首頁行業歐盟GDPR合規如何改變數據保護流程的常見問題?
01.背景
在介紹GDPR前,首先要對歐盟的立法機制進行一個初步的介紹。歐盟作為一個擁有27個成員國的超國家政府組織,與立法有關的機構設著主要由三個關鍵部分組成,分別是歐盟委員會(EUCommission),歐州議會(EUparliament)以及歐盟理事會(EUCouncil)。歐盟委員會有權力起草立法草案,也是法案的實際執行機構。歐州議會則是由民選代表組成的議會,類似于下議院,其有權向歐盟委員會提出立法建議。歐盟理事會則是由各個成員國政府任選的官員組成,類似于上議院,其也有權向歐盟委員會提出立法建議。當歐盟委員會起草立法草案后,將會將草案分別提交歐盟理事會和歐盟議會審議和修改。若歐盟理事會和歐洲議會通過該草案,則草案生效為正式的法律。在這一機制下,歐盟通過的法律分為三個種類,分別是必須由各個成員國強制執行的“條例”(Regulation),可以由成員國根據自身情況進行靈活適用的“指導”(Directive),以及僅針對特定事由或對象的“決定”(Decision)。而我們要討論的GDPR,其全稱為GeneralDataProtectionRegulation,顧名思義這是一個必須要在全歐盟成員國內都強制執行的“條例”,具有最高的立法地位和執行效力。歐盟曾經于1995年通過了95/46/EC號指導以規制對個人信息的保護,而生效于2018年的GDPR則完全替代了95/46/EC號指導,成為了迄今為止在全球范圍內規定內容最廣泛細致,立法技術最完善的一部個人數據保護法律文件。GDPR不僅在歐洲,在全世界范圍內都有著非常大的影響力,這既是因為其先進的立法技術正在被全世界的其他國家和地區借鑒,更是因為其強大的域外效力讓大多數業務涉及歐洲市場的商業和非商業主體都不得不正視這部立法的存在并遵守之。02.GDPR的適用范圍根據傳統而言數據保護法在歷史上主要適用于地理位置位于歐盟的組織。然而,GDPR相比之前的立法有著更廣泛的適用性。該條例第3條實際上規定,該法律適用于在歐盟(包括歐洲經濟區(EEA)的國家)對個人有數據保護后果的任何活動。在這一規定下,其所適用范圍主要包含四重理解:?1、在歐盟境內有實體存在的個人數據控制人和個人數據處理人處理數據的行為,不論該處理行為本身是否發生在歐盟境內;?2、對身在歐盟的個人的個人數據進行處理的行為,不論人數據控制人和個人數據處理人是否在歐盟境內;?3、對向歐盟境內的個人出售貨物或提供服務的,不論這些服務行為是否收費;?4、對在歐盟境內的個人行為進行監控和追蹤活動,包括根據用戶行為進行廣告推薦。另外還需要注意到,以上這四重理解中的“在歐盟境內”,不僅包含實際在歐盟領土范圍內,也包括在法律上屬于歐盟的領土,這就讓位于非歐盟境內的成員國大使館等也變成了GDPR中“在歐盟境內”的范圍,因此在使領館內的數據處理也要遵守GDPR的規定。03.對GDPR部分術語的理解?(1)個人數據在GDPR下,個人數據是指與已識別或可識別的自然人有關的任何信息。可識別的自然人是“可以直接或間接地識別的人,特別是通過引用標識符來識別的人”。在這一定義下,若一個自然人有可能被識別,那么即便關于這個自然人的某些信息不能直接將這個自然人識別,這些信息也都構成個人信息。例如姓名、識別號碼、位置數據、在線標識符或與該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份有關的一個或多個因素皆可以構成個人數據,甚至包括位置信息,個人編好和網絡cookie。因此,個人信息的范圍實際上是非常非常廣泛的。
?(2)數據處理
GDPR第4條規定:“對個人資料或一組個人資料進行的任何操作或一組操作,不論是否以自動方式進行,例如:收集、記錄、組織、構造、儲存、改編或更改、檢索、咨詢、使用、通過傳輸、傳播或以其他方式提供而披露、對齊或組合、限制、刪除或銷毀,皆構成數據處理”。這個處理的定義非常廣泛,基本上,一個組織在數據的生命周期中對數據所能做的幾乎所有事情,包括最初的獲取和最終的銷毀,以及兩者之間的存儲,或對信息的任何使用,都相當于處理,因當被納入數據保護法律制度。值得注意的是,該定義擴展到僅存儲信息的計算機硬盤驅動器,服務器,CD-Rom,或任何便攜式存儲設備,包括U盤。它還包括數據匹配、數據共享、數據挖掘和數據倉庫等活動。
?(3)歸檔系統
類似于適用于電子處理的個人數據,GDPR適用于包含在某些手冊(紙質)記錄的信息。這樣的基于紙張的記錄通常必須構成“歸檔系統”的一部分。
?(4)數據控制人
GDPR第4(7)條規定:“數據控制人是指單獨或與他人共同決定處理個人數據的目的和方法的自然人或法人、公共當局、機構或其他機構”。一般來說,所有的個體貿易商、自營業主、合伙企業和公司將成為控制人,包括所有線上或線下實體企業,如銀行、保險公司、律師事務所、超市、博彩商店、眼鏡商、牙醫、醫療實踐、互聯網搜索引擎、制藥公司、電信企業(包括互聯網服務提供商('ISPs'))、和建筑公司等。此外,非法人協會也會成為控制人,以及學校、地方當局、警察部隊、消防部門、醫院、政府部門等。需要注意的是,數據控制人還必須區別于數據處理人,后者是一個實體,代表控制人處理個人數據。
?(5)數據處理人
GDPR第4(8)條規定:“數據處理人是代表數據控制人處理個人數據的自然人或法人、公共機關、機構或任何其他機構。”數據控制人經常使用第三方公司來處理他們的數據,因為這樣可以節省時間和成本。只要第三方僅僅執行控制人的指令,而本身不決定處理數據的目的或方法,那么它就是數據處理人,反之,那數據處理者可能就會被劃為數據控制人。
?(6)特殊類別個人數據
特殊類型的個人數據一般是一些敏感數據,根據GDPR第9(1)條規定,數據控制人不能處理特殊類別數據,除非滿足GDPR第9(2)條的規定。特殊類別個人數據包括:1種族或族裔來源;2政治觀點;3宗教或哲學信仰;4是否為工會成員;5遺傳數據(用于確定一個獨特的人);6生物特征數據(用于確定一個獨特的人);7關于健康的數據;8自然人的性生活或性取向的數據。?(7)主要經營所在地
對于在歐盟擁有一個以上機構的組織,GDPR引入了“主要機構”的概念(第4(16)條)。主要機構的位置決定了哪個國家數據保護監管機構將監管該組織。一般來講總部的位置是一個組織的主要經營所在地,除非其決策主要出自另一個經營地。如果控制者或處理者位于歐盟以外,它必須在數據主體(提供商品或服務,或行為被監控)所在的歐盟成員國指定一名代表(在某些例外情況下可以不用),代表控制者或處理者,并與監管當局和這些數據主體打交道。
?(8)假名化
假名化是指處理個人數據,使數據在沒有使用額外的信息的情況下不能不再歸因于一個特定的數據主體,這些額外的信息需要單獨保存,并受技術和組織措施的約束,以確保個人不被識別或使可識別。但需要注意的是,與匿名化數據不同,被假名化的個人數據仍然是個人數據,但假名化數據所受的約束相對于普通個人數據略少。