一�����、 背景介紹
《歐盟個人信息保護(hù)條例》(RGPD����,以下簡稱《條例》)是一項(xiàng)旨在統(tǒng)一歐盟各成員國有關(guān)個人信息保護(hù)相關(guān)立法的歐盟條例����,于2016年初開始生效,2018年5月25日開始直接適用于所有歐盟成員國�。
該條例的生效實(shí)施意味著數(shù)據(jù)處理主體(無論是作為數(shù)據(jù)控制者還是作為分包商)必須在條例規(guī)定的期限內(nèi)完成相應(yīng)的合規(guī)調(diào)整。在歐盟設(shè)有多家子公司或分支機(jī)構(gòu)的企業(yè)需要尤其注意�。
按照新條例規(guī)定,進(jìn)行合規(guī)調(diào)整是一項(xiàng)強(qiáng)制性要求���。事實(shí)上��,法國法規(guī)(參見1978年1月6日頒布的第78-17號法律�,即《信息與自由法》��,后因1995年10月24日的歐盟第95/46/CE指令而修改)已經(jīng)對個人信息保護(hù)規(guī)定了嚴(yán)格的法律框架���,而RGPD則側(cè)重于強(qiáng)調(diào)責(zé)任的概念和將責(zé)任落實(shí)到個人信息處理者身上����,也就是“問責(zé)”�����。企業(yè)將被要求采取一些技術(shù)性和組織性措施和程序��,將其制度化����,以實(shí)現(xiàn)真正意義上的信息治理,并且能夠證明這些措施的有效性和效率性�。當(dāng)企業(yè)在被檢查或出現(xiàn)問題時,需要能夠證明自己遵守了條例的相關(guān)規(guī)定�,采取了恰當(dāng)?shù)谋Wo(hù)措施,履行了其應(yīng)盡的各項(xiàng)義務(wù)�。
二、 處罰力度
按照新條例的規(guī)定�,對于違規(guī)企業(yè)的處罰罰金最高可達(dá)兩千萬歐元或企業(yè)全球營業(yè)額的4%,并且選兩者中數(shù)額較高的適用��。
此外,企業(yè)還有被追究刑事責(zé)任的可能���。對企業(yè)品牌形象也會造成影響���,從而失去客戶甚至企業(yè)生態(tài)系統(tǒng)(合作伙伴、雇員甚或供應(yīng)商)的信任��。
三��、 企業(yè)應(yīng)對措施
面對《條例》提出的這些要求��,企業(yè)需要對自身現(xiàn)狀進(jìn)行詳細(xì)確認(rèn)分析��,制定合規(guī)調(diào)整方案并執(zhí)行���。
(一)現(xiàn)狀確認(rèn)及問題評估分析企業(yè)首先需要對所涉及的業(yè)務(wù)做定性分析�,確定相關(guān)操作是以數(shù)據(jù)控制者身份進(jìn)行還是以分包商的身份進(jìn)行��。確定企業(yè)組織結(jié)構(gòu)�����、規(guī)模����、主營業(yè)務(wù)等基礎(chǔ)信息。
新條例對數(shù)據(jù)控制者(數(shù)據(jù)收集者)和分包商分別規(guī)定了各自應(yīng)承擔(dān)的義務(wù)��。
企業(yè)作為數(shù)據(jù)控制者應(yīng)確認(rèn)企業(yè)是否存在以下問題:無法律依據(jù)或未經(jīng)當(dāng)事人同意處理與其相關(guān)的信息��;違反條例規(guī)定處理特定類別的信息��;侵犯當(dāng)事人的異議權(quán)����;未遵守“畫像”相關(guān)條件要求;未履行問責(zé)義務(wù)(初始設(shè)計(jì)��、影響評估 )����;未指定本地代表;違規(guī)處理數(shù)據(jù)����;疏乎或未及時舉報或通知信息泄露事件;未進(jìn)行影響分析��;未指定數(shù)據(jù)保護(hù)專員��;執(zhí)行或下令執(zhí)行將信息轉(zhuǎn)至未獲準(zhǔn)國家的操作;未履行答復(fù)主管機(jī)關(guān)質(zhì)詢的義務(wù)���。
