐盟第29條工作組發展而來, 是歐盟委員會提出的標準化格式合同的一個替代選擇。

標準合同條款24：歐盟委員會或者監管部門根據GDPR程序批准的數據保護條款。

其他：數據主體被告知可能的風險後明確表示同意、執行合同所必要、為了公共利益等25。

2、行政處罰

行政罰款數額的確定應當考慮行為的性質、主觀狀態、為減少數據主體損失而採取的措施、責任的輕重程度、是否存在違法行為等等11項綜合考慮因素，來確定罰金金額26。

GDPR背景引言中也強調了比例原則，主張根據案件具體情況的考慮，做出適當的罰款金額27。 並明確，如果「如果違法行為不會對有關數據主體的權利構成重大風險，在這種情況下，可以用警告（warning）代替罰款。

（二）通篇的例外條款

根據筆者的統計，GDPR中涉及例外或者克減的條款達38條。幾乎貫穿條例始終，體現了平衡的思想。

數據處理的豁免條款28。

數據主體具體權利的限制條款：引發熱議的數據訪問權、被遺忘權、數據可攜權等條款均有限定條件，遠非其定義中的那麼絕對。

給予中小企業多種豁免，比如：規模在250人以下的中小企業可以豁免數據處理記錄義務。

行為準則和認證機製成為數據控制者和數據處理者遵守條例的重要證據，降低舉證的成本。

設有「有關特殊數據處理情形的規定」一章，將與表達自由、僱傭關係、宗教等七個事項交由成員國在給定框架內自行制定具體規則。

註：

1 GDPR序言第23條

2 GDPR序言第24條

3 數據控制者(Data Controller)指能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。其中個人數據處理的目的和方式, 以及控制者或控制者資格的具體標準由歐盟或其成員國的法律予以規定。

數據處理者(Data Processor)是指為控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

4 GDPR正文第3條

5 GDPR正文第83條

6 GDPR正文第82條

7 GDPR正文第7條

8 GDPR正文第30條

9 GDPR正文第35條

10 GDPR正文第36條

11 GDPR正文第37條

12 GDPR正文第33、34條

13 GDPR正文第15條

14 GDPR正文第17條

15 GDPR正文第20條

16 GDPR正文第25條

17 GDPR正文第83條第4款

18 GDPR正文第83條第5款

19 GDPR正文第82條

20 GDPR正文第82條第2款

21 GDPR序言第4條

22 GDPR正文第45條

23 GDPR正文第47條

24 GDPR正文第45條第3款

25 GDPR正文第49條

26 GDPR正文第83條

27 GDPR序言第150、151條

28 GDPR正文第2條

作者介紹

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！