返回列表
截止时间:2019-11-07

【主题演讲】Günther Marten:欧盟《通用数据保护条例(GDPR)》

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,北京欧盟驻华代表团公使衔参赞马君泽在会上发表主题演讲,以下为演讲实录。

Günther Marten 马君泽

北京欧盟驻华代表团公使衔参赞

欧盟知识产权局(EUIPO)知识产权专员

中国欧盟商会知识产权工作组成员

伦敦有效争议解决中心(CEDR)的认证调解员

女士们,先生们,朋友们上午好,我非常高兴在北京大学讲数据保护的问题。之后我会用英语发言。

在我之前的发言者提供了很多丰富和详实的信息,不知道大家目前是否还有状态继续听我的演讲。我很高兴北京大学能组织这样一场有关欧盟《通用数据保护条例(GDPR)》的讨论,通常这样的讨论会发生在欧盟境内——但大家对某一个热点的讨论可能持续两三个月,然后就被遗忘了。但是北京大学仍展现出了作为法律方面前沿探讨者的风采,哪怕《通用数据保护条例(GDPR)》的通过其实是一年前的事情,今天咱们还是在持续探索着。

我在北京欧盟驻华代表团工作,不知道大家对此是否有了解。人们通常知道欧盟成员国在全世界各地有代表团或者大使馆,但欧盟本身在超过40个国家也都有自己的代表。可能其他成员国大使馆或者代表团会设立在一个国家除了首都之外的其他城市,但我们只在北京。当然,我们有足够的授权做出在欧盟框架下的决策,从而使得欧盟成员国遵循这样的探讨。

我会先向大家介绍一下有关《通用数据保护条例(GDPR)》的背景知识,以防大家对这个领域还有点陌生。接下来,我会讲《通用数据保护条例(GDPR)》是什么、以及它发生了哪些变化;面对这一情况,中国当下能够做哪些措施,以及这个《通用数据保护条例(GDPR)》对中国有什么借鉴。我理解在座各位都是司法实践者,所以我会提供更加具体以及充分的例子来展现我的观点。如果大家都同意的话,我现在就正式开始。

欧盟有一些特性,正如这张版图上画的,如果说以颜色代表特性的话,那么欧盟由黑、白、彩色多种颜色构成。其次,欧盟的版图架构分为两层,这个架构始终存在的——由此,可以适用于我们讨论数据保护的时候。我理解这样的双层架构的存在形式,第一层是欧盟,第二层是28个成员国,在欧盟境内一共雇佣了2.5万多个雇员;这部分是在立法过程中的成员,但是在执行部分中的人员会由成员国自行承担。

大家可能经常听说,欧盟有一个单一的市场,有一个统一的市场,这是我们引以为傲的,这个市场能为超过500万的消费者进行服务。这样的论断在一定程度上是正确的——因为我们人员可以自由流通,我们的货物可以自由流通。但从另一方面看,欧盟又有它的分散性。以专利来说,我们就没有一个统一的立法。之前我在有关医药制业的会上讨论过这个问题,当时说到欧盟这方面并没有统一。分散化一方面意味着成员国有自己的立法,成员国会在国内进行一系列的法规落实,适应国内发展。但是很多人不知道,80%的法律规范虽然在欧盟层面得到通过,但其实在成员国内部是自行执行的。为什么大家没有发现这一点?是因为某一项政策如果执行得好,欧盟成员国就说这是他们执行的。而如果一个政策并没有很好的执行,联合国就会对欧盟本身作出评判,认为这个事情是欧盟做得不对。

我们有一系列的欧盟法律体系架构,促进法规在欧盟境内落实,包括我们谈到的白皮书、建议、指令以及法规条例。当欧盟还不知道怎么做的时候,就会进行一些头脑风暴,并下发一些白皮书对这些情况进行大概表述,并进行可能可行的建议。那么,如果理事会有意愿去执行某一系列法规,欧盟委员会就会出台这种类型的法规的建议,以在未来落实。当然我们谈到的这两个层面都不是有强制执行力的。

在指令的层面,则会要求成员国作出更丰富的法律上的措施,以符合它的要求。我再解释一下,指令不是在理事会通过的时候就自动成为成员国的法律,还需要采取一系列的措施,还需要进行一些小的、法律上的步骤,使得这样的指令转化成欧盟成员国内的立法。一般来说,欧盟成员国会有两年过渡期,将指令的内容转化为国内立法。转化成国内法的指令才是对该成员国国民可以适用的。而法规条例则是不同的,它是由欧盟委员会、议会直接通过,从而变成可直接对28个成员国适用的法规。现在我们可以在头脑中形成一种观念,法规条例和指令在效力上是有区别的。

在《通用数据保护条例(GDPR)》出台之前有一系列的指令,但只有结合数据保护条例之后,才是可以直接适用在成员国内部的。但是没有立即生效,其实《通用数据保护条例(GDPR)》2016年已经通过了,但是在2018年正式开始生效执行。为什么会出现这个情况?是因为2016年通过之后,成员国需要有一些内部协调和共同行动,从而使得2018年生效之后能让大家去遵守。

当时我们提议进行一系列的立法。欧盟的立法权力分为两个部分,第一部分是欧盟委员会,第二部分是欧盟议会。在我们提出这个立法动议之后,还有一系列的对该立法建议的修改以及修正的建议都被发送到了欧盟议会、欧盟委员会,随后欧盟议会和委员会分两头方向对修改的建议进行探讨,直至他们达成共识、达成一致,从而使得法律能够通过。如果某一个成员国并没有在截止日期前完成他应当完成的部分,欧盟会下发一个通知,像催促他们做自己家庭作业一样,使他们尽快完成他们应该做的部分。当然,欧盟法院也在这一部分发挥相应的作用。

