用户名:  密码:   
网站首页即时通讯活动公告最新消息科技前沿学人动向两岸三地人在海外历届活动关于我们联系我们申请加入
栏目导航 — 美国华裔教授专家网科技动向学人动向
关键字  范围   
 
薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?
薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?
2018/6/1 16:03:23 | 浏览:1670 | 评论:0

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

  史上最严的欧盟《通用数据保护条例》(简称GDPR)生效短短几天,已经展露出锋利的牙齿。由于GDPR明确规定,其管辖范围并不局限在欧盟境内,欧盟境外的主体在特定条件下也必须遵循GDPR的相关规范。众多美国网站已经开始将欧洲用户拒之门外,有一些公司甚至宣布永久撤出欧盟市场。

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

洛杉矶时报:我们目前无法为您所在的地区提供服务,我们将尽力设法解决。

  中国企业的日子也不好过。5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(aliexpress)、小米等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

小米旗下生态链企业、智能灯具Yeelight通知用户无法提供服务

  当前越来越多的中国企业远赴重洋,开展涉欧业务。GDPR锋芒初露,哪类中国企业最容易“踩雷”?

 

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

  哪些中国企业最有可能踩到GDPR的雷区?

  就目前中国企业而言,信息软件、跨境电商、网络支付、航空物流等与欧盟有高频业务往来的中国企业容易踩雷。

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

  问题主要包括:国内相关跨领域人才和顾问数量稀少,欧洲当局和媒体以及欧洲民众对中国出海企业的不信任、对数据问题的敏感,以及对中国互联网企业新商业模式的不理解。

  例如对于某些共享经济型企业在欧洲的业务模式,欧洲居民存在一定的理解包容障碍,导致戴着“有色眼镜”看待的情形,这种情绪容易在GDPR执法环节体现出来。中国互联网协会研究中心秘书长吴沈括教授解读如下:

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

中国企业在GDPR施行后面临哪些合规风险?

  从合规工作而言,中国企业需解决的重大问题包括:对于欧盟要求采取的数据安全措施,由于规则要求不是很清晰明确,而且可能与我国《网络安全法》的要求存在冲突,如何确定合规需要的技术安全措施难度很大。比如,有些数据的保存期限就与我国《网络安全法》规定的有关网络日志的保存期限不一致。

  对于欧盟要求设立的数据保护官(DPO)等制度,如何予以满足并且符合中国《网络安全法》的要求,依然存在不确定性。“被遗忘权”、“数据迁移权”等新设权利以及中欧数据跨境的落地实现,存在很大的模糊性,更缺少国内规范的支撑指引。比如,《网络安全法》第37条有关数据跨境的基本制度设计,有关个人信息和重要数据出境相关管理办法和指南有待进一步出台。因此在操作层面,中国企业还需要有更多的操作性规范支持。

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

中国企业如何应对GDPR?

  其一,系统梳理研判自身业务线中的各类涉数据事项,通过分类、分环节的流程设计,将涉数据责任风险的业务做必要的分割、阻隔。

  其二,全面考察涉欧业务的主要区域分布,对比成本风控和责任风险,进而选定主要的业务区域,确保遵循当地的合规要求。

  其三,及早设计GDPR维权追责事件的应急预案,配备必要的技术、法务人员及时响应监管机关的执法要求。

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

国家层面应该如何应对GDPR?

  面对GDPR,相关部门从国家层面给予我国企业开展经营必要的支持法规和扶助措施,更具战略意义。

  首先,要迅速建立完善并及时细化我国数据管理制度,尤其是数据跨境管理制度,为我国企业的数据合规工作提供明确的行为指针。

  其次,建议国家网信部门建立专门的GDPR风险应对机制,支持我国企业在欧盟及海外市场的业务拓展,避免重大合规风险,尤其包括:强化能力建设,面向在海外开展业务的国内企业提供风险提示与业务指导;促进合规交流,特别是成功进入欧盟市场满足合规要求的案例分享;建立中欧政府对话工作机制,同时加强我国企业等各类主体与欧盟及成员国数据保护机构多层次的交流对话;国家财政商务部门建立专门的GDPR应对支持基金,特别是面向中小企业提供必要的应对支持,以实时掌握并避免行业性重大合规风险。

