前车之覆后车之鉴——从欧盟GDPR处罚案例看如何做好数据合规管理
欧盟《通用数据保护条例》(GDPR)已经生效四年有余,该条例的出台为欧盟的数字市场建立了统一的法律规范,因其深入的监管力度、严厉的执法手段和高昂的罚款金额在数据合规监管方面对全球范围产生了巨大的影响力,包括美国在内的其他国家纷纷仿效立法保护个人数据,相关出海企业也因此逐渐重视数据风险的防范与控制。
一、数据处理必须严格遵循其基本原则
典型案例:EnelEnergia电话营销违反处理数据的合法性原则
意大利数据监管机构于2021年12月对能源公司EnelEnergia处以共计2650万欧元的罚款,处罚依据主要是该公司非法处理用户个人数据用于电话营销目的。监管机构查实该公司在未经用户必要同意的情况下,向保留用户或在异议登记册中注册的用户拨打促销电话,从而引发大量投诉。监管机构认为这不仅涉及违反同意义务,而且从数据处理初始阶段开始就违反数据保护的基本原则。
GDPR第五条规定了数据处理的基本原则,具体内容包括:
(1)个人数据应以合法、公正和透明的方式进行涉及数据主体的处理(“合法、公正和透明”原则);
(2)个人数据应为特定、明确和正当的目的收集,且不得以违背初始目的的方式进行进一步处理;为了公共利益的存档目的、科学或历史研究目的或统计目的而进一步处理,依据本条例第89条第1款,不视为不符合初始目的(“目的限制”原则);
(3)个人数据处理应当是实现数据处理目的所适当、相关、必要的(“数据最小化”原则);
(4)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”原则);
(5)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例89条所规定的合理技术与组织措施(“限期储存”原则);
(6)处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”原则)。最后还规定控制者对自己符合以上数据处理的基本原则承担证明责任。
二、数据获取必须履行相应义务
数据控制者的身份和详细联系方式,以及数据控制者代表人的身份和详细联系方式(如适用); 数据保护官的详细联系方式(如适用); 拟处理的个人信息的处理目的和处理的法律依据; 当处理依据是“为数据控制者或第三方追求正当利益的目的所必需”时,数据控制者或者第三方追求的正当利益; 个人数据的数据接收者或者数据接收者的类别(如有); 数据控制者意图将个人数据向第三国或者国际组织进行传输的事实以及欧盟委员会是否就此问题作出过充分决议,或在条例第46条、第47条或第49条第1款第2小段规定的传输情形下,所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可供获取的方式(如适用)。
个人数据的储存期间,在无法提供的情形下,应当提供确定该期间的标准;
向数据控制者请求访问、更正、删除个人数据或限制、拒绝其处理与数据主体相关的数据的权利,以及数据可携权;
当处理是依据本条例第6条第1款(a)项或者第9条第2款(a)项时,有随时撤回同意的权利,但此种权利不影响同意撤回前进行的处理的合法性;
向监管机关提起申诉的权利;
提供个人数据是否是基于法律规定或合同约定,或是作为缔结合同的必要条件,以及数据主体是否有义务提供个人数据和无法提供数据时可能的结果(14条规定中不包括此款);
包括数据画像在内的本条例第22条第1款和第4款提及的自动化决策机制,至少在该类情况下提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。
数据主体已同意为一个或多个特定目的而处理其个人数据;
处理是为履行数据主体为一方当事人的合同所必需,或在订立合同前应数据主体的要求采取措施所必需;
处理是数据控制者为遵守一项法定义务所必需;
处理是为保护数据主体或另一自然人的重大利益所必需;
处理对为公共利益执行职务或数据控制者受托行使公权力所必需;
处理是为数据控制者或第三方追求正当利益的目的所必需,需要个人数据保护的数据主体的利益或基本权利和自由显著优先于该利益的除外,特别是数据主体为儿童时。
第7条、第8条中规定了“同意”的具体要求;第9、10分别规定了特殊个人数据处理、刑事定罪有关的个人数据处理要求。
典型案例:1&1 Telecom GmbH未经授权人员获得用户数据
2020年11月德国联邦数据保护和信息自由专员(BfDI)对电信服务提供商1&1 Telecom GmbH处以90万欧元的罚款,原因是该公司没有采取足够的技术和组织措施来防止未经授权的人员获得客户数据。该案中,BfDI发现公司客户服务部门的员工只需提供客户的姓名和出生日期即可获得有关客户数据的大量信息。BfDI认为这种身份验证程序违反了GDPR第32条,根据该条,公司有义务采取适当的技术和组织措施来系统地保护个人数据的处理。在BfDI批评数据保护不足之后,1&1 Telecom GmbH实施了相应的整改措施。即通过询问附加信息,身份验证过程更加安全,并在1&1 Telecom GmbH在与BfDI协商下,引入一种新的技术和数据保护显著改进的身份验证流程。该公司积极采取的前述措施,降低了BfDI对其的可能的罚款数额。
GDPR第5条规定的一般原则中即包括“处理过程中应确保个人数据安全”,第32条对数据控制者/处理者的具体安全保障义务展开规定:
1. 考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于以下的因素:
个人数据的匿名化和加密;
保证处理系统和服务持续保密、完整、可用和自我修复的能力;
在发生物理性或技术性事故的情况下及时恢复个人数据的可用性和访问的能力;
定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。
2.衡量安全措施的适当水平时,应当特别考量因处理产生的风险,特别是在传输、储存或进行其他处理时个人数据被意外或非法破坏、遗失、变更、未经授权披露或访问。
3.遵守本条例第40条规定的经批准的行为准则或第42条规定的经批准的认证机制可以作为符合本条第1款规定的证明要素。
