GDPR法律條款解讀及應對指南(全面版)
來自專欄約翰魏法律頻道
第一部分: GDPR法律條款解讀
- GDPR 法案的適用範圍
歐盟一般數據保護法案是歐盟議會推出一部處理個人信息框架性法律,所謂框架性法律就是歐盟範圍內確立基礎性的一些原則和處理方法,歐盟成員國根據GDPR一般原則來立法,標準不低於GDPR的規定。GDPR管轄的範圍涵蓋所有處理歐盟居民數據的公司,在歐盟地區的企業肯定需要遵守GDPR,歐盟之外的企業只要處理歐盟居民的數據也需要尊重GDPR。
任何違反GDPR的違法行為將導致最高2000萬美金或母公司所有營業額4%的罰金,二者取金額大者。這項法律對於用戶保護是最嚴格的,一定程度上將加重企業的合規成本,精神是值得讚揚的,但企業如果真的實施起來成本奇高,尤其對於中國出海創業企業更是如此。
- GDPR基本原則
GDPR法案一般11章99條款,88頁,將於2018年5月25日在歐盟範圍內生效,雖然條款眾多,但是GDPR基本原則也是比較簡單的:
1. 合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理
2. 數據收集應當有明確的目的:個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據。
3. 數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據。
4. 準確性:個人數據應當準確,如果需要儘可能保持最新的數據。
5. 存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
6. 完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」)。
7. 問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。
- GDPR 個人數據定義 Personal Data
「個人數據」是指任何指向一個已識別或可識別的自然人(「數據主體」)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號碼、定位數據、在線身份識別這類標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。個人信息實例:
· a name and surname; (名字)
· a home address; 地址
· an email address such as name.surname@company.com; 郵箱
· an identification card number; 身份證號
· location data (for example the location data function on amobile phone)*; 地理位置
· an Internet Protocol (IP) address; IP地址
· a cookie ID*; COOKIE ID
· the advertising identifier of your phone; 廣告ID
· 根據用戶畫像可以確定某一類人的信息,均為個人信息。
- 數據主體的權利:
- 信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制。
- 數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據。
- 糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。
- 被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果。
- 限制處理權:數據主體有許可權制數據主體處理其個人數據
- 關於糾正或刪除個人數據或限制處理的通知義務:除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。如果數據主體請求,控制者應當通知數據主體這些接收者。
- 反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理。
- 拒絕權和自主決定權
- 自主化的個人決策分析
- 控制者或數據處理者的義務
- 控制者應該在確定處理手段和在處理的同時,實施適當的技術和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的方式,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利。