  另外,目前在欧盟执法持开放姿态的情况下,应与欧洲各层级数据保护机构在GDPR执法层面展开实务交流,推动形成多样化的数据跨境流动方案,这包括:采取标准化协议方式的落地机制;针对中小企业数据跨境流动的特别机制;磋商中欧数据跨境机制的通用制度安排。

   GDPR来了,不要怕!以GDPR为原则,更负责地使用和管理企业数据,更负责地对待客户和供应商。这不仅能促进企业建立遵守数据隐私法规的文化,还能帮助企业赢得更多信任。

   这么说GDPR早该来了!

 

最严数据法律来了,数字经济企业如何应对?

 

薛笔犁 & 周佳苗:“最严数据法”GDPR展露利齿,哪类中国企业容易“踩雷”?

历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。

  2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将正式生效。GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。

  GDPR即将生效,中国发布的《信息安全技术 个人信息安全规范》(下称《信息规范》)也于2018年5月1日起实施。

  一些国内企业长期缺乏规则意识,可能并没有尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情形,一旦到了国外可能就不灵。企业的不合规经营行为,一旦被其他国家政府发现追究起来,处以巨额罚款或禁止业务往来,可能是灭顶之灾。特别是在近几年全球贸易保护主义似乎有所抬头的新时代背景下,企业不合规经营,必将产生数年甚至永远难以消化的“恶果”。

  面对即将落下的GDPR利剑,全球数字经济企业需要积极应对,努力减少合规风险,防止入“罪”被“罚”。各国政府也需要积极担当作为,为本国数字经济企业的海外发展保驾护航。

 

GDPR一大“杀手锏”:重罚

 

  除了扩大个人数据的保护范围、赋予数据主体一系列强大的权利外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。

  对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如果根据全球营业额进行处罚,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annual turnover),而非全球净利润。该等级的处罚究竟适用哪些情形,GDPR第83条第4款规定三大类数据违法行为:第一,数据控制者与处理者没有尽到相应数据保护义务。譬如未实施适当的技术和组织措施、未尽职责保持数据处理活动的记录、没有及时向监管机构通知数据已泄露、未进行数据保护影响评估等;第二,没有对数据保护认证组织履行义务;第三,没有对监管部门履行义务。

  针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。GDPR第83条第5款规定了五大类严重违法的具体情形:第一,违反数据处理的基本原则与条件。数据处理应当遵循六大原则:合法、正当与透明原则,目的有限原则,数据最小化原则,准确性原则,储存限制原则,完整性与保密性原则。数据处理应当符合相应的合法性条件;第二,侵犯数据主体的同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利;第三,不符合条件将个人数据传输给第三国或国际组织;第四,没有对成员国履行相应的义务;第五,未能遵守监管机构的相关要求。

  可见,GDPR设定的“罪”是相当多的,“罚”是非常严厉的。制定任何法律的目的不在于处罚,处罚只是保障法律有效实施的必要手段。“重典治乱”未必总能取得良好效果,但确实可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。

  无论是对于数据处理违法行为的认定及其严重程度判断,还是对于处罚金额的最终作出,欧盟监管机构都享有巨大的执法裁量权。如何减少数据保护监管的权力寻租,防止监管“俘获”,消除腐败,确保公正执法,是接下来欧盟当局特别是法治水平不高的一些成员国需认真对待的问题。

 

另一“杀手锏”:“长臂”管辖原则

 

  确立“长臂”管辖原则,或称为效果原则,是GDPR的另一大“杀手锏”。法律是国家主权的体现,一般只在一国领土范围内发生效力,即属地原则。但随着近些年来网络技术的不断提高,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内得到蓬勃发展。在数字经济时代,再继续坚持传统的属地主义原则,或许无法有效保护本国公民的权益和国家利益。

