编者按:关于GDPR执法进展与趋势,目前GDPR之下有近70起公开宣布的罚款案件,还有很多正在调查进行中,虽然目前执法属于初步阶段,还没进入最全面最严格的实施阶段,但从现有案例和处罚数据的分析可以看出,GDPR执法机关的权利正在逐步地提高,执法力度将会越来越大。近日,垦丁网络法沙龙广州站,非常荣幸地邀请到了来自科文顿柏灵律师事务所的两位资深顾问罗嫣女士和Kristof Van Quathem先生,就GDPR实施一周年后的执法动向以及数据跨境传输监管趋势进行分享与讨论。

GDPR实施一周年以来,欧洲各监管机构展开了众多执法行动,欧盟各级法院也有多宗和GDPR相关的诉讼。这些最新进展对中国出海企业合规经营产生了重要影响。互联网出海企业面临的合规压力也越发紧迫,企业在强数据合规监管形势下如何做好自身的合规制度建设,又怎样具体地结合企业的实际情况把GDPR的要求具体落地,确实属于非常值得思考和探讨的问题。

2019年9月15日,中秋佳节的最后一个假日的下午,垦丁网络法沙龙广州站,非常荣幸地邀请到了来自科文顿柏灵律师事务所的两位资深顾问罗嫣女士和Kristof Van Quathem先生,就GDPR实施一周年后的执法动向以及数据跨境传输监管趋势进行分享与讨论。

同时,本期沙龙还非常荣幸地邀请到了租租车法务总监叶意女士,为大家详细讲解数据影响评估制度下的用户画像问,以及邀请了主要为出海互联网企业提供整套法律解决方案的资深出海法律顾问王捷女士,从GDPR视角切入,为大家带来了出海企业数据保护合规制度的搭建的落地设计方案。本期主持由英国高林睿阁律师事务所广州代表处的商法及公司法组负责人、TMT专业团队成员乐蓉女士担任。

参与本期沙龙的法务同行分别来自腾讯微信、虎牙直播、租租车、荔枝FM,视源电子、卓志集团等多家广州地区的知名互联网企业(排名不分先后)。

沙龙的上半场,是由来自科文顿柏灵律师事务所驻布鲁塞尔办事处的资深顾问Kristof Van Quathem先生以及GDPR白皮书作者之一、国际隐私专家的罗嫣女士作为主讲嘉宾。

Van Quathem先生是近期欧盟标杆性案件“BSA”一案的主辩律师,他系统性地详细地讲解了GDPR的具体背景、GDPR的适用的地理范围、GDPR特别需要关注的关键方面、关于个人数据泄露的问题,以及GDPR最新的执法动态和趋势。

透过Van Quathem先生深入浅出的讲解,可了解到数据隐私法律其实是有着悠久的历史,而欧洲则在其发展过程中起到了非常关键作用,其中2018年5月25日生效的《通用数据保护条例》(GDPR),并非一部全新的法律,其依据的框架是存续了20年之久的欧盟《数据保护指令》。GDPR直接适用于欧盟所有成员国,其更新了之前的《指令》并为整个欧洲的数据隐私法律创建了统一的标准。因此,在这个意义来说,GDPR“与其说是一场革命,不如说是一次进化”。

在GDPR的关键方面,Van Quathem先生特别强调了“法律基础(legal basis)”的重要性,即“仅在具有适当法律依据的情况下处理个人信息”,该“法律基础”包括六个方面的依据,其中GDPR对于“相关个人已经就相关处理活动给予其同意”的要求的规定是非常严格的,必须是要给予特定的事项,且是清晰的,明确的,并在没有歧义和自由意志的情况下进行。而且“个人同意”是最后一个选择,最后一道防线,只有在当所有合法基础都不能适用的时候,才能选择“个人同意”这个依据。Van Quathem先生还特别举了一个例子去详细说明该情况。例如在收集员工考评数据的时候,其实是不适用“个人同意”的,因为员工基于劳动合同的绑定关系,是无法自由地作出“同意”的。

关于GDPR执法进展与趋势,目前GDPR之下有近70起公开宣布的罚款案件,还有很多正在调查进行中,虽然目前执法属于初步阶段,还没进入最全面最严格的实施阶段,但从现有案例和处罚数据的分析可以看出,GDPR执法机关的权利正在逐步地提高,执法力度将会越来越大,罚款金额也会越来越大,相关的案件数量也会不断上升。如果企业的违法行为涉及到新的侵入性技术,或者严重侵犯个人隐私,并且没有完成GDPR要求的DPIA或采取适当的风险降低措施的话,势必会引起监管机关的高度关注,并可能面临严重的法律规制。

罗嫣女士为大家带来的是关于《理解数据本地化法律规定与数据跨境传输的限制》主题演讲。

罗律师立体有序、图文并茂地为我们体系化地梳理了关于数据本地化法律规定以及条文与条文之间的逻辑关系,清晰地剖析了什么是数据本地化法律,何为数据跨境传输限制等内容,并由此引出,为了符合这些法律要求,企业必须采取的措施包括哪些等等

罗嫣女士表示,通常的数据本地化法律是指要求将收集于某司法管辖区的数据在该司法管辖区的物理边界之内进行存储和处理的法律规定。但各国颁布数据本地化法律的原因各不相同。值得注意的是,某些数据本地化法律不要求数据本身被保存在境内,而只是要求可以提供该数据在境内的副本