- 控制者應該實施適當的技術和組織措施以確保,在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量,數據處理的程度,數據的存儲期限和數據的可及性。特別是,這些措施應確保在沒有個人對無限數量自然人的干預下,個人數據在默認情況是不可訪問的。
- 在歐盟成員國的範圍內指派歐盟代表,可以為合作夥伴,客戶或第三方中介等。
- 數據處理者應當以數據控制者名義處理數據。
- 數據處理活動應當有記錄
- 和監督機構合作和配合,應當積極配合監管機構的調查
- 處理過程的安全性:(a)個人數據的匿名化和加密;(b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力;(c)在發生自然事故或者技術事故發的情況下,存儲有用信息以及及時獲取個人信息的能力;(d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性。
- 數據泄露72小時報告義務:在個人數據泄露的情況下,控制者不能不當延誤,而且至少應當在知道之時起72 小時以內,根據第 55 條向監管機構進行通知,除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於72 小時,需要對遲延原因進行解釋。
- 與數據主體進行交流:個人數據泄露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據泄露的主體進行交流。
- 數據保護影響評估以及事先諮詢
- 超過250人公司或處理海量數據的公司必須設置首席數據保護官
- 轉移個人數據(歐盟)到第三國或國際組織
- 數據轉移到第三國或國際組織,第三國或國際組織應當對用戶數據隱私和安全提供足夠的保護。
- 歐盟數據委員會會在官網及歐洲聯盟公報上公布第三國或國際組織是否能夠對個人數據提供足夠的保護。
- 數據處理者或控制者擬向第三國或國際組織轉移數據,而第三國或國際組織沒有列入符合歐盟個人數據保護要求的,通過提供適當的安全措施,以及在可強制執行的數據主體權利和對數據主題的有效法律補救措施時就緒的條件下,一個控制者或處理者可以將個人數據轉移到第三個國家或國際組織。
- 轉移數據通過如下方式傳輸,無需取得任何歐盟當局批准和授權:a) 政府當局或公共機構之間具有法律約束力的、可執行的工具;b) 依照第 47 條制定的具有約束力的公司規則;c) 歐洲委員會根據第 93 條第2 款所述審查程序通過的標準數據保護條款; d) 監察機構根據第93 條第 2 款所述審查程序通過的標準數據保護條款; e) 根據第40 條的規定批准的行為準則,以及第三國控制者或處理者的具有約束力的、可執行的,用以採用適當保障措施約定,包括關於數據主體權利的;或f) 根據第 42 條獲得批准的認證機構,以及第三國控制者或 處理者的具有約束力的、可執行的,用以採用適當保障措施約定,包括關於數據主體權利的。
- 評估措施,數據安全與數據泄露通知義務
評估措施與安全措施
- GDPR要求所有公司或組織實施最廣泛的措施降低違反GDPR的風險,並保證合規處理數據。
- 這包括可評估的措施比如數據隱私影響評估,審計,政策檢查,活動記錄,任命數據官等一些列可衡量的措施。
- 公司或組織需要部署人員和財力來準備合規工作
- Privacy Impact Assessments (PIAs) 開展隱私影響評估工作,需要形成書面文檔
- 記錄數據處理工作,形成工作文檔備查
- 數據泄露通知義務
- 數據控制者和處理者應履行數據泄露通知義務
- 數據處理者必須把數據泄露通知給數據控制者
- 數據控制者必須把數據泄露通知給監管當局
- 數據泄露必須72小時通知監管當局,並根據情況通知到數據泄露的用戶
- 必須確保有現成的數據泄露發現,調查,內部報告機制(內部要有規範性文檔,流程等)
- 數據泄露必須保存記錄,無論是否有報告義務
第二部分:企業GDPR的合規工作(以遊戲公司為例)
- 事先評估清單:TheAssessment
- 我們存儲和收集那些數據?
- 我們是否公平獲取數據?我們是否獲得必要授權,數據主體是否已被通知我們使用數據的特定目的?我們是否清晰沒有模糊向他們說明目的,並告知他們可以隨時撤回授權。
- 我們是否遵循了不超過必要限度的最小化數據收集原則?
- 數據存儲是否安全?是否採取了加密存儲方式?
- 我們是否需要收集敏感信息?
- 我們是否需要轉移數據到歐盟之外的地區,是否有採取足夠的管理措施保護數據的安全?
- 遊戲公司一般會收集那些數據?
- 遊戲公司主動收集的數據:姓名,郵箱,用戶名,密碼,個人背景信息,遊戲內聊天信息,客服聊天信息及為了玩遊戲而獲取的其它個人信息等。
- 自動收集的信息:遊戲進度(遊戲數值),IP地址,設備ID(蘋果,谷歌廣告ID,MAC地址,IMEI等),地理位置,遊戲交互信息等。
