2018年5月25日, 欧盟 《普通数据维护条例》(The General Data Protection Regulation, GDPR )正式施行。GDPR取代了欧盟1995年公布施行的《关于团体信息处置维护及团体信息自在传输的指令》,并依据信息化时代的特点,加强了欧盟居民对 团体数据 的控制,一致了欧盟对团体信息维护的监管,降低了欧盟境内团体数据信息活动的本钱。
GDPR延续了欧盟看待团体数据信息的一向思绪,即维护团体数据信息和促进数据自在活动并行。因而,GDPR的施行,对信息化时代团体信息维护和运用任务具有里程碑式的意义。
但是,由于GDPR触及面广、处分严峻,GDPR的施行对欧盟境内外企业,尤其是日常处置客户数据较多的银行有很大影响,对尚在复苏边缘挣扎的欧洲银行业无疑是雪上加霜。另外,由于欧盟各国后期团体信息维护任务停顿不一,GDPR的施行也面临着监管当局和企业预备缺乏的成绩。GDPR与欧盟局部法律也存在一定抵触,法律之间如何协调也需求进一步明白。
GDPR的次要内容
GDPR无需欧盟各成员国转换为国际法而直接施行,一致了蓬勃发展的行业不仅给从业者提供了巨大的发展机遇,也带来了全新的挑战。28个成员国数据维护规则,意味着欧盟真正树立起了一致的团体数据维护和活动规则。
随着中国经济向消费型模式的转型, 电子商务和移动电子商务的快速发展带来了支付行业强劲的增长。GDPR依然延续了欧盟团体数据维护的传统和根本思绪,即增强团体数据维护和促进信息活动并存。为此,GDPR在第1条中就指出“不能以维护处置团体数据中的相关自然人为由,对欧盟外部团体数据的自在活动停止限制或制止”。但GDPR扩展了1995年指令的内容,由34条扩展为99条,同时添加了许多新概念、新准绳和新权益。其次要调整包括以下内容。
进一步保证团体对其数据的控制权
GDPR完善了团体数据的适用范围并规则了团体一切的数据权益。GDPR可适用的团体数据范围以“可辨认性”和“自动化处置”为根据,取得和运用数据需获得用户赞同。GDPR第4条规则:“团体数据”指的是任何已辨认或可辨认的自然人(“数据主体”)相关的信息;一个可辨认的自然人是一个可以被直接或直接辨认的集体,特别是经过诸如姓名、身份编号、地址数据、网上标识,或许自然人所特有的一项或多项的身体性、生感性、遗传性、肉体性、经济性、文明性或社会性身份而辨认集体。GDPR第2条规则:本条例适用于全自动团体数据处置、半自动团体数据处置,以及构成或旨在构成用户画像的非自动团体数据处置。
GDPR规则的团体一切的数据控制权益包括积极权益和消极权益两类。 积极权益为: 数据搜集时的知情权、团体数据处置状况的查询权、团体数据运用时的答应权、团体数据转移权、错误团体数据的修正权、团体数据擦除权、团体数据泄露时的知情权等,回绝或限制团体数据被各种方式应用的 消极权益: 限制控制者的数据运用范围、回绝团体数据被非公益科研或统计活动应用的权益、回绝团体数据被商业应用的权益等。
企业取得和运用团体数据必需获得用户的赞同。GDPR第7条要求,有关团体数据运用答应的条款需求区别于其他效劳条款,该当以容易辨认、浅显易懂的方式表现出来,不得不适外地与其他效劳条款捆绑赞同,也不能以缄默、不作为等默示方式认定为“赞同”。此外,GDPR明白了取得和运用儿童团体数据的方式。GDPR第8条指出:未满16岁(成员国可以将该年龄规范最低下调至13岁)的儿童必需由其监护人作出“赞同”的答应。
重新明白数据控制者、处置者的义务和责任
数据处置者普通为数据控制者提供辅佐效劳。因而,1995年指令规制的对象是数据控制者,处置者为附属位置。而GDPR则视处置者与控制者同等位置,异样规制。GDPR第28条规则:处置者的处置该当受某类合同或其他欧盟法与成员国法的约束,这类合同或法律该当规则处置者绝对于控制者的责任、主体事项、处置期限、处置性质与目的,以及团体数据的类型和控制者的责任与权益。同时,GDPR第31、32、33、37、44、82条也辨别增设了信息处置者的独立义务。
此外,数据控制者和处置者采取的数据维护措施该当地下通明。GDPR第6条规则了可阐明性准绳,要求数据控制者和处置者保证数据维护措施的可阐明性,可以经过详细的阐明或展现来解释其采取了无效的数据维护措施。解释方式可以经过经认证的方式。GDPR第40、41、42条和第43条规则,在欧盟和成员国层面树立数据维护技术规范和认证制度,地下宣传数据维护认证印章和标志,鼓舞控制者和处置者自愿展开数据维护认证,展现数据维护良好抽象。