欧盟《通用数据保护条例(GDPR)》并不是单一条例,其实有一揽子的系列立法计划,这些措施与它一起配合,共同构成一个体系。所以我们可以看到其实欧盟走到了立法前沿,并采取了一系列的措施。电子隐私条例目前在立法进程之中,未来会很快落地,从而与GDPR的落实形成配合体系。通过GDPR是一个比较艰难而漫长的过程,我们花了4年时间在欧盟议会激烈讨论为什么要通过这样一个法案。我认为这样的讨论现今也发生在中国,下面我会说说为什么。

我们在1789年有法国大革命,当时推翻了封建王朝的统治。当时在法国这个政府被推翻了,因为人们对法国政府存在着很多猜忌和不确信。在那之后,欧盟境内很多事情都发生了改革,比如权力交给了欧盟议会。在整个发展历程当中,人们这种不确信不仅仅是针对政府这种组织,而且也针对于大公司这样的形态。在欧洲,大家十分希望一个个体对自己的隐私权利有权利,而GDPR恰恰是处理这一领域的问题,最终目的是为了个人可以对自己的个人信息数据有足够的掌握。

GDPR取代了1995年欧盟境内的指令。前面我们已经谈过了指令效力,它可以超越某一个成员国区内的适用,多个成员国之间都可以通行。而GDPR可以在整个欧盟层面上去协调全境的数据隐私法,可以让个人充分掌握数据权利。其实在某种意义上,可以说,我们重塑了欧盟地区的数据公司处理个人数据的方式。欧盟议会的观点是,GDPR是一个黄金准则,也是一个更高的准则,应当被更多的地区所采用。当然我们也可以看到,当讨论AI人工智能领域时,中国走在了前沿,欧盟也希望进一步探讨欧盟GDPR和人工智能之间的关系,防止欧盟经济在国际竞争落在后面。

GDPR是在2018年5月25日生效的,生效是自当天开始就可以被执行。迄今为止我们收获了一些经验,而目前各国也相应提高了对于隐私数据保护的观念和意识,当然,这也意味着给了他们各自境内企业很大压力去具体执行。欧盟进行了一项民意统计,统计有关民众是否了解GDPR的内容、以及是否了解GDPR赋予他们有关的数据权利。这个调查是在2019年5月进行的,67%受访者认为意识到数据保护条例的存在,57%受访者认为有一个国家层面的数据保护监管当局,在个人数据受到侵犯时,可以去监管当局进行投诉。73%的受访民众表示听过GDPR项下的权利。

但是还是有相当一部分的数量个人在欧盟境内没有采取足够积极的措施去保护自己的个人数据,比如说,当他们上网的时候,44%的个人还没有改变他们在社交网站上的默认设置,这可能会使得他们的信息被大公司获取。同样是在2019年进行的有关公司业务调查中,短短一年,在GDPR生效后,20%的回答认为我们是一个合规的企业,50%的企业回答说相关规定尚在落实之中,27%的企业回答他们目前还没有完整开展一个GDPR的合规活动。所以总的来说,GDPR是允许个人行使自己的个人数据保护权利的。在GDPR这个领域下同样给了公司权利以及可能性、还有义务去处理数据活动。

那么究竟什么是个人数据?这在GDPR下面也没有进行很完整的阐述,个人信息跟个人紧密相关,包括你的照片、银行卡号、社交网站上的数据信息。所以这样的数据是属于个人的,因为跟个人紧密相关,而不是属于公司。当然在立法过程中也有很多大公司游说,认为如果我们能够更好的掌握消费者喜欢什么,他们是什么样的人,我们就能给消费者提供更好的体验。这些公司可以免费提供相应的服务,这些服务不会收取消费者的费用。虽然看似不会收费,但在这个交易中的对价是消费者提供了自己的个人信息,随着时间积累,这些信息会慢慢变成资产和财富。这些数据可以交易,甚至有人主动收集你的信息,在黑市上进行交易。其实黑市广泛存在,因为有这样的交易的确有很高收益。像一个互联网下的暗网,互联网是冰山浮在水面上的一角,暗网在水下一部分,这部分体积庞大,而且IP地址没办法追踪,所以很难治理。虽然它经常被低估,但这真的是互联网中非常重要的一部分。

所有欧盟境内的业务都会在GDPR下受到影响,小企业、中型企业和大型企业都会受到影响,尽管受到影响的方式会有不同。当然GDPR会对中小企业的定义做一个区分,将其理解为200-250人之间规模的企业,并对该人数以上的企业做出不同规定。除非这些小企业可以在它的数据处理加工过程中进行有关GDPR的操作,它们可以享受一定豁免。也就是说,除了那些会进行与数据紧密相关的操作的小企业之外,其他是不会被GDPR影响的——因为这就不是数据有关的业务。当然,GDPR也不会纯粹的影响个人领域的数据信息,比如你在周末的时候和朋友出去野餐,这时候你的IP网址等一系列的信息不会受到GDPR的监管。

我们在GDPR下面一共有8项规则,其中最重要的这一项是这个PPT所显示的“扩展下的域外适用”。有一些数据是在欧盟境内进行加工和处理,但是有一些数据并不是,他们是在欧盟境外的。对于这些数据以及建立的相关实体,GDPR会有一个域外适用的效力。如果这个数据是在欧盟境内加工,这个实体建在欧盟境内,毫无疑问GDPR适用。如果这是一个欧盟建立的企业,但是数据处理和加工并非在欧盟境内,这样的情况下GDPR同样适用。如果这个企业并不建在欧盟境内,但处理数据信息和欧盟有关,这个情况下GDPR仍然适用。这也印证了为什么我之前说欧盟议会认为GDPR是一个黄金准则,这样高程度对数据权利的保护应当为更多地区和国家所采取。比如中国的一个企业并不建立在欧盟境内,但处理与欧盟数据相关的信息,这种情况下需要在欧盟任命一个代表,也就是数据保护官进行一系列的数据处理。

