分析|“史上最严”欧盟数据保护法将生效 如何倒逼全球企业

源济

分析|“史上最严”欧盟数据保护法将生效 如何倒逼全球企业

原创： 王剑一 世界说  5月18日

世 界 说

王 剑 一

发自 德国 法兰克福

欧盟《数据保护基本条例》（General Data Protection Regulation，下称《数据条例》），将在5月25日全面生效。近日，已有不少海外网站与应用发出用户条款更新提示，用户若迟迟未点选同意，则将无法继续使用服务。

《数据条例》要保护的是自然人的“个人数据”，只要该信息能被用于识别个人身份即为个人数据，例如：姓名、地址、电子邮件地址、电话号码、生日、银行帐户、汽车牌照、IP地址以及cookies等。此外，健康、宗教信仰、政治观点、性取向更是属于高敏感级别个人数据，保护力度更大。

△ 欧盟推出《数据保护基本条例》 来源：Pixabay

值得注意的是，这部欧盟法律的管辖范围并不局限于欧盟境内。因为《数据条例》采用了“市场地原则”，亦即任何企业只要在欧盟市场提供商品或服务，或收集个人数据，都在这部法律的管辖范围。

举例而言，如果一家中国在线销售公司的网站上，使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样，或者标注了商品的欧元价格，就可以被视为在欧盟市场提供商品或服务，并受到该法律管辖。

收集个人数据的行为包括所有形式的网络追踪，例如通过“cookies”（某些网站为了辨别用户身份，储存在用户装置上的资料）或社交媒体插件，来观察、收集、评估客户、员工或其他人的购物习惯、行踪、行踪等。

企业如果违反了《数据条例》，罚金最高可达2000万欧元（约合1.5亿人民币）或全球营业额的4%，以高者为准。

受《数据条例》规范的行为主体包括任何处理欧盟地区个人数据的自然人、法人、公共当局等，统称为“责任人”。包括网页运营者、搜索引擎服务商、社交媒体服务商、酒店、在线电商等都可能是责任人。接受委托处理数据的“受托数据处理人”，例如云服务提供商，原则上也要遵守《数据条例》相关义务。

△ 来源：Pixabay

为维护企业利益，《数据条例》允许欧盟企业在集团内部进行数据交流，但如果位于欧盟的企业要向欧盟以外传输数据，则需要满足特定的条件。例如：中国企业的德国子公司，若要把收集到的客户个人信息传给中国母公司，就属于这种情况。

首先，如果数据传输目的地属于欧盟委员会认定“具有适当数据保护水平”的地区，就可以自由传送。这些国家有安道尔、阿根廷、加拿大、法罗群岛、根西、以色列、马恩岛、新西兰、瑞士和乌拉圭。

如果目的地没有获得这样的认可，责任人则需要充分保证和该数据相关的个人（下称相关人）的权利。《数据条例》规定了几种可能性，例如：确保位于目的地的公司，实施了具有约束力的数据保护规则。

此外，在相关人全面了解风险后明确同意，为了履行与相关人的合同，为了公共利益，或是为了行使和防御法律权利所必需的情况下，责任人也可以向第三国传输数据。责任人必须明确记录对数据的处理活动、数据传输可能的风险，以及第三国适当数据保护的保证。

 

首部全面适用欧盟各国的数据保护法

相较于世界上其他区域，欧盟素来更重视隐私和个人数据保护制度。《数据条例》全面涵盖了适用范围、原则和定义、责任人的义务、相关人的权利、监管机关、罚则等内容，堪称“史上最严”。相对于中国的数据隐私保护立法，目前中国仅有《电信和互联网用户个人信息保护规定》、《征信业管理条例》和《网络安全法》等少数几部法律文件涉及个人信息保护问题，但这些立法层级不一、内容碎片化，且多为原则性规定，在实践中效果有限，个人数据保护在中国还没有引起法制面的足够应对。

在《数据条例》之前，欧盟关于数据保护的统一指引是1995年的《个人数据保护指令》。

△ 1995颁布的《个人数据保护指令》部分截图 来源：EUR-Lex

那时还没有智能手机，社交网络、电商平台和在线广告还在初始阶段。为了适应20多年间技术的快速发展，欧盟成员国又陆续出台了自己的法律，导致各个国家之间的数据保护水平各异，不利于欧盟内部市场的发展，统一立法的呼声渐起。

指令和条例是两种不同的欧盟法律形式：指令不直接适用于各国，要由成员国转化成国内法，在转化过程中，成员国还有一定的裁量空间；条例则直接在成员国适用。因此，《数据条例》是首部直接适用欧盟各国的数据保护法律，经过两年的过渡期后，即将全面生效。

