文章
GDPR研究系列(1)——GDPR正式向我们走来
2018年5月25日是隐私保护领域决定性的一天,人们期待已久的《通用数据保护条例》(General Data Protection Regulation,即“GDPR”)正式生效了。包括中国在内的德勤全球团队一直在为许多组织从差异分析、运行转型方案和隐私治理问题提供建议,因为他们正在努力调整他们的数据政策和实践,以遵守GDPR。同时,合规只是事情的一个方面,我们同样关注GDPR给组织带来的机遇。新法规将带来新秩序,新秩序提供了新洞察力,将帮助组织洞察隐藏在新秩序中的新价值。德勤将帮助组织发掘其数据的业务潜力,并成为它们在新领域中的合作伙伴。
在接下来的系列文章中,我们将就GDPR所带来隐私规则的重大变化,以及其对不同行业的影响进行分析,以帮助组织在新的全球隐私规则下掌握业务先机。
什么是GDPR?
自20世纪90年代中期以来,欧盟保护个人信息的立法主要基于欧盟第95/46/EC号指令:数据保护指令。这是一项立法法案,为整个欧洲的数据保护规定了最低标准。欧盟内的每个国家都采纳了该指令,并将其转化为本国的地方数据保护法。如荷兰的“Wet Bescherming persoonsgegevens”、德国的“Bundesdatenschutzgesetz”、比利时保密法和“1998年英国数据保护法”都是这类地方法律的代表。由于该指令自1995年以来基本上没有改变,所有基于该指令的地方立法也只进行了微小的更新,欧洲委员会和欧洲议会认为,该指令已经无法满足现代隐私需求。因此,四年前开始着手准备一项新的欧盟数据保护法案,即GDPR,用以在今天的数字世界中保护个人隐私。
GDPR现已正式生效,并将取代上文所述的地方数据保护法,在欧盟的每个国家都是有效的。欧盟机构兑现了他们为组织松绑的承诺,同时也加强了对个人隐私的保护。这意味着隐私规则将发生变化,处理个人信息的组织必须对其充分了解。
数据可携性
GDPR加强了个人控制自己数据的权利。其中最重要的一个例子是授予个人的新权利:数据可携的权利(Portability)。它是说一个人有权利把他的个人数据从一个组织转移到下一个组织。个人数据必须以结构化的、通用的和机器可读的格式提供给个人。条例还规定,当技术上可行时,组织应根据个人要求在组织间用电子的方式传输其个人信息。
数据清册
和之前的欧盟第95/46/EC号指令相比,GDPR已不再要求组织通知地方当局其正在处理的个人数据。长期以来,这一直被视为一项繁琐和官僚的规则,给国际企业带来了沉重的负担。然而,取而代之的是制定了一项规则,即一个组织现在必须在其职责范围内保存处理活动的记录,简而言之,他们必须保存所有处理的个人数据的清册(Inventory)。GDPR对清册中应至少要包含的信息进行了描述,它不仅包括组织处理了哪些个人信息,还应包括处理的目的、个人数据是否被导出、以及所涉及的第三方等。
默认数据保护设计和隐私设置
GDPR要求“Data protection by design and by default”。这意味着两件事:首先,在设计处理个人数据的系统、过程和服务等时,要确保在设计过程的早期阶段就考虑到数据保护因素,并且组织还要能够证明他们已经这么做了;其次,当要设计的系统、流程和服务等将包括个人对其与他人分享的个人数据的数量和类型进行选择时,默认设置应是最有利于隐私保护的设置,例如默认设置是完全不共享任何个人信息。这种默认的数据保护设计还包括数据最小化原则。
扩大管辖范围
GDPR中的管辖权是一个有趣的概念。GDPR适用于那些确实向欧盟内的数据主体提供商品或服务,或监测数据主体行为的组织(包括不在欧盟内部的组织)。换句话说,通过互联网向欧盟居民提供服务、商品或进行监控的组织必须遵守欧盟关于这些居民数据隐私的规定。这说明GDPR适用范围是跟着数据走的,而没有严格的地域限制。
处理者
