嚴數(shù)據(jù)法律來了，數(shù)字經(jīng)濟企業(yè)如何應對？

2018-05-07 11:27:59中國包裝印刷產(chǎn)業(yè)網(wǎng)閱讀量：26417      我要評論

　　2018年5月25日，歐盟《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，簡稱GDPR)將正式生效。GDPR序言共173條，正文分為11章99條。歷經(jīng)多年商討的GDPR新條例的實施，意味著歐盟的數(shù)據(jù)保護水平將達到的高度?？胺Q世界*嚴格的數(shù)據(jù)保護法律，必將對未來數(shù)字經(jīng)濟產(chǎn)生深遠影響。

　　GDPR即將生效，中國發(fā)布的《信息安全技術個人信息安全規(guī)范》(下稱《信息規(guī)范》)也于2018年5月1日起實施。

　　一些國內(nèi)企業(yè)*缺乏規(guī)則意識，可能并沒有嘗到應有的苦果。由于多種因素導致的執(zhí)法不嚴、違法不究的情形，一旦到了國外可能就不靈。企業(yè)的不合規(guī)經(jīng)營行為，一旦被其他國家政府發(fā)現(xiàn)追究起來，處以巨額罰款或禁止業(yè)務往來，可能是滅頂之災。特別是在近幾年貿(mào)易保護主義似乎有所抬頭的新時代背景下，企業(yè)不合規(guī)經(jīng)營，必將產(chǎn)生數(shù)年甚至永遠難以消化的“惡果”。

　　面對即將落下的GDPR利劍，數(shù)字經(jīng)濟企業(yè)需要積極應對，努力減少合規(guī)風險，防止入“罪”被“罰”。各國政府也需要積極擔當作為，為本國數(shù)字經(jīng)濟企業(yè)的海外發(fā)展保駕護航。

　　GDPR一大“殺手锏”：重罰

　　除了擴大個人數(shù)據(jù)的保護范圍、賦予數(shù)據(jù)主體一系列強大的權利外，GDPR有兩大“殺手锏”：一是設定了重罰；二是確立了“長臂”管轄原則。

　　對于數(shù)據(jù)處理的違法行為，GDPR主要設定兩個等級的處罰。等級高可處以1000萬歐元，或上一財年營業(yè)額2%的行政處罰，以較高者為準。如果根據(jù)營業(yè)額進行處罰，在地域上是范圍內(nèi)，而非在歐盟境內(nèi)的營業(yè)額；在基數(shù)上，是營業(yè)額(annual turnover)，而非凈利潤。該等級的處罰究竟適用哪些情形，GDPR第83條第4款規(guī)定三大類數(shù)據(jù)違法行為：，數(shù)據(jù)控制者與處理者沒有盡到相應數(shù)據(jù)保護義務。譬如未實施適當?shù)募夹g和組織措施、未盡職責保持數(shù)據(jù)處理活動的記錄、沒有及時向監(jiān)管機構通知數(shù)據(jù)已泄露、未進行數(shù)據(jù)保護影響評估等；第二，沒有對數(shù)據(jù)保護認證組織履行義務；第三，沒有對監(jiān)管部門履行義務。

　　針對嚴重違法的數(shù)據(jù)處理行為，GDPR設定了第二等級的行政處罰：高可處以2000萬歐元，或上一財年營業(yè)額4%的行政處罰，以較高者為準。GDPR第83條第5款規(guī)定了五大類嚴重違法的具體情形：，違反數(shù)據(jù)處理的基本原則與條件。數(shù)據(jù)處理應當遵循六大原則：合法、正當與透明原則，目的有限原則，數(shù)據(jù)小化原則，準確性原則，儲存限制原則，完整性與保密性原則。數(shù)據(jù)處理應當符合相應的合法性條件；第二，侵犯數(shù)據(jù)主體的同意權、訪問權、糾正權、被遺忘權、數(shù)據(jù)可攜帶權、拒絕權、獲得救濟權等多項權利；第三，不符合條件將個人數(shù)據(jù)傳輸給第三國或組織；第四，沒有對成員國履行相應的義務；第五，未能遵守監(jiān)管機構的相關要求。

　　可見，GDPR設定的“罪”是相當多的，“罰”是非常嚴厲的。制定任何法律的目的不在于處罰，處罰只是保障法律有效實施的必要手段。“重典治亂”未必總能取得良好效果，但確實可以起到一定威懾作用。GDPR以重罰為理念，試圖倒逼數(shù)字經(jīng)濟企業(yè)完善數(shù)據(jù)保護制度。