- 從合作夥伴獲得的用戶信息,遊戲公司主要合作夥伴分為三大類:買量平台(FB,谷歌),追蹤平台(APPSFLYER等)及OFFER平台(網盟),其中以買量平台和追蹤平台為主。在隱私條款中需向用戶披露合作夥伴收集的信息。
- 遊戲公司收集個人數據的的目的(原因)
- 為享受遊戲服務,必須從用戶處收集的個人信息比如用戶名,郵箱等。
- 為提升遊戲體驗,需要經過用戶授權收集的信息,比如用戶反饋和留言,遊戲內交互,設備兼容適配信息等。
- 為推廣遊戲或展示廣告而收集信息,比如追蹤用戶卸載安裝遊戲及針對特定受眾推廣遊戲的買量行為。此類信息收集應當保障用戶隨時撤銷授權。
- 為第三方合作夥伴合作而收集的信息,包括appsfyer,買量平台,雲服務等各種第三方服務。
- 其他可能向用戶收集的個人信息
- 形式合規:
- 起草一份符合歐盟要求的隱私協議及服務條款,其中隱私協議應該列出以下內容
- 收集和存儲了那些數據;
- 收集數據的目的,儘可能和收集數據的類型相匹配,逐條列出具體明確的可分割的目的。
- 數據處理的方式,是否會追蹤用戶的數據,是否會採用cookie等類似的用戶畫像技術辨識客戶。
- 披露合作夥伴和第三方
- 數據安全保護措施
- 是否轉移歐盟用戶到境外,如何保證數據安全。
- 保證GDPR規定的用戶權利,訪問權,更正權,遺忘權,撤銷權等,並在隱私協議中提供實現方式,如果無法自動實現,可以讓用戶提交反饋表,核實後一個月內手動實現。
- 年齡限制:請說明不收集13歲以下兒童的任何信息(不含13歲),收集13歲以下兒童信息需要監護人的同意。
- 其它可能需要向用戶說明的信息
- Privacy impactassessment form (PIA):PIA是一個內部隱私評自查流程,要形成文檔以備歐盟檢查,具體內容會在以後的文章中說明。
- 和第三方或合作夥伴簽訂協議,明確雙方在數據處理中義務和責任,所有協議應當留檔。
- 跨境轉移政策及流程:形成規範性文檔
- 數據泄露應急預案:形成規範性文檔
- 個人數據保護政策:形成規範性文檔
- 數據保留政策:形成規範性文檔
- 數據收集用戶授權表:嵌入到遊戲內部或以申請表形式要求用戶在線提交
- 產品合規
- 按照GDPR的基本原則來收集數據
- 加入明確授權和撤回按鈕,讓用戶可隨時撤回授權,隨時訪問數據,更正數據,刪除,註銷賬戶等。以GDPR數據主體權利為基準保證產品符合規定。網站或APP可加入隱私及數據控制面板,讓用戶可以隨時訪問,糾正,刪除自己的數據等。如無法實現,可以
- 所有用戶授權與同意,應留存證據,可以以電子形式保存(截圖,電子合同等)
- 保證產品中的SDK及第三方合作夥伴數據收集也符合GDPR規定
- 產品隱私及數據安全技術措施處理
- 保證產品數據存儲安全
第三部分:總結
- 合規工作
- GDPR合規工作需要涉及到方方面面,從產品調整到隱私政策,從內部數據安全到跨境傳輸,是一個系統工程。中小企業或歐盟業務量不大的遊戲公司可參考行業內領先公司的做法,先把形式工作做好,隨著歐盟用戶量增加逐步進行產品調整。
- 形式合規工作需要業務團隊和法務(外部律師)配合一起完成,業務團隊應把數據收集整個過程梳理清楚,法務(外部律師)幫忙起草相關文件,尤其是隱私條款和服務協議。隱私條款和服務協議應當發布在官網或遊戲內。
- 產品或業務線應預先做好準備工作,以配合GDPR整體合規工作。
- GDPR法規學習工作,GDPR合規不是一個人的工作,公司可以請外部律師或法務對公司涉及歐盟業務線的高管和骨幹進行培訓,尤其是產品線和技術線員工。
- 惡意競爭和市場壁壘
- 競爭對手的惡意舉報可能成為市場競爭一種手段,尤其歐盟本土企業可能利用此種手段打擊中國出海企業。
- 歐盟可能以GDPR不合規問題設置行業壁壘,大家都知道歐盟沒有巨型互聯網企業,所以GDPR主要防備美國和中國的互聯網企業,畢竟數據不掌握在自己手上,誰也不會放心。
- 那些企業是歐盟重點的監管對象?
- 巨型互聯網企業:FB, GOOGLE, TWITTER,ALIBABA等
- 收到用戶舉報的企業,可能來自於競爭對手的惡意舉報
- 可能存在數據泄露或已發生數據泄露的企業
- 資源匯總
- 個人數據收集委員會英國辦公室官網(民間獨立機構https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
- GDPR信息站點 https://www.eugdpr.org/
- GDPR英文全文(可按章節查看) https://gdpr-info.eu/
- 歐盟官網 https://ec.europa.eu/info/law/law-topic/data-protection_en
推薦閱讀: