世界最严数据法律来了,中国数字经济企业如何应对?

来源 :新华月报 | 被引量 : 0次 | 上传用户:killme2005
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)正式生效。GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。
  中国发布的《信息安全技术个人信息安全规范》(下称《信息规范》)也于2018年5月1日起实施。
  一些国内企业长期缺乏规则意识,可能并没有尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情形,一旦到了国外可能就不灵。企业的不合规经营行为,一旦被国外政府发现追究起来,处以巨额罚款或禁止业务往来,可能是灭顶之灾。特别是在近几年全球贸易保护主义似乎有所抬头的新时代背景下,企业不合规经营,必将产生数年甚至永远难以消化的“恶果”。
  面对GDPR利剑,全球数字经济企业需要积极应对,努力减少合规风险,防止入“罪”被“罚”。各国政府也需要积极担当作为,为本国数字经济企业的海外发展保驾护航。
  GDPR一大“杀手锏”:重罚
  除了扩大个人数据的保护范围、赋予数据主体一系列强大的权利外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。
  对于数据处理的違法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如果根据全球营业额进行处罚,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annual turnover),而非全球净利润。该等级的处罚究竟适用哪些情形,GDPR第83条第4款规定三大类数据违法行为:第一,数据控制者与处理者没有尽到相应数据保护义务。譬如未实施适当的技术和组织措施、未尽职责保持数据处理活动的记录、没有及时向监管机构通知数据已泄露、未进行数据保护影响评估等;第二,没有对数据保护认证组织履行义务;第三,没有对监管部门履行义务。
  针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。GDPR第83条第5款规定了五大类严重违法的具体情形:第一,违反数据处理的基本原则与条件。数据处理应当遵循六大原则:合法、正当与透明原则,目的有限原则,数据最小化原则,准确性原则,储存限制原则,完整性与保密性原则。数据处理应当符合相应的合法性条件。第二,侵犯数据主体的同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利。第三,不符合条件将个人数据传输给第三国或国际组织。第四,没有对成员国履行相应的义务。第五,未能遵守监管机构的相关要求。
  可见,GDPR设定的“罪”是相当多的,“罚”是非常严厉的。制定任何法律的目的不在于处罚,处罚只是保障法律有效实施的必要手段。“重典治乱”未必总能取得良好效果,但确实可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。
  无论是对于数据处理违法行为的认定及其严重程度判断,还是对于处罚金额的最终作出,欧盟监管机构都享有巨大的执法裁量权。如何减少数据保护监管的权力寻租,防止监管“俘获”,消除腐败,确保公正执法,是接下来欧盟当局特别是法治水平不高的一些成员国需认真对待的问题。
  另一“杀手锏”:“长臂”管辖原则
  确立“长臂”管辖原则,或称为效果原则,是GDPR的另一大“杀手锏”。法律是国家主权的体现,一般只在一国领土范围内发生效力,即属地原则。但随着近些年来网络技术的不断提高,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内得到蓬勃发展。在数字经济时代,再继续坚持传统的属地主义原则,或许无法有效保护本国公民的权益和国家利益。
  GDPR的适用范围极广,将法律适用的属地主义与效果保护主义原则结合起来,扩大法律适用的域外效力。
  首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。
  其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控。此管辖规则实际上确立了GDPR的效果保护主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。效果保护主义原则的确立,大大扩大了GDPR的管辖范围。
  再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据效果保护主义,仍然可能依国际公法规则对数据处理行为进行监管。
  GDPR所确立的三大管辖制度,可称之为“长臂”管辖原则。通过分析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受GDPR的管辖。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。
