近日,国际律师事务所DLA Piper 对GDPR历年来的罚金做了统计,报告显示,GDPR自实施以来罚金逐年上涨,仅2021年欧盟实施的罚款就达到近11亿欧元(约12亿美元)。罚款名单上不乏多家互联网巨头,其中处罚金额最高的企业是亚马逊7.46亿欧元。
GDPR的全称是General Data Protection Regulation,即欧盟《通用数据保护条例》,于2018年5月25日开始全面施行,一度被称为全球最严数据保护法规。
随着数字经济的发展,数据信息已经成为一项重要的资产,各国对于数据安全的保护及数据利用方式要求也逐渐严格起来。这对于以互联网为载体进行电子商务的企业而言,无疑是一项挑战。因此,了解GDPR,对企业在未来“绿色”数字经济发展中规避风险、保持国际竞争力至关重要。
针对GDPR这项法规,今天我们邀请到了Oceanpayment合规负责人Carson来跟大家进行详细讲解,提供一些关于GDPR的合规思路与建议。
问:Hi Carson,首先还是想让您先介绍一下GDPR是什么?实施的目的是什么?
答:好的,GDPR是一项以保护(欧盟)公民的个人数据,对数据控制者和数据处理者等机构处理个人数据做出明确规定的法规,直接适用于所有欧盟成员国。
这当中会涉及到一些专有名词,我们可以从这些名词来进一步了解GDPR是一部怎样的法规。
Personal Data:个人数据,是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息,如姓名、身份证号码、定位数据、在线身份识别等标识。或者是通过参照该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份可进行用户画像的数据。
Data Subject:数据主体,指产生数据的个人,且这个人的数据被数据控制者或者数据处理者所掌握和处理。
Consent of the data subject:获得数据主体的许可或者同意,是指数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示同意对其个人数据进行处理。
Data Controller:数据控制者,能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
Data Processor:数据处理者,代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织,可能是数据控制者自己,也可以是授权第三方。
Data Erasure:数据擦除,也被称为“遗忘权”。这个权利赋予数据主体可以要求数据控制者无条件的消除其数据,有权要求禁止未来的数据散播,并且有权要求禁止第三方处理这些数据。
Data Processing:数据处理,针对个人数据或者个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或者其他的利用、排序、组合、限制、删除或销毁等,无论此操作是否采用自动化手段。
问:您上面提到GDPR法规直接适用于欧盟成员国,那意思是在欧盟境内的企业才会受到监管吗?
答:不是这样的,GDPR的适用范围相当广泛,并不是只包括欧盟境内的企业,一般来说分为三种情况:
一、成立于欧盟内的个人数据控制者或处理者,无论其处理工作是否在欧盟内进行。即便设立在欧盟的机构并不处理欧盟境内公民的数据,但只要在欧盟境内注册实体就受GDPR管辖。
二、成立于非欧盟内的个人数据控制者或处理者,但是向欧盟的数据主体提供货物或者服务(包含免费服务)或者对数据主体的行为监控是发生在欧盟成员国境内的。
三、设立于欧盟之外,联合参与了对个人数据的处理的机构。
问:也就是说,在欧洲设有主体或者有向欧盟消费者提供商品或服务的企业,都是在GDPR的管辖范围之内。
答:是的,这就要求跨境企业必须对GDPR有非常详细的了解,且具备数据安全和隐私保护的技术能力,否则一旦非法使用或泄露了相关数据,将会面临GDPR法规的严重惩罚。
欧盟监管机构对企业违反GDPR行为的性质和严重程度规定了以下两类罚款:
一是针对于数据控制者和处理者、认证机构、监管机构违反各自义务的情形,如未获取监护人同意收集儿童信息、收集信息违反最小必要义务、未能及时向监管机关报告数据泄露事件等,罚款1000万欧元或全球营业总额的2%,两者竞合取较高者。
二是针对违反数据处理的基本原则、侵犯数据主体权利、违反数据跨境转移相关规定的情形,如违反数据处理合法性原则、侵犯数据主体被遗忘权、未在充分条件基础上进行数据跨境转移等,罚款2000万欧元或全球营业总额的4%,两者竞合取较高者。
避免数据泄露,合规运营,才是避免罚款的关键。依据下图企业可对自身是否符合GDPR作简单的判断:
问:对于已经进入了欧盟市场的企业,您有哪些关于GDPR合规方面的建议?