接下来可以看到这是“同意”规则,而“同意”规则是GDPR整个领域中最核心的一条。所以从企业角度需要关注什么样的形式构成同意,并且这一规则会产生什么样的影响。在这里我会提供一项列表,这个列表非常重要,会包括如何获取同意,并且以什么样的形式进行合规操作。我们必须给数据所有者,也就是个人,对数据享有完全的控制。而这就意味着,当他们进入到某一个页面的时候,不能够以默认的形式使得这个数据可以自动被采取或者收集。那么我们所需要的是一个非常明确的同意,这个明确的同意需要有一个清晰、明示的方式表现出来。

由此我们需要将这样的同意条规和其他形式的条规区分出来单独处理。可能在过去的经历中,假设我们打开一个页面就会看到满屏的小字母,这个字母框里会夹杂同意移交数据的条款,比如大公司就往往会采取这样的条款,将它混杂在其他条款之中,而消费者通常没有仔细阅读其中的内容。那么我们现在相当于把规则明确了,这样的一个获取信息者信息的过程,需要非常明确的同意,而且是清晰可见的同意。与此同时,要让人们知道如何将这个“同意”撤回,并且给出具体撤回的指导。在这一过程中,企业需要保留他们获取“同意”的证据,包括是谁给的、在什么时候如何给的、以及这个“同意”具体如何获得,避免个人同意没有办法展现在整个业务的合规性举证之中,这也是GDPR的核心规则之一,也就是让数据所有者可以控制这样的数据,让他们来决定是否同意去提供数据以及后续一系列操作。

如果一个公司出现违反数据保护条例的行为,需要在72个小时内将这一情况通知到数据保护的监管当局。当然,这个数据处理者也需要马上通知消费者,通知的内容包括他们的数据信息被侵犯或者违反的行为具体是什么样的情况。在有关数据保护上,还有一个需要强调的方面,是跟网络安全的关系。

我现在会具体讲有关数据处理和加工的问题。获取权一部分属于权利外延,它需要企业去确认数据处理的地点与目的,且这样的数据是履行数据处理行为所需的最小量的数据。在这一过程中,你的消费者可能会随时问你:“我的数据在哪里”,这时候企业要以月为单位提供数据处理记录,这样的记录从而使得消费者有权在后续过程中进行修正或者撤回的相关操作。当然这样的服务也是免费的,企业不能对此进行收费。

还有一个与数据相关的权利,即被遗忘权,也被称数据移除权。消费者一开始对数据的获取进行了同意,但后期对数据进行移除也存在这样的可能性。数据就需要停止下一步的传播。当然这样的行为会同时影响到你可能先前与第三方或者下一方数据加工者的数据加工行为。

根据GDPR要求进行隐私保护也是GDPR的一项重点,意味着企业只能去保存处理完成企业完成工作的所必须的数据,如果不是完成工作所必须的数据,则必须对该部分数据进行移除,也意味着这必须将访问数据的权利限制在那些需要完成这一项数据工作的人的手中。

这部分会讲更实体的内容,也就是处罚。处罚涉及到全球营业额的4%或者2000万欧元,二者取其高者。同时还有一项规则,这个罚款适用于数据控制者与处理者。那什么是数据控制者与处理者?数据控制者是那些掌握数据的人,数据处理者是对数据进行采集、加工、存储以及管理、分享和最后的移除,这一部分相当于框定一系列的个人信息数据有关的部分。数据控制者同样也可能是数据的处理者,当然我们也可以想象一种情况,即运营的实践中是否会出现更多的数据控制者和更多的数据处理者。这由企业决定——你希望企业具体是怎么样运营的。我给大家提供一个小例子,比如说你是一个中小企业,你的消费者数据掌握在一个由第三方支持的数据管理的APP上,那么你就是一个数据的控制者。这个第三方数据的APP就会是一个数据的处理者。如果你打算这两部分由自己完成,则涉及到非常详尽的消费者信息,你同时兼数据控制者与数据处理者双重身份。

我对数据处理者有一些建议:分门别类更新你的数据内容以及数据保护的规范,这个分门别类具体会体现在你的数据消费者、你的客户以及你的员工上。而数据处理类别具体涉及到整个数据流程,一直到数据移除部分。归纳一下,首先要及时更新这一部分分门别类之后的群体数据信息,第二是采取一些安全防范的措施,第三我想重点强调的是匿名化措施,匿名化是今天大家一定要重视的事情,匿名化意味着当你掌握或者处理一个数据的时候,该数据是不能够追踪到具体每一个个人上的,这个匿名化意味着拿这个数据进行处理或者拿这个数据做AI活动,做什么都可以,只要做匿名化处理,GDPR就不会对这部分的活动进行监管。我再重复一遍,如果你是数据处理者就要及时更新所有的数据信息,而且落地执行一些充分的安全防范措施,最后采取技术化手段使得这样的安全措施落实到位。

作为数据控制者,你需要确保数据处理者对于数据更新以及安全防范的措施都已经落实到位,所以通常需要做的是去审查数据处理者签订的合同或者说是一个第三方签的合同,去看他们对数据的加工处理是否符合GDPR的规范要求,通常你会对他们进行例行询问问,这样的安全措施是否真的已经落实到位。

