论文部分内容阅读
摘 要:欧盟正式颁布实施《一般数据保护条例》(General Data Protection Regulation,GDPR)至今,各成员国企业在其影响下已纷纷采取措施适应GDPR的合规要求,但还是面临着难以跟进监管要求、合规成本高昂、违规成本高昂等巨大挑战。GDPR基于其宽泛的管辖权,也给我国涉欧企业带来了数据合规挑战。面对这一挑战,我国涉欧企业应将其视为机遇而非负担,积极构建数据合规路径,提升企业的核心竞争力。基于此,主要从以下几个方面构建数据合规之路:一是构建成熟的数据合规组织体系,二是建立完备的数据合规防范体系,三是形成健全的数据风险应对体系,四是积极运用智能化方式推进数据合规建设。
关键词:GDPR;涉欧企业;数据合规路径
中图分类号:DF92 文献标志码:A 文章编号:1673-291X(2020)21-0166-02
在当今的大数据时代,数据已经成为一种宝贵的资源,国际组织、各国政府管理部门高度重视完善自身的数据保护框架,企业也在不断增强适应数据规则的能力。2018年5月25日,欧盟正式颁布实施堪称“史上最严数据保护条例”的《一般数据保护条例》(General Data Protection Regulation,GDPR),欧盟各成員国企业在其影响下已纷纷构建起数据合规路径。由于GDPR赋予数据监管部门宽泛的管辖权,我国涉欧企业也受其约束和影响。随着我国与欧盟间的业务不断扩大,数据合规的需求也不断增加。因此,我国涉欧企业构建数据合规之路具有重大战略意义,一方面有利于促进涉欧企业的全球化发展,另一方面有利于涉欧企业规避数据风险,从而提升企业的核心竞争力。
一、GDPR中企业数据合规的相关规定
1.数据控制者、处理者义务规则。根据GDPR第4条的规定,控制者是指能够单独或联合决定个人数据的处理目的及方法的自然人、法人、公共机构、行政机关或者非法人组织;处理者是指接受控制者委托、代表控制者处理个人数据的自然人、法人、公共机构、行政机关或者非法人组织。GDPR的数据控制者、处理者义务规则对企业的数据合规进行了规制,一定程度上加重了企业的数据合规义务和负担,主要体现在以下几个方面:第一,数据处理活动记录义务。企业应依职责保存并向数据监管机构提供数据处理活动的记录。第二,个人数据泄露的报告和告知义务。发生个人数据泄露时,企业应在规定时间内向数据监管机构报告,并及时通知数据主体。第三,数据保护影响评估和事前咨询义务。企业在处理数据前,应就自身预想的保护个人数据的操作方法及影响做出评估,根据评估结果体现出的数据风险高低决定是否应咨询数据监管机构。第四,设置数据保护官(Data Protection Officer,DPO)义务。GDPR规定企业应设置DPO,并详细规定了DPO的地位及任务。
2.数据跨境传输规则。GDPR对于个人数据向第三国或国际组织的传输的规定主要集中于第五章,其中可能影响企业数据合规的主要有以下几个方面的规定:首先,基于充分性决议传输数据。根据GDPR第45条的规定,除特殊情况外,第三国或国际组织要接收来自欧盟境内的个人数据传输需要经欧盟认证确定“具有充分性保护”。因此,若企业所在国家未获欧盟充分性决议认可,企业应通过满足GDPR的其他条款进行合法的数据跨境传输。其次,数据传输受到适当保障。在缺乏GDPR第45条第3款规定条件的情况下,仅当在企业提供适当的保障措施,且存在救济数据主体权利的有效法律措施的情况下,企业才能向第三国或国际组织传输数据。最后,约束性公司规则(Binding Cooperate Rules,BCRs)。BCRs是监管机构为使数据跨境传输合法化而设立的一种内部公司规则,GDPR对BCRs施加了严格的要求。
3.巨额行政处罚规则。为了保障数据保护的权利,GDPR的一个显著特征是对违法企业进行巨额行政处罚,罚款分为以下两档:一是处以最高达1 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的2%以下的行政罚款,两者中以较高数额为准;二是处以最高达2 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的4%以下的行政罚款,两者中以较高数额为准。
4.实施现状及评价。GDPR正式实施至今,绝大多数成员国已经根据GDPR更新了国家数据保护法律,各国企业也纷纷随之建立数据合规路径。汤森路透(Thomson Reuters)的调查数据显示,79%的企业要么没有满足GDPR的监管要求,要么在跟进规则方面遇到困难;91%的企业表示知道GDPR,但其中1/4表示自己没有熟悉了解其规定;这些企业在数据保护方面的年平均支出为130万美元,预计合规成本还将不断提高[1]。据中兴通讯数据保护合规部不完全统计,截至2019年9月24日,22家欧盟成员国的数据保护机构对87件案件共做出 373 650 857 欧元的行政处罚决定[2]。处罚力度之大前所未有,为企业合规敲响了警钟。
GDPR的最终效果还需要时间来检验,但确定性的影响则是GDPR的实施已经给相关企业的合规性带来了极大挑战。随着未来GDPR及其配套适用规范、解释的更新,随着欧盟成员国乃至受GDPR影响的非成员国根据GDPR做出的法律法规的更新,企业面临的挑战将会只增不减。企业应直面挑战,构建合理的数据合规路径,并及时跟踪数据保护法律法规框架日益扩展的动态。将GDPR视为机遇而非负担,会为企业带来更多可能性。
二、GDPR下我国涉欧企业面临的数据合规挑战
1.GDPR与《网络安全法》存在一定的冲突。我国对数据合规规定得较为详尽的法律是《网络安全法》(以下简称“网安法”),我国涉欧企业面临着GDPR和网安法的双重管辖,而GDPR与《网络安全法》间存在一定的法律冲突。根据GDPR第58条规定,欧盟的数据监管机构对涉欧企业享有调查权,有权要求涉欧企业提供其履职所需的信息。而我国网安法第37条规定,关键信息基础设施的运营者因业务需要确需向境外提供个人信息和重要数据的,应当进行安全评估。由此可见,我国涉欧企业在向欧盟的数据监管机构提供有关信息时,可能会受到“安全评估”的阻碍,甚至不能向欧盟的数据监管机构提供调查所需信息[3]。 2.合规运营成本高。GDPR对个人数据的保护和监管达到了史上最严的程度,致使企业不得不因此改变存储、处理、传输数据的方式,以增强数据管理能力,进而提高了企业合规运营成本。中国社科大互联网法治研究中心执行主任刘晓春表示,高合规成本更有利于大企业的资源分配,并且可能导致企业的资源从创新转移到信息保护上去,这是不妥当的[4]。的确,对中小企业来说,高合规成本造成了冲击,导致企业资源分配趋向不均衡。对所有企业来说,为遵守GDPR的规定,可能要通过减少创新预算来增加信息保护的成本,这不利于企业创新发展。
3.违规成本高。如上文所述,GDPR对违法企业会处以巨额行政处罚,而我国网安法的处罚力度远不及此,企业应及时调整面对高违规成本的心态和做法。无论是传统行业还是新兴领域行业,只要涉及处理欧盟境内的个人数据,企业都要遵守GDPR的相关规定,否则将面临最高年全球营业额4%的罚款,除非企业忍痛放弃整个欧盟市场[5]。
三、机遇与挑战:我国涉欧企业数据合规之路的构建
由于GDPR宽泛的管辖权,我国涉欧企业也受其约束和影响。面对挑战,我国涉欧企业应从以下几个方面构建数据合规之路。
