欧盟于2016年4月14日通过《通用数据保护条例》(GDPR),2018年5月25日生效实施,取代1995年的《数据保护指令》。GDPR的目的是对欧盟各成员国的数据保护进行统一规范,要求各国设立数据保护官,对数据主体的知情权、访问权、反对权、个人数据可携带权、被遗忘权等进行了细致规定。它还涉及欧盟境外个人数据的出口,旨在通过统一欧盟法规来控制公民和居民的个人数据,并简化国际业务的监管环境。
与过去的指令比较,新条例的调整包括以下主要领域:
一是欧洲数据保护立法的适用范围扩大。新条例实际上也适用于在欧盟以外设立并提供商品、服务或监测的数据处理机构。这将特别影响欧盟以外的互联网服务提供商。
二是取得有效许可的要求变得更加严格。特别是为了获得有效许可,必须由数据主体用明确的方式表示肯定。而所有者的沉默、预先打勾、或不理会等做法不能被视为有效许可。此外,数据主体可以始终保留不受限制地撤销对数据处理许可的权利。
三是新条例明确规定了被遗忘的权利,即数据主体获得要求数据控制者消除数据的权利以及将数据从数据控制者之间转移的权利。
四是引入了“按设计”和“默认”的数据保护原则。后者包括数据控制人员在收集和处理数据的整个过程中,都负有妥善保护个人数据的责任,仅将数据用于数据主体已经同意的目的,并不超过实现目的所需的最短时间。
五是数据控制者需要对数据处理进行“数据保护影响评估”,特别是在有导致主体权利、自由被侵犯的高风险时,需要保存其责任范围内的所有处理活动记录。一旦数据控制者意识到发生了个人数据泄露事件,应立即通知监管当局或数据主体。(www.xing528.com)
六是引入数据保护官员的新角色。数据保护官员是数据保护法律和实践专家,应根据条例向数据管理员通报并告知其义务,监督其对后者的遵守情况,提供上述数据保护影响评估并与数据主体和DPA联系。数据控制人员和处理人员可以从信用认证机构或监管机构获得证明其数据处理符合法规的证明。
七是处罚变得更加严格。违反条例规定的行为将受到高达2 000万欧元的行政罚款,或者最高可达相当于企业上一财年全球全年总营业额的4%。
值得注意的是,在侵权案件中,监管当局必须确保在每个案件中实施的罚款是有效的、相称的和劝阻性的,要考虑许多因素,如侵权的性质、严重程度和持续时间;故意或疏忽的性质;为减轻个人遭受的损害而采取的任何行动;组织的合作程度等。例如:一家公司销售在线家用材料;通过其网站,消费者可以通过输入他们的银行信息购买厨房用具、桌椅和其他国内商品。该网站遭受网络攻击,导致攻击者可以获得个人资料。在这种情况下,公司缺乏适当的技术措施是导致数据丢失的原因。在决定使用哪种补救措施前,监管当局会考虑各种因素,如IT系统的缺陷有多严重?IT基础架构已经承受了这样的风险多久了?过去是否进行了测试以防止这种攻击?有多少客户被窃取了关于他们的数据?什么类型的个人数据受到影响,是否包含敏感数据?监督机构将考虑所有这些和其他因素做出最后裁决。
欧盟与美国关于数据保护的博弈。在美国和欧盟的《跨大西洋贸易和投资伙伴关系协定》(TTIP)谈判中,数字贸易是一个关键领域,这是由于通过互联网提供的服务占到美欧服务相互出口的大多数。在谈判中,美欧就数字贸易规则中的一些问题展开了激烈争锋,尤其是在个人信息保护领域。2016年2月,欧盟和美国就两地公司之间传输个人数据涉及的隐私保护问题达成框架协议。新协议要求美国公司履行更加严格的义务来保护欧洲的个人数据,承诺关于如何处理个人数据和个人权利得到保障的“稳健义务”。
总体来看,欧盟重点关注数字贸易领域内个人隐私保护、互联网安全、知识产权和电子支付相关的数字货币等规则的制定。此外,对于3D打印、社交网络和工业互联网等相关的跨境交付规则等方面也高度重视。如TTIP谈判继续下去,除了为数字产品提供增强的市场准入规定外,还可涵盖解决数字贸易非关税壁垒的承诺;监管合作的条款可包括行业具体承诺(如ICT行业)和横向承诺(如利益相关方参与、透明度),以及加强数字贸易的规则和纪律,如达成关于促进跨境数据流动和处理本地化要求(如数据存储或服务器位置要求)的承诺等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
