嚴(yán)數(shù)據(jù)法律來了，數(shù)字經(jīng)濟企業(yè)如何應(yīng)對？

2018-05-07 11:27:59中國包裝印刷產(chǎn)業(yè)網(wǎng)閱讀量：26392      我要評論

導(dǎo)讀：2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)將正式生效。GDPR序言共173條，正文分為11章99條。歷經(jīng)多年商討的GDPR新條例的實施，意味著歐盟的數(shù)據(jù)保護(hù)水平將達(dá)到的高度?？胺Q世界*嚴(yán)格的數(shù)據(jù)保護(hù)法律，必將對未來數(shù)字經(jīng)濟產(chǎn)生深遠(yuǎn)影響。

　　2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)將正式生效。GDPR序言共173條，正文分為11章99條。歷經(jīng)多年商討的GDPR新條例的實施，意味著歐盟的數(shù)據(jù)保護(hù)水平將達(dá)到的高度?？胺Q世界*嚴(yán)格的數(shù)據(jù)保護(hù)法律，必將對未來數(shù)字經(jīng)濟產(chǎn)生深遠(yuǎn)影響。

　　GDPR即將生效，中國發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》(下稱《信息規(guī)范》)也于2018年5月1日起實施。

　　一些國內(nèi)企業(yè)*缺乏規(guī)則意識，可能并沒有嘗到應(yīng)有的苦果。由于多種因素導(dǎo)致的執(zhí)法不嚴(yán)、違法不究的情形，一旦到了國外可能就不靈。企業(yè)的不合規(guī)經(jīng)營行為，一旦被其他國家政府發(fā)現(xiàn)追究起來，處以巨額罰款或禁止業(yè)務(wù)往來，可能是滅頂之災(zāi)。特別是在近幾年貿(mào)易保護(hù)主義似乎有所抬頭的新時代背景下，企業(yè)不合規(guī)經(jīng)營，必將產(chǎn)生數(shù)年甚至永遠(yuǎn)難以消化的“惡果”。

　　面對即將落下的GDPR利劍，數(shù)字經(jīng)濟企業(yè)需要積極應(yīng)對，努力減少合規(guī)風(fēng)險，防止入“罪”被“罰”。各國政府也需要積極擔(dān)當(dāng)作為，為本國數(shù)字經(jīng)濟企業(yè)的海外發(fā)展保駕護(hù)航。

　　GDPR一大“殺手锏”：重罰

　　除了擴大個人數(shù)據(jù)的保護(hù)范圍、賦予數(shù)據(jù)主體一系列強大的權(quán)利外，GDPR有兩大“殺手锏”：一是設(shè)定了重罰；二是確立了“長臂”管轄原則。

　　對于數(shù)據(jù)處理的違法行為，GDPR主要設(shè)定兩個等級的處罰。等級高可處以1000萬歐元，或上一財年營業(yè)額2%的行政處罰，以較高者為準(zhǔn)。如果根據(jù)營業(yè)額進(jìn)行處罰，在地域上是范圍內(nèi)，而非在歐盟境內(nèi)的營業(yè)額；在基數(shù)上，是營業(yè)額(annual turnover)，而非凈利潤。該等級的處罰究竟適用哪些情形，GDPR第83條第4款規(guī)定三大類數(shù)據(jù)違法行為：，數(shù)據(jù)控制者與處理者沒有盡到相應(yīng)數(shù)據(jù)保護(hù)義務(wù)。譬如未實施適當(dāng)?shù)募夹g(shù)和組織措施、未盡職責(zé)保持?jǐn)?shù)據(jù)處理活動的記錄、沒有及時向監(jiān)管機構(gòu)通知數(shù)據(jù)已泄露、未進(jìn)行數(shù)據(jù)保護(hù)影響評估等；第二，沒有對數(shù)據(jù)保護(hù)認(rèn)證組織履行義務(wù)；第三，沒有對監(jiān)管部門履行義務(wù)。