1.构建成熟的数据合规组织体系。第一,企业战略层及高层管理人员应发挥先锋作用。要增强GDPR合规意识,重视并牵头组织进行GDPR合规工作。第二,成立跨部门合规团队。GDPR的合规工作需要安全、法务、财务、数据应用和管理部门、产品和服务开发部门等部门所组成的跨部门合规团队共同协作进行[6]。第三,设置DPO一职。虽然GDPR没有强制要求所有企业都设置DPO一职,但DPO有助于企业提高工作效率、建立完善的数据处理流程,因此大型企业可以考虑将“数据保护官制度”写入公司章程,中小型企业在不任命DPO的情况下应确保能采取其他方式实现数据合规[7]。
2.建立完备的数据合规防范体系。首先,企业应把控好自身所要处理的数据。要全面分析自身所处理的数据类型并做好分类,深入了解数据处理所带来的风险,从而建立风险评估制度,制定应对风险的可行性方案并进行多次演练。其次,完善数据安全内部规范。企业应熟悉了解GDPR及其在欧盟各成员国的适用,保持数据安全内部规范不断跟进国家规范标准及GDPR相关标准,同时对内部规范的执行进行监督和促进。最后,要改进数据安全技术手段。企业在处理数据的过程中,应严格按照国家规范及GDPR的规定,对敏感数据采取加密、隔离手段,并执行有效的数据访问控制手段。
3.形成健全的数据风险应对体系。GDPR第33条规定,企业应在知道个人数据泄露发生之时起的72小时内向监管机构进行报告,并及时告知数据主体。鉴于数据泄露发生时,通知监管机构和数据主体的时间十分有限,企业应做好内部数据泄露应对计划,制定明确的政策和程序,确保能迅速应对任何数据泄露。具备条件的企业,还可以建立企业级安全应急响应中心,对外收集安全威胁情报,对内排查安全漏洞并及时进行修补和完善,化被动为主动,从容应对数据风险。
4.积极运用智能化方式推进数据合规建设。采用人工方式推进数据合规建设,可能会带来高昂的成本和无法避免的人为错误[8]。经济有效的方法是确定数据合规存在的问题及解决方案,从而建立数据合规模型,通过算法自动检测是否合规,利用智能化方法来实行该方案。运用智能化的合规方法是企业长期保持合规性的关键,它可以对数据做出快速的识别、分类、传输等处理行为,使这些流程智能化不仅可以节省大量时间并消除人為错误的因素,还可以形成一个标准化程序,以便在处理数据的过程中发生错误时可以对该错误进行自动标记和纠正。当发生数据泄露事件时,智能化还有助于加快报告过程。随着数据组合的日益复杂,智能化的合规方法越来越凸显出其重要性。
在数据驱动时代,企业若能按照GDPR这一号称史上最严的数据法规做出数据合规改变,就能大大提高数据合规水平,规避违法风险和商业风险,且有助于建立消费者对企业的信任,创造更多商业价值。GDPR引起了新一轮数据合规的浪潮,遵守GDPR并非我国涉欧企业数据合规的最终目标,而是我国涉欧企业构建数据合规之路的开始。
参考文献:
[1] Thomson Reuters.GDPR+1 Year:Businesses struggle as data privacy regulations increase[EB/OL].https://blogs.thomsonreuters.com/answerson/gdpr-1-year-data-privacy-survey/.
[2] 中兴通讯数据保护合规部,数据法盟.GDPR执法案例精选白皮书[R/OL].https://mp.weixin.qq.com/s/XGIUvqWpxpv52cw-VlN SKw,2019-10-19.
[3] 胡文华.冲击与应对:GDPR与《网络安全法》比较视野下的企业合规[J].中国信息安全,2018,(7):77-81.
[4] 对外经济贸易大学数字经济与法律创新研究中心.效果评估:GDPR究竟带来了什么?[EB/OL].阿里研究院,2019-10-25.
[5] 王融.《欧盟数据保护通用条例》详解[J].大数据,2016,(4):93-101.
