GDPR曾经为数字经济企业画出一张数据维护的操作红图。与其担惊受怕抱有欧盟“执法不严、守法不究”的幸运心思,不如早日“退而结网”完善数据维护合规制度建立
历经多年商榷的GDPR新条例的施行,意味着欧盟的数据维护程度将到达史无前例的高度。可谓世界史上最严厉的数据维护法律,必将对将来全球数字经济发生深远影响。图/AFP
2018年5月25日,欧盟《普通数据维护条例》(General Data Protection Regulation,简称GDPR)将正式失效。GDPR序文共173条,注释分为11章99条。历经多年商榷的GDPR新条例的施行,意味着欧盟的数据维护程度将到达史无前例的高度。可谓世界史上最严厉的数据维护法律,必将对将来全球数字经济发生深远影响。
GDPR行将失效,中国发布的《信息平安技术团体信息平安标准》(下称《信息标准》)也于2018年5月1日起施行。
一些国际企业临时缺乏规则认识,能够并没有尝到应有的苦果。由于多种要素招致的执法不严、守法不究的情形,一旦到了国外能够就不灵。企业的不合规运营行为,一旦被国外政府发现追查起我们也正在做着心目中属于未来的事业,那就是通过互联网金融创新,不断完善人与金融、货币之间的关系,让所有人都能享受到最好的金融服务 。来,处以巨额罚款或制止业务往来,能够是灭顶之灾。特别是在近几年全球贸易维护主义似乎有所低头的新时代背景下,企业不合规运营,必将发生数年甚至永远难以消化的“恶果”。
面对行将落下的GDPR利剑,全球数字经济企业需求积极应对,努力增加合规风险,避免入“罪”被“罚”。各国政府也需求积极担当作为,为本国数字经济企业的海内开展保驾护航。
GDPR一大“杀手锏”:重罚
除了扩展团体数据的维护范围、赋予数据主体一系列弱小的权益外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖准绳。
关于数据处置的守法行为,GDPR次要设定两个等级的处分。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处分,以较高者为准。假如依据全球营业额停止处分,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annual turnover),而非全球净利润。该等级的处分终究适用哪些情形,GDPR第83条第4款规则三大类数据守法行为:第一,数据控制者与处置者没有尽到相应数据维护义务。譬如未施行适当的技术和组织措施、未失职责坚持数据处置活动的记载、没有及时向监管机构告诉数据已泄露、未停止数据维护影响评价等;第二,没有对数据维护认证组织实行义务;第三,没有对监管部门实行义务。
针对严重守法的数据处置行为,GDPR设定了第二等级的行政处分:最高可处以2000万欧元,或上一财年全球营业额4%的行政处分,以较高者为准。GDPR第83条第5款规则了五大类严重守法的详细情形:第一,违背数据处置的根本准绳与条件。数据处置该当遵照六大准绳:合法、合理与通明准绳,目的无限准绳,数据最小化准绳,精确性准绳,贮存限制准绳,完好性与保密性准绳。数据处置该当契合相应的合法性条件;第二,进犯数据主体的赞同权、拜访权、纠正权、被遗忘权、数据可携带权、回绝权、取得救援权等多项权益;第三,不契合条件将团体数据传输给第三国或国际组织;第四,没有对成员国实行相应的义务;第五,未能恪守监管机构的相关要求。
可见,GDPR设定的“罪”是相当多的,“罚”是十分严峻的。制定任何法律的目的不在于处分,处分只是保证法律无效施行的必要手腕。“重典治乱”未必总能获得良好效果,但的确可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据维护制度。
无论是关于数据处置守法行为的认定及其严重水平判别,还是关于处分金额的最终作出,欧盟监管机构都享有宏大的执法裁量权。如何增加数据维护监管的权利寻租,避免监管“俘获”,消弭糜烂,确保公正执法,是接上去欧盟当局特别是法治程度不高的一些成员国需仔细看待的成绩。