　　無論是對于數(shù)據(jù)處理違法行為的認定及其嚴重程度判斷，還是對于處罰金額的終作出，歐盟監(jiān)管機構都享有巨大的執(zhí)法裁量權。如何減少數(shù)據(jù)保護監(jiān)管的權力尋租，防止監(jiān)管“俘獲”，消除腐敗，確保公正執(zhí)法，是接下來歐盟當局特別是法治水平不高的一些成員國需認真對待的問題。

　　另一“殺手锏”：“長臂”管轄原則

　　確立“長臂”管轄原則，或稱為效果原則，是GDPR的另一大“殺手锏”。法律是國家主權的體現(xiàn)，一般只在一國領土范圍內(nèi)發(fā)生效力，即屬地原則。但隨著近些年來網(wǎng)絡技術的不斷提高，具有虛擬性、無國界性的電子商務、互聯(lián)網(wǎng)金融，在范圍內(nèi)得到蓬勃發(fā)展。在數(shù)字經(jīng)濟時代，再繼續(xù)堅持傳統(tǒng)的屬地主義原則，或許無法有效保護本國公民的權益和國家利益。

　　GDPR的適用范圍極廣，將法律適用的屬地主義與屬人主義原則結合起來，擴大法律適用的域外效力。

　　首先，在歐盟境內(nèi)設立數(shù)據(jù)控制或處理機構，不管其對個人數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內(nèi)，都受GDPR的拘束。此管轄規(guī)則屬于傳統(tǒng)的屬地主義原則，在歐盟內(nèi)設有機構，當然應受歐盟法的約束。

　　其次，即使在歐盟境內(nèi)沒有設立數(shù)據(jù)控制或處理機構，有兩類數(shù)據(jù)處理行為也受GDPR的約束。一類是向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務，無論是否收費或免費；另一類是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控的。此管轄規(guī)則實際上確立了GDPR的屬人主義原則，即不管企業(yè)在歐盟內(nèi)有沒有設立機構，只要其對歐盟數(shù)據(jù)主體提供了商品、服務，或對其進行了監(jiān)控，就受GDPR的拘束。屬人主義原則的確立，大大擴大了GDPR的管轄范圍。

　　再次，在歐盟內(nèi)沒有設立機構，但數(shù)據(jù)處理行為，依公法可適用歐盟成員國法律，受GDPR的拘束。根據(jù)此管轄規(guī)則，歐盟監(jiān)管機構既不依據(jù)屬地主義，也不依據(jù)屬人主義，仍然可能依公法規(guī)則對數(shù)據(jù)處理行為進行監(jiān)管。

　　GDPR所確立的三大管轄制度，可稱之為“長臂”管轄原則。通過分析該規(guī)則可以發(fā)現(xiàn)，世界上任何一家與歐盟有相關貿(mào)易往來的數(shù)字經(jīng)濟企業(yè)，即使沒有在歐盟境內(nèi)設立任何機構，也可能受GDPR的管轄。重罰機制，加上“長臂”管轄原則，使GDPR威力無比。

　　“罪”與“罰”都是明確的。GDPR帶給數(shù)字經(jīng)濟企業(yè)的是實實在在的可預測的法律風險。GDPR已經(jīng)為數(shù)字經(jīng)濟企業(yè)畫出一張數(shù)據(jù)保護的操作紅圖。與其擔驚受怕抱有歐盟“執(zhí)法不嚴、違法不究”的僥幸心理，不如早日“退而結網(wǎng)”完善數(shù)據(jù)保護合規(guī)制度建設。“想吃大蛋糕，又不愿失去更多面包”的數(shù)字經(jīng)濟企業(yè)，應當抓緊按圖行事不斷完善企業(yè)數(shù)據(jù)治理。

　　企業(yè)應對GDPR的當務之急

　　歐盟對于數(shù)據(jù)保護設定比較嚴格的高標準，必然會有很多數(shù)字經(jīng)濟企業(yè)一時滿足不了要求，或一直不愿花大成本滿足標準，所以罰款也必將蜂擁而至。那到底罰誰？

　　由于人力、物力、財力等執(zhí)法資源的有限性，未來歐盟對于數(shù)據(jù)保護的“選擇性執(zhí)法”在所難免。名企*。“槍打出頭鳥”，選擇“殺”一些名企，達到“儆百”的目的，可能是歐盟未來數(shù)據(jù)保護執(zhí)法的常態(tài)。

