请选择 进入手机版 | 继续访问电脑版

中国知识产权网-社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 检索
查看: 303|回复: 0

GDPR——个人数据与企业责任 [复制链接]

Rank: 9Rank: 9Rank: 9

UID
1
帖子
11964
积分
107298
金钱
26262
威望
27988
贡献
13036
发表于 2018-8-22 14:43:04 |显示全部楼层

    互联网发展到今天已经进入一个数据为王的时代。数据是互联网行业技术创新和经济发展的基础,数据拥有量决定企业竞争力。就在企业竞相收集个人数据的背景下,欧盟最近正式实施的《通用数据保护条例》(GDPR)无疑给这些数据控制和处理企业敲响了警钟:数据越多则责任越大!


    GDPR是什么?


    “GDPR”全名“General Data Protection Regulation”,翻译成《通用数据保护条例》/《一般数据保护条例》,是欧盟议会于2016年4月通过的关于个人数据保护的新法规,用来取代欧盟议会1995年发布的数据保护指令(Data Protection Directive)。该法规完全更新了欧盟成员国以及任何与欧盟各国进行交易或拥有欧盟成员国公民数据的公司安全处理个人数据以及保证个人数据自由流动的规定。GDPR已于2018年5月25日正式生效了,且是在28个欧盟成员国统一实施生效的,这就意味着28个欧盟成员国对个人信息的保护要求和保护水平全面实现了一致性。


    GDPR为什么重要?

    1. GDPR保护对象敏感,个人数据与隐私保护密切相关。个人数据是互联网行业经济发展和技术进步的基础,大数据、云计算、人工智能、区块链等等无一例外的离不开数据,技术创新要求尽可能多得收集数据,而这与严格保护个人隐私的法律需求相悖,特别是在欧美,个人隐私保护高于一切的环境下。例如3月份发生Facebook数据泄露事件后,Facebook股价大跌,有可能被判处2万亿美元的罚款,扎克伯格还要在美国国会、欧洲议会不断接受质询。GDPR保护的是个人数据以及自然人的基本权利与自由,反映了立法者们努力在技术进步与隐私保护中尽可能地实现个人信息妥善处理、安全商业化的良苦用心。


    2. GDPR适用范围广,世界上只要跟欧洲数据主体沾边的都要遵守。GDPR适用于所有处理和持有欧盟内数据主体的个人数据的公司,而不考虑公司的地理位置。也就是说,以下的公司必须遵守GDPR:在欧盟境内有业务;在欧盟境内没业务,但是存储或处理欧盟公民的个人信息。


    3. GDPR合规要求高,满足其要求需要投入大量的人力物力财力。GDPR对数据控制者和处理者的义务和行为做出了非常严苛的规定。如果企业要满足GDPR的合规要求,至少完成指定一个数据保护官(DPO)、企业内部进行培训、开展自查、进行整改等一系列工作。根据普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求;另有9%的企业预计将花费超过1000万美元。


    4. GDPR违规代价大,罚款金额就高不就低。如果违反GDPR规定,既可以给予行政处罚也可以给予司法救济。违规行为不同,罚金不同但最高将处以2000万欧元的罚金或上一财年全球营业额的4%以下的行政罚款,两者以高的金额为准。管理咨询公司奥利弗·怀曼(Oliver Wyman)预测,欧盟在第一年可能会收到高达60亿美元的罚款金额。


    如何应对GDPR


    既然GDPR如此严厉,一家中国企业到底应不应该遵守GDPR的规定?如何遵守呢?


    第一步搞清楚GDPR的保护对象——个人数据

    GDPR中“个人数据”是指“与已识别或可识别的自然人(数据主体)相关的任何信息。可识别自然人是指可被直接或间接识别的人,特别是可以通过姓名、身份证号码、位置数据、在线身份信息或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的多种参考要素识别出的自然人。”



    整理一下,个人数据包括:

    •        身份信息,如:姓名、年龄、居住地、ID号码、国籍、种族、民族、政治面貌等;

    •        偏好信息,如:生活习惯、饮食习惯、业余爱好、行为模式、个人好恶、消费习惯;

    •        网络信息,如:网络账户(昵称)和密码、位置、IP地址、Cookie数据和RFID标签等;

    •        社交信息,如:家庭、朋友、社会关系、成长经历、社团组织、通讯记录等;

    •        生物识别,如:人脸、指纹、虹膜、声音、遗传信息等;

    •        职业信息,如:职务、工作单位、收入、工作经验、社会保险、公积金等;

    •        健康信息,如:医疗、保健、运动数据等;

    •        经济信息,如:储蓄、投资、理财、资产、负债、房产、租金等;

    •        其他信息,如:性取向、宗教信仰、犯罪记录等。


    GDPR规定的个人数据会在哪里?


