欧盟数据保护新规令保护隐私和反腐败不能兼顾

源济

欧盟即将实施的《一般数据保护条例》第10条规定，只有在得到欧盟或其成员国法律授权的情况下，才能处理关于犯罪记录和其它安全违法记录的个人数据。这将使得企业反贿赂努力复杂化。

德累斯顿，一名男子挥舞着一面欧盟旗帜。 图片来源：FILIP SINGER/EUROPEAN PRESSPHOTO AGENCY PHOTO: EUROPEAN PRESSPHOTO AGENCY
JEFF STONE
华尔街日报  2017年 12月 21日 13:36

即将实施的《一般数据保护条例》(General Data Protection Regulation, 简称GDPR)的一项条款有可能使在欧盟经营的企业反贿赂努力复杂化。

GDPR是一部庞大的隐私法，将于2018年5月25日生效。该法要求收集欧盟公民数据的所有组织遵守一系列旨在保护个人的原则，希望保障欧盟公民最敏感信息的安全。

该法第10条规定，只有在得到欧盟或其成员国法律授权的情况下，才能处理关于犯罪记录和其它安全违法记录的个人数据。对依赖复杂问卷调查尽可能多地收集个人犯罪记录的合规官员来说，这样的规定有可能造成问题。

比如，合规律师询问一名潜在雇员是否有犯罪经历，或是否受到正在进行的刑事调查，而按照GDPR的规定，这样的行为是非法的。按照目前形势，合规公司将需根据具体的欧盟成员国现行法律进行背景调查。

代表340家跨国公司的反贿赂国际组织Trace International总裁Alexandra Wrage称，这是反贿赂界即将面临的惨败。

违反GDPR的公司有可能被处以最高达其全球收入4%的罚款。

Wrage称，这样会出现两种噩梦般的境地，要么继续进行有力的尽职调查从而违反GDPR的规定，这种情况很容易遭致巨额罚款；要么遵守GDPR规定，缩减尽职调查，直到违反美国的《反海外腐败法》(Foreign Corrupt Practices Act)，而美国司法部对此不会容忍。

根据《反海外腐败法》，有关公司必须表明自己采取了合理措施，确保对后来被控贿赂、腐败和其它相关罪行的个人进行了适当审查。