安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估
立法背景
最初的前身是《1981年个人数据保护公约》、之后它发展成为《1995年个人数据保护指令》(以下简称“95指令”),最后在2016年,产生了《通用数据保护条例》(英文简称“GDPR”)。
在2009年开始,欧盟启动个人数据保护框架的改革工作。2012年1月正式发布GDPR草案。经过长达四年的立法程序,2016年4月,欧盟理事会和欧洲议会表决通过了GDPR,并随后在2016年5月4日正式在欧盟官方公报发布。根据GDPR第99条关于生效和适用的规定,GDPR自官方公报发布满20日,即2016年5月24日生效,并自其生效后满两年,即2018年5月25日直接适用于欧盟全体成员国,以“一个大陆、一部法律”实现在欧盟28个成员国内部建立起统一的个人信息保护和流动规则。
要点概述
1、扩张域外适用效力
管辖范围:所有涉及欧盟地区数据主体个人数据处理的行为均纳入了管辖范围。GDPR在第3条中规定了“属人”、“属地”、“保护”、“国际公法”等多种管辖权适用依据。
第3条(1)规定:GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
第3条(2)规定:即便数据处理者、控制者以及数据处理行为均不发生在欧盟境内,但为了保护欧盟及欧盟境内居住的数据主体的合法权益,只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为,均应受到GDPR的拘束。
第3条(3)规定:虽然数据控制者设立在欧盟境外,但依据国际公法,其所在地区适用欧盟成员国法律时,其行为也受到GDPR拘束。
2、扩张数据主体权利
GDPR第三章专章(第12条-第23条)规定了数据主体的权利,包括透明度及模式、知情与对数据的访问、更正与删除、反对权和自动化决策、权利限制等五个部分的内容。相较于95指令所规定的数据主体权利,GDPR在以数据主体“知情——同意”为基本框架,保留、细化并拓展了95指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系,并新增了被遗忘权、限制处理权和数据可携带权。
第12-15条构成数据主体的知情权体系;第16条-第20条规定了数据主体的更正权和删除权体系;第21-22条规定了数据主体的反对权和自动化决策相关内容;第23条则规定了数据主体权利的限制。
3、强化数据控制者、数据处理者问责
GDPR在引入一站式监管机制降低数据控制者等企业日常合规负担的同时,也要求数据控制者、数据处理者内部建立完善的问责机制,更多地以企业内部合规性义务规定推进GDPR的落地。
具体来说,主要体现在设置数据保护官、对数据处理活动实现文档化管理、实行数据保护影响风险评估制度、对高风险数据处理活动向监管机构事先咨询、向监管机构和数据主体进行数据泄露事件的报告和通知、强调匿名化与假名化安全保障措施等等。
同时,在大多数情况下明确了数据处理者与数据控制者负有同等义务,并且明确数据处理者在数据安全、数据泄露、数据保护影响风险评估等方面对数据控制者负有协助义务,以及数据处理服务终止时的数据删除或返还义务。
4、丰富数据跨境流动机制
形成了基于充分性决定、有拘束力公司规则、标准合同条款、经批准的行为准则、经批准的认证机制或标志等构成的多元数据跨境流动监管路径,实现用户隐私、数据安全与数据跨境流动需求之间的协调与平衡。
5、改革数据保护监管体制
设立欧盟数据保护委员会,负责代表整个欧盟层面发布有关个人数据保护的相关意见、指南,协调一站式监管机制并促进交流等,以确保GDPR在欧盟各成员国内适用的统一性。
GDPR新增监管一致性机制,以应对跨境数据流动场景下涉及多个成员国监管机构的情形,减轻监管成本和企业合规成本,力图实现一站式管理服务。
执法行动及评估
1、GDPR执法行动
欧盟数据保护委员会(“EDPB”)是整个欧盟层面的数据保护机构,旨在保证欧盟整体数据保护规则的统一适用,以及促进各成员国数据保护监管机构之间的合作,其主要政策工具为出台指南、建议、意见以及有约束力的决定。
与EDPB相对,各国监管机构的职能与权限由本国数据保护法赋予,其权限主要包括调查权和矫正权。具体而言,监管机构可通过发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款等行使其权力。
2019年2月,EDPB发布GDPR实施情况首次概述,对各国相关监管机构的合作机制与一致性机制的实施与执行情况进行总结。合作机制指利用一站式合作机制、互助、联合执法等工具支持跨境案件的执行。一致性机制涵盖EDPB为确保GDPR在各监管机构间适用与执行的一致性而出台的一般指南,以及意见、决定、争议解决与紧急决定等。
2、GDPR执法行动评估
GDPR所详尽规定的基础权利和义务的实际遵守效果也很难证实。此外,尽管有EDPB的协调和监督,鉴于各国执法路径与社会文化的不同,欧洲各国的数据保护执法水平不均衡的现状短期内很难得到较大改善。