  GDPR的适用范围极广,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力。

  首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。

  其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。此管辖规则实际上确立了GDPR的属人主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。属人主义原则的确立,大大扩大了GDPR的管辖范围。

  再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据属人主义,仍然可能依国际公法规则对数据处理行为进行监管。

  GDPR所确立的三大管辖制度,可称之为“长臂”管辖原则。通过分析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受GDPR的管辖。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。

  “罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的可预测的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。“想吃大蛋糕,又不愿失去更多面包”的全球数字经济企业,应当抓紧按图行事不断完善企业数据治理。

 

企业应对GDPR的当务之急

 

  欧盟对于数据保护设定比较严格的高标准,必然会有很多数字经济企业一时满足不了要求,或一直不愿花大成本满足标准,所以罚款也必将蜂拥而至。那到底罚谁?

  由于人力、物力、财力等执法资源的有限性,未来欧盟对于数据保护的“选择性执法”在所难免。名企首当其冲。“枪打出头鸟”,选择“杀”一些名企,达到“儆百”的目的,可能是欧盟未来数据保护执法的常态。

  然而,不管是名企还是非名企,既然选择欧盟大市场,就应当根据GDPR的要求,建立健全合规的数据保护制度。名企财力雄厚,尽管被高额罚款,可能还承受得起。但是,对于非名企,特别是一些中小企业来说,欧盟的一次罚款或制裁,可能马上就会使其濒临破产。

  “羊未亡,牢需补。”全球数字经济企业应当高度重视GDPR。随着中国《信息规范》也将实施,中国企业可以从以下几个方面,尽快完善数据保护制度:

  第一,高度重视个人数据保护。企业高管团队应当对GDPR有清醒的认识和准确的预判,尽早制定周密的战略计划,不计成本消除各种不合规隐患,加强人员管理与培训。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。

  第二,完善数据主体的权利设置与行使操作规程。GDPR赋予了数据主体一系列强大的权利,对于这些权利的保护不足和侵犯属于严重违法行为,欧盟监管机构可处以最高额度的罚款。在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求,例如检查设置的同意权是否符合GDPR的要求。我国《信息规范》要求收集个人数据时原则上应获得授权同意,收集个人敏感信息还需明示同意,另外还明确了撤回同意权。

  第三,完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。以透明的方式,使用简明易懂的语言,及时如实告知收集、存储、使用个人数据的情况。建立健全数据保护影响评估机制与事先协商制度,对个人数据进行去标识化处理,完善数据匿名化处理规程,提高数据处理过程的安全性,并对个人数据处理活动进行记录。

  第四,必要时任命数据保护官。GDPR要求相关企业以透明的方式,任命具有专门数据保护知识的数据保护官(Data Protection Officer,DPO)。DPO可以确保数据控制者和处理者遵从GDPR的相关规定,同时也扮演着与监管机构之间的联系人和合作者的角色。如果经评估必须设立DPO,则应保障DPO的任命、权利和职责符合强制性规定,并为DPO独立履行职责提供充足的资源。另外,企业可考虑聘请外部数据保护顾问。

  第五,完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。企业应详细记录个人数据泄露情况,及时采取补救措施,不断修改完善现有的数据泄露管理流程。我国《信息规范》要求企业定期组织内部相关人员,进行个人信息安全事件应急响应培训和应急演练,及时更新应急预案。

  另外,数字经济企业还应当从更新隐私声明与政策、删除相关协议文本中侵犯数据主体权利的“霸王”条款、完善数据跨境流动机制等方面积极采取应对措施,减少不合规风险。

 

政府应为数字经济发展保驾护航

 

  经济基础决定上层建筑。GDPR是法律,属于欧盟的上层建筑,但其所要调整的却是全世界的数字经济企业。由于不同国家的经济发展水平存在很大差别,所以不同的经济基础与同一的上层建筑之间,必然存在难以调和的矛盾。一方面个人数据权利要保护,另一方面技术要创新、市场要发展,二者之间发生冲突在所难免。