　　針對嚴(yán)重違法的數(shù)據(jù)處理行為，GDPR設(shè)定了第二等級的行政處罰：高可處以2000萬歐元，或上一財年營業(yè)額4%的行政處罰，以較高者為準(zhǔn)。GDPR第83條第5款規(guī)定了五大類嚴(yán)重違法的具體情形：，違反數(shù)據(jù)處理的基本原則與條件。數(shù)據(jù)處理應(yīng)當(dāng)遵循六大原則：合法、正當(dāng)與透明原則，目的有限原則，數(shù)據(jù)小化原則，準(zhǔn)確性原則，儲存限制原則，完整性與保密性原則。數(shù)據(jù)處理應(yīng)當(dāng)符合相應(yīng)的合法性條件；第二，侵犯數(shù)據(jù)主體的同意權(quán)、訪問權(quán)、糾正權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、拒絕權(quán)、獲得救濟權(quán)等多項權(quán)利；第三，不符合條件將個人數(shù)據(jù)傳輸給第三國或組織；第四，沒有對成員國履行相應(yīng)的義務(wù)；第五，未能遵守監(jiān)管機構(gòu)的相關(guān)要求。

　　可見，GDPR設(shè)定的“罪”是相當(dāng)多的，“罰”是非常嚴(yán)厲的。制定任何法律的目的不在于處罰，處罰只是保障法律有效實施的必要手段。“重典治亂”未必總能取得良好效果，但確實可以起到一定威懾作用。GDPR以重罰為理念，試圖倒逼數(shù)字經(jīng)濟企業(yè)完善數(shù)據(jù)保護(hù)制度。

　　無論是對于數(shù)據(jù)處理違法行為的認(rèn)定及其嚴(yán)重程度判斷，還是對于處罰金額的終作出，歐盟監(jiān)管機構(gòu)都享有巨大的執(zhí)法裁量權(quán)。如何減少數(shù)據(jù)保護(hù)監(jiān)管的權(quán)力尋租，防止監(jiān)管“俘獲”，消除腐敗，確保公正執(zhí)法，是接下來歐盟當(dāng)局特別是法治水平不高的一些成員國需認(rèn)真對待的問題。

　　另一“殺手锏”：“長臂”管轄原則

　　確立“長臂”管轄原則，或稱為效果原則，是GDPR的另一大“殺手锏”。法律是國家主權(quán)的體現(xiàn)，一般只在一國領(lǐng)土范圍內(nèi)發(fā)生效力，即屬地原則。但隨著近些年來網(wǎng)絡(luò)技術(shù)的不斷提高，具有虛擬性、無國界性的電子商務(wù)、互聯(lián)網(wǎng)金融，在范圍內(nèi)得到蓬勃發(fā)展。在數(shù)字經(jīng)濟時代，再繼續(xù)堅持傳統(tǒng)的屬地主義原則，或許無法有效保護(hù)本國公民的權(quán)益和國家利益。

　　GDPR的適用范圍極廣，將法律適用的屬地主義與屬人主義原則結(jié)合起來，擴大法律適用的域外效力。

　　首先，在歐盟境內(nèi)設(shè)立數(shù)據(jù)控制或處理機構(gòu)，不管其對個人數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內(nèi)，都受GDPR的拘束。此管轄規(guī)則屬于傳統(tǒng)的屬地主義原則，在歐盟內(nèi)設(shè)有機構(gòu)，當(dāng)然應(yīng)受歐盟法的約束。

　　其次，即使在歐盟境內(nèi)沒有設(shè)立數(shù)據(jù)控制或處理機構(gòu)，有兩類數(shù)據(jù)處理行為也受GDPR的約束。一類是向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論是否收費或免費；另一類是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控的。此管轄規(guī)則實際上確立了GDPR的屬人主義原則，即不管企業(yè)在歐盟內(nèi)有沒有設(shè)立機構(gòu)，只要其對歐盟數(shù)據(jù)主體提供了商品、服務(wù)，或?qū)ζ溥M(jìn)行了監(jiān)控，就受GDPR的拘束。屬人主義原則的確立，大大擴大了GDPR的管轄范圍。