另一“杀手锏”:“长臂”管辖准绳
确立“长臂”管辖准绳,或称为效果准绳,是GDPR的另一大“杀手锏”。法律是国度主权的表现,普通只在一国领土范围内发作效能,即属地准绳。但随着近些年来网络技术的不时进步,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内失掉蓬勃开展。在数字经济时代,再持续坚持传统的属地主义准绳,或许无法无效维护本国公民的权益和国度利益。
GDPR的适用范围极广,将法律适用的属地主义与属人主义准绳结合起来,扩展法律适用的域外效能。
首先,在欧盟境内设立数据控制或处置机构,不论其对团体数据处置的行为能否发作在欧盟境内,都受GDPR的拘谨。此管辖规则属于传统的属地主义准绳,在欧盟内设无机构,当然应受欧盟法的约束。
其次,即便在欧盟境内没有设立数据控制或处置机构,有两类数据处置行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或效劳,无论能否免费或收费;另一类是对数据主体发作在欧盟内的行为停止监控的。此管辖规则实践上确立了GDPR的属人主义准绳,即不论企业在欧盟内有没有设立机构,只需其对欧盟数据主体提供了商品、效劳,或对其停止了监控,就受GDPR的拘谨。属人主义准绳确实立,大大扩展了GDPR的管辖范围。
再次,在欧盟内没有设立机构,但数据处置行为,依国际公法可适用欧盟成员国法律,受GDPR的拘谨。依据此管辖规则,欧盟监管机构既不根据属地主义,也不根据属人主义,依然能够依国际公法规则对数据处置行为停止监管。
GDPR所确立的三大管辖制度,可称之为“长臂”管辖准绳。经过剖析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即便没有在欧盟境内设立任何机构,也能够受GDPR的管辖。重罚机制,加上“长臂”管辖准绳,使GDPR威力无比。
“罪”与“罚”都是明白的。GDPR带给数字经济企业的是实真实在的可预测的法律风险。GDPR曾经为数字经济企业画出一张数据维护的操作红图。与其担惊受怕抱有欧盟“执法不严、守法不究”的幸运心思,不如早日“退而结网”完善数据维护合规制度建立。“想吃大蛋糕,又不愿得到更多面包”的全球数字经济企业,该当抓紧按图行事不时完善企业数据管理。
企业应对GDPR的燃眉之急
欧盟关于数据维护设定比拟严厉的高规范,必定会有很少数字经济企业一时满足不了要求,或不断不愿花大本钱满足规范,所以罚款也必将蜂拥而至。那究竟罚谁?
由于人力、物力、财力等执法资源的无限性,将来欧盟关于数据维护的“选择性执法”在所难免。名企首当其冲。“枪打出头鸟”,选择“杀”一些名企,到达“儆百”的目的,能够是欧盟将来数据维护执法的常态。
但是,不论是名企还是非名企,既然选择欧盟大市场,就该当依据GDPR的要求,树立健全合规的数据维护制度。名企财力雄厚,虽然被高额罚款,能够还接受得起。但是,关于非名企,特别是一些中小企业来说,欧盟的一次罚款或制裁,能够马上就会使其濒临破产。
“羊未亡,牢需补。”全球数字经济企业该当高度注重GDPR。随着中国《信息标准》也将施行,中国企业可以从以下几个方面,尽快完善数据维护制度:
第一,高度注重团体数据维护。企业高管团队该当对GDPR有清醒的看法和精确的预判,尽早制定缜密的战略方案,不计本钱消弭各种不合规隐患,增强人员管理与培训。企业相关业务部门应及时片面剖析曾经采集、存储的团体数据的品种、用处与获取方式,删除不合法、不用要的团体数据,完成团体数据保管工夫的最小化,并不时增强数据平安保证。
第二,完善数据主体的权益设置与行使操作规程。GDPR赋予了数据主体一系列弱小的权益,关于这些权益的维护缺乏和进犯属于严重守法行为,欧盟监管机构可处以最高额度的罚款。在赋予数据主体赞同权、拜访权、可携带权、被遗忘权、更正权等重要权益外,还该当核实这些权益设置与行使能否契合GDPR的要求,例如反省设置的赞同权能否契合GDPR的要求。我国《信息标准》要求搜集团体数据时准绳上应取得受权赞同,搜集团体敏感信息还需明示赞同,另外还明白了撤回赞同权。