[6] 欧盟数据宪章:《一般数据保护条例》GDPR评述及实务指引[M].北京:法律出版社,2018.
[7] 王楠.GDPR“数据保护官”制度探析——兼论其对中国的启示[J].电子知识产权,2019,(6):16-26.
[8] Rob Perry.GDPR-project or permanent reality?[J].Computer Fraud & Security,2019,(1):9-11.
关键词:GDPR;涉欧企业;数据合规路径
中图分类号:DF92 文献标志码:A 文章编号:1673-291X(2020)21-0166-02
在当今的大数据时代,数据已经成为一种宝贵的资源,国际组织、各国政府管理部门高度重视完善自身的数据保护框架,企业也在不断增强适应数据规则的能力。2018年5月25日,欧盟正式颁布实施堪称“史上最严数据保护条例”的《一般数据保护条例》(General Data Protection Regulation,GDPR),欧盟各成員国企业在其影响下已纷纷构建起数据合规路径。由于GDPR赋予数据监管部门宽泛的管辖权,我国涉欧企业也受其约束和影响。随着我国与欧盟间的业务不断扩大,数据合规的需求也不断增加。因此,我国涉欧企业构建数据合规之路具有重大战略意义,一方面有利于促进涉欧企业的全球化发展,另一方面有利于涉欧企业规避数据风险,从而提升企业的核心竞争力。
一、GDPR中企业数据合规的相关规定
1.数据控制者、处理者义务规则。根据GDPR第4条的规定,控制者是指能够单独或联合决定个人数据的处理目的及方法的自然人、法人、公共机构、行政机关或者非法人组织;处理者是指接受控制者委托、代表控制者处理个人数据的自然人、法人、公共机构、行政机关或者非法人组织。GDPR的数据控制者、处理者义务规则对企业的数据合规进行了规制,一定程度上加重了企业的数据合规义务和负担,主要体现在以下几个方面:第一,数据处理活动记录义务。企业应依职责保存并向数据监管机构提供数据处理活动的记录。第二,个人数据泄露的报告和告知义务。发生个人数据泄露时,企业应在规定时间内向数据监管机构报告,并及时通知数据主体。第三,数据保护影响评估和事前咨询义务。企业在处理数据前,应就自身预想的保护个人数据的操作方法及影响做出评估,根据评估结果体现出的数据风险高低决定是否应咨询数据监管机构。第四,设置数据保护官(Data Protection Officer,DPO)义务。GDPR规定企业应设置DPO,并详细规定了DPO的地位及任务。
2.数据跨境传输规则。GDPR对于个人数据向第三国或国际组织的传输的规定主要集中于第五章,其中可能影响企业数据合规的主要有以下几个方面的规定:首先,基于充分性决议传输数据。根据GDPR第45条的规定,除特殊情况外,第三国或国际组织要接收来自欧盟境内的个人数据传输需要经欧盟认证确定“具有充分性保护”。因此,若企业所在国家未获欧盟充分性决议认可,企业应通过满足GDPR的其他条款进行合法的数据跨境传输。其次,数据传输受到适当保障。在缺乏GDPR第45条第3款规定条件的情况下,仅当在企业提供适当的保障措施,且存在救济数据主体权利的有效法律措施的情况下,企业才能向第三国或国际组织传输数据。最后,约束性公司规则(Binding Cooperate Rules,BCRs)。BCRs是监管机构为使数据跨境传输合法化而设立的一种内部公司规则,GDPR对BCRs施加了严格的要求。
3.巨额行政处罚规则。为了保障数据保护的权利,GDPR的一个显著特征是对违法企业进行巨额行政处罚,罚款分为以下两档:一是处以最高达1 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的2%以下的行政罚款,两者中以较高数额为准;二是处以最高达2 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的4%以下的行政罚款,两者中以较高数额为准。