如果您是处理者(即您代表另一个组织处理个人数据),GDPR将给您带来重大变化。之前所有遵守隐私法规的责任都在控制者(您的客户)身上,现在您将直接面对一些义务和需要承担一些责任,如处理者必须指定一名数据保护官(DPO),并保存其代表客户执行的所有处理活动的记录;此外,一个监督机构可以直接对处理者提出相应的需求和要求。可以预计,这将打破控制者和处理者之间现有的权责分配格局。
被遗忘权
另一个在过去几年已被广泛关注的数据主体权力是所谓的“被遗忘权”。数据主体删除其个人数据的权力在当前的数据保护指令中已经存在,但在GDPR中有所提高。根据新的规定,在特定情况下,所有处理个人数据的组织必须删除所有数据主体的个人数据。特定情况包括数据被非法处理,以及数据主体撤回先前同意的情况。由于之前谷歌在西班牙被诉一案中欧盟法院根据这项新权力作出了裁决,所以这一“新”权力受到了广泛关注。
数据保护影响评估
GDPR引入了数据保护影响评估(DPIA)的方法来识别处理个人数据时可能对个人隐私保护带来的风险。当有高风险事项时,GDPR期望组织制定合理措施来应对这些风险。这种评估应该在处理个人数据开始之前进行,并应侧重于对处理活动的系统性描述以及操作的必要性和适当性等主题。因此,DPIA类似于许多组织已经定期执行的隐私影响评估(PIAs)。但PIAs的内容从来没有被严格定义过,故这次将有助于大家开展相对一致的评估。
安全
必须采取适当的信息安全措施来确保处理系统和服务的保密性、完整性、可用性和可恢复性,这一直是隐私法规的一部分。不同的是,GDPR中专门提到了假名化(pseudonymisation)和个人数据加密;此外特别强调了安全应该基于风险评估,这里的风险不是组织自身面临的风险,而是数据主体的人权,即个人隐私受到侵害的风险。
问责制与数据治理
欧盟的数据保护立法始终以一些需要遵守的原则为基础。合法性(lawfulness)、公平性(fairness)、目的限制性(purpose limitation)和透明性(transparency)是大家熟知的例子。GDPR引入了一项新的原则:问责制(accountability)。这要求组织不仅要遵守这些原则,且要能证明其遵守了!这意味着大多数组织不得不提升其内部隐私治理的成熟度,这不仅关乎这一新原则,而且也是当前公众对现代组织的期望。
处罚
GDPR最常被提及的一个方面肯定是它明确提到的罚款。之前数据保护指令里有一句写道具体处罚由成员国来确定,但GDPR详细说明了违反GDPR条款可能招致的行政罚款。最高罚款额取决于违规的“类别”:如果不太严重, 最大是一千万欧元或前一年全球每年总营业额的2%(两者孰高);如果严重则上升到两千万欧元或前一年全球每年总营业额的4%。
一站式机制
欧洲将推出一种针对监管机构的“一站式”机制为那些在欧盟各地开展业务的组织提供部分救济。GDPR引入了监管机构之间的合作机制。“主要监管机构”是数据控制者或处理者主要业务所在国的监督机构,他们是组织首要的打交道监管机构,但有些情况下其他地方当局也可以介入。很明显他们之间需要合作,但如何合作却无先例可循。
认证机制
对于许多组织来说如果能够证明自己已经遵循了GDPR,那将为他们带来竞争优势。为此引入了数据保护认证机制和数据保护印章和标记。GDPR甚至还设想了一个通用的欧洲数据保护印章。尽管目前GDPR中还只是个轮廓,但可以预期在今后几年会逐渐清晰。
各地差异
需要强调的是GDPR是一部法规,而不是指令。它不像欧盟第95/46/EC号指令那样必须在每个欧洲国家被转至当地法律, GDPR将直接在欧盟各个成员国生效。这将让许多在多个欧盟成员国运作的组织感到宽慰,因为如果必须考虑并不同欧盟成员国间那些有细微差别的数据保护规则的话无论在法律还是实操上都是噩梦。尽管如此,我们仍注意到在GDPR中还是为各地政府提供了添加或修改条款以满足本地数据保护需要的口子。不同地区对个人数据应达到的保护程度有不同的观点。即使在欧盟内部,各国对此的看法也大相径庭。可以预见,许多政府将会根据当地的文化习惯和传统观点作出规定。
GDPR已经生效,每个组织都可以评估其对自身的影响。各个组织的情况和所受影响肯定不尽相同,但有一点可以确定——不能仅仅关注法律层面,而要系统化地来考虑隐私问题,并且确保有足够的技术能力来支撑。