以下文章來源于大成上海辦公室 ,作者郭玉蘭 盧怿洵
作者 | 郭玉蘭 盧怿洵 大成上海辦公室
來源 | 大成上海辦公室,管理智慧
咨詢合作 | 13699120588
文章僅代表作者觀點
編者按:
中國企業在走出去的過程中,可能會遇到大量收集、處理、轉移用戶個人數據的情況,對于現有和潛在用戶 / 消費者衆多的互聯網、快消品、新能源汽車等行業企業來說更是如此。個人數據安全事件和其他違法處理個人數據行爲,将極大地損害公司的聲譽,并遭到各國主管機關的 " 特别關注 " 和 " 嚴厲打擊 ",例如高額罰款。
随着以《通用數據保護條例》(GDPR)爲代表的各國數據隐私安全合規體系建立,企業在面向歐美和新興國家市場時必須對個人數據安全合規更加重視,以降低相應的法律風險。例如,英國在 " 脫歐 " 後,仍然依據歐盟 GDPR 制定了本國的數據法律;目前美國尚不存在聯邦層面統一的數據保護法,僅部分州(如加州)推出了本州的數據保護法律,但正在推進《美國數據隐私保護法案》(ADPPA)的立法進程,旨在出台一部聯邦層面的數據隐私立法;東南亞國家諸如印度、越南等國家亦在近年來頒布了其第一步個人數據保護法律。
本文旨在系統理順英國這一海外市場的個人數據合規法律要求框架,供相關企業參考。
綜述
1.1 立法總覽
英國信息專員辦公室(Information Commissioner ’ s Office,"ICO")是英國的數據保護主管機關,負責執行包括但不限于下述英國數據保護相關主要立法:
( a ) UK General Data Protection Regulation (《英國通用數據保護條例》,"英國 GDPR"),沿用了歐盟 GDPR 的規定。英國 GDPR 未對歐盟 GDPR 作出實質性修改;
( b ) Data Protection Act 2018(《2018 年數據保護法案》,"DPA"):該法案是對英國 GDPR 的補充,包含就數據處理活動的進一步具體限制、豁免、以及處理敏感個人數據的合法性事由等。
在英國 GDPR 和 DPA 之外,英國在金融服務監管、互聯網和電信服務等行業還存在一些特殊的數據保護規定。
1.2 适用範圍
在個人數據 [ 1 ] 控制者 [ 2 ] 或處理者 [ 3 ] 涉及以下任一情形時,則适用英國的數據保護法律:
( a ) 在英國設立機構 [ 4 ] 并從事處理活動(無論處理活動是否實際在英國進行);
( b ) 并未在英國設立機構,但處理英國境内個人的個人數據,且處理活動與以下情形之一有關:
(i)向英國境内個人提供商品和服務(無論是否有償),或;
(ii)對該等個人在英國境内的行爲進行監控追蹤。
( c ) 并未在英國設立機構,但根據國際公法适用國内法。
1.3 基本原則和數據主體權利
與我國《個人信息保護法》(下稱 "《個保法》")類似,英國 GDPR 規定了若幹個人數據的處理原則,包括:
合法、公平和透明原則:控制者必須向數據主體提供有關收集和進一步處理其個人數據的最低限度的信息。這些信息必須以簡潔、透明、易懂、易獲取的形式提供。
目的限制原則:控制者須爲特定、明确和合法的目的收集數據。
必要性原則:處理活動應當就實現數據處理目的是适當的、相關的和必要的;
準确性原則:數據應當準确,并在必要時更新,必須采取一切合理步驟,在考慮處理目的的基礎上,立即删除或糾正不準确的個人資料;
儲存限制原則:以可識别數據主體的形式保存的時間不得超過處理個人數據的目的所必需的時間;以及
完整性和保密性原則:應當采取适當的技術或組織措施,确保以安全的方式處理個人數據,防止未經授權或非法處理,防止意外丢失、毀壞或損壞。
控制者有義務通過隐私政策和内部記錄等文件,證明其遵守了上述原則。
此外,英國 GDPR 還規定了數據主體所享有的若幹權利,如(1)知情權,即從數據控制者處獲取關于數據處理細節和信息的權利,并且應當被主動告知擁有哪些權利;(2)訪問權,即可以從數據控制者處确認自己的個人信息是否正在被處理、哪些信息被處理、如何處理等;(3)糾正權,數據主體有權要求控制者及時糾正或補充完整關于自己的個人信息;(4)删除權,除某些例外情況,數據主體有權要求徹底清除自己的個人信息;(5)限制處理權,數據主體可以對數據的準确性提出質疑,并且限制數據處理的範圍、方式等;(6)可攜帶權,數據主體有權以通用可讀的方式帶走個人數據,将其傳輸至某第三方,并且不因此受到特殊對待或限制;(7)反對權,數據主體可以在某些情況下禁止對其數據進行處理,或拒絕對自己進行數據畫像及自動化決策,等等。