在数据保护官这里,为了执行他们的任务,数据保护官必须获得适当的数据资源。我们很难想象任命的一个数据保护官,却并不提供相应资源,从而使得他无法开展自己的数据保护工作。在整个工作架构上,数据保护官需要直接向首席执行官进行汇报工作。当然最基本的是不能有任何的利益冲突。

在适应规则第一步这儿,我再强调一下刚才所强调过的匿名化处理问题。也就是说,如果你对数据类处理已经完成了匿名化的措施,这意味着相关的所有数据活动是不可以追踪到该人身上的,那么这个活动就不会为GDPR所监管。那我们在我们国家做的第一步,是追问现在我们有什么样的数据。我们还需要问的是它是如何被存储的,如何被保护的,我们是否需要这样的数据。其实想一想,当我们看到公司内部进行这样的询问时,是给我们提供了机会去进行更好的数据管理。

当我们去看现在公司有什么样的数据时,完成了这部分审视,我们才能明白现在在数据监管方面有什么样的风险,数据合规有什么样的差距,以及是否真的需要这一部分数据从而进行数据的整改。只有这样我们才能够提出相应的有针对性的解决方案。我在这个PPT上没有放的很重要的一点是证据问题,所有数据处理和加工都需要证据进行固定,固定方式可以是纸面的记录来提供合规的证据。我们也要确保这个数据访问的权限仅限于执行数据处理加工所必须的人手中,并且使得员工都有的充分的数据合规意识、经过训练。

由于时间有限,我先跳过一些部分,直接说GDPR对中国借鉴的环节,我要问的问题是,中国企业与欧盟数据发生打交道,是否会被GDPR监管,要考虑到业务频率的问题。比如说你在中国境内的某一个城市开展业务,德国人过来问你业务的设计问题,这样是不是已经与欧盟的数据发生了联系?这并不是一个GDPR意义下的与欧盟有关的数据,因为并没有说,该活动是持续的或者业务性的,稳定地与欧盟的数据发生联系。

GDPR第三条有一个关于全球视野下的借鉴,第三条说无论与欧盟有关的数据是否在欧盟境内进行处理加工,都会受到监管。第二款又继续阐述了,如果一个企业不在欧盟境内,但在以下条件满足了的话——条件一是说这一组织会向欧盟境内的人提供商品或服务,条件二是说如果该组织在欧盟境内进行实名网络互联网上的活动,如果组织是在中国境内而不是在欧盟境内,但该组织同时为欧盟消费者服务——以上两个条件满足,他们就需要进行一系列的GDPR合规操作。

这是另外一个有关数据跨境的国际性视角:欧盟立法对充分性互认或者非充分性互认国家做了一个区分性的规定。充分性互认国家意味着,要么这些国家已经给欧盟发送了他们合规的一些报告——这个情况并不适用于中国,因为目前主要是欧盟一些国家、安道尔以及加拿大。如果不是这种情况,比如说中国的数据跨境,就会被严格的限制。

我举个例子,比如一个英国公司提供数据中心服务,具体业务开展是在美国,母公司是在美国,如果在英国的企业将他与人力资源有关的员工信息跨境传输到美国的时候,由于企业集团内跨境,又涉及到英美之间的互认,其限制是较弱的。

那么如果是德国在中国设立了一个酒店,德国人想来中国度假,他们想确认自己度假预约的时候,德国酒店需要把这个数据跨境传输到中国,以保证他们的预约成功。我们理解在这样的情况下,这样的数据跨境传输是受到严格限制的,除非经过了数据监管当局的授权。在这样的情况下,首先会适用的规则变成了个人的同意规则,也就是数据所有者同意将这一数据跨境传输到中国。我们又回到问题的起点,谁在拥有这样的数据,答案是个人,数据所有者,对数据进行加工或者同意以及相应的表态。在这样的情况下,无论是我刚才提到的英国企业在美国的母公司,还有中国和德国之间的数据跨境,如果得到同意,并且签订明确的同意合同,这样的数据跨境就是合规的。而针对中国和德国的数据,双方都是数据的控制者,这两方独立的数据控制者出于不同的目的对数据进行加工处理。在这样的情况下,德国和中国两个独立的数据控制者应当签订的合同是一个标准规范合同,专门适用于数据控制者之间。这样的示范条款或者标准合同已经被欧盟委员会通过并且承认,这一合同目前对全球开放,并且可以将这一合同内化到企业合同规范中。

最后一个问题,究竟是否需要一个数据合规官或者一个将数据外包的第三方服务?如果是一个中小企业,我将中小企业定义在250人以下的话,那么这样的中小企业是有一个豁免的。但如果这样的企业与数据持续的进行打交道,并且在很大的数量级内,或者说涉及到处理非常敏感大流量的数据,在这样的情况下最好是设立一个数据保护官。那什么样的是我刚才谈到的敏感大流量?可能是一些医药的数据,或者旅行中的交通数据以及你在银行涉及到的个人金融数据。

在结语部分,我们说,GDPR是一个好的规范,当然公司可能为了合规需要做出非常多的努力,但我们也可以看到,这同样是一个机遇。如果你的消费者认为自己的数据被非常安全地储存在企业那里,并且消费者安全地掌握着这些数据,这可以让消费者和企业之间建立非常充分的信任,这样的消费者就会对自己的数据体验感到非常有安全感,并将这一体验分享给身边其他消费者。同样,这也是一个可以在公司内部进行数据管理的好机会,企业家可以关注一些企业真正需要的数据,并且摆脱或者去除一些冗余、并不需要的数据。如果这样看,我们现在所谈的GDPR下的合规成本会在一定程度上减轻,并且带来更多的机会。谢谢大家。

 