GDPR还进步了数据控制者和处置者的法律责任,并规则了欧盟和成员国监管当局有矫正性处分权益和行政罚款权益。矫正性处分权益包括:对控制者或处置者收回正告、停止申诫、命令其行使GDPR规则或在特活期限完成、对处置施加暂时性或具有明白期限的禁令、要求对团体数据停止纠正或擦除、撤回认证以及中止数据传输第三国或国际组织等。行政罚款权益包括:除上述矫正性处分措施外,施加最高1000万欧元或相当于上年全球营业支出总额2%的罚款,两者取最高一项;对守法行为较恶劣的,除上述矫正性处分措施外,施加最高2000万欧元或相当于上年全球营业支出总额4%的罚款,两者取最高一项。
完善数据跨境传输和转移的维护规则
为了充沛保证欧盟居民的团体数据维护权益,GDPR将适用范围扩展至一切与欧盟居民团体数据相关的控制者和处置者,即欧盟居民团体数据在欧盟境外也受GDPR维护。此外,GDPR对欧盟团体数据向境外活动提出了严厉要求,除非满足一定条件下可以证明团体数据能在欧盟境外某一地域失掉充沛维护,否则制止控制者和处置者将欧盟居民团体数据转移至该境外地域。
GDPR详细规则了对境外信息维护程度的判别规范,包括人权和根本自在维护的法律制度状况,公共机构获取该被转移数据的状况,能否存在数据维护执法机构及其执法无效性,有关团体数据维护的国际承诺和其他国际义务状况。
欧盟委员会依据上述要素加以思索,可以宣布某一领土、特定部门或国际组织为充沛维护辖区(Adequate Jurisdictions)。GDPR第45条规则:欧盟作出的充沛维护辖区认定结论需求至多每四年复评一次,对复评不合规的该当废弃、修订或暂停施行。但思索到实践操作状况,GDPR第46条规则:关于未获欧盟委员会认定的,控制者和处置者在满足下列担保条件下也可以向欧盟境外传输团体数据,即公共机构或实体之间签署的具有法律约束力和可执行性的文件,制定有约束力的公司规则并取得监管机构同意的,依据GDPR规则的顺序制定并经欧盟委员会同意的数据维护规范条款,第三国控制者或处置者为了采取适宜的平安保证而做出的具有约束力和执行力的承诺。
变革欧盟团体数据维护行政管理体系
GDPR从管理机构、管理形式和管理办法三个方面变革了欧盟团体信息维护行政管理体系。设立欧洲数据维护委员会(European Data Protection Board)。GDPR第68条规则,设立欧洲数据维护委员会,委员会成员由欧盟成员国团体数据维护行政机构担任人或其代表、欧洲数据维护监视局担任人或其代表组成,委员会的秘书处由欧洲数据维护局担任。欧洲信息维护委员会的设立,将无效提升欧洲数据维护局的权利,确保GDPR在各个成员国的一致适用,并及时向欧盟委员会报告GDPR的施行状况。
树立欧盟团体数据维护一站式管理形式。GDPR施行前,欧盟各成员国均有团体数据维护的行政主管机构,这对欧盟跨国企业运营形成了多重监管的担负且添加了本钱。GDPR为了构建一个高度一致的数据维护政策,设立了一站式管理效劳形式。欧盟成员国之间展开团体数据处置活动的企业无须辨别面向各个成员国实行申报等监管义务,而是经过次要运营地的团体数据维护行政主管机构,依照一站式管理效劳完成集中高效监管。
按风险等级差别化办法有针对性地停止团体数据维护任务。GDPR将团体数据处置活动的风险划分为高风险、普通风险和低风险三类。关于高风险,GDPR要求数据控制者展开此类活动前要做影响评价并向数据维护局征询,呈现高风险损害的数据泄露时该当报告和告诉数据维护主管机构和数据主体。关于普通风险和低风险,GDPR适当降低或局部免除了控制者和处置者的责任义务。
GDPR对金融业的潜在影响
GDPR的施行使欧盟持续走在了信息时代数据维护任务的前列,并有助于消弭欧盟各国团体数据监管壁垒,促进境内数据自在活动,为完成欧盟“单一数字市场”战略(为了打破欧盟境内的数字市场壁垒,便当数字经济的开展,欧盟委员会2015年5月6日发布了“单一数字市场”(digital single market)战略的详细规划。该战略有三大支柱,第一支柱是为团体和企业提供更好的数字产品和效劳;第二支柱是发明有利于数字网络和效劳昌盛开展的环境;第三支柱是最大化开掘数字经济的增长潜力,推进欧盟范围内数字自在流通)的施行打下了坚实根底。另外,欧盟团体数据境外传输的较高规范,也倒逼全球范围内增强团体数据维护任务。但由于GDPR触及每个处置和控制欧盟居民团体数据的企业,也有着较高的处分规范,GDPR施行初期势必对企业运营发生一定影响,尤其对日常处置和保管客户数据较多的金融行业来说。全球市场研讨机构Vanson Bourne对500家企业停止了调查,其中76%的金融企业以为GDPR施行将会对企业带来宏大的应战。
