歐盟《一般數據保護條例》(GDPR)將於2018年5月25日起正式施行,該條例是近三十年來數據保護立法的最大變動,旨在加強對歐盟境內居民的個人數據和隱私保護。此外,它還將通過統一數據和隱私條例來簡化對跨國企業的監管框架。它將取代1995年頒布的[《數據保護指令》]。
1995年的《數據保護指令》95/46/EC是歐盟版的隱私保護條例。其主要目標包括協調數據保護立法,以及規範將個人數據轉移到歐盟以外的「第三國」的情形。除了其它一系列措施,各個盟國還各自成立獨立的公共機構,監督該指令的實施,並作為與企業和公民互動的監管機構。整體而言,該指令符合經濟合作與發展協會(OECD)的最初建議以及隱私權是基本人權的核心概念。
雖然《數據保護指令》旨在團結不同盟國的立法,但這隻是一項指令,當置換到各國獨立的法律時仍有一定的解釋空間。加上當今數據格局的快速變化,尤其是Facebook、LinkedIn等社交平台以及雲技術的興起,勢必要升級歐盟地區的監管環境。即將到來的GDPR是一項更大的立法,並且在各個成員國即刻可執行。
條例 vs. 指令
這項變化的一個重要特徵就是歐盟GDPR是一項條例取代原有的指令。條例直接適用於歐盟各成員國,而對於指令,各成員國有權酌情決定數據保護法的實施。因而,除了嚴格的數據和隱私保護,條例的實施還將通過在歐盟地區統一數據和隱私法規而簡化監管框架。對於跨國企業來說,這將幫助他們在與多個數據和隱私保護機構溝通時消除當地法律之間的不一致性,從而降低行政成本和負擔。
處罰力度加大
GDPR將繼續通過監管機構和法院執行,除了民事補救還有刑事和行政處罰。然而,根據國際隱私專業人士協會的數據,GDPR加大了行政處罰的力度,根據案情情況最高可罰款兩千萬歐元,或公司年營業額的4%。
新擴大的管轄權將影響在歐盟地區開展業務的中國企業
該條例的一個重要特徵是新擴大的管轄權,可能會影響到歐盟以外的企業。新條例適用於為歐盟境內的個人提供商品和服務,或監控個人行為(如商業網站或行動應用的運營商)的企業。這一規定將影響很多中國企業。
GDPR規定同意書將仍是處理個人數據的一個要求,併為同意書設立了更嚴格的條件。 EUDataProtectionLaw.com 指出,對這些條件的定義是「數據主體通過申明或一個清晰的肯定動作,在知情的情況下自主、具體而明確地表明自己的意願,即表示他們同意個人相關數據被處理。」
規定新權利
歐盟GDPR還建立了兩項新的個人隱私權,「刪除權」和「移植權」。刪除權是對「被遺忘權」的擴充,讓個人有權要求刪除其個人數據。而移植權則讓個人可以更輕鬆地訪問自己的數據。個人可以要求將其數據從一個供應商轉移到另一個供應商。此類數據轉移將為個人創造更多方便,而加大了供應商之間的競爭。
如何確保合規
GDPR不止適用於歐盟內的企業,還適用於歐盟以外的企業——如果他們為歐盟境內的數據主體提供商品或服務,或者監控其行為。GDPR也適用於處理或持有歐盟境內數據主體數據的企業,不論該企業位於何處。
很多企業之前並未遵循過歐盟數據和隱私法,因而很多細節(如範圍、實施等)都不清楚。對於在歐盟境內運營的企業,或是向歐洲個人提供商品、服務或監控其行為的企業,您可以通過以下步驟提前為明年做準備。
- 根據現有資料深入解讀GDPR
- 理解GDPR規定下個人數據的廣泛範圍
- 創建、更新或審查有關個人訊息和安全措施的文檔
- 根據GDPR,創建、更新或審查有關違規行為、事件報告以及風險評估的政策和程序的文檔
- 創建、更新或審查任何必要的合同和協議語言
- 判斷使用雲端人力資源或薪酬供應商是否有利於公司減輕合規風險。
人力資源領導者需要注意居住在歐洲的中國公民將受到GDPR保護,而居住在歐盟以外的歐盟公民則不受這些法規保護。
雖然很多公司已經採取數據和隱私措施以遵守《數據保護指令》,然而GDPR包含了新的保護措施,並適用於更廣泛的領域,包含歐盟境內外的企業,這將需要額外的合規措施。企業必須儘快採取行動為2018年5月GDPR的正式生效做好準備。