　　再次，在歐盟內(nèi)沒有設(shè)立機構(gòu)，但數(shù)據(jù)處理行為，依公法可適用歐盟成員國法律，受GDPR的拘束。根據(jù)此管轄規(guī)則，歐盟監(jiān)管機構(gòu)既不依據(jù)屬地主義，也不依據(jù)屬人主義，仍然可能依公法規(guī)則對數(shù)據(jù)處理行為進(jìn)行監(jiān)管。

　　GDPR所確立的三大管轄制度，可稱之為“長臂”管轄原則。通過分析該規(guī)則可以發(fā)現(xiàn)，世界上任何一家與歐盟有相關(guān)貿(mào)易往來的數(shù)字經(jīng)濟企業(yè)，即使沒有在歐盟境內(nèi)設(shè)立任何機構(gòu)，也可能受GDPR的管轄。重罰機制，加上“長臂”管轄原則，使GDPR威力無比。

　　“罪”與“罰”都是明確的。GDPR帶給數(shù)字經(jīng)濟企業(yè)的是實實在在的可預(yù)測的法律風(fēng)險。GDPR已經(jīng)為數(shù)字經(jīng)濟企業(yè)畫出一張數(shù)據(jù)保護(hù)的操作紅圖。與其擔(dān)驚受怕抱有歐盟“執(zhí)法不嚴(yán)、違法不究”的僥幸心理，不如早日“退而結(jié)網(wǎng)”完善數(shù)據(jù)保護(hù)合規(guī)制度建設(shè)。“想吃大蛋糕，又不愿失去更多面包”的數(shù)字經(jīng)濟企業(yè)，應(yīng)當(dāng)抓緊按圖行事不斷完善企業(yè)數(shù)據(jù)治理。

　　企業(yè)應(yīng)對GDPR的當(dāng)務(wù)之急

　　歐盟對于數(shù)據(jù)保護(hù)設(shè)定比較嚴(yán)格的高標(biāo)準(zhǔn)，必然會有很多數(shù)字經(jīng)濟企業(yè)一時滿足不了要求，或一直不愿花大成本滿足標(biāo)準(zhǔn)，所以罰款也必將蜂擁而至。那到底罰誰？

　　由于人力、物力、財力等執(zhí)法資源的有限性，未來歐盟對于數(shù)據(jù)保護(hù)的“選擇性執(zhí)法”在所難免。名企*。“槍打出頭鳥”，選擇“殺”一些名企，達(dá)到“儆百”的目的，可能是歐盟未來數(shù)據(jù)保護(hù)執(zhí)法的常態(tài)。

　　然而，不管是名企還是非名企，既然選擇歐盟大市場，就應(yīng)當(dāng)根據(jù)GDPR的要求，建立健全合規(guī)的數(shù)據(jù)保護(hù)制度。名企財力雄厚，盡管被高額罰款，可能還承受得起。但是，對于非名企，特別是一些中小企業(yè)來說，歐盟的一次罰款或制裁，可能馬上就會使其瀕臨破產(chǎn)。

　　“羊未亡，牢需補。”數(shù)字經(jīng)濟企業(yè)應(yīng)當(dāng)高度重視GDPR。隨著中國《信息規(guī)范》也將實施，中國企業(yè)可以從以下幾個方面，盡快完善數(shù)據(jù)保護(hù)制度：

　　，高度重視個人數(shù)據(jù)保護(hù)。企業(yè)高管團隊?wèi)?yīng)當(dāng)對GDPR有清醒的認(rèn)識和準(zhǔn)確的預(yù)判，盡早制定周密的戰(zhàn)略計劃，不計成本消除各種不合規(guī)隱患，加強人員管理與培訓(xùn)。企業(yè)相關(guān)業(yè)務(wù)部門應(yīng)及時全面分析已經(jīng)采集、存儲的個人數(shù)據(jù)的種類、用途與獲取方式，刪除不合法、不必要的個人數(shù)據(jù)，實現(xiàn)個人數(shù)據(jù)保存時間的小化，并不斷加強數(shù)據(jù)安全保障。

