歡迎您訪問中國電子認證服務產業聯盟官方網站!
服務熱線: 010-68449338   |   設為首頁   |   會員申請
行業資訊
當前所在位置 首頁  »  新聞中心  »  行業資訊

歐盟頒布《一般數據保護條例》 成為個人信息保護里程碑式法律

來源:反壟斷實務評論   發布時間:2016-5-5 14:54:40   瀏覽量:

一、概述

2016年4月14日,歐洲議會投票通過了商討四年的《一般數據保護條例》(General Data Protection Regulation),該條例將在歐盟官方雜志公布正式文本的兩年后(2018年)生效。新條例的通過意味著歐盟對個人信息保護及其監管達到了前所未有的高度,堪稱史上最嚴格的數據保護條例。

新條例將取代1995年發布的《歐盟數據保護指令》(Directive 95/46/EC),并直接適用于歐盟各成員國。它旨在加強對自然人的數據保護,并一統此前歐盟內零散的個人數據保護規則,同時降低企業的合規成本。

新條例由11章共99條組成,其中關于數據主體(data subject)的權利以及數據控制者(data controller)和數據處理者(data processor)的義務的條款特別需要企業進行深入研究,確保在條例生效前完成合規更新工作。

二、重要條款

以下簡要介紹條例中的幾項重要條款,具體規定請參見條例原文。

1. 管轄范圍(第3條)

該條例適用于:

(1)住所在歐盟的數據控制者、處理者;

(2)住所雖然不在歐盟的數據控制者、處理者,但是其在向歐盟內數據主體提供商品和服務的過程中(無論是否需要付費)處理了歐盟內數據主體的個人數據,或對數據主體進行監測;

(3)住所雖然不在歐盟的數據控制者,但在根據國際條約歐盟成員國法律適用的地方。

2. 處理個人數據的原則(第5條)

處理個人數據應當:

(1)合法、正當、透明;

(2)處理數據的目的是有限的;

(3)僅處理為達到目的的最少數據;

(4)確保數據準確、時新;

(5)儲存數據的期限不得長于為達到目的所需的時間;

(6)采取技術和管理措施以保護數據的安全;

(7)數據控制者有責任并應能夠證明其做到了以上幾點。

3. 合法處理數據(第6條)

至少滿足以下中的一項,處理數據才是合法的:

(1)數據主體同意了為特定目的處理其數據;

(2)處理數據是為簽訂或履行合同所需的;

(3)處理數據是為遵守法定義務所需的;

(4)處理數據是為了保護數據主體或其他自然人的至關重要的利益;

(5)處理數據是為了公共利益或行使政府授予的權力;

(6)處理數據是為追求數據控制者的合理利益,但不得損害數據主體的利益。

4. 兒童個人數據的處理(第8條)

處理16歲以下的兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。各成員國可對上述年齡進行調整,但是不得低于13歲。

5. 處理特別類型的個人數據(第9條)

禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關系、社會保險之需要并在法律允許的范圍內且已采取了適當的保護手段等。

6. 被遺忘權(第17條)

當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。如果該數據被傳遞給了任何第三方(或第三方網站),數據控制者應通知該第三方刪除該數據。

7. 可攜帶權(第20條)

數據主體可向數據控制者索要其數據,也可將其個人數據轉移至另一個數據控制者。

8. 個人數據泄露通知(第33、34條)

數據控制者應在72小時內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,數據控制者必須毫不延誤地通知數據主體,以便數據主體及時采取措施。

9. 設置數據保護官(第37、38、39條)

為確保數據保護合規并處理數據保護相關事務,數據控制者和數據處理者需設置數據保護官(data protection officer)。

10. 巨額罰款(第83條)

對于一般性的違法,罰款上限是1000萬歐元或對企業而言上一年度全球營業收入的2%(兩者中取數額大者);對于嚴重的違法,罰款上限是2000萬歐元或對企業而言上一年度全球營業收入的4%(兩者中取數額大者)。

三、結語

歐盟此次通過的《一般數據保護條例》對1995年的《歐盟數據保護指令》進行了大刀闊斧的改革:將適用的主體范圍擴大到了境外的企業;增加了透明原則、最少夠用原則等一般性保護原則;開創性地引入了被遺忘權、可攜帶權等;并且對于違規活動進行嚴格的處罰,全面提升了對個人數據的保護力度。此外,歐盟將設立“一站式”投訴服務,以便于消費者在歐盟內跨境投訴。

此次改革以保護公民的基本權利為理念,在提高個人數據保護標準的同時,也會增加企業的合規成本。業界也有人擔心這種嚴格的數據保護將會阻礙對數據商業價值的開發。因此,在實踐中面對紛繁復雜的情況時,需要找到其中的平衡點。

對于歐盟以外的國家,新條例無疑樹立了一個高標準的個人數據保護法律模板。鑒于歐盟對于數據跨境傳輸的嚴格要求,其他國家可能需要跟上歐盟的步伐,以免在數據利用方面受到限制。當越來越多的國家提高了對個人數據的保護力度,落后者可能會被禁閉在無限網絡的狹小空間之內。

 
 
Copyright 2012-2014 中國電子認證服務聯盟  京ICP備13000126號 版權所有 All rights reserved.
七星彩开奖查询