谷歌的用户信息保护未达到“隐私和透明度标准”被法国政府依据FDPR罚款3.86亿人民币

作者:夏海波律师,毕业于复旦大学法学院,获硕士学位,上海市律师协会互联网业务研究委员会委员,专利代理人,互联网、人工智能、大数据领域专业律师、法律研究者。案情介绍:近日,法国政府宣…

作者:夏海波律师,毕业于复旦大学法学院,获硕士学位,上海市律师协会互联网业务研究委员会委员,专利代理人,互联网、人工智能、大数据领域专业律师、法律研究者。
案情介绍:近日,法国政府宣布对谷歌公司罚款5000万欧元(约合3.86亿人民币),理由是谷歌在用户信息保护上未能到达“隐私和透明度标准”。这是在欧盟《通用数据保护条例》(GDPR)在2018年5月生效之后,首家科技巨头被依据此法给予高额处罚。之所以对谷歌公司进行惩罚,因为法国数据数据保护部门CNIL认为,谷歌通过旗下所属的多个应用搜集了大量数据,其中包含了大量私人生活信息。但谷歌未能对这些数据给予合理的保护,用户无法理解清楚的了解该公司会怎样处理这些数据,因为其披露的信息过于“笼统和含糊”,并分散在不同页面和文件中。CNIL在检查过程中,发现Google在两个关键领域违反了新的隐私规则。第一,违反透明度和信息的义务,用户无法轻易访问Google提供的信息。第二,违反了为广告个性化处理提供法律依据的义务。
以上就是关于本次谷歌被罚案件的简要介绍,这是目前以GDPR为依据处罚力度最大的案件,本案也给所有的大数据相关公司敲响了警钟。相信大数据行业的从业者对GDPR都不陌生了,这部在2018年5月25日,由欧洲联盟出台《通用数据保护条例》,给数据保护带来了新的变化,同时也给大数据行业的发展划定了法律界限。那么,这部条例究竟有多严格?又给企业带来了哪些影响?接下来本文将一一展开叙述。
GDPR的效力范围
根据GDPR中有关于适用范围的规定,GDPR设