個人數據的處理
與《個保法》類似,英國 GDPR 對個人數據處理的全流程作出了詳細的規定,包括:
2.1 合法性基礎
英國 GDPR 項下處理個人數據的合法性基礎包括:
( a ) 同意:數據主體作出事先的、自由的、具體的、充分知悉的且明确的同意;
( b ) 履行合同:處理活動是履行數據主體作爲一方當事人的合同所必需的。數據主體有權随時撤回同意。
( c ) 履行法定義務:控制者在英國法律下負有處理相關數據的法律義務;
( d ) 保護個人重要利益:即處理活動爲保護數據主體或其他自然人的重要利益所必要;
( e ) 維護公共利益:即處理活動爲維護公共利益或政府職權所必要;
( f ) 正當利益:即處理活動爲控制者追求的正當利益所必要。
在上述合法性基礎上,敏感個人數據的處理還需滿足下述條件之一: ( i ) 取得受影響數據主體的明确同意; ( ii ) 在勞動法律下處理活動存在必要性;或 ( iii ) 處理活動爲提出、行使或捍衛法律主張(例如起訴)所必要。
2.2 數據保護影響評估(DPIA)
數據控制者在開始任何可能對自然人的權利造成高風險的數據處理之前,必須進行 DPIA,包括但不限于如下情形:
對個人權益産生重大影響的自動化決策和用戶畫像;
大規模處理 " 特殊類别數據 " 或 " 刑事定罪和犯罪數據 ";
對公衆訪問的區域進行大規模系統監控。
2.3 數據委托處理、對外提供和共享
如果數據控制者委托處理者處理個人數據,将其處理的個人數據共享給其他控制者,或與其他控制者共同處理個人數據,根據英國 GDPR 的規定:
若數據從控制者轉移至處理者,則委托處理者代表其處理個人數據的公司必須與該處理者簽訂協議,約定處理數據範圍、處理的期間、性質、處理目的、個人數據類型和數據主體類别,以及英國 GDPR 項下的數據處理者義務;
若數據從控制者轉移至控制者,雖然現行英國法律未特别作出合規要求,但我們出于風險控制的考慮,仍建議公司簽訂書面的數據處理協議。
在上述情形下,數據控制者雖然無需獲得數據主體的同意,但其隐私政策須明确數據委托處理、對外提供和共享的處理目的。
2.4 數據跨境傳輸
雖然英國法律未就數據本地化作出強制要求,但數據控制者須采取一定必要的保護措施,确保數據跨境傳輸的合法、合規。
控制者或處理者隻有在采取适當的保護措施時才能進行數據跨境傳輸,并且該跨境傳輸以數據主體可主張相關權利以及獲得法律補救爲前提。适當的保護措施包括:
公共當局或機構之間具有法律約束力且可執行的文書;
根據英國 GDPR 第 47 條規定的具有約束力的公司規則(Binding Corporate Rules, BCR ) ;
國務大臣根據 DPA 第 17C 條制定的法規中指定的标準數據保護條款;
ICO 根據 DPA 第 119A 條發布的文件中指定的标準數據保護條款;
根據英國 GDPR 第 40 條批準的行爲準則(以及采取适當保護措施的具有約束力且可執行的承諾);或者
根據英國 GDPR 第 42 條批準的認證機制(以及采取适當保護措施的具有約束力且可執行的承諾)。
就上述标準數據保護條款,ICO 已根據英國 GDPR 等法律條文于 2022 年 3 月 21 日發布了兩項标準合同性質的文件,其一是《國際數據傳輸協議》(International Data Transfer Agreement,簡稱爲 "IDTA"),又被稱爲英國版 SCC;其二是《歐盟委員會标準合同條款國際數據傳輸附件》(UK Addendum to the EU SCCs),即歐盟新 "SCC" 的英國附錄,後者的主要目的是在英國脫歐後附在原歐盟 SCC 之後,并将合同管轄權收歸英國。此外,ICO 還發布了風險評估模闆,當風險評估過高時,雙方在簽署 IDTA 時應填寫 IDTA 附件二的額外保護條款。
