亚太企业面临更严格数据合规监管
《通用数据保护条例》(GDPR)于2018年5月生效,至今已有两年,极大提高了个人数据保护的力度,增强了个人数据主体的权利。由于它的域外效力适用于非欧盟的数据控制者与处理者以及对违规行为可能处以高额行政罚款,GDPR仍然是一个热门话题。在欧盟经营或与欧盟实体开展业务的所有企业均应重视GDPR的合规问题。
史密夫斐尔律师事务所合伙人刘依兰(Nanda Lau)表示,GDPR具有广泛的域外效力,在欧盟境内经营或向欧盟个人提供商品、服务或监控欧盟个人的实体均可能受到GDPR的管辖。具体要求包括:在欧盟内有经营场所且数据是在该场所的活动范围内处理的,比如,为欧盟办公室、分支机构、代表处处理欧盟雇员的数据;向欧盟个人提供商品和服务或监控欧盟个人行为,比如,通过网站向欧盟递送;或在互联网上对自然人追踪,进行用户画像。
GDPR将适用于中国电商的数据处理活动。史密夫斐尔律师事务所资深顾问龚钰(James Gong)举例说,在欧盟设有办事处的某中国公司,该办事处的商业活动与公司的数据活动以及创收和盈利有不可分割的联系;某中国公司使用欧盟数据主体的个人数据,其处理活动与向欧盟数据主体提供商品或服务有关;某中国公司使用居住在中国的来自欧盟国家雇员的个人数据等。
史密夫斐尔律师事务所高级律师周佩仪表示,GDPR要求非欧盟组织在欧盟内委任代理人。
如果个人信息控制者或个人信息处理者未遵守条例,指定代理人应接受强制执行程序。该代理人必须设立在“涉及向其提供产品或服务的个人信息处理或其行为受到监控的所在欧盟成员国内”。为确保遵守条例,该代理人必须由个人信息控制者或处理者授权,“除了个人信息控制者或处理者的授权外,还应获得特别是监督机构和个人信息主体的授权,以处理所有的相关问题”。个人信息控制者或个人信息处理者对代理人的指定,不妨碍可能针对个人信息控制者或个人信息处理者发起的法律行为。
龚钰表示,根据GDPR个人数据保护的基本原则,个人数据的使用需要以合法、公平和透明的方式,具有明确、清晰、具体、合法的个人数据处理目的,依照最小必要原则,确保信息的准确、安全。
刘依兰强调,对于受到GDPR管辖的数据控制者和处理者,在处理个人数据时必须具有合法性基础,且实施相应的安全保护措施履行保护义务,并在控制者和处理者之间的协议中包含数据保护条款。此外,个人数据在满足GDPR所规定的条件和要求时方可跨境传输。
同时,个人信息控制者和处理者应当采取安全措施,以确保和风险相称的安全水平。周佩仪表示,个人信息控制者和处理者应当特别考虑个人信息使用所带来的风险,特别是在个人数据传输、储存或处理过程中的的意外或泄漏、销毁、丢失、篡改或未经授权的披露。个人信息控制者和个人信息处理者还必须考虑到当时技术水平、实施成本、个人信息使用的性质、范围、背景和目的,以及对个人风险和自由的不同可能性和严重性的风险。这种安全措施可以包括个人信息的假名化处理和加密处理等。
GDPR影响下,亚太地区的个人数据保护法律快速发展,多个司法管辖区相继推出了信息保护法规,加强个人数据的保护。一些已有个人数据保护法律的司法管辖区,比如中国香港、澳大利亚、新加坡、马来西亚,近期都相继进行或准备进行立法修订。另外一些司法管辖区,包括印度尼西亚、泰国、越南、印度、巴基斯坦,在过去24个月里明确了新的或拟议的个人数据保护法规实施时间表。
鉴于GDPR的影响力和相关司法管辖区个人数据保护法律的迅速发展,龚钰建议,中国企业在欧洲以及亚太等地区无论是日常经营还是进行投资并购,都应当提高数据合规意识,尽早开展数据合规工作,从而避免因违规产生的风险。
