欧盟颁布《一般数据保护条例》成为个人信息保护里程碑式法律

鲲 2016-04-29

展开全文

一、概述

2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation），该条例将在欧盟官方杂志公布正式文本的两年后（2018年）生效。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护条例。

新条例将取代1995年发布的《欧盟数据保护指令》（Directive 95/46/EC），并直接适用于欧盟各成员国。它旨在加强对自然人的数据保护，并一统此前欧盟内零散的个人数据保护规则，同时降低企业的合规成本。

新条例由11章共99条组成，其中关于数据主体（data subject）的权利以及数据控制者（data controller）和数据处理者（data processor）的义务的条款特别需要企业进行深入研究，确保在条例生效前完成合规更新工作。

二、重要条款

以下简要介绍条例中的几项重要条款，具体规定请参见条例原文。

1. 管辖范围（第3条）

该条例适用于：

（1）住所在欧盟的数据控制者、处理者；

（2）住所虽然不在欧盟的数据控制者、处理者，但是其在向欧盟内数据主体提供商品和服务的过程中（无论是否需要付费）处理了欧盟内数据主体的个人数据，或对数据主体进行监测；

（3）住所虽然不在欧盟的数据控制者，但在根据国际条约欧盟成员国法律适用的地方。

2. 处理个人数据的原则（第5条）

处理个人数据应当：

（1）合法、正当、透明；

（2）处理数据的目的是有限的；

（3）仅处理为达到目的的最少数据；

（4）确保数据准确、时新；

（5）储存数据的期限不得长于为达到目的所需的时间；

（6）采取技术和管理措施以保护数据的安全；

（7）数据控制者有责任并应能够证明其做到了以上几点。

3. 合法处理数据（第6条）

至少满足以下中的一项，处理数据才是合法的：

（1）数据主体同意了为特定目的处理其数据；

（2）处理数据是为签订或履行合同所需的；

（3）处理数据是为遵守法定义务所需的；

（4）处理数据是为了保护数据主体或其他自然人的至关重要的利益；

（5）处理数据是为了公共利益或行使政府授予的权力；

（6）处理数据是为追求数据控制者的合理利益，但不得损害数据主体的利益。

4. 儿童个人数据的处理（第8条）

处理16岁以下的儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整，但是不得低于13岁。

5. 处理特别类型的个人数据（第9条）

禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

6. 被遗忘权（第17条）

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方（或第三方网站），数据控制者应通知该第三方删除该数据。

7. 可携带权（第20条）

数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。

8. 个人数据泄露通知（第33、34条）

数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误地通知数据主体，以便数据主体及时采取措施。

9. 设置数据保护官（第37、38、39条）

为确保数据保护合规并处理数据保护相关事务，数据控制者和数据处理者需设置数据保护官（data protection officer）。

10. 巨额罚款（第83条）

对于一般性的违法，罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%（两者中取数额大者）；对于严重的违法，罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%（两者中取数额大者）。

三、结语

欧盟此次通过的《一般数据保护条例》对1995年的《欧盟数据保护指令》进行了大刀阔斧的改革：将适用的主体范围扩大到了境外的企业；增加了透明原则、最少够用原则等一般性保护原则；开创性地引入了被遗忘权、可携带权等；并且对于违规活动进行严格的处罚，全面提升了对个人数据的保护力度。此外，欧盟将设立“一站式”投诉服务，以便于消费者在欧盟内跨境投诉。

此次改革以保护公民的基本权利为理念，在提高个人数据保护标准的同时，也会增加企业的合规成本。业界也有人担心这种严格的数据保护将会阻碍对数据商业价值的开发。因此，在实践中面对纷繁复杂的情况时，需要找到其中的平衡点。

对于欧盟以外的国家，新条例无疑树立了一个高标准的个人数据保护法律模板。鉴于欧盟对于数据跨境传输的严格要求，其他国家可能需要跟上欧盟的步伐，以免在数据利用方面受到限制。当越来越多的国家提高了对个人数据的保护力度，落后者可能会被禁闭在无限网络的狭小空间之内。