    个人数据普遍存在于Email系统、即时通讯工具、电子商务系统、音乐与视频网站、社交媒体/网络、电子银行、手机支付、在线医疗网站、内容共享、在线旅行、在线新闻、移动应用、电信服务、网络游戏、交友网站、地图与定位服务、搜索引擎等等。还有可能存在于企业内部的各种管理系统,如CRM系统、HR系统、OA系统、财务管理系统、供应链管理系统、服务器、云服务、备份系统等等。


    第二步:搞清楚企业个人数据做了什么


    GDPR管的是个人数据的处理行为。该法规中所谓的“处理”指的是针对个人数据或个人数据集合的任何一个或一系列操作行为,无论此操作是否采用自动化手段,包括:收集、记录、组织、建构、存储、改变或修改、恢复、检索、咨询、使用、传输披露、传播、排列组合、限制、删除销毁。


    企业只要对个人数据采取了上述一种或多种措施,那么就成为了GDPR所指的“控制者”或“处理者”,或者二者兼而有之。所谓控制者是指能单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机构、或其他法人组织,而“处理是指代表控制者处理个人数据的自然人、法人、公共机构、行政机构、或其他法人组织。比如B.A.T既是控制者也是处理者。


    举个例子:假设一家中国的汽车制造企业G公司,有一款应用叫“导航云”,通过用户(即使该用户从未出现在欧洲)使用传播到了世界各地,包括欧洲。该款产品包含的功能有:GPS云导航、云通信系统、语音识别、指纹启动系统等。接下来,为了修正bug,提高用户体验,完善“导航云”服务,G公司就会收集客户的个人数据(驾驶经验、安全性、位置、居住地、移动信息、通话记录、信用卡、生理特征),而这些信息会涉及到欧洲数据主体。因此G公司作为一个数据控制者和处理者落入了GDPR的适用范围,那么G公司必须符合GDPR的相关规定。如果违规,那么等待G公司的有可能是巨额罚单。


    第三步GDPR企业的影响有哪些?

    GDPR要求个人数据处理要遵循六大原则:合法、公正、透明;目的限制;数据最小化;准确性;储存限制;完整性与保密性。数据控制者必须能够证明自己在处理个人数据时符合这六大原则的要求。


    由于GDPR明确了数据主体享有知情权、获取权、请求权、访问权、纠正权、删除权(被遗忘权)、限制处理权、数据可移植权、拒绝权。所以,欧洲的数据主体可以向数据控制者主张自己的权利,了解个人信息是否被不当使用,如果有不满,还可以向监管部门投诉。


    同时GDPR对作为数据控制者和/或处理者的企业提出种种要求,特别是对处理过程的安全性、发生数据泄露事件所应采取的处理措施,并要求企业设立数据保护官(Data Protection Officer)。涉及到个人数据跨境转移到第三方国家或国际组织进行处理的,也要确保GDPR的保护规定得到严格执行。


    第四步既然逃不掉,那么企业该怎么

    GDPR号称史上最严苛的数据保护法规,要实现它的要求,企业主要任务是建立并完善企业的数据保护管理体系。按照GDPR的规定,作为数据控制者和/或处理者的企业,要加强对相关工作人员进行培训,提高企业从上到下各个层级对GDPR的认识。对企业上上下下可能发生收集处理个人数据的环节开展自查,包括客户信息系统、供应链、研发、销售、人力资源管理等各种IT基础设施和应用程序。对企业内部各种数据安全规章制度及数据处理流程进行风险评估,确保企业在收集、存储和处理个人数据时要获得数据主体明确同意,企业存储处理个人数据的操作制度流程符合GDPR的要求。企业一定要任命一个DPO数据保护官,对内负责企业数据管理合法合规,对外代表企业配合监督机构的监管工作。如果企业很小不足250人,可以酌情考虑找一个兼职的DPO。DPO可根据企业自查与风险评估情况,制定企业数据保护计划,按部就班进行整改、培训、自查、评估、整改等一系列合规工作,企业可以自行解决,也可以寻求专业服务机构的帮助。GDPR是持久战,企业必须建立持续的监控和评估流程确保合规。


    结语

    综合起来,GDPR对于企业在个人数据存储、处理与保护方式、信息安全管理及合规方面将会产生直接影响,企业需要按照GDPR提出的要求进行调整。但是由于GDPR的一些规定表述的比较模糊,比方说“适当的技术与组织措施”这类表述,会给企业带来困扰,企业在实施过程中很难把握“适当的”度,还需要在实践中不断摸索。(作者:史少华,超凡知识产权服务股份有限公司 北京超凡知识产权研究院副院长)






    来源:超凡知识产权

附件: 你需要登录才可以下载或查看附件。没有帐号?立即注册

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

Archiver|手机版|中国知识产权网-社区

GMT+8, 2018-10-21 03:08 , Processed in 0.062402 second(s), 13 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部