GDPR影响下我国涉欧企业的数据合规路径
2020-09-12钟灵
钟灵
摘 要:欧盟正式颁布实施《一般数据保护条例》(General Data Protection Regulation,GDPR)至今,各成员国企业在其影响下已纷纷采取措施适应GDPR的合规要求,但还是面临着难以跟进监管要求、合规成本高昂、违规成本高昂等巨大挑战。GDPR基于其宽泛的管辖权,也给我国涉欧企业带来了数据合规挑战。面对这一挑战,我国涉欧企业应将其视为机遇而非负担,积极构建数据合规路径,提升企业的核心竞争力。基于此,主要从以下几个方面构建数据合规之路:一是构建成熟的数据合规组织体系,二是建立完备的数据合规防范体系,三是形成健全的数据风险应对体系,四是积极运用智能化方式推进数据合规建设。
关键词:GDPR;涉欧企业;数据合规路径
中图分类号:DF92 文献标志码:A 文章编号:1673-291X(2020)21-0166-02
在当今的大数据时代,数据已经成为一种宝贵的资源,国际组织、各国政府管理部门高度重视完善自身的数据保护框架,企业也在不断增强适应数据规则的能力。2018年5月25日,欧盟正式颁布实施堪称“史上最严数据保护条例”的《一般数据保护条例》(General Data Protection Regulation,GDPR),欧盟各成員国企业在其影响下已纷纷构建起数据合规路径。由于GDPR赋予数据监管部门宽泛的管辖权,我国涉欧企业也受其约束和影响。随着我国与欧盟间的业务不断扩大,数据合规的需求也不断增加。因此,我国涉欧企业构建数据合规之路具有重大战略意义,一方面有利于促进涉欧企业的全球化发展,另一方面有利于涉欧企业规避数据风险,从而提升企业的核心竞争力。
一、GDPR中企业数据合规的相关规定
1.数据控制者、处理者义务规则。根据GDPR第4条的规定,控制者是指能够单独或联合决定个人数据的处理目的及方法的自然人、法人、公共机构、行政机关或者非法人组织;处理者是指接受控制者委托、代表控制者处理个人数据的自然人、法人、公共机构、行政机关或者非法人组织。GDPR的数据控制者、处理者义务规则对企业的数据合规进行了规制,一定程度上加重了企业的数据合规义务和负担,主要体现在以下几个方面:第一,数据处理活动记录义务。企业应依职责保存并向数据监管机构提供数据处理活动的记录。第二,个人数据泄露的报告和告知义务。发生个人数据泄露时,企业应在规定时间内向数据监管机构报告,并及时通知数据主体。第三,数据保护影响评估和事前咨询义务。企业在处理数据前,应就自身预想的保护个人数据的操作方法及影响做出评估,根据评估结果体现出的数据风险高低决定是否应咨询数据监管机构。第四,设置数据保护官(Data Protection Officer,DPO)义务。GDPR规定企业应设置DPO,并详细规定了DPO的地位及任务。
2.数据跨境传输规则。GDPR对于个人数据向第三国或国际组织的传输的规定主要集中于第五章,其中可能影响企业数据合规的主要有以下几个方面的规定:首先,基于充分性决议传输数据。根据GDPR第45条的规定,除特殊情况外,第三国或国际组织要接收来自欧盟境内的个人数据传输需要经欧盟认证确定“具有充分性保护”。因此,若企业所在国家未获欧盟充分性决议认可,企业应通过满足GDPR的其他条款进行合法的数据跨境传输。其次,数据传输受到适当保障。在缺乏GDPR第45条第3款规定条件的情况下,仅当在企业提供适当的保障措施,且存在救济数据主体权利的有效法律措施的情况下,企业才能向第三国或国际组织传输数据。最后,约束性公司规则(Binding Cooperate Rules,BCRs)。BCRs是监管机构为使数据跨境传输合法化而设立的一种内部公司规则,GDPR对BCRs施加了严格的要求。
3.巨额行政处罚规则。为了保障数据保护的权利,GDPR的一个显著特征是对违法企业进行巨额行政处罚,罚款分为以下两档:一是处以最高达1 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的2%以下的行政罚款,两者中以较高数额为准;二是处以最高达2 000万欧元的行政罚款,或处以企业上一财政年度全球年营业总额的4%以下的行政罚款,两者中以较高数额为准。
4.实施现状及评价。GDPR正式实施至今,绝大多数成员国已经根据GDPR更新了国家数据保护法律,各国企业也纷纷随之建立数据合规路径。汤森路透(Thomson Reuters)的调查数据显示,79%的企业要么没有满足GDPR的监管要求,要么在跟进规则方面遇到困难;91%的企业表示知道GDPR,但其中1/4表示自己没有熟悉了解其规定;这些企业在数据保护方面的年平均支出为130万美元,预计合规成本还将不断提高[1]。据中兴通讯数据保护合规部不完全统计,截至2019年9月24日,22家欧盟成员国的数据保护机构对87件案件共做出 373 650 857 欧元的行政处罚决定[2]。处罚力度之大前所未有,为企业合规敲响了警钟。
GDPR的最终效果还需要时间来检验,但确定性的影响则是GDPR的实施已经给相关企业的合规性带来了极大挑战。随着未来GDPR及其配套适用规范、解释的更新,随着欧盟成员国乃至受GDPR影响的非成员国根据GDPR做出的法律法规的更新,企业面临的挑战将会只增不减。企业应直面挑战,构建合理的数据合规路径,并及时跟踪数据保护法律法规框架日益扩展的动态。将GDPR视为机遇而非负担,会为企业带来更多可能性。
二、GDPR下我国涉欧企业面临的数据合规挑战
1.GDPR与《网络安全法》存在一定的冲突。我国对数据合规规定得较为详尽的法律是《网络安全法》(以下简称“网安法”),我国涉欧企业面临着GDPR和网安法的双重管辖,而GDPR与《网络安全法》间存在一定的法律冲突。根据GDPR第58条规定,欧盟的数据监管机构对涉欧企业享有调查权,有权要求涉欧企业提供其履职所需的信息。而我国网安法第37条规定,关键信息基础设施的运营者因业务需要确需向境外提供个人信息和重要数据的,应当进行安全评估。由此可见,我国涉欧企业在向欧盟的数据监管机构提供有关信息时,可能会受到“安全评估”的阻碍,甚至不能向欧盟的数据监管机构提供调查所需信息[3]。