　　第二，完善數(shù)據(jù)主體的權(quán)利設(shè)置與行使操作規(guī)程。GDPR賦予了數(shù)據(jù)主體一系列強大的權(quán)利，對于這些權(quán)利的保護(hù)不足和侵犯屬于嚴(yán)重違法行為，歐盟監(jiān)管機構(gòu)可處以高額度的罰款。在賦予數(shù)據(jù)主體同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利外，還應(yīng)當(dāng)核實這些權(quán)利設(shè)置與行使是否符合GDPR的要求，例如檢查設(shè)置的同意權(quán)是否符合GDPR的要求。我國《信息規(guī)范》要求收集個人數(shù)據(jù)時原則上應(yīng)獲得授權(quán)同意，收集個人敏感信息還需明示同意，另外還明確了撤回同意權(quán)。

　　第三，完善數(shù)據(jù)處理機制。運用適當(dāng)?shù)慕M織措施與技術(shù)措施，確保數(shù)據(jù)處理符合GDPR的基本原則與合法性條件。以透明的方式，使用簡明易懂的語言，及時如實告知收集、存儲、使用個人數(shù)據(jù)的情況。建立健全數(shù)據(jù)保護(hù)影響評估機制與事先協(xié)商制度，對個人數(shù)據(jù)進(jìn)行去標(biāo)識化處理，完善數(shù)據(jù)匿名化處理規(guī)程，提高數(shù)據(jù)處理過程的安全性，并對個人數(shù)據(jù)處理活動進(jìn)行記錄。

　　第四，必要時任命數(shù)據(jù)保護(hù)官。GDPR要求相關(guān)企業(yè)以透明的方式，任命具有專門數(shù)據(jù)保護(hù)知識的數(shù)據(jù)保護(hù)官(Data Protection Officer，DPO)。DPO可以確保數(shù)據(jù)控制者和處理者遵從GDPR的相關(guān)規(guī)定，同時也扮演著與監(jiān)管機構(gòu)之間的聯(lián)系人和合作者的角色。如果經(jīng)評估必須設(shè)立DPO，則應(yīng)保障DPO的任命、權(quán)利和職責(zé)符合強制性規(guī)定，并為DPO獨立履行職責(zé)提供充足的資源。另外，企業(yè)可考慮聘請外部數(shù)據(jù)保護(hù)顧問。

　　第五，完善數(shù)據(jù)泄密報告與處理機制。GDPR要求原則上自知道個人數(shù)據(jù)泄露72小時內(nèi)，向監(jiān)管機構(gòu)報告，并將可能產(chǎn)生高風(fēng)險的泄露信息通知受到影響的個人。企業(yè)應(yīng)詳細(xì)記錄個人數(shù)據(jù)泄露情況，及時采取補救措施，不斷修改完善現(xiàn)有的數(shù)據(jù)泄露管理流程。我國《信息規(guī)范》要求企業(yè)定期組織內(nèi)部相關(guān)人員，進(jìn)行個人信息安全事件應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，及時更新應(yīng)急預(yù)案。

　　另外，數(shù)字經(jīng)濟企業(yè)還應(yīng)當(dāng)從更新隱私聲明與政策、刪除相關(guān)協(xié)議文本中侵犯數(shù)據(jù)主體權(quán)利的“霸王”條款、完善數(shù)據(jù)跨境流動機制等方面積極采取應(yīng)對措施，減少不合規(guī)風(fēng)險。

　　政府應(yīng)為數(shù)字經(jīng)濟發(fā)展保駕護(hù)航

　　經(jīng)濟基礎(chǔ)決定上層建筑。GDPR是法律，屬于歐盟的上層建筑，但其所要調(diào)整的卻是*的數(shù)字經(jīng)濟企業(yè)。由于不同國家的經(jīng)濟發(fā)展水平存在很大差別，所以不同的經(jīng)濟基礎(chǔ)與同一的上層建筑之間，必然存在難以調(diào)和的矛盾。一方面?zhèn)€人數(shù)據(jù)權(quán)利要保護(hù)，另一方面技術(shù)要創(chuàng)新、市場要發(fā)展，二者之間發(fā)生沖突在所難免。

　　GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護(hù)個人數(shù)據(jù)權(quán)利，可能會對技術(shù)與市場的發(fā)展產(chǎn)生一定的阻礙。發(fā)展數(shù)字經(jīng)濟，建設(shè)數(shù)字中國，不僅需要靠企業(yè)不斷提升數(shù)據(jù)治理水平，還需要靠政府主動采取措施，解決企業(yè)無法克服的實際困難。

