欧盟的《一般数据保护条例》 (General Data Protection Regulation, GDPR)则是在数据保护方面的另一重要立法。这部条例是在欧盟之前的立法基础上(尤其是1995年的《数据保护指令》及相关成员国国内法)历经4年多的协商和辩论后于2016年4月27日通过,并于2018年5月25日正式生效。超过两年的准备期也从一个侧面说明了GDPR本身的重要性和对相关方可能造成的影响。
GDPR创设和引入了若干重要性的理念,值得数据保护领域的相关方认真研究和应对。比如:
1.强化对数据主体的保护。GDPR要求数据主体的同意必须是具体的、清晰的,而且是在充分知情的前提下自由作出的。如果是涉及儿童的个人数据,必须获得其父母或者其他监护人的同意。更重要的是,数据主体可以随时撤回同意,数据控制者应为此提供便利。虽然GDPR允许在特定场合数据控制者出于其合法利益可以处理数据,但是必须证明其合法利益显著高于个人权利和自由。此外,数据主体还明确拥有了知情权、反对权、被遗忘权以及数据可携权。
2.数据控制者和处理者的义务。对于数据控制者,GDPR要求符合条件的控制者必须设立数据保护专员(Data Protection Officer)或者指定代表负责数据保护事宜。在设计产品和服务时必须嵌入数据保护(Compliance by Design和Compliance by Default) 。对个人数据要采取安全保障措施,包括数据的假名化;对于高风险的数据处理活动,要进行数据保护影响评估和事先协商;在发生数据泄露时,要及时通知监管机构等。
3.监管。在监管方面,GDPR试图统一监管机构,允许企业主营业机构所在地的监管机构实行一站式监管,减轻了跨国数据流动时企业的合规负担。但同时,对于违反GDPR相关规定的处理行为,该条例设置了巨额的处罚措施。对于没有取得用户同意等行为,处罚高达2000万欧元或者企业上一年度全球营业收入的4%(以较高者为准)。
对于中国企业来讲,尤其要注意的是GDPR的适用范围。一方面,对于中国企业在欧洲设立或者收购而成的子公司,无论其数据处理活动是否在欧盟境内,均需遵守GDPR。另一方面,如果中国企业为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息,或者为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,也要受GDPR的管辖。因此,对于已经在欧盟进行战略布局或者拟将业务网络拓展到欧盟的中国企业(尤其是银行、电子商务、互联网、IT企业和软硬件生产商)来讲,必须重视GDPR的合规,否则将会遭受重大的财务和声誉上的损失。
瑞栢律师事务所长期从事跨国业务,有自己专门的法律专业团队,为了向中国企业和政府机关提供更为精准的欧盟《一般数据保护条例》翻译文本,特组织翻译编写了此书。本书收录了欧盟《一般数据保护条例》的中英文全文(包括鉴于条款和正文),采取汉英对照的方式,不仅有利于读者查询对照,而且还能让读者接触到法律英语的精准表达。