返回列表
「主题演讲」Günther Marten:欧盟《通用数据保护条例(GDPR)》
截止时间:2021年10月21日 19:30-21:00

【主题演讲】Günther Marten:欧盟《通用数据保护条例(GDPR)》

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,北京欧盟驻华代表团公使衔参赞马君泽在会上发表主题演讲,以下为演讲实录。

Günther Marten 马君泽

北京欧盟驻华代表团公使衔参赞

欧盟知识产权局(EUIPO)知识产权专员

中国欧盟商会知识产权工作组成员

伦敦有效争议解决中心(CEDR)的认证调解员

女士们,先生们,朋友们上午好,我非常高兴在北京大学讲数据保护的问题。之后我会用英语发言。

在我之前的发言者提供了很多丰富和详实的信息,不知道大家目前是否还有状态继续听我的演讲。我很高兴北京大学能组织这样一场有关欧盟《通用数据保护条例(GDPR)》的讨论,通常这样的讨论会发生在欧盟境内——但大家对某一个热点的讨论可能持续两三个月,然后就被遗忘了。但是北京大学仍展现出了作为法律方面前沿探讨者的风采,哪怕《通用数据保护条例(GDPR)》的通过其实是一年前的事情,今天咱们还是在持续探索着。

我在北京欧盟驻华代表团工作,不知道大家对此是否有了解。人们通常知道欧盟成员国在全世界各地有代表团或者大使馆,但欧盟本身在超过40个国家也都有自己的代表。可能其他成员国大使馆或者代表团会设立在一个国家除了首都之外的其他城市,但我们只在北京。当然,我们有足够的授权做出在欧盟框架下的决策,从而使得欧盟成员国遵循这样的探讨。

我会先向大家介绍一下有关《通用数据保护条例(GDPR)》的背景知识,以防大家对这个领域还有点陌生。接下来,我会讲《通用数据保护条例(GDPR)》是什么、以及它发生了哪些变化;面对这一情况,中国当下能够做哪些措施,以及这个《通用数据保护条例(GDPR)》对中国有什么借鉴。我理解在座各位都是司法实践者,所以我会提供更加具体以及充分的例子来展现我的观点。如果大家都同意的话,我现在就正式开始。

欧盟有一些特性,正如这张版图上画的,如果说以颜色代表特性的话,那么欧盟由黑、白、彩色多种颜色构成。其次,欧盟的版图架构分为两层,这个架构始终存在的——由此,可以适用于我们讨论数据保护的时候。我理解这样的双层架构的存在形式,第一层是欧盟,第二层是28个成员国,在欧盟境内一共雇佣了2.5万多个雇员;这部分是在立法过程中的成员,但是在执行部分中的人员会由成员国自行承担。

大家可能经常听说,欧盟有一个单一的市场,有一个统一的市场,这是我们引以为傲的,这个市场能为超过500万的消费者进行服务。这样的论断在一定程度上是正确的——因为我们人员可以自由流通,我们的货物可以自由流通。但从另一方面看,欧盟又有它的分散性。以专利来说,我们就没有一个统一的立法。之前我在有关医药制业的会上讨论过这个问题,当时说到欧盟这方面并没有统一。分散化一方面意味着成员国有自己的立法,成员国会在国内进行一系列的法规落实,适应国内发展。但是很多人不知道,80%的法律规范虽然在欧盟层面得到通过,但其实在成员国内部是自行执行的。为什么大家没有发现这一点?是因为某一项政策如果执行得好,欧盟成员国就说这是他们执行的。而如果一个政策并没有很好的执行,联合国就会对欧盟本身作出评判,认为这个事情是欧盟做得不对。

我们有一系列的欧盟法律体系架构,促进法规在欧盟境内落实,包括我们谈到的白皮书、建议、指令以及法规条例。当欧盟还不知道怎么做的时候,就会进行一些头脑风暴,并下发一些白皮书对这些情况进行大概表述,并进行可能可行的建议。那么,如果理事会有意愿去执行某一系列法规,欧盟委员会就会出台这种类型的法规的建议,以在未来落实。当然我们谈到的这两个层面都不是有强制执行力的。

在指令的层面,则会要求成员国作出更丰富的法律上的措施,以符合它的要求。我再解释一下,指令不是在理事会通过的时候就自动成为成员国的法律,还需要采取一系列的措施,还需要进行一些小的、法律上的步骤,使得这样的指令转化成欧盟成员国内的立法。一般来说,欧盟成员国会有两年过渡期,将指令的内容转化为国内立法。转化成国内法的指令才是对该成员国国民可以适用的。而法规条例则是不同的,它是由欧盟委员会、议会直接通过,从而变成可直接对28个成员国适用的法规。现在我们可以在头脑中形成一种观念,法规条例和指令在效力上是有区别的。

在《通用数据保护条例(GDPR)》出台之前有一系列的指令,但只有结合数据保护条例之后,才是可以直接适用在成员国内部的。但是没有立即生效,其实《通用数据保护条例(GDPR)》2016年已经通过了,但是在2018年正式开始生效执行。为什么会出现这个情况?是因为2016年通过之后,成员国需要有一些内部协调和共同行动,从而使得2018年生效之后能让大家去遵守。

当时我们提议进行一系列的立法。欧盟的立法权力分为两个部分,第一部分是欧盟委员会,第二部分是欧盟议会。在我们提出这个立法动议之后,还有一系列的对该立法建议的修改以及修正的建议都被发送到了欧盟议会、欧盟委员会,随后欧盟议会和委员会分两头方向对修改的建议进行探讨,直至他们达成共识、达成一致,从而使得法律能够通过。如果某一个成员国并没有在截止日期前完成他应当完成的部分,欧盟会下发一个通知,像催促他们做自己家庭作业一样,使他们尽快完成他们应该做的部分。当然,欧盟法院也在这一部分发挥相应的作用。

