小
中
大
来源:《亚太经济时报》2019年8月2日第1版
欧盟《通用数据保护条例》(下简称GDPR)正式实施一年以来,其在国内的知名度也日益提升。作为“史上最严”数据保护法规,GDPR首度亮剑便重创了多个商业巨头,但国内企业难免认为欧盟的规定对于他们鞭长莫及。而就在昨天,中欧数据保护专家齐声表示,数据保护执法离中国企业也并不遥远!
2019年7月30日,由广东智洋律师事务所主办的“企业个人数据保护合规优化”专题会在广州举办。来自德国的数据保护专家提姆·比特纳先生、德国技术监督协会认证数据保护官朱海涛、广东留学博士创业促进会副会长曾报春、中国社会科学院法学研究所经济法室主任席月民等专家学者齐聚一堂,就中欧数据保护现状、欧洲的数据保护立法对中国的影响、数据合规对企业的意义等话题,与众多企业代表进行了深入的探讨与交流。
GDPR能不能管到中国企业?
“只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR。”提姆·比特纳先生表示。
提姆·比特纳先生首先以“企业个人数据保护的国际化趋势——欧洲的实践与探索”做了主题发言。提姆·比特纳先生对欧洲数据保护现状、欧洲的数据保护立法对中国政府和企业的影响、个人数据保护的第三方的认证制度等进行了详细介绍。他指出,GDPR采用了类似于此前美国长臂管辖的法律模式,将执法边界延伸到了所有收集欧盟公民信息的企业。一旦违反GDPR规定,企业最高可能被判罚相当于其全球营业额4%,或最高2000万欧元的罚款。因此但凡在欧盟有业务的企业,对于数据合规工作都十分重视。
不仅如此,由于GDPR还要求企业确保其供应商和合作伙伴在数据交换、使用过程中也要遵守GDPR的有关规定,因此欧洲企业在与其他国家和地区的企业进行合作时都会将合作对象是否实现数据合规作为重要的考虑因素。所以,无论对有意进军欧洲市场或是与欧洲企业开展业务往来的中国企业,都应当尽快开展数据合规工作。
中国会不会有自己的“GDPR”?
“中国版‘GDPR’离我们并不遥远,中国企业应当未雨绸缪,实现境内境外双合规”,朱海涛律师在发言中强调。
会上,朱海涛律师对我国个人数据保护立法现状及发展趋势进行了详细介绍和解读。朱海涛律师指出,我国2017年6月起实施的《网络安全法》就已经针对个人数据保护等进行了较为原则性的规定,如企业收集、使用个人信息应当征集用户同意等。在此基础上,今年5月国家网信办发布了《数据安全管理办法(征求意见稿)》,其中对数据的收集、处理、使用要求等均作了详细规定,其中大量借鉴了GDPR的有关内容。2018年9月公布的“十三届全国人大常委会立法规划”中,《数据安全法》与《个人信息保护法》均在本届人大立法规划内。
此外,全国信息安全标准化技术委员会、公安部网络安全保卫局等单位还先后发布了国家标准《信息安全技术个人信息安全规范》与《互联网个人信息安全保护指南》。朱律师表示,尽管这两份文件并非强制性规定,但从其内容来看,已经大面积借鉴了世界先进立法技巧和实践经验,可见中国版GDPR或许离我们并不遥远。
除了立法层面的进步,我国数据保护执法也在逐渐开展。今年7月,受中央网信办、工信部、公安部等部门委托,中消协等机构成立的APP专项治理工作组先后发文督促70款存在收集使用个人信息问题的APP进行整改,许多大家耳熟能详的APP赫然在列。根据相关规定,对于拒不整改且情节严重的企业,可能会被处以暂停相关业务、停业整顿甚至吊销营业执照的处罚。
朱律师最后指出,尽管国内个人数据保护已取得长足进展,但现有法规和政策仍带有原则性、模糊化及碎片化的特点,很多条文缺乏落地的细则,因此企业很难依靠自身开展数据合规工作。他建议有关企业积极借助外部力量,提前着手培养合规及风险管理意识,尽早实现数据保护在境内境外的双重合规。
实现数据合规有利于企业发展
“在信息时代,每个企业都是数据服务商”,曾报春律师认为。
会上,曾报春律师以“国际贸易中的知识产权与企业信息保护”为题发表了专题演讲。曾报春律师以FACEBOOK数据泄露等案例为切入点,详细分析了数据合规对企业的意义。曾报春律师指出,从欧盟各国已经开出的GDPR罚单来看,除了互联网企业之外,航空、酒店、医疗等多个行业的企业也都遭受了处罚。可见,个人数据保护并非只是互联网企业或数据服务商的工作,传统企业所掌握的个人数据同样面临泄露或被滥用的风险。
此外,曾律师认为企业实现个人数据合规的意义不仅仅是为了规避处罚或避免集体诉讼,数据合规对于企业自身的商业秘密、技术诀窍与企业经营信息的保护也具有重要意义。在她看来,一套完善的信息与知识产权管理保护机制,是由知识产权和信息管理专员、内部管理制度及指引、全流程管理和预警机制、维权行为实施方案等多方面要素共同构成的,与数据合规体系在很大程度上具有相通之处。而且在信息时代与全球贸易的背景下,各国、各地区的数据保护法规之间势必会大量相互借鉴,中国企业要想进军海外市场,完善的信息与知识产权管理、保护机制是必不可少的。
数据合规工作该如何开展
三位嘉宾演讲结束后,席月民主任也针对数据保护与数据合规的相关问题分享了自己的见解。他表示,作为法律服务的前沿领域,个人数据合规业务仍处在探索阶段,尚未形成一套成熟的法律服务体系。
席月民主任认为,要做好数据合规法律服务,首先要处理好企业数据权益与个人数据保护要求之间的平衡问题,不能为了实现数据合规而过分牺牲企业的服务效率与经济效益。其次,要处理好国内法与国际法的衔接问题。他指出,目前国内除了少量专门法律之外,还有大量关于个人数据保护的规定散见于各类法律、行政法规、部门规章中,需要法律服务者进行系统的梳理,并与国际规定进行对比研究。最后,法律从业者还要做好法律服务与技术服务的对接工作,以确保企业通过技术手段落实个人数据保护的相关要求。
随后,各位专家还与参会的企业代表进行了互动和讨论,对企业关于数据合规的疑惑进行了解答,现场气氛热烈。
“我们认为只有实现数据合规,中国企业才能真正走出去!”本次专题会主办单位、广东智洋律师事务所主任陈克宇律师表示。据介绍,智洋律所早在2016年GDPR正式通过之日起,就对个人数据合规工作高度关注并投入大量资源。目前,其团队已开发了完整的企业个人数据管理合规优化法律服务体系,并与欧洲多家律所、咨询公司、技术服务公司建立了友好合作关系。智洋律所的法律服务团队可以通过尽职调查、设计合规手册、开展员工培训、与技术团队共同对企业规章制度、工作流程、信息系统进行优化再造等方式,为企业量身定做完整的数据合规管理体系。通过购买数据合规法律服务,企业不仅可以实现国内与欧盟个人数据保护的双重合规,也能确保自身的数据权益得到充分保护。