《数据条例》保留了欧盟法律中既有的数据保护原则，同时又有新的发展。其中，最重要的原则就是“合法性原则”。它的意思是，只有在两个条件下才能收集和处理个人信息：要么有法定事由，例如为了国家安全和公共利益，要么有相关人的同意。

《数据条例》扩展了欧盟原有法令中关于相关人权利的规定。

传统上，只有物质损害才能获得赔偿。但这一新法实施后，相关人还可以要求精神损害赔偿。

此外，相关人可以要求责任人告知以下信息：数据的内容、来源、接受者，储存数据的目的、时间的长短以及确定时间长短的标准，以及在向第三国传输数据时的数据安全水平保证。

相关人有权要求责任人免费提供一份储存信息的副本，还拥有更正信息、限制处理的范围、提出抗告、向监管机关申诉、寻求法律救济的权利。

《数据条例》还首次明文规定了“遗忘权”，个人可以要求责任人删除关于自己的数据，只要满足法定的理由，责任人就应当立即删除。这些理由包括：该数据对于收集数据的原目的而言，已不再是必需；个人撤回其关于收集数据的同意；责任人对数据的处理不合法；删除数据是履行欧盟或其成员国法律义务所必需的；媒体、网店或在线游戏服务商等收集了儿童的个人信息。

△ 《数据条例》保护自然人的“个人数据”，只要被用于识别个人身份的数据 来源：视觉中国

此外，可以依据《数据条例》提出法律救济的对象不只有权利受侵害的个人。消费者保护协会或数据保护领域的团体既可以代表个人，也可以主动地对违反《数据条例》的责任人采取行动。

在德国，如果提告人结合使用德国《反不正当竞争法》和欧盟《数据条例》，理论上，市场竞争者也有可能对责任人违反数据保护的行为进行法律行动。因为《数据条例》的目的之一，就是通过统一的数据保护法，创设公平的市场环境。具体情况还有待《数据条例》生效后进一步观察。

 

企业网站数据保护声明或成主风险源

《数据条例》要求责任人必须让相关人理解数据的处理过程，是谓“透明性原则”。为此，条例规定了内容繁多的义务。未来，企业网页上的数据保护声明有可能成为主要的合规风险来源。

概括而言，网页上应当有数据保护声明，这份声明必须能够使每一位访问者清楚地知道，是谁在提取、使用自己的个人信息，在多大范围内、出于什么目的使用和提取。

△ 国外社交网站推特发布全新《隐私政策》将于5月25日生效 来源：推特截图

此外，声明必须告知网页使用者所享有的权利，以及提出抗告的方式。因此，网页上要有运营者的联系方式，还要说明负责数据保护法律事务的联系人。

有一个普遍的误解是，网页运营者常认为，一旦用户登入网页，就已经表示他同意网页收集他的数据。

虽然，单纯收集用户的动态IP地址是属于法定许可范围，但若要收集和处理其他信息，例如通过联系表单的方式要求用户提供姓名、电子邮箱地址和电话号码等，符合《数据条例》的做法是要取得用户事前的同意。

在网页上使用社交媒体插件和Cookies，也必须得到用户的同意。文章网页设置的“分享按钮”是种常见的社交媒体插件，以分享一篇新闻文章至Facebook为例，用户点击分享按钮时，新闻网站会弹出一个预填了新闻网址的Facebook窗口，让用户再度确认贴文内容、点击“分享”。

在这过程中，新闻网站不仅向Facebook传输了文章网址，还把用户的IP地址被传输到了Facebook。根据《数据条例》，新闻网站应提前向用户取得传送IP地址的许可，不然不得为之。

△ 脸书CEO扎克伯格就数据泄露事件出席参议院听证会 来源：视觉中国

某些电商网站会用“Cookies”自动记录客户的搜索和购物记录，以便有目的性地推荐商品。

在《数据条例》框架下，网页经营者必须事先向客户说明Cookies的功能，并获得用户的同意，否则，“未告知记录用户行为”会违反法律。

为应对新条例的实施，企业网站经营者应尽早盘点数据安全标准，采取匿名化、数据加密等措施，特别是对于有内嵌网店或联系表单的网页。这些机制能在传输过程中保护用户的银行卡或其他个人信息。

《数据条例》没有强制要求实施加密措施，加密仅是有助达到法定数据保护水平的措施之一，是否必须、在何种程度上实施加密，取决于个案考量。

此外，根据《数据条例》的“最少数据原则”，网站运营者未来只能在必需的时间内，尽可能少地储存数据。这一要求可以通过技术设计或预置来实现。例如，通过数据聚合手段，汇总个人数据的处理，并由此实现最小化，或者实施软件控制的删除周期，以确保数据在规定的期限后将被自动删除。

为了应对《数据条例》，涉足欧洲市场的企业应尽早进行内部自查，并采取相应的措施。

（作者为德国法学博士、法兰克福SZA律师事务所中国业务部成员）