欧盟《通用数据保护条例(GDPR)》并不是单一条例,其实有一揽子的系列立法计划,这些措施与它一起配合,共同构成一个体系。所以我们可以看到其实欧盟走到了立法前沿,并采取了一系列的措施。电子隐私条例目前在立法进程之中,未来会很快落地,从而与GDPR的落实形成配合体系。通过GDPR是一个比较艰难而漫长的过程,我们花了4年时间在欧盟议会激烈讨论为什么要通过这样一个法案。我认为这样的讨论现今也发生在中国,下面我会说说为什么。

我们在1789年有法国大革命,当时推翻了封建王朝的统治。当时在法国这个政府被推翻了,因为人们对法国政府存在着很多猜忌和不确信。在那之后,欧盟境内很多事情都发生了改革,比如权力交给了欧盟议会。在整个发展历程当中,人们这种不确信不仅仅是针对政府这种组织,而且也针对于大公司这样的形态。在欧洲,大家十分希望一个个体对自己的隐私权利有权利,而GDPR恰恰是处理这一领域的问题,最终目的是为了个人可以对自己的个人信息数据有足够的掌握。

GDPR取代了1995年欧盟境内的指令。前面我们已经谈过了指令效力,它可以超越某一个成员国区内的适用,多个成员国之间都可以通行。而GDPR可以在整个欧盟层面上去协调全境的数据隐私法,可以让个人充分掌握数据权利。其实在某种意义上,可以说,我们重塑了欧盟地区的数据公司处理个人数据的方式。欧盟议会的观点是,GDPR是一个黄金准则,也是一个更高的准则,应当被更多的地区所采用。当然我们也可以看到,当讨论AI人工智能领域时,中国走在了前沿,欧盟也希望进一步探讨欧盟GDPR和人工智能之间的关系,防止欧盟经济在国际竞争落在后面。

GDPR是在2018年5月25日生效的,生效是自当天开始就可以被执行。迄今为止我们收获了一些经验,而目前各国也相应提高了对于隐私数据保护的观念和意识,当然,这也意味着给了他们各自境内企业很大压力去具体执行。欧盟进行了一项民意统计,统计有关民众是否了解GDPR的内容、以及是否了解GDPR赋予他们有关的数据权利。这个调查是在2019年5月进行的,67%受访者认为意识到数据保护条例的存在,57%受访者认为有一个国家层面的数据保护监管当局,在个人数据受到侵犯时,可以去监管当局进行投诉。73%的受访民众表示听过GDPR项下的权利。

但是还是有相当一部分的数量个人在欧盟境内没有采取足够积极的措施去保护自己的个人数据,比如说,当他们上网的时候,44%的个人还没有改变他们在社交网站上的默认设置,这可能会使得他们的信息被大公司获取。同样是在2019年进行的有关公司业务调查中,短短一年,在GDPR生效后,20%的回答认为我们是一个合规的企业,50%的企业回答说相关规定尚在落实之中,27%的企业回答他们目前还没有完整开展一个GDPR的合规活动。所以总的来说,GDPR是允许个人行使自己的个人数据保护权利的。在GDPR这个领域下同样给了公司权利以及可能性、还有义务去处理数据活动。

那么究竟什么是个人数据?这在GDPR下面也没有进行很完整的阐述,个人信息跟个人紧密相关,包括你的照片、银行卡号、社交网站上的数据信息。所以这样的数据是属于个人的,因为跟个人紧密相关,而不是属于公司。当然在立法过程中也有很多大公司游说,认为如果我们能够更好的掌握消费者喜欢什么,他们是什么样的人,我们就能给消费者提供更好的体验。这些公司可以免费提供相应的服务,这些服务不会收取消费者的费用。虽然看似不会收费,但在这个交易中的对价是消费者提供了自己的个人信息,随着时间积累,这些信息会慢慢变成资产和财富。这些数据可以交易,甚至有人主动收集你的信息,在黑市上进行交易。其实黑市广泛存在,因为有这样的交易的确有很高收益。像一个互联网下的暗网,互联网是冰山浮在水面上的一角,暗网在水下一部分,这部分体积庞大,而且IP地址没办法追踪,所以很难治理。虽然它经常被低估,但这真的是互联网中非常重要的一部分。

所有欧盟境内的业务都会在GDPR下受到影响,小企业、中型企业和大型企业都会受到影响,尽管受到影响的方式会有不同。当然GDPR会对中小企业的定义做一个区分,将其理解为200-250人之间规模的企业,并对该人数以上的企业做出不同规定。除非这些小企业可以在它的数据处理加工过程中进行有关GDPR的操作,它们可以享受一定豁免。也就是说,除了那些会进行与数据紧密相关的操作的小企业之外,其他是不会被GDPR影响的——因为这就不是数据有关的业务。当然,GDPR也不会纯粹的影响个人领域的数据信息,比如你在周末的时候和朋友出去野餐,这时候你的IP网址等一系列的信息不会受到GDPR的监管。

我们在GDPR下面一共有8项规则,其中最重要的这一项是这个PPT所显示的“扩展下的域外适用”。有一些数据是在欧盟境内进行加工和处理,但是有一些数据并不是,他们是在欧盟境外的。对于这些数据以及建立的相关实体,GDPR会有一个域外适用的效力。如果这个数据是在欧盟境内加工,这个实体建在欧盟境内,毫无疑问GDPR适用。如果这是一个欧盟建立的企业,但是数据处理和加工并非在欧盟境内,这样的情况下GDPR同样适用。如果这个企业并不建在欧盟境内,但处理数据信息和欧盟有关,这个情况下GDPR仍然适用。这也印证了为什么我之前说欧盟议会认为GDPR是一个黄金准则,这样高程度对数据权利的保护应当为更多地区和国家所采取。比如中国的一个企业并不建立在欧盟境内,但处理与欧盟数据相关的信息,这种情况下需要在欧盟任命一个代表,也就是数据保护官进行一系列的数据处理。