企業(yè)作為分包商應(yīng)確認(rèn)企業(yè)是否存在以下問題:超出客戶授權(quán)范圍或違背其要求的行為���;未向客戶提供能夠證明其操作合規(guī)的相關(guān)信息;未告知客戶某項(xiàng)信息處理違反了條例規(guī)定���;分包服務(wù)未經(jīng)客戶的事先許可�����;保障措施不充分的情況下尋求分包服務(wù)��;未指定數(shù)據(jù)保護(hù)專員����;未設(shè)
置數(shù)據(jù)處理備案簿����。
(二)合規(guī)調(diào)整
合規(guī)調(diào)整主要涉及四方面內(nèi)容,即數(shù)據(jù)處理備案簿的制作�;指定數(shù)據(jù)保護(hù)專員;責(zé)任的具體落實(shí)����;強(qiáng)化個人權(quán)利保護(hù)意識��。
1.備案簿的制作
數(shù)據(jù)處理備案簿的模板可以從法國國家信息技術(shù)和自由委員會(CNIL)的網(wǎng)站上下載�,但需要根據(jù)企業(yè)涉及業(yè)務(wù)的具體情況做相應(yīng)調(diào)整��。這一過程的關(guān)鍵是對所涉及的業(yè)務(wù)進(jìn)行準(zhǔn)確的定性分類��,確定應(yīng)跟蹤記載的事項(xiàng)�����。備案簿需實(shí)時更新�,處理業(yè)務(wù)或涉及的信息量較多的情況���,相應(yīng)的工作量會比較大���,可以考慮通過專用軟件來完成。
2.數(shù)據(jù)保護(hù)專員
數(shù)據(jù)保護(hù)專員專門負(fù)責(zé)落實(shí)歐盟條例的合規(guī)事宜���,企業(yè)有關(guān)個人信息處理的全部操作都受其管轄����,并同時負(fù)責(zé)與監(jiān)管部門進(jìn)行溝通。這一職位可以是全職也可以是兼職����,可由企業(yè)內(nèi)部人員兼任,但所兼任的職位之間不得有利害沖突�����。該專員也可以是企業(yè)外部人員�。
歐盟條例規(guī)定三類企業(yè)必須指定數(shù)據(jù)保護(hù)專員:
(1) 公共機(jī)關(guān)和公共機(jī)構(gòu);
(2) 基本業(yè)務(wù)性質(zhì)決定其需要定期系統(tǒng)地對大規(guī)模人群的數(shù)據(jù)進(jìn)行跟蹤的企業(yè)����;
(3) 基本業(yè)務(wù)性質(zhì)決定其需要處理大規(guī)模人群的“敏感”信息或有關(guān)刑事或違法記錄的信息的企業(yè)。
擔(dān)任數(shù)據(jù)保護(hù)專員需要具備以下條件:具備法律基礎(chǔ)知識��;了解數(shù)據(jù)安全和保護(hù)的相關(guān)法規(guī)��;受過相關(guān)培訓(xùn)�����;了解企業(yè)所從事的行業(yè)����;具有充分的獨(dú)立性���;能夠接觸相關(guān)信息;與決策層可以進(jìn)行有效溝通��。
數(shù)據(jù)保護(hù)專員的職能:告知和建議對于條例規(guī)定的數(shù)據(jù)控制者和分包商的義務(wù)�;保存這一工作的文字記錄及收到的相關(guān)回復(fù);監(jiān)控內(nèi)部規(guī)章有關(guān)數(shù)據(jù)保護(hù)的規(guī)定的實(shí)施和執(zhí)行情況����;職責(zé)分工����、員工培訓(xùn)、審計(jì)����;監(jiān)督條例的實(shí)施;隱私設(shè)計(jì)�,數(shù)據(jù)安全,通知當(dāng)事人�����;確保文檔保持最新狀態(tài);發(fā)生個人信息泄露事件時�,監(jiān)控建檔、通知和溝通事宜�����;確認(rèn)是否已執(zhí)行影響分析���;確認(rèn)監(jiān)管機(jī)構(gòu)提出的要求是否得到了答復(fù)�����;與監(jiān)管機(jī)構(gòu)的溝通����,充當(dāng)對話者���。