根据GDPR的要求,一般情况下是不准许数据被跨境传输的,但在几种情况下是允许的。虽然数据跨境传输限制并不要求数据在本地保存,但产生了对应的合规义务,并会给企业带来较高的成本。值得关注的是,数据本地化法律和数据跨境传输限制在不同司法管辖区中是各不相同的,因此,需要遵守的具体规则可能会因国家和适用法的变化而不同。但是,公司可以采取一些基础性措施以确保他们做好了符合不同司法管辖区不同法律规则的准备。例如确定公司的数据流,以及(在任何需要的地方)去确保数据的可用性,以便满足当地政府和监管机关的对应要求。

最后,罗嫣女士给出了一些具体的示例场景(例如,某国公司准备发布某款手机App帮助用户收集某类型个人信息,该公司在位于某他国的云服务商来保存用户的信息),邀请在场的来宾一起参与讨论和思考,在该场景下,企业需要考虑的法律问题包括哪些,以及怎么做合规落地。

在沙龙的下半场,由资深出海法律顾问王捷女士以及租租车法务总监叶意女士作为主讲嘉宾。

首先,王捷女士紧接着罗嫣女士提出的实务场景的问题,从GDPR视角切入,与大家分享了出海企业数据合规制度方案设计的具体落地十大步骤。

王捷女士表示,GDPR主要依赖自我监督,但公司也需要自己去证明自身的合规情况,特别是在欧盟或地方政府机构提出要求的时候。因此,受GDPR规制的企业,其主要的任务是,需要审查其个人数据收集和处理的方式,评估自身现有的隐私保护制度和框架是否需要修改或调整,以便遵守GDPR的要求。结合多年的互联网企业法务海外业务实践经验,王捷女士梳理出GDPR数据合规总体思路,总结出了适用于出海企业落地合规制度的十个步骤,并就每一个合规步骤展开了具体落地操作阐释和给出了实操建议。

其中,值得企业法务注意的是,可以考虑在组织架构的更新变化下,去体现管理层对数据合规的重视,从而更好地自上而下地推动GDPR合规项目的落地。例如企业负责数据合规的人员需要告诉该事项的主要利益相关方,让高管们深知GDPR合规流程的重要性,理解到GDPR的到来可能也会导致公司的运营模式发生重大的改变,否则可能导致高额的处罚。又例如,可以考虑在董事会下设立数据合规委员会,负责公司整体的数据合规风险管控,并在核心高管人员中设立一名专职或兼职的人士专门负责GDPR的合规工作,同时,建立对应的合规问责制度,把GDPR的合规制度加入到员工考评中,明确奖罚和责任与补救制度。

另外,值得一提的是,在其他合规的步骤中,需要企业法务重点联合业务团队(包括产品研发、设计、运营、运维、数据合规、客服等等)一起进行的是企业内部的深度细致且系统的业务访谈工作,以及对企业内部数据流和数据库的尽职调查工作。其工作逻辑是,在对目标企业的隐私数据框架进行调整前,需要知道企业正在收集哪些类型的个人数据以及具体的处理流程。当了解了哪些类型的数据存在问题以及存在哪些问题,数据合规人员便可以比较好地去确定适用GDPR的哪些具体要求。因此,对企业所涉及的所有个人信息生命周期全流程(收集、处理、传输、共享、存储、销毁)的分析和具体合规摸查,是非常重要的

王捷女士分别在每一个合规步骤中给出了具体的合规指引和落地实操方法,并在最后给出了关于建立公司内部体系化的隐私保护体系的总体框架建议。

压轴出场的嘉宾是叶意女士,曾任职于唯品会和阿里巴巴大文娱集团等知名企业,企业合规实践经验十分丰富。她为我们分享的是大家非常感兴趣的《GDPR项下用户画像与自动化推广的合规关注》主题。

叶意女士具体阐释并分析了用户画像与自动化推广的趋势,并就GDPR项下如何合规开展用户画像及推广给出了自己的思考和有效建议。

她表示,用户画像是通过自动化方式使用个人信息进行分析或预测个人特征的过程,主要基于已知的特征,如年龄、性别、身高等对个人进行的分类,并继而进行预测、分析。从经济学角度分析,利用用户画像和自动化推广,有利于企业降低成本,提升效用,从而帮助企业提升整体的竞争优势。很多互联网企业都有内部的商业推广应用系统,他们基于用户画像,转换成不同的产品运营策略。通过打立不同的标签,把不同的画像归类到不同的用户群体中,进行决定使用应不同的营销手段。大数据及各类巨头互联网企业的例子也说明了,基于用户画像而开展营销推广已是大势所趋,其商业价值已经在广告产业、互联网产业得到充分证明。

叶意女士进一步分析了GDPR项下对用户画像的专门规制,并具体提出了企业利用用户个人数据进行数据画像及自动化推广的合规逻辑框架。其中进行DPIA安全评估是最为重要也是难度最大的一个环节。DPIA要求对大量个人信息利用进行事先的安全评估,评估的维度需要包括数据主体、数据控制者以及数据处理者等第三方等不同维度进行。继而由企业决策者决定是否同意进行数据画像和自动化推广的决定,并制定相应的个人数据保护机制及后续的持续完善体系。

叶意女士就合规框架的每一个步骤进行了详细的剖析并给出了具体的实操建议。

在沙龙活动的最后,罗嫣女士和Van Quathem先生分别就两个具体的示例场景所需注意和考虑的法律问题给出了具体的法律分析和建议。现场观众的提问和讨论也十分热烈和积极,围绕企业具体的合规实操方式进行了精彩的互动和分享。

GDPR越来越受到中国企业的关注,数据合规的问题更是每一个企业都值得持续的重视,特别是当一个企业把数据作为它的竞争资产的时候。

让我们期待下一期更精彩的网络法沙龙活动。

声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。