接下来可以看到这是“同意”规则,而“同意”规则是GDPR整个领域中最核心的一条。所以从企业角度需要关注什么样的形式构成同意,并且这一规则会产生什么样的影响。在这里我会提供一项列表,这个列表非常重要,会包括如何获取同意,并且以什么样的形式进行合规操作。我们必须给数据所有者,也就是个人,对数据享有完全的控制。而这就意味着,当他们进入到某一个页面的时候,不能够以默认的形式使得这个数据可以自动被采取或者收集。那么我们所需要的是一个非常明确的同意,这个明确的同意需要有一个清晰、明示的方式表现出来。

由此我们需要将这样的同意条规和其他形式的条规区分出来单独处理。可能在过去的经历中,假设我们打开一个页面就会看到满屏的小字母,这个字母框里会夹杂同意移交数据的条款,比如大公司就往往会采取这样的条款,将它混杂在其他条款之中,而消费者通常没有仔细阅读其中的内容。那么我们现在相当于把规则明确了,这样的一个获取信息者信息的过程,需要非常明确的同意,而且是清晰可见的同意。与此同时,要让人们知道如何将这个“同意”撤回,并且给出具体撤回的指导。在这一过程中,企业需要保留他们获取“同意”的证据,包括是谁给的、在什么时候如何给的、以及这个“同意”具体如何获得,避免个人同意没有办法展现在整个业务的合规性举证之中,这也是GDPR的核心规则之一,也就是让数据所有者可以控制这样的数据,让他们来决定是否同意去提供数据以及后续一系列操作。

如果一个公司出现违反数据保护条例的行为,需要在72个小时内将这一情况通知到数据保护的监管当局。当然,这个数据处理者也需要马上通知消费者,通知的内容包括他们的数据信息被侵犯或者违反的行为具体是什么样的情况。在有关数据保护上,还有一个需要强调的方面,是跟网络安全的关系。

我现在会具体讲有关数据处理和加工的问题。获取权一部分属于权利外延,它需要企业去确认数据处理的地点与目的,且这样的数据是履行数据处理行为所需的最小量的数据。在这一过程中,你的消费者可能会随时问你:“我的数据在哪里”,这时候企业要以月为单位提供数据处理记录,这样的记录从而使得消费者有权在后续过程中进行修正或者撤回的相关操作。当然这样的服务也是免费的,企业不能对此进行收费。

还有一个与数据相关的权利,即被遗忘权,也被称数据移除权。消费者一开始对数据的获取进行了同意,但后期对数据进行移除也存在这样的可能性。数据就需要停止下一步的传播。当然这样的行为会同时影响到你可能先前与第三方或者下一方数据加工者的数据加工行为。

根据GDPR要求进行隐私保护也是GDPR的一项重点,意味着企业只能去保存处理完成企业完成工作的所必须的数据,如果不是完成工作所必须的数据,则必须对该部分数据进行移除,也意味着这必须将访问数据的权利限制在那些需要完成这一项数据工作的人的手中。

这部分会讲更实体的内容,也就是处罚。处罚涉及到全球营业额的4%或者2000万欧元,二者取其高者。同时还有一项规则,这个罚款适用于数据控制者与处理者。那什么是数据控制者与处理者?数据控制者是那些掌握数据的人,数据处理者是对数据进行采集、加工、存储以及管理、分享和最后的移除,这一部分相当于框定一系列的个人信息数据有关的部分。数据控制者同样也可能是数据的处理者,当然我们也可以想象一种情况,即运营的实践中是否会出现更多的数据控制者和更多的数据处理者。这由企业决定——你希望企业具体是怎么样运营的。我给大家提供一个小例子,比如说你是一个中小企业,你的消费者数据掌握在一个由第三方支持的数据管理的APP上,那么你就是一个数据的控制者。这个第三方数据的APP就会是一个数据的处理者。如果你打算这两部分由自己完成,则涉及到非常详尽的消费者信息,你同时兼数据控制者与数据处理者双重身份。

我对数据处理者有一些建议:分门别类更新你的数据内容以及数据保护的规范,这个分门别类具体会体现在你的数据消费者、你的客户以及你的员工上。而数据处理类别具体涉及到整个数据流程,一直到数据移除部分。归纳一下,首先要及时更新这一部分分门别类之后的群体数据信息,第二是采取一些安全防范的措施,第三我想重点强调的是匿名化措施,匿名化是今天大家一定要重视的事情,匿名化意味着当你掌握或者处理一个数据的时候,该数据是不能够追踪到具体每一个个人上的,这个匿名化意味着拿这个数据进行处理或者拿这个数据做AI活动,做什么都可以,只要做匿名化处理,GDPR就不会对这部分的活动进行监管。我再重复一遍,如果你是数据处理者就要及时更新所有的数据信息,而且落地执行一些充分的安全防范措施,最后采取技术化手段使得这样的安全措施落实到位。

作为数据控制者,你需要确保数据处理者对于数据更新以及安全防范的措施都已经落实到位,所以通常需要做的是去审查数据处理者签订的合同或者说是一个第三方签的合同,去看他们对数据的加工处理是否符合GDPR的规范要求,通常你会对他们进行例行询问问,这样的安全措施是否真的已经落实到位。