3.責(zé)任的落實(shí)(問責(zé)制)
企業(yè)需要通過一系列措施將相關(guān)權(quán)利和責(zé)任具體落實(shí)�。這些措施包括:在企業(yè)內(nèi)部規(guī)章中做出相關(guān)規(guī)定��;個人信息泄露事件的文檔記錄����;影響分析���;設(shè)計(jì)階段加入隱私保護(hù)考量的方式;指定數(shù)據(jù)保護(hù)專員����。
其中需特別注意的是:
(1) 影響分析對于數(shù)據(jù)處理操作可能使當(dāng)事人的權(quán)利和自由面臨特殊風(fēng)險的情況,企業(yè)需要對目標(biāo)操作事先進(jìn)行影響分析�。
首先對目標(biāo)操作做出一般性描述,然后對個人權(quán)利和自由可能面臨的風(fēng)險進(jìn)行評估��。風(fēng)險評估可以采用規(guī)范性和方法性評估方式(EBIOS, ISO 27001…)�����。之后根據(jù)評估結(jié)果制定相應(yīng)的風(fēng)險防范措施��。所采取的安全措施����,一方面旨在確保信息安全�,另一方面也為企業(yè)證明其操作符合歐盟條例規(guī)定提供證明依據(jù)。
(2) 信息安全
數(shù)據(jù)控制者和分包商都有義務(wù)確保個人信息的安全�。這一義務(wù)要求企業(yè)盡到以下職責(zé):
確保數(shù)據(jù)處理的安全性:進(jìn)行風(fēng)險評估,采取適當(dāng)?shù)募夹g(shù)和組織措施預(yù)防數(shù)據(jù)毀損���、遺失和任何形式的非法處理�����;
通知監(jiān)管部門信息泄露事件:無正當(dāng)理由不得拖延�;得知事件發(fā)生后最晚不得超過 24小時;事先擬定通知的內(nèi)容����;文檔記錄保存;
與當(dāng)事人溝通信息泄露事件:發(fā)生可能違反對當(dāng)事人信息保護(hù)義務(wù)或侵犯當(dāng)事人的個人隱私事件時���,應(yīng)當(dāng)及時與當(dāng)事人溝通���;事先擬定通知的內(nèi)容;如果有證據(jù)證明企業(yè)已經(jīng)采取適當(dāng)?shù)募夹g(shù)保護(hù)措施�����,且這些措施已應(yīng)用于相關(guān)數(shù)據(jù)上�,可以不通知;但監(jiān)管部門可以責(zé)令企業(yè)通知涉案當(dāng)事人�。
4.強(qiáng)化個人權(quán)利保護(hù)意識
只有明確了解當(dāng)事人享有哪些權(quán)利,企業(yè)在收集和處理相關(guān)信息時才能更好地采取恰當(dāng)?shù)拇胧?���,確保當(dāng)事人的權(quán)利得到充分的保護(hù)�����。因此���,企業(yè)需要強(qiáng)化其員工,尤其是涉及數(shù)據(jù)處理的操作人員和決策者的個人權(quán)利保護(hù)意識�,可以通過例如專題會議、培訓(xùn)����、發(fā)放宣傳冊等方式進(jìn)行。
需要注意的是����,企業(yè)的合規(guī)調(diào)整方案制定并實(shí)施后,還需始終執(zhí)行�����,既要基于企業(yè)自身業(yè)務(wù)變化�,也要注意法律的最新規(guī)定���,及時進(jìn)行更新�����。
百能律師事務(wù)所(Bignon Lebray)
傅曉麟律師 郵箱:xlfubourgne@bignonlebray.com
金瓊杰助理 郵箱: qjin@bignonlebray.com
網(wǎng)址:https://www.bignonlebray.com/fr/
