全球数据合规法律要求概述
刚刚过去的2021年,对于中国的数字产业来说是重要的一年。年内先后生效的《数据安全法》和《个人信息保护法》,与2017年生效的《网络安全法》共同构成了数据合规的重要法律基础,呈三足鼎立之势。随着数字经济的日益活跃,我们有理由相信2022年全球各国监管机构的数据及隐私保护执法活动会更加频繁严厉。本系列上篇文章从立法层面对全球数据及隐私保护进行了总结及展望,中篇聚焦数据及隐私保护的执法情况及展望,本篇将概述全球数据合规法律要求。通过比较全球主要国家和地区数据合规的要求,不难发现大多数国家的法律规定有诸多类似之处,如下图所示。一方面是因为各国在立法时通常会相互借鉴他国的立法经验,另一方面由于欧盟立法的相对完备性,绝大多数国家和地区在立法时均参考了GDPR的具体规定。各国相互借鉴GDPR立法所带来的好处是,企业在进行数据合规时,以GDPR作为范式模板,通常也会满足大多数国家的监管要求。
接下来,将以比较法的视角,介绍主要国家数据合规的法律要求:受GDPR的影响和启发,目前大多数国家都将数据保护的地域管辖范围在属地原则基础上增加了属人保护原则。换句话说,即使某公司在该国没有营业地点,但是为该国居民提供了数据服务,或者监控了该国居民的行为,就需要遵守该国的数据合规规定,否则将受到相应的惩罚。以GDPR为例,其第三条规定,以下两类情形在其适用范围内:(1)数据控制者或数据处理者位于欧盟境内的应适用GDPR,即使实际的数据处理活动不在欧盟境内发生;(2)数据控制者或数据处理者不在欧盟境内,若向欧盟境内的数据主体(即欧盟居民)提供商品或服务(无论是否发生支付行为),或监控欧盟境内数据主体的行为,也应适用GDPR。如下图比较分析,中国的《网络安全法》(或称“《网安法》”)、《数据安全法》和《个人信息保护法》(或称“《个保法》”)均采取了属地+属人的地域管辖原则。美国的CLOUD法案更是将管辖权从数据的拥有(Possession)扩展到了监护(Custody)和控制(Control)行为,实现了跨境长臂管辖。
确定哪些数据处理活动需要遵守合规要求的前提是确定数据的保护范围。目前各国数据合规所针对的数据主要是个人信息/个人数据。个人数据的涵盖范围,以GDPR为例,个人数据是与已识别或可识别的自然人(即数据主体)相关的任何信息,包括但不限于:(1)基本的身份信息,如姓名、地址和身份证号码等;(2)网络数据,如位置、IP地址、Cookie数据和RFID标签等;(3)医疗保健和遗传数据;(4)生物识别数据,如指纹、虹膜等;(5)种族或民族数据;(6)政治观点;(7)性取向等。如下图比较分析,中国的《网安法》将个人信息限定在识别个人身份的各种信息,《个保法》在此基础上进行了扩充,除了识别信息之外,与自然人有关的信息也被视为个人信息,与GDPR保持了一致。美国的CLOUD法案则强调了与个人或设备的连接性,将个人信息的范围扩展到了相关的设备。
关于数据的处理原则,GDPR规定了个人数据处理的七大基本原则,包括:(1)合法、公正、透明原则:必须以合法和透明的方式处理个人数据,确保对数据主体的公正性;(2)数据最小范围原则:必须明确定义处理数据的目的,必须在收集个人数据时向数据主体说明这些特定具体的目的,不允许为未明确定义的目的收集个人数据,不允许将个人数据用于原始收集目的以外的其他目的;(3)目的限定原则:仅允许收集实现该特定具体的目的所需的个人数据;(4)准确性原则:个人数据必须是准确、最新的,且为处理数据的目的所必须,若不符合须马上更正;(5)存储限制原则:个人数据的存储不得超过必要时间;(6)完整性、保密性原则:必须使用适当的技术和组织保障措施,以确保个人数据的安全;(7)可证明原则:数据控制者须对数据处理的合规性负责,并能够证明合规性。如下图比较分析,中国的相关法律基本与其一致,但在《个保法》中增加了诚信原则,强调不得通过误导、欺诈、胁迫等方式处理个人信息。
GDPR规定,当满足以下六种合法正当性情形时,企业可以收集个人信息:(1)获得数据主体的同意。数据主体的同意必须满足以下要求:(a)必须是自由给出的;(b)必须针对特定具体的目的;(c) 必须是清晰、明确的,并经由一个肯定性动作给出(如:提供电子签名,或在电子表格上主动勾选电子勾选框);(d)可以便利地撤回同意,且这个事实必须告知数据主体(如:在订阅的电子邮件末尾,添加取消订阅的链接);(2)为合同履行,如企业为履行与客户签订的合同,或在签订合同之前需向客户提供报价。在此种情形下,合同还包括符合合同法的未正式签署的文件和口头协议;(3)为履行法定义务,如欧盟或国家法律规定,雇主须上报雇员的某些个人数据;(4)维护公共利益所必须;(5)在符合欧盟或国家法律规定的前提下,为保护个人的重要利益,为追求企业的正当利益;(6)必须在确认过数据主体的基本权利和自由不会受到严重影响之后。