第三,完善数据处置机制。运用适当的组织措施与技术措施,确保数据处置契合GDPR的根本准绳与合法性条件。以通明的方式,运用简明易懂的言语,及时照实告知搜集、存储、运用团体数据的状况。树立健全数据维护影响评价机制与事前协商制度,对团体数据停止去标识化处置,完善数据匿名化处置规程,进步数据处置进程的平安性,并对团体数据处置活动停止记载。
第四,必要时任命数据维护官。GDPR要求相关企业以通明的方式,任命具有专门数据维护知识的数据维护官(Data Protection Officer,DPO)。DPO可以确保数据控制者和处置者服从GDPR的相关规则,同时也扮演着与监管机构之间的联络人和协作者的角色。假如经评价必需设立DPO,则应保证DPO的任命、权益和职责契合强迫性规则,并为DPO独立实行职责提供充足的资源。另外,企业可思索延聘内部数据维护参谋。
第五,完善数据泄密报告与处置机制。GDPR要求准绳上自晓得团体数据泄露72小时内,向监管机构报告,并将能够发生高风险的泄露信息告诉遭到影响的团体。企业应详细记载团体数据泄露状况,及时采取弥补措施,不时修正完善现有的数据泄露管理流程。我国《信息标准》要求企业活期组织外部相关人员,停止团体信息平安事情应急呼应培训和应急演练,及时更新应急预案。
另外,数字经济企业还该当从更新隐私声明与政策、删除相关协议文本中进犯数据主体权益的“霸王”条款、完善数据跨境活动机制等方面积极采取应对措施,增加不合规风险。
政府应为数字经济开展保驾护航
经济根底决议下层修建。GDPR是法律,属于欧盟的下层修建,但其所要调整的却是全世界的数字经济企业。由于不同国度的经济开展程度存在很大差异,所以不同的经济根底与同一的下层修建之间,必定存在难以谐和的矛盾。一方面团体数据权益要维护,另一方面技术要创新、市场要开展,二者之间发作抵触在所难免。
GDPR是一把双刃剑。欧盟GDPR选择了侧重维护团体数据权益,能够会对技术与市场的开展发生一定的障碍。开展数字经济,建立数字中国,不只需求靠企业不时提升数据管理程度,还需求靠政府自动采取措施,处理企业无法克制的实践困难。
首先,政府该当高度注重GDPR给数字经济带来的应战。严厉的团体数据维护,带来高额合规本钱。由于信息资产管理的运营本钱会明显添加,而且担忧被重罚,一些企业曾经暂停欧盟的相关业务。GDPR的施行能够不利于中小数字经济企业生长,并能够滋长巨头企业的垄断位置。因此,政府该当在战略上予以注重,积极制定各种鼓舞扶持政策,无效支持企业提升数据管理程度,消弭数据垄断,降低GDPR合规风险。
其次,与欧盟积极沟通,完善对话协商机制。相关政府职能部门需求仔细研讨欧盟GDPR的监管规则,严密协同配合,担当无为。在积极制定政策法律不时完善企业数据维护程度的根底上,与欧盟监管当局展开对等对话协商,标明难点与决计,博得了解,增加不用要的处分与贸易纠纷。
再次,完善数据维护执法协作机制。在第四届世界互联网大会上,习近平主席在贺信中指出,全球互联网管理体系革新进入关键时期,希望与国际社会一道,做到开展共同推进、平安共同维护、管理共同参与、效果共同分享。关于GDPR 的监管应战,各国政府该当充沛研讨欧盟数据维护监管的利益关切和举动方案,增强信息开放与共享,健全实体法之间的协调机制,寻觅监管规范的最大条约数,积极寻求产业协作和团体信息维护执法协作,完成全球数据维护的共商共治。
除了作为重罚的根据,欧盟还能够将GDPR作为新的技术壁垒,障碍全球数字经济企业在欧盟的开展扩张。在我国正在推行“一带一路”建议的大背景下,GDPR也能够成为阻挠我国数字经济企业“走出去”的妨碍。但无论如何,在互联网时代,合规运营是数字经济企业做大做强的不二规律。虽然“规”能够很严峻,但只需“规”是合法无效的存在,企业就该当严厉恪守。
(作者为地方财经大学法学院副教授、北京大学法学博士、中国网络与信息法学研讨会理事,编辑:李恩树)
(本文首刊于2018年4月30日出版的《财经》杂志)
责任编辑:陈近梅