4.实施现状及评价。GDPR正式实施至今,绝大多数成员国已经根据GDPR更新了国家数据保护法律,各国企业也纷纷随之建立数据合规路径。汤森路透(Thomson Reuters)的调查数据显示,79%的企业要么没有满足GDPR的监管要求,要么在跟进规则方面遇到困难;91%的企业表示知道GDPR,但其中1/4表示自己没有熟悉了解其规定;这些企业在数据保护方面的年平均支出为130万美元,预计合规成本还将不断提高[1]。据中兴通讯数据保护合规部不完全统计,截至2019年9月24日,22家欧盟成员国的数据保护机构对87件案件共做出 373 650 857 欧元的行政处罚决定[2]。处罚力度之大前所未有,为企业合规敲响了警钟。
GDPR的最终效果还需要时间来检验,但确定性的影响则是GDPR的实施已经给相关企业的合规性带来了极大挑战。随着未来GDPR及其配套适用规范、解释的更新,随着欧盟成员国乃至受GDPR影响的非成员国根据GDPR做出的法律法规的更新,企业面临的挑战将会只增不减。企业应直面挑战,构建合理的数据合规路径,并及时跟踪数据保护法律法规框架日益扩展的动态。将GDPR视为机遇而非负担,会为企业带来更多可能性。
二、GDPR下我国涉欧企业面临的数据合规挑战
1.GDPR与《网络安全法》存在一定的冲突。我国对数据合规规定得较为详尽的法律是《网络安全法》(以下简称“网安法”),我国涉欧企业面临着GDPR和网安法的双重管辖,而GDPR与《网络安全法》间存在一定的法律冲突。根据GDPR第58条规定,欧盟的数据监管机构对涉欧企业享有调查权,有权要求涉欧企业提供其履职所需的信息。而我国网安法第37条规定,关键信息基础设施的运营者因业务需要确需向境外提供个人信息和重要数据的,应当进行安全评估。由此可见,我国涉欧企业在向欧盟的数据监管机构提供有关信息时,可能会受到“安全评估”的阻碍,甚至不能向欧盟的数据监管机构提供调查所需信息[3]。 2.合规运营成本高。GDPR对个人数据的保护和监管达到了史上最严的程度,致使企业不得不因此改变存储、处理、传输数据的方式,以增强数据管理能力,进而提高了企业合规运营成本。中国社科大互联网法治研究中心执行主任刘晓春表示,高合规成本更有利于大企业的资源分配,并且可能导致企业的资源从创新转移到信息保护上去,这是不妥当的[4]。的确,对中小企业来说,高合规成本造成了冲击,导致企业资源分配趋向不均衡。对所有企业来说,为遵守GDPR的规定,可能要通过减少创新预算来增加信息保护的成本,这不利于企业创新发展。
3.违规成本高。如上文所述,GDPR对违法企业会处以巨额行政处罚,而我国网安法的处罚力度远不及此,企业应及时调整面对高违规成本的心态和做法。无论是传统行业还是新兴领域行业,只要涉及处理欧盟境内的个人数据,企业都要遵守GDPR的相关规定,否则将面临最高年全球营业额4%的罚款,除非企业忍痛放弃整个欧盟市场[5]。
三、机遇与挑战:我国涉欧企业数据合规之路的构建
由于GDPR宽泛的管辖权,我国涉欧企业也受其约束和影响。面对挑战,我国涉欧企业应从以下几个方面构建数据合规之路。
1.构建成熟的数据合规组织体系。第一,企业战略层及高层管理人员应发挥先锋作用。要增强GDPR合规意识,重视并牵头组织进行GDPR合规工作。第二,成立跨部门合规团队。GDPR的合规工作需要安全、法务、财务、数据应用和管理部门、产品和服务开发部门等部门所组成的跨部门合规团队共同协作进行[6]。第三,设置DPO一职。虽然GDPR没有强制要求所有企业都设置DPO一职,但DPO有助于企业提高工作效率、建立完善的数据处理流程,因此大型企业可以考虑将“数据保护官制度”写入公司章程,中小型企业在不任命DPO的情况下应确保能采取其他方式实现数据合规[7]。