如果公司違反數據跨境傳輸的法律規定,則可能面臨最高爲 1750 萬英鎊或全球營業額的 4% 的罰款。
監管合規
3.1 年度數據保護費
英國的數據控制者(而非處理者)通常需要向 ICO 支付費用("數據保護費"),特定類型的企業,例如公共機構、慈善機構和小型職業養老金計劃相關公司可豁免該費用。目前,該費用從每年 40 英鎊到 2,900 英鎊不等,具體數額取決于公司所屬的類型:
3.2 數據保護官
若存在下述情形,控制者和處理者須任命一名數據保護官(Data Protection Officer "DPO"):
公共當局或機構進行的數據處理,但行使司法權的法院除外;
控制者或處理者的核心活動包括對數據主體進行大規模的定期和系統監控;或者
控制者或處理者的核心活動包括大規模處理 " 特殊類别數據 " 或 " 刑事定罪和犯罪數據 "。
DPO 的職責包括确保公司及其員工遵守英國 GDPR 和其他數據保護法的義務、開展 DPIA、制定公司數據保護政策、管理内部數據保護活動、培訓員工并進行内部審計,以及負責和 ICO 聯系對接。
公司任命的 DPO 應當具有數據保護法和實踐方面的專業素質和專業知識。DPO 可以是承包商,也可以是現有公司員工,若 DPO 由員工擔任,則該員工的職責應與 DPO 的職責相一緻,不存在利益沖突。若公司應當任命但未任命 DPO,可能會受到英國 GDPR 規定的處罰,例如罰金。
3.3 數據安全事件
控制者和處理者應在考慮最新技術、實施成本以及處理的性質、範圍、背景和目的的基礎上,實施适當的技術和組織措施,以确保數據安全級别與數據處理風險相匹配。
此類措施包括但不限于:
個人數據的匿名 / 假名化和加密;
确保處理系統和服務的持續保密性、完整性、可用性和彈性;
在發生安全事件時及時恢複個人數據的可用性和訪問途徑;和
日常測試、評估技術和組織措施有效性的流程,以确保處理安全。
如果發生個人數據洩露事件,則控制者有義務在首次意識到個人數據洩露事件發生的 72 小時内立即向 ICO 報告,除非該洩露對數據主體的權利和自由造成風險的可能性較小。若存在委托處理的情形,處理者同樣須立即向控制者發出通知。前述通知必須包括下述信息:
( a ) 個人數據洩露的性質,包括相關數據主體的類别和數量
( b ) DPO(或聯系人)的姓名和聯系方式
( c ) 洩露事件可能造成的後果
( d ) 爲補救或減輕洩露事件而采取的任何措施
3.4 法律責任
與 GDPR 和中國個保法相同,英國 GDPR 同樣以數額和營業額爲基準設定了違反個人數據保護義務的行政責任。英國 GDPR 項下的行政罰款最高可達企業上一财政年度全球營業額的 4%。截至本文發布之日,ICO 依據英國 GDPR 下發的最高數額罰款爲 2020 年針對英航的 2 千萬英鎊罰款。
DPA 還規定了許多刑事犯罪,例如未經控制者同意非法獲取或向他人披露個人數據的罪名以及故意或重大過失下重新識别已去識别化的個人數據的罪名。ICO 有權對這些行爲提起刑事訴訟。
此外,若公司負有義務向 ICO 通報數據洩露事件但未向 ICO 通報,也可能會導緻高達 870 萬英鎊或全球營業額 2% 的巨額罰款。
結語
爲避免不合規的處罰風險,相關中國企業須對英國的個人數據安全及隐私保護相關法律有全面地了解并持續跟進立法的發展,同時通過專業的數據合規團隊對現有的數據安全策略進行評估,提供具有操作性的合規意見。
[ 1 ] "Personal Data";與我國《個人信息保護法》項下的 " 個人信息 " 類似,指與已識别或可識别的自然人(" 數據主體 ")有關的任何信息。
[ 2 ] "Controller";與我國《個人信息保護法》項下的 " 處理者 " 類似,指單獨或與他人共同決定處理個人數據的目的和方式的自然人或法人、公共當局、機構或其他團體。
[ 3 ] "Processor";與我國《個人信息保護法》項下的 " 委托處理者 " 類似,指代表控制者處理個人數據的自然人或法人、公共當局、機構或其他團體。
[ 4 ] 包括在英國設立的辦事處、分支機構或子公司,也可能包括在英國在家辦公的員工。