在数据保护官这里,为了执行他们的任务,数据保护官必须获得适当的数据资源。我们很难想象任命的一个数据保护官,却并不提供相应资源,从而使得他无法开展自己的数据保护工作。在整个工作架构上,数据保护官需要直接向首席执行官进行汇报工作。当然最基本的是不能有任何的利益冲突。

在适应规则第一步这儿,我再强调一下刚才所强调过的匿名化处理问题。也就是说,如果你对数据类处理已经完成了匿名化的措施,这意味着相关的所有数据活动是不可以追踪到该人身上的,那么这个活动就不会为GDPR所监管。那我们在我们国家做的第一步,是追问现在我们有什么样的数据。我们还需要问的是它是如何被存储的,如何被保护的,我们是否需要这样的数据。其实想一想,当我们看到公司内部进行这样的询问时,是给我们提供了机会去进行更好的数据管理。

当我们去看现在公司有什么样的数据时,完成了这部分审视,我们才能明白现在在数据监管方面有什么样的风险,数据合规有什么样的差距,以及是否真的需要这一部分数据从而进行数据的整改。只有这样我们才能够提出相应的有针对性的解决方案。我在这个PPT上没有放的很重要的一点是证据问题,所有数据处理和加工都需要证据进行固定,固定方式可以是纸面的记录来提供合规的证据。我们也要确保这个数据访问的权限仅限于执行数据处理加工所必须的人手中,并且使得员工都有的充分的数据合规意识、经过训练。

由于时间有限,我先跳过一些部分,直接说GDPR对中国借鉴的环节,我要问的问题是,中国企业与欧盟数据发生打交道,是否会被GDPR监管,要考虑到业务频率的问题。比如说你在中国境内的某一个城市开展业务,德国人过来问你业务的设计问题,这样是不是已经与欧盟的数据发生了联系?这并不是一个GDPR意义下的与欧盟有关的数据,因为并没有说,该活动是持续的或者业务性的,稳定地与欧盟的数据发生联系。

GDPR第三条有一个关于全球视野下的借鉴,第三条说无论与欧盟有关的数据是否在欧盟境内进行处理加工,都会受到监管。第二款又继续阐述了,如果一个企业不在欧盟境内,但在以下条件满足了的话——条件一是说这一组织会向欧盟境内的人提供商品或服务,条件二是说如果该组织在欧盟境内进行实名网络互联网上的活动,如果组织是在中国境内而不是在欧盟境内,但该组织同时为欧盟消费者服务——以上两个条件满足,他们就需要进行一系列的GDPR合规操作。

这是另外一个有关数据跨境的国际性视角:欧盟立法对充分性互认或者非充分性互认国家做了一个区分性的规定。充分性互认国家意味着,要么这些国家已经给欧盟发送了他们合规的一些报告——这个情况并不适用于中国,因为目前主要是欧盟一些国家、安道尔以及加拿大。如果不是这种情况,比如说中国的数据跨境,就会被严格的限制。

我举个例子,比如一个英国公司提供数据中心服务,具体业务开展是在美国,母公司是在美国,如果在英国的企业将他与人力资源有关的员工信息跨境传输到美国的时候,由于企业集团内跨境,又涉及到英美之间的互认,其限制是较弱的。

那么如果是德国在中国设立了一个酒店,德国人想来中国度假,他们想确认自己度假预约的时候,德国酒店需要把这个数据跨境传输到中国,以保证他们的预约成功。我们理解在这样的情况下,这样的数据跨境传输是受到严格限制的,除非经过了数据监管当局的授权。在这样的情况下,首先会适用的规则变成了个人的同意规则,也就是数据所有者同意将这一数据跨境传输到中国。我们又回到问题的起点,谁在拥有这样的数据,答案是个人,数据所有者,对数据进行加工或者同意以及相应的表态。在这样的情况下,无论是我刚才提到的英国企业在美国的母公司,还有中国和德国之间的数据跨境,如果得到同意,并且签订明确的同意合同,这样的数据跨境就是合规的。而针对中国和德国的数据,双方都是数据的控制者,这两方独立的数据控制者出于不同的目的对数据进行加工处理。在这样的情况下,德国和中国两个独立的数据控制者应当签订的合同是一个标准规范合同,专门适用于数据控制者之间。这样的示范条款或者标准合同已经被欧盟委员会通过并且承认,这一合同目前对全球开放,并且可以将这一合同内化到企业合同规范中。

最后一个问题,究竟是否需要一个数据合规官或者一个将数据外包的第三方服务?如果是一个中小企业,我将中小企业定义在250人以下的话,那么这样的中小企业是有一个豁免的。但如果这样的企业与数据持续的进行打交道,并且在很大的数量级内,或者说涉及到处理非常敏感大流量的数据,在这样的情况下最好是设立一个数据保护官。那什么样的是我刚才谈到的敏感大流量?可能是一些医药的数据,或者旅行中的交通数据以及你在银行涉及到的个人金融数据。

在结语部分,我们说,GDPR是一个好的规范,当然公司可能为了合规需要做出非常多的努力,但我们也可以看到,这同样是一个机遇。如果你的消费者认为自己的数据被非常安全地储存在企业那里,并且消费者安全地掌握着这些数据,这可以让消费者和企业之间建立非常充分的信任,这样的消费者就会对自己的数据体验感到非常有安全感,并将这一体验分享给身边其他消费者。同样,这也是一个可以在公司内部进行数据管理的好机会,企业家可以关注一些企业真正需要的数据,并且摆脱或者去除一些冗余、并不需要的数据。如果这样看,我们现在所谈的GDPR下的合规成本会在一定程度上减轻,并且带来更多的机会。谢谢大家。

 

立即报名