　　然而，不管是名企還是非名企，既然選擇歐盟大市場，就應當根據(jù)GDPR的要求，建立健全合規(guī)的數(shù)據(jù)保護制度。名企財力雄厚，盡管被高額罰款，可能還承受得起。但是，對于非名企，特別是一些中小企業(yè)來說，歐盟的一次罰款或制裁，可能馬上就會使其瀕臨破產(chǎn)。

　　“羊未亡，牢需補。”數(shù)字經(jīng)濟企業(yè)應當高度重視GDPR。隨著中國《信息規(guī)范》也將實施，中國企業(yè)可以從以下幾個方面，盡快完善數(shù)據(jù)保護制度：

　　，高度重視個人數(shù)據(jù)保護。企業(yè)高管團隊應當對GDPR有清醒的認識和準確的預判，盡早制定周密的戰(zhàn)略計劃，不計成本消除各種不合規(guī)隱患，加強人員管理與培訓。企業(yè)相關業(yè)務部門應及時全面分析已經(jīng)采集、存儲的個人數(shù)據(jù)的種類、用途與獲取方式，刪除不合法、不必要的個人數(shù)據(jù)，實現(xiàn)個人數(shù)據(jù)保存時間的小化，并不斷加強數(shù)據(jù)安全保障。

　　第二，完善數(shù)據(jù)主體的權利設置與行使操作規(guī)程。GDPR賦予了數(shù)據(jù)主體一系列強大的權利，對于這些權利的保護不足和侵犯屬于嚴重違法行為，歐盟監(jiān)管機構可處以高額度的罰款。在賦予數(shù)據(jù)主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外，還應當核實這些權利設置與行使是否符合GDPR的要求，例如檢查設置的同意權是否符合GDPR的要求。我國《信息規(guī)范》要求收集個人數(shù)據(jù)時原則上應獲得授權同意，收集個人敏感信息還需明示同意，另外還明確了撤回同意權。

　　第三，完善數(shù)據(jù)處理機制。運用適當?shù)慕M織措施與技術措施，確保數(shù)據(jù)處理符合GDPR的基本原則與合法性條件。以透明的方式，使用簡明易懂的語言，及時如實告知收集、存儲、使用個人數(shù)據(jù)的情況。建立健全數(shù)據(jù)保護影響評估機制與事先協(xié)商制度，對個人數(shù)據(jù)進行去標識化處理，完善數(shù)據(jù)匿名化處理規(guī)程，提高數(shù)據(jù)處理過程的安全性，并對個人數(shù)據(jù)處理活動進行記錄。

　　第四，必要時任命數(shù)據(jù)保護官。GDPR要求相關企業(yè)以透明的方式，任命具有專門數(shù)據(jù)保護知識的數(shù)據(jù)保護官(Data Protection Officer，DPO)。DPO可以確保數(shù)據(jù)控制者和處理者遵從GDPR的相關規(guī)定，同時也扮演著與監(jiān)管機構之間的聯(lián)系人和合作者的角色。如果經(jīng)評估必須設立DPO，則應保障DPO的任命、權利和職責符合強制性規(guī)定，并為DPO獨立履行職責提供充足的資源。另外，企業(yè)可考慮聘請外部數(shù)據(jù)保護顧問。

　　第五，完善數(shù)據(jù)泄密報告與處理機制。GDPR要求原則上自知道個人數(shù)據(jù)泄露72小時內(nèi)，向監(jiān)管機構報告，并將可能產(chǎn)生高風險的泄露信息通知受到影響的個人。企業(yè)應詳細記錄個人數(shù)據(jù)泄露情況，及時采取補救措施，不斷修改完善現(xiàn)有的數(shù)據(jù)泄露管理流程。我國《信息規(guī)范》要求企業(yè)定期組織內(nèi)部相關人員，進行個人信息安全事件應急響應培訓和應急演練，及時更新應急預案。

　　另外，數(shù)字經(jīng)濟企業(yè)還應當從更新隱私聲明與政策、刪除相關協(xié)議文本中侵犯數(shù)據(jù)主體權利的“霸王”條款、完善數(shù)據(jù)跨境流動機制等方面積極采取應對措施，減少不合規(guī)風險。