企业正当利益的例子包括:(a)用于直接营销目的或防止欺诈的数据处理;(b)出于内部管理的目的,在一家或数家企业内,传输客户与员工的个人数据(注:仍须遵守国际数据传输要求);(c)为确保网络和信息安全而进行的数据处理,包括防止对电子通信网络未经授权的访问、阻止对计算机和电子通信系统的破坏等;以及(d)向监管机构报告可能的犯罪行为或对公共安全的威胁。如下图比较分析,中国的《网安法》仅规定了“同意”作为获取个人信息的唯一合法理由,但《个保法》则参照GDPR的规定增加“合同”、“法定义务”等六种合法情形,其中还特别针对新冠疫情的处置需要,增加了“应对突发公共卫生事件”的情形。
4、数据控制者/处理者的义务
关于数据控制者/处理者应当遵循的合规义务,GDPR规定了两种:有计划的数据保护义务和默认情况下的数据保护义务,(1) 有计划的数据保护:GDPR鼓励数据控制者(公司/组织)从数据处理的早期计划阶段,就开始采取适当的技术和组织措施,从而确保一开始就符合数据保护原则;(2) 默认情况下的数据保护:默认情况下,数据控制者(公司/组织)应确保采取最高的隐私保护措施来处理个人数据。因此,在默认情况下,个人数据不应当被不明确数量的人员访问。另外,GDPR还规定了数据控制者向监管机构报告个人数据泄漏的义务:数据控制者必须在得知数据泄露后的72小时内向监管机构报告。数据保护影响评估(DPIA)义务:在某些情况下,必须在开始某项数据处理活动之前提交DPIA,特别是当该数据处理活动可能由于其范围或性质而使数据主体暴露于高隐私风险中时。记录数据处理活动的义务:(1) 数据控制者有义务维护其职责范围内所有处理活动的内部记录,且该记录必须包括每项处理活动的具体细节;(2)对于雇员人数少于250人的企业/组织,不强制要求提供此类记录,除非处理个人数据是该企业/组织的一项常规业务(如数字营销公司),对个人权利和自由构成威胁,或涉及敏感数据(如医疗保健组织)或犯罪记录。如下图比较分析,概括起来GDPR为数据控制者/处理者规定了15项义务,中国的《个保法》在其基础上又增加了四项义务:合规审计义务、境内设立代表机构义务、跨境提供数据合规义务以及大型网络平台的看门者义务。
5、数据主体权利
GDPR赋予了数据主体对其数据广泛的控制权,包括:(1)知情权:(a)GDPR透明性要求的关键一点是,数据主体有权了解其个人资料的收集和使用情况;(b) 必须提供给数据主体的知情权包括:处理个人数据的目的,个人数据的保留期限,个人数据会被分享给谁;(2)访问权;(3)更正权;(4)撤回同意权;(5)拒绝权;(6)拒绝自动处理权;(7)要求人工处理的权利;(8)删除权:如当顾客关系解除时,该项权利并非绝对权利,取决于符合其他适用法律的数据保留期限要求;(9)可携权:(a)要求数据控制者将个人数据提供给自己或传输给另一个数据控制者;(b)个人数据必须以机器可读的电子格式提供或传输。如下图比较分析,GDPR为数据主体规定了9项权利,中国的《个保法》则在其基础上又增加了两项权利:解释说明权和死者近亲属权。
6、数据跨境传输的规定
关于数据跨境传输,GDPR规定可以直接向通过欧盟委员会“充分性认定”的欧洲经济区(EEA)外第三国传输数据。没有作出适当决定的情况下,原则上只有符合以下条件时,个人数据才可传输至第三国:(1)输出数据的数据控制者或数据处理者自身作出“适当的保障措施”;并且(2)该第三国有可实施的数据主体权利规定,以及有效的法律补救措施。如下图所示,中国的《个保法》对于数据跨境传输则规定的更加全面和严格,跨境传输需要满足的严格条件、告知境外接收方信息和单独同意的义务、关键信息基础设施的特别规定、向外国司法或执法机构提供信息的特别规定 。
7、处罚规定
违反GDPR将面临多重法律责任,包括行政责任、民事责任。违反GDPR的行政责任分为两部分,一是纠正违法行为,二是行政罚款。可能的处理方式包括:责令纠正违法行为,暂时或最终禁止数据处理,以及最高为上财年企业全球营业收入4%或2000万欧元(取高者)的罚款。如下图比较分析,在中国违反规定则面临民事责任、行政处罚以及刑事责任。因此,企业应当对数据合规给予足够的重视。
总体而言,2021年从各国推陈出新的数据保护法规到高昂的违规罚款,无不显示着全球数据监管变得越来越严格的态势。这正是在世界各地开展业务的公司必须紧跟不断变化的全球数据保护法规的原因。随着数字经济的日益活跃,我们有理由相信2022年全球各国监管机构的数据及隐私保护执法活动会更加频繁严厉。