  “罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的可预测的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。“想吃大蛋糕,又不愿失去更多面包”的全球数字经济企业,应当抓紧按图行事不断完善企业数据治理。
  企业应对GDPR的当务之急
  欧盟对于数据保护设定比较严格的高标准,必然会有很多数字经济企业一时满足不了要求,或一直不愿花大成本满足标准,所以罚款也必将蜂拥而至。那到底罚谁?   由于人力、物力、财力等执法资源的有限性,未来欧盟对于数据保护的“选择性执法”在所难免。名企首当其冲。“枪打出头鸟”,选择“杀”一些名企,达到“儆百”的目的,可能是欧盟未来数据保护执法的常态。
  然而,不管是名企还是非名企,既然选择欧盟大市场,就应当根据GDPR的要求,建立健全合规的数据保护制度。名企财力雄厚,尽管被高额罚款,可能还承受得起。但是,对于非名企,特别是一些中小企业来说,欧盟的一次罚款或制裁,可能马上就会使其濒临破产。
  “羊未亡,牢需补。”全球数字经济企业应当高度重视GDPR。随着中国《信息规范》也将实施,中国企业可以从以下几个方面,尽快完善数据保护制度:
  第一,高度重视个人数据保护。企业高管团队应当对GDPR有清醒的认识和准确的预判,尽早制定周密的战略计划,不计成本消除各种不合规隐患,加强人员管理与培训。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。
  第二,完善数据主体的权利设置与行使操作规程。GDPR赋予了数据主体一系列强大的权利,对于这些权利的保护不足和侵犯属于严重违法行为,欧盟监管机构可处以最高额度的罚款。在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求,例如检查设置的同意权是否符合GDPR的要求。我国《信息规范》要求收集个人数据时原则上应获得授权同意,收集个人敏感信息还需明示同意,另外还明确了撤回同意权。
  第三,完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。以透明的方式,使用简明易懂的语言,及时如实告知收集、存储、使用个人数据的情况。建立健全数据保护影响评估机制与事先协商制度,对个人数据进行去标识化处理,完善数据匿名化处理规程,提高数据处理过程的安全性,并对个人数据处理活动进行记录。
  第四,必要时任命数据保护官。GDPR要求相关企业以透明的方式,任命具有专门数据保护知识的数据保护官(Data Protection Officer,DPO)。DPO可以确保数据控制者和處理者遵从GDPR的相关规定,同时也扮演着与监管机构之间的联系人和合作者的角色。如果经评估必须设立DPO,则应保障DPO的任命、权利和职责符合强制性规定,并为DPO独立履行职责提供充足的资源。另外,企业可考虑聘请外部数据保护顾问。
  第五,完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。企业应详细记录个人数据泄露情况,及时采取补救措施,不断修改完善现有的数据泄露管理流程。我国《信息规范》要求企业定期组织内部相关人员,进行个人信息安全事件应急响应培训和应急演练,及时更新应急预案。
  另外,数字经济企业还应当从更新隐私声明与政策、删除相关协议文本中侵犯数据主体权利的“霸王”条款、完善数据跨境流动机制等方面积极采取应对措施,减少不合规风险。
  政府应为数字经济发展保驾护航
  经济基础决定上层建筑。GDPR是法律,属于欧盟的上层建筑,但其所要调整的却是全世界的数字经济企业。由于不同国家的经济发展水平存在很大差别,所以不同的经济基础与同一的上层建筑之间,必然存在难以调和的矛盾。一方面个人数据权利要保护,另一方面技术要创新、市场要发展,二者之间发生冲突在所难免。
  GDPR是一把双刃剑。欧盟GDPR选择了偏重保护个人数据权利,可能会对技术与市场的发展产生一定的阻碍。发展数字经济,建设数字中国,不仅需要靠企业不断提升数据治理水平,还需要靠政府主动采取措施,解决企业无法克服的实际困难。
  首先,政府应当高度重视GDPR给数字经济带来的挑战。严格的个人数据保护,带来高额合规成本。由于信息资产管理的运营成本会显著增加,而且担心被重罚,一些企业已经暂停欧盟的相关业务。GDPR的实施可能不利于中小数字经济企业成长,并可能助长巨头企业的垄断地位。因而,政府应当在战略上予以重视,积极制定各种鼓励扶持政策,有效支持企业提升数据治理水平,消除数据垄断,降低不合规风险。
  其次,与欧盟积极沟通,完善对话协商机制。相关政府职能部门需要认真研究欧盟GDPR的监管规则,紧密协同配合,担当有为。在积极制定政策法律不断完善企业数据保护水平的基础上,与欧盟监管当局开展平等对话协商,表明难点与决心,赢得理解,减少不必要的处罚与贸易纠纷。
  再次,完善数据保护执法合作机制。在第四届世界互联网大会上,习近平主席在贺信中指出,全球互联网治理体系变革进入关键时期,希望与国际社会一道,做到发展共同推进、安全共同维护、治理共同参与、成果共同分享。对于GDPR的监管挑战,各国政府应当充分研究欧盟数据保护监管的利益关切和行动计划,加强信息开放与共享,健全实体法之间的协调机制,寻找监管标准的最大公约数,积极寻求产业合作和个人信息保护执法合作,实现全球数据保护的共商共治。