　　首先，政府應(yīng)當(dāng)高度重視GDPR給數(shù)字經(jīng)濟帶來的挑戰(zhàn)。嚴(yán)格的個人數(shù)據(jù)保護(hù)，帶來高額合規(guī)成本。由于信息資產(chǎn)管理的運營成本會顯著增加，而且擔(dān)心被重罰，一些企業(yè)已經(jīng)暫停歐盟的相關(guān)業(yè)務(wù)。GDPR的實施可能不利于中小數(shù)字經(jīng)濟企業(yè)成長，并可能助長巨頭企業(yè)的壟斷地位。因而，政府應(yīng)當(dāng)在戰(zhàn)略上予以重視，積極制定各種鼓勵扶持政策，有效支持企業(yè)提升數(shù)據(jù)治理水平，消除數(shù)據(jù)壟斷，降低GDPR合規(guī)風(fēng)險。

　　其次，與歐盟積極溝通，完善對話協(xié)商機制。相關(guān)政府職能部門需要認(rèn)真研究歐盟GDPR的監(jiān)管規(guī)則，緊密協(xié)同配合，擔(dān)當(dāng)有為。在積極制定政策法律不斷完善企業(yè)數(shù)據(jù)保護(hù)水平的基礎(chǔ)上，與歐盟監(jiān)管當(dāng)局開展平等對話協(xié)商，表明難點與決心，贏得理解，減少不必要的處罰與貿(mào)易糾紛。

　　再次，完善數(shù)據(jù)保護(hù)執(zhí)法合作機制。對于GDPR 的監(jiān)管挑戰(zhàn)，各國政府應(yīng)當(dāng)充分研究歐盟數(shù)據(jù)保護(hù)監(jiān)管的利益關(guān)切和行動計劃，加強信息開放與共享，健全實體法之間的協(xié)調(diào)機制，尋找監(jiān)管標(biāo)準(zhǔn)的大公約數(shù)，積極尋求產(chǎn)業(yè)合作和個人信息保護(hù)執(zhí)法合作，實現(xiàn)數(shù)據(jù)保護(hù)的共商共治。

　　除了作為重罰的依據(jù)，歐盟還可能將GDPR作為新的技術(shù)壁壘，阻礙數(shù)字經(jīng)濟企業(yè)在歐盟的發(fā)展擴張。在我國正在推行“一帶一路”倡議的大背景下，GDPR也可能成為阻擋我國數(shù)字經(jīng)濟企業(yè)“走出去”的障礙。但無論如何，在互聯(lián)網(wǎng)時代，合規(guī)經(jīng)營是數(shù)字經(jīng)濟企業(yè)做大做強的不二法則。盡管“規(guī)”可能很嚴(yán)厲，但只要“規(guī)”是合法有效的存在，企業(yè)就應(yīng)當(dāng)嚴(yán)格遵守。

上一篇：3D打印產(chǎn)業(yè)化需三管齊下將重新定義制造業(yè)

下一篇：深圳封殺膠粘與油墨產(chǎn)品，包裝印刷成本控制不住了

版權(quán)與免責(zé)聲明：1.凡本網(wǎng)注明“來源：包裝印刷網(wǎng)”的所有作品，均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-興旺寶合法擁有版權(quán)或有權(quán)使用的作品，未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的，應(yīng)在授權(quán)范圍內(nèi)使用，并注明“來源：包裝印刷網(wǎng)”。違反上述聲明者，本網(wǎng)將追究其相關(guān)法律責(zé)任。 2.本網(wǎng)轉(zhuǎn)載并注明自其它來源（非包裝印刷網(wǎng)）的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點或和對其真實性負(fù)責(zé)，不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時，必須保留本網(wǎng)注明的作品第一來源，并自負(fù)版權(quán)等法律責(zé)任。 3.如涉及作品內(nèi)容、版權(quán)等問題，請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關(guān)權(quán)利。

全部評論

昵稱驗證碼匿名