  GDPR是一把双刃剑。欧盟GDPR选择了偏重保护个人数据权利,可能会对技术与市场的发展产生一定的阻碍。发展数字经济,建设数字中国,不仅需要靠企业不断提升数据治理水平,还需要靠政府主动采取措施,解决企业无法克服的实际困难。

  首先,政府应当高度重视GDPR给数字经济带来的挑战。严格的个人数据保护,带来高额合规成本。由于信息资产管理的运营成本会显著增加,而且担心被重罚,一些企业已经暂停欧盟的相关业务。GDPR的实施可能不利于中小数字经济企业成长,并可能助长巨头企业的垄断地位。因而,政府应当在战略上予以重视,积极制定各种鼓励扶持政策,有效支持企业提升数据治理水平,消除数据垄断,降低GDPR合规风险。

  其次,与欧盟积极沟通,完善对话协商机制。相关政府职能部门需要认真研究欧盟GDPR的监管规则,紧密协同配合,担当有为。在积极制定政策法律不断完善企业数据保护水平的基础上,与欧盟监管当局开展平等对话协商,表明难点与决心,赢得理解,减少不必要的处罚与贸易纠纷。

  再次,完善数据保护执法合作机制。对于GDPR 的监管挑战,各国政府应当充分研究欧盟数据保护监管的利益关切和行动计划,加强信息开放与共享,健全实体法之间的协调机制,寻找监管标准的最大公约数,积极寻求产业合作和个人信息保护执法合作,实现全球数据保护的共商共治。

  除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍全球数字经济企业在欧盟的发展扩张。在我国正在推行“一带一路”倡议的大背景下,GDPR也可能成为阻挡我国数字经济企业“走出去”的障碍。但无论如何,在互联网时代,合规经营是数字经济企业做大做强的不二法则。尽管“规”可能很严厉,但只要“规”是合法有效的存在,企业就应当严格遵守。(刘权)

相关栏目:『学人动向
普林斯顿教授“辛辣”点评中国学生:一个普遍的「坏习惯」阻碍了他们的长远发展 2024-11-16 [72]
朱民:中国经济将面临巨大的结构性变化! 2024-11-06 [346]
巫宁坤:活下去,并且“在日暮时燃烧咆哮” 2024-11-04 [382]
周其仁:中国经济高位下行的根本原因 2024-11-03 [412]
张维迎:让我最痛心的是社会变得如此虚伪,如此假话连篇 2024-10-31 [518]
达龙·阿西莫格鲁:制度视角下的中国未来经济增长 2024-10-31 [472]
钱满素:献身精神本身不足以成为一种美德 2024-10-31 [470]
战争琐思录(一):关于诺娃 2024-10-31 [466]
​“中产阶级气质”批判——关于当代中国知识者精神状态的一份札记 2024-10-27 [632]
后生可畏!这位华裔才俊掌控着全球顶尖公司AI模型训练! 2024-10-21 [722]
相关栏目更多文章
最新图文:
:中国336个国家重点实验室布局 :中澳政府联合出手打击洗钱和逃税漏税 大量中国居民海外账户遭冻结 :摄影师苏唐诗与寂寞百年的故宫对话6年,3万张照片美伦美奂 :大数据分析图解:2019中国企业500强 张梦然:英国惠康桑格研究所:人体内的微生物与出生方式有关 :美众议院将调查华裔部长赵小兰“利用职权为家族谋利“ :UCLA CCS 2019 Fall Quarter Lecture Series Overview 谭晶晶:美国科技界高度关注中国科技创新进展
更多最新图文
更多《即时通讯》>>
 
打印本文章
 
您的名字:
电子邮件:
留言内容:
注意: 留言内容不要超过4000字,否则会被截断。
未 审 核:  是
  
关于我们联系我们申请加入后台管理设为主页加入收藏
美国华裔教授专家网版权所有,谢绝拷贝。如欲选登或发表,请与美国华裔教授专家网联系。
Copyright © 2024 ScholarsUpdate.com. All Rights Reserved.