金融企业合规本钱短期内将明显上升
GDPR的施行,要求企业处置和控制团体数据必需以可辨认方式获得用户赞同,并采取“简约言语”让用户理解其团体数据运用状况,用户有删除团体数据的权益。另外,超越250人的企业还需求设立一名数据维护官。对不契合GDPR规则的,情节严重的处置高额罚款。金融企业,特别是银行,日常买卖、处置和保管少量的客户数据。上述要求会在短期内明显进步金融企业的合规本钱。全球知名征询公司Oliver Wyman合伙人Chris McMillan提出,银行在及时调整其客户数据处置方式和IT设备方面存在宏大应战,一个客户的数据能够在一家银行100多个零碎中处置和控制,每个零碎调整能够都需几个月的工夫。因而,普遍以为 欧盟银行业 或会是第一批蒙受GDPR处分的行业。
欧盟本国家或地域跨境金融业务运营本钱添加
GDPR规则的欧盟团体数据可跨境传输的前提条件为,欧盟认可的数据充沛维护辖区或经欧盟委员会同意认可的法律文件、单方合约和公司规则等。目前欧盟认可的数据充沛维护辖区仅有11个国度和地域(安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士和乌拉圭)。另外,欧盟与美国2016年启动了名为“隐私盾(Privacy Shield)”的欧盟团体数据维护项目,项目注册的美国企业可传输欧盟团体数据。除上述外,向其他国度和地域企业传输欧盟团体数据,必需失掉欧盟委员会认可或同意。跨境金融业务大局部触及团体数据传输且买卖量宏大,如跨境领取和跨境融资等,如事前必需获得欧盟委员会认可或同意,会大幅添加跨境金融业务本钱。
关注GDPR与其他 金融监管 法律之间的关系
各类金融监管法律都对金融企业客户数据的处置和控制提出明白要求。以银行为例,客户失职调查是银行理解客户和实行反洗钱法律规则的根本义务,在这个进程中,势必触及客户信息搜集、处置和保管等顺序。虽然GDPR规则了数据控制者的合理利益,可作为客户赞同的替代条件(数据控制者的合理利益包括:在保证网络信息平安前提下处置团体信息、向数据维护行政主管机构报告立功或许公共平安严重要挟等),但在实践操作中,其他法律并没有详细规则哪些属于可不获得客户赞同而直接停止调查的信息,哪些信息可以或不可以删除等。因而,银行势必面临着少量的诉讼风险。
另外,欧盟银行业近年来先前面临一系列的法律规则,如《欧盟金融工具市场指令Ⅱ》《国际财务报告原则第9号》等,这些规则都强调了银行数据搜集、处置以及报告的义务。如何均衡GDPR与这些法律之间的关系也亟待明白。
欧盟 金融科技 (FinTech)开展或遭到一定制约
金融科技以数据和技术为中心,融入了大数据、云计算、 人工智能 和区块链等技术创新,逐步改动传统金融业态。以大数据为例,目前金融企业普遍应用 大数据技术 评价客户需求和信誉等级,从而提供有针对性的金融产品和定价布置。而GDPR明白规则,假如为了直接营销的目的而处置团体数据,数据主体有权在任何时分支持,其中包括与此类直接营销相关的概略剖析。因而,大数据剖析行为面临一定法律风险。
此外,GDPR还要求控制者该当为数据主体提供自动化决策的相关信息。而云计算和人工智能都基于复杂的自动化算法,算法触及商业机密和知识产权维护等一系列成绩,能否以及如何向数据主体提供,仍需商榷。
而运用区块链技术处置团体数据则愈加不契合GDPR规则。区块链技术是一种全新的数据存储与管理范式,实质上是在多点散布存储的去中心化数据库。而GDPR仍是一种中心化的标准方式,重点标准的是中心化的数据控制者和处置者。区块链处理去中心化信任的关键就在于数据的不可窜改性,这与GDPR规则的团体数据更正权、删除权和被遗忘权等根本权益有严重抵触。
欧洲银行业正逐步从欧债危机和国际金融危机中渐渐复苏,但仍较软弱。特别是意大利和希腊等银行,不良存款和债权比例不断居高不下。在此状况下,GDPR一致施行必定添加了这些国度银行业的运营压力,成员国政府或会障碍GDPR在银行业的施行。如强行推行,恐又加剧欧洲民粹主义和分裂主义思潮盛行。因而,GDPR在欧盟银行业施行恐遭遇阻力