2.建立完备的数据合规防范体系。首先,企业应把控好自身所要处理的数据。要全面分析自身所处理的数据类型并做好分类,深入了解数据处理所带来的风险,从而建立风险评估制度,制定应对风险的可行性方案并进行多次演练。其次,完善数据安全内部规范。企业应熟悉了解GDPR及其在欧盟各成员国的适用,保持数据安全内部规范不断跟进国家规范标准及GDPR相关标准,同时对内部规范的执行进行监督和促进。最后,要改进数据安全技术手段。企业在处理数据的过程中,应严格按照国家规范及GDPR的规定,对敏感数据采取加密、隔离手段,并执行有效的数据访问控制手段。
3.形成健全的数据风险应对体系。GDPR第33条规定,企业应在知道个人数据泄露发生之时起的72小时内向监管机构进行报告,并及时告知数据主体。鉴于数据泄露发生时,通知监管机构和数据主体的时间十分有限,企业应做好内部数据泄露应对计划,制定明确的政策和程序,确保能迅速应对任何数据泄露。具备条件的企业,还可以建立企业级安全应急响应中心,对外收集安全威胁情报,对内排查安全漏洞并及时进行修补和完善,化被动为主动,从容应对数据风险。
4.积极运用智能化方式推进数据合规建设。采用人工方式推进数据合规建设,可能会带来高昂的成本和无法避免的人为错误[8]。经济有效的方法是确定数据合规存在的问题及解决方案,从而建立数据合规模型,通过算法自动检测是否合规,利用智能化方法来实行该方案。运用智能化的合规方法是企业长期保持合规性的关键,它可以对数据做出快速的识别、分类、传输等处理行为,使这些流程智能化不仅可以节省大量时间并消除人為错误的因素,还可以形成一个标准化程序,以便在处理数据的过程中发生错误时可以对该错误进行自动标记和纠正。当发生数据泄露事件时,智能化还有助于加快报告过程。随着数据组合的日益复杂,智能化的合规方法越来越凸显出其重要性。
在数据驱动时代,企业若能按照GDPR这一号称史上最严的数据法规做出数据合规改变,就能大大提高数据合规水平,规避违法风险和商业风险,且有助于建立消费者对企业的信任,创造更多商业价值。GDPR引起了新一轮数据合规的浪潮,遵守GDPR并非我国涉欧企业数据合规的最终目标,而是我国涉欧企业构建数据合规之路的开始。
参考文献:
[1] Thomson Reuters.GDPR+1 Year:Businesses struggle as data privacy regulations increase[EB/OL].https://blogs.thomsonreuters.com/answerson/gdpr-1-year-data-privacy-survey/.
[2] 中兴通讯数据保护合规部,数据法盟.GDPR执法案例精选白皮书[R/OL].https://mp.weixin.qq.com/s/XGIUvqWpxpv52cw-VlN SKw,2019-10-19.
[3] 胡文华.冲击与应对:GDPR与《网络安全法》比较视野下的企业合规[J].中国信息安全,2018,(7):77-81.
[4] 对外经济贸易大学数字经济与法律创新研究中心.效果评估:GDPR究竟带来了什么?[EB/OL].阿里研究院,2019-10-25.
[5] 王融.《欧盟数据保护通用条例》详解[J].大数据,2016,(4):93-101.
[6] 欧盟数据宪章:《一般数据保护条例》GDPR评述及实务指引[M].北京:法律出版社,2018.
[7] 王楠.GDPR“数据保护官”制度探析——兼论其对中国的启示[J].电子知识产权,2019,(6):16-26.
[8] Rob Perry.GDPR-project or permanent reality?[J].Computer Fraud & Security,2019,(1):9-11.