答:已经进入管辖的企业,首先要做的就是梳理个人数据:明确个人数据类型,梳理业务流程及系统架构,结合个人数据处理现状,识别合规挑战及风险。如由第三方进行数据处理也需要确保第三方相关机构也遵守GDPR规定。
其次是制定安全合规的方案:按照GDPR的要求,从技术要求、制度建设、流程完善三个不同方面进行整改,加强隐私管理能力,对个人数据进行加密和脱敏处理。
再是建立隐私保护体系:基于GDPR中的不同领域评估整改工作,制定隐私保护规划,持续降低风险。
最后设立DPO数据保护官:设立企业内承担数据保护合规相关的职能角色,对企业GDPR合规以及数据保护方面所做的工作进行监管。
Oceanpayment在2021年初就设立了数据保护官DPO的角色,保证Oceanpayment及员工、客户、供应商等个人数据的安全合规,提升企业的数据安全和隐私保护能力。
问:对于即将进入欧盟市场的企业,您认为他们需要关注GDPR的哪些方面?
答:大致可以分以下几个方面:
● 认真履行GDPR规定的相关义务,确保数据使用的合法性,例如使用数据必须是经由数据主体同意的。
● 维护良好的数据处理活动的审计记录,包括处理的目的,数据的分类描述、控制者信息等;
● 在进行数据处理之前,控制者应当对个人数据保护所设想的处理操作方式的影响进行评估。
● 识别、评估、规避或降低数据处理活动中的隐私泄露风险;
● 在其进行跨境个人数据传送时所应遵循的国际性政策,必须确保数据跨境传输的安全性;
● 如果数据控制人需要日常性、系统性地处理大规模个人数据,或处理特殊类别的欧盟个人数据时,则必须指派数据保护专员。
问:前面聊到的都是关于数据保护以及数据使用的规范,那哪些情况下企业是可以合理使用这些数据的呢?
答:这主要是看企业处理数据的目的是否符合GDPR的规定,正常情况下,只要是用于正常的商业需求,且已经获得数据主体的同意,就可以合理地使用。比如以下五种情形:
一、使用数据是为了履行数据主体参与的合同的必要,或者是数据主体在签订合同前所必需使用的;
二、其目的是为了履行控制者所遵循的法律义务之必要;
三、其目的是为了保护数据主体或另一个自然人的切身利益之必要;
四、其目的是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;
五、其目的是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。
问:如果企业在运营过程中发生个人数据安全事件,应该如何处理才能将损失降低到最小?
答:当发生数据安全事件时,企业应该立即向监管机构进行通知,如果72小时内未通知,则需要对迟延原因进行解释。另外,在企业提交通知时,要对所泄露的个人数据的性质进行描述,包括数据主体的分类和数量,以及受到影响的个人数据记录。
上报完成后,企业需要组织数据防护专家对个人数据泄露可能造成的后果进行评估,并采取相应办法减轻可能造成的负面影响。
在处理事件过程中,企业应当记录个人数据泄露情况,包括和个人数据泄露有关的事实、影响和采取的补救性措施,这些可以使得监管机构验证行为的合规性。若个人数据泄露可能对数据主体的权利和自由形成很高的风险时,企业需要与数据主体进行交流。
安全与合规是企业发展长远之道,符合国际化发展要求、遵循市场化的运营法规,企业才能获得持续增长力。Oceanpayment 作为一家国际性的Fintech公司拥有ISO/IEC 27001:2013 ISMS国际安全认证及全球金融业最高安全级别PCI-DSS Level 1 证书,具备构建个人数据保护的知识体系和实施能力,为客户提供更安全、高效、符合法律法规的风控管理方案,为客户的安全运营和交易数据隐私保驾护航!
粤公网安备 44030502003453号
Comments are closed.