　　政府應為數(shù)字經(jīng)濟發(fā)展保駕護航

　　經(jīng)濟基礎決定上層建筑。GDPR是法律，屬于歐盟的上層建筑，但其所要調(diào)整的卻是*的數(shù)字經(jīng)濟企業(yè)。由于不同國家的經(jīng)濟發(fā)展水平存在很大差別，所以不同的經(jīng)濟基礎與同一的上層建筑之間，必然存在難以調(diào)和的矛盾。一方面?zhèn)€人數(shù)據(jù)權利要保護，另一方面技術要創(chuàng)新、市場要發(fā)展，二者之間發(fā)生沖突在所難免。

　　GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護個人數(shù)據(jù)權利，可能會對技術與市場的發(fā)展產(chǎn)生一定的阻礙。發(fā)展數(shù)字經(jīng)濟，建設數(shù)字中國，不僅需要靠企業(yè)不斷提升數(shù)據(jù)治理水平，還需要靠政府主動采取措施，解決企業(yè)無法克服的實際困難。

　　首先，政府應當高度重視GDPR給數(shù)字經(jīng)濟帶來的挑戰(zhàn)。嚴格的個人數(shù)據(jù)保護，帶來高額合規(guī)成本。由于信息資產(chǎn)管理的運營成本會顯著增加，而且擔心被重罰，一些企業(yè)已經(jīng)暫停歐盟的相關業(yè)務。GDPR的實施可能不利于中小數(shù)字經(jīng)濟企業(yè)成長，并可能助長巨頭企業(yè)的壟斷地位。因而，政府應當在戰(zhàn)略上予以重視，積極制定各種鼓勵扶持政策，有效支持企業(yè)提升數(shù)據(jù)治理水平，消除數(shù)據(jù)壟斷，降低GDPR合規(guī)風險。

　　其次，與歐盟積極溝通，完善對話協(xié)商機制。相關政府職能部門需要認真研究歐盟GDPR的監(jiān)管規(guī)則，緊密協(xié)同配合，擔當有為。在積極制定政策法律不斷完善企業(yè)數(shù)據(jù)保護水平的基礎上，與歐盟監(jiān)管當局開展平等對話協(xié)商，表明難點與決心，贏得理解，減少不必要的處罰與貿(mào)易糾紛。

　　再次，完善數(shù)據(jù)保護執(zhí)法合作機制。對于GDPR 的監(jiān)管挑戰(zhàn)，各國政府應當充分研究歐盟數(shù)據(jù)保護監(jiān)管的利益關切和行動計劃，加強信息開放與共享，健全實體法之間的協(xié)調(diào)機制，尋找監(jiān)管標準的大公約數(shù)，積極尋求產(chǎn)業(yè)合作和個人信息保護執(zhí)法合作，實現(xiàn)數(shù)據(jù)保護的共商共治。

　　除了作為重罰的依據(jù)，歐盟還可能將GDPR作為新的技術壁壘，阻礙數(shù)字經(jīng)濟企業(yè)在歐盟的發(fā)展擴張。在我國正在推行“一帶一路”倡議的大背景下，GDPR也可能成為阻擋我國數(shù)字經(jīng)濟企業(yè)“走出去”的障礙。但無論如何，在互聯(lián)網(wǎng)時代，合規(guī)經(jīng)營是數(shù)字經(jīng)濟企業(yè)做大做強的不二法則。盡管“規(guī)”可能很嚴厲，但只要“規(guī)”是合法有效的存在，企業(yè)就應當嚴格遵守。

上一篇：3D打印產(chǎn)業(yè)化需三管齊下將重新定義制造業(yè)

下一篇：深圳封殺膠粘與油墨產(chǎn)品，包裝印刷成本控制不住了

版權與免責聲明：1.凡本網(wǎng)注明“來源：包裝印刷網(wǎng)”的所有作品，均為浙江興旺寶明通網(wǎng)絡有限公司-興旺寶合法擁有版權或有權使用的作品，未經(jīng)本網(wǎng)授權不得轉載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權使用作品的，應在授權范圍內(nèi)使用，并注明“來源：包裝印刷網(wǎng)”。違反上述聲明者，本網(wǎng)將追究其相關法律責任。 2.本網(wǎng)轉載并注明自其它來源（非包裝印刷網(wǎng)）的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點或和對其真實性負責，不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉載時，必須保留本網(wǎng)注明的作品第一來源，并自負版權等法律責任。 3.如涉及作品內(nèi)容、版權等問題，請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關權利。

全部評論

昵稱驗證碼匿名