  除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍全球数字经济企业在欧盟的发展扩张。在我国正在推行“一带一路”倡议的大背景下,GDPR也可能成为阻挡我国数字经济企业“走出去”的障碍。但无论如何,在互联网时代,合规经营是数字经济企业做大做强的不二法则。尽管“规”可能很严厉,但只要“规”是合法有效的存在,企业就应当严格遵守。
  (摘自《财经》2018年第9期。作者为中央财经大学法学院副教授、北京大学法学博士、中国网络与信息法学研究会理事)
其他文献
礼宾,顾名思义,即以“礼”待宾客。外交礼宾是国家对外礼仪和典礼事务以及国家间官方交往的礼仪、礼节、礼遇的总称,内容涵盖多方面,主要包括外国国宾来华接待、举办国际会议和大型活动、会谈会见、礼宾排序、宴请礼仪、馈赠国礼等。  礼宾是外交工作的重要组成部分,是外交工作的寒暑表、先行军,是国家的窗口和“门面”,是最先给外宾留下印象的工作。新中国外交礼宾继承和发扬中华文明的优良传统,学习借鉴国际惯例,通过不
一大清早,我还在床上和“懒虫”作斗争,就听见隔壁爷爷的房门“吱呀”一声。我知道,爷爷肯定是出门和他的那些战友一起去社区做义工去了。  许是当过兵的缘故,70多岁的爷爷虽年纪不小,但身体非常硬朗。他开朗乐观,笑容长期荡漾在脸上,就连我这个中学生都很羡慕他。顺便简单介绍一下,我的爷爷叫王水生,1946年7月出生,是一个有着“援越抗美老兵”光环的退休工人。  听爷爷说,他出生在南城县城北门外一个叫罗家排
“正定是我从政起步的地方,这里是我的第二故乡。”  “我们的宗旨就是为人民服务,有了这份感情,只要在一个地方工作过,就永远不会忘记那里的群众。”  1982年3月,习近平赴河北正定,先后任县委副书记、书记。在正定工作的1000多个日日夜夜,他的足迹遍及全县25个公社、221个大队。  从1991年到2013年,习近平先后6次回到正定。直到今天,正定百姓一提起他,还会亲切地叫一声“老书记”。  朱博
放假后,我整天待在家里,除了写作业就无所事事,实在太无聊了。妈妈笑着说:“那你就跟我学做包子吧!”  做包子?平时我都是直接去店里买现成的,自己做,能做好吗?我正想着,就听到妈妈在厨房里叫我。看到我不敢尝试的样子,她微笑着说:“要对自己有信心。你都没有尝试过,怎么知道自己不行呢?你做的包子只是给自家人吃的,做得不好也没人会笑话你。”听妈妈这样一说,我心里就踏实了。  不过我还是有一点担心,要是做好
7月19日,经过近8小时的激烈辩论,以色列议会在凌晨4点以62票赞成、55票反对、2票弃权的结果勉强通过一项颇有争议的“犹太民族国家”法案。這部基本法从法律上明确了以色列的国家属性,将进一步加强并巩固以色列的犹太民族性,遭到了国内外的广泛批评。  法案共11条,除了在以色列的国家象征、官方日历、法定假日、全球犹太人权益等方面进行了规定外,法案最受争议的莫过于以下4条:“以色列是犹太民族的国家,犹太
白头如新,出自漢代邹阳《狱中上梁王书》:“有白头如新,倾盖如故。”“白头”指头发都白了,也就是人老了的意思。“新”意为新认识的。“白头如新”的意思就是:双方彼此不了解,即使交往了一辈子,到老了还是像刚认识一样。  西汉时期,邹阳有一次因为受人诬陷,被梁孝王关进监牢,准备处死。邹阳十分激愤,他在狱中给梁孝王写了一封信,信中列举事实说明:“待人真诚就不会被人怀疑纯粹是一句空话。”他写道:“荆轲冒死为燕
一  “嗨!你好啊!”我刚从公交车上挤下来,就遇见了班花马钰。面对她笑盈盈的脸,我的心倏地猛跳起来,有如鹿撞,却又泛起丝丝甜蜜。  马钰和我同班,是我们男生私底下公认的“美丽与智慧”并存的班花。我们说着话,并肩走进校门。虽然只有短短一段路,于我却是美好一天的开始。  我用余光偷偷打量她,欣赏她秀美的鼻翼和飘逸的马尾辫。她有些兴奋地和我说起头天晚上欧洲杯的足球赛事。马钰是个很不寻常的女生,她不仅漂亮
当好朋友遇到了挫折或不如意的事情,要怎么样去安慰他呢?当自己遇到了同样的状况时,又要怎么样鼓励自己呢?让我们来看看老美都是怎么鼓励别人的吧!  1. Hang in there. 撑下去。  想象有人快要从悬崖边掉下去,只剩下一只手抓着边缘的石块,这时候他最需要的一句话就是“Hang in there”。这里的“hang in”就是“抓住,不要让自己掉下去”的意思。它用在实际生活中就是鼓励别人“坚
她是一个卖煎饼的,以前,我和她同住一个巷子里。她是一个遭遇不幸的女人,却是生活的强者,在苦难中勇敢地昂起头。(开头简洁,直奔主题)  她个头不高,瘦瘦的,看起来有点弱不禁风,但干起活来手脚利索,力气很大,一点也不柔弱。  她的丈夫在建筑工地上意外受伤,丧失了劳动能力。她又没有正式工作,还有一个儿子正在读书,处处都要花钱,所以她家的生活非常窘迫。但多舛的命途并没有将她压垮,这个坚强的女人并不服输,经
在浩渺峻急的时间长河中,5年转瞬即逝,但总有一些特殊历史事件留下非凡的记忆。5年了,“一带一路”成为中国和人类发展史上一个多维度的醒目标识。  时间维度上,“一带一路”一头牵着历史,一头连着现实。它见证千年风雨沧桑,也充满了日新月异的发展活力。  空间维度上,“一带一路”横跨欧亚大陆,串联世界梦想。它是世界互联互通的桥梁,也是沿线国家携手共进的纽带。  发展维度上,“一带一路”从倡议到共识,从概念