中國國際貿易促進委員會

亞太企業面臨更嚴格數據合規監管

《通用數據保護條例》(GDPR)于2018年5月生效,至今已有兩年,極大提高了個人數據保護的力度,增強了個人數據主體的權利。由于它的域外效力適用于非歐盟的數據控制者與處理者以及對違規行為可能處以高額行政罰款,GDPR仍然是一個熱門話題。在歐盟經營或與歐盟實體開展業務的所有企業均應重視GDPR的合規問題。

史密夫斐爾律師事務所合伙人劉依蘭(Nanda Lau)表示,GDPR具有廣泛的域外效力,在歐盟境內經營或向歐盟個人提供商品、服務或監控歐盟個人的實體均可能受到GDPR的管轄。具體要求包括:在歐盟內有經營場所且數據是在該場所的活動范圍內處理的,比如,為歐盟辦公室、分支機構、代表處處理歐盟雇員的數據;向歐盟個人提供商品和服務或監控歐盟個人行為,比如,通過網站向歐盟遞送;或在互聯網上對自然人追蹤,進行用戶畫像。

GDPR將適用于中國電商的數據處理活動。史密夫斐爾律師事務所資深顧問龔鈺(James Gong)舉例說,在歐盟設有辦事處的某中國公司,該辦事處的商業活動與公司的數據活動以及創收和盈利有不可分割的聯系;某中國公司使用歐盟數據主體的個人數據,其處理活動與向歐盟數據主體提供商品或服務有關;某中國公司使用居住在中國的來自歐盟國家雇員的個人數據等。

史密夫斐爾律師事務所高級律師周佩儀表示,GDPR要求非歐盟組織在歐盟內委任代理人。

如果個人信息控制者或個人信息處理者未遵守條例,指定代理人應接受強制執行程序。該代理人必須設立在“涉及向其提供產品或服務的個人信息處理或其行為受到監控的所在歐盟成員國內”。為確保遵守條例,該代理人必須由個人信息控制者或處理者授權,“除了個人信息控制者或處理者的授權外,還應獲得特別是監督機構和個人信息主體的授權,以處理所有的相關問題”。個人信息控制者或個人信息處理者對代理人的指定,不妨礙可能針對個人信息控制者或個人信息處理者發起的法律行為。

龔鈺表示,根據GDPR個人數據保護的基本原則,個人數據的使用需要以合法、公平和透明的方式,具有明確、清晰、具體、合法的個人數據處理目的,依照最小必要原則,確保信息的準確、安全。

劉依蘭強調,對于受到GDPR管轄的數據控制者和處理者,在處理個人數據時必須具有合法性基礎,且實施相應的安全保護措施履行保護義務,并在控制者和處理者之間的協議中包含數據保護條款。此外,個人數據在滿足GDPR所規定的條件和要求時方可跨境傳輸。

同時,個人信息控制者和處理者應當采取安全措施,以確保和風險相稱的安全水平。周佩儀表示,個人信息控制者和處理者應當特別考慮個人信息使用所帶來的風險,特別是在個人數據傳輸、儲存或處理過程中的的意外或泄漏、銷毀、丟失、篡改或未經授權的披露。個人信息控制者和個人信息處理者還必須考慮到當時技術水平、實施成本、個人信息使用的性質、范圍、背景和目的,以及對個人風險和自由的不同可能性和嚴重性的風險。這種安全措施可以包括個人信息的假名化處理和加密處理等。

GDPR影響下,亞太地區的個人數據保護法律快速發展,多個司法管轄區相繼推出了信息保護法規,加強個人數據的保護。一些已有個人數據保護法律的司法管轄區,比如中國香港、澳大利亞、新加坡、馬來西亞,近期都相繼進行或準備進行立法修訂。另外一些司法管轄區,包括印度尼西亞、泰國、越南、印度、巴基斯坦,在過去24個月里明確了新的或擬議的個人數據保護法規實施時間表。

鑒于GDPR的影響力和相關司法管轄區個人數據保護法律的迅速發展,龔鈺建議,中國企業在歐洲以及亞太等地區無論是日常經營還是進行投資并購,都應當提高數據合規意識,盡早開展數據合規工作,從而避免因違規產生的風險。

附件:


分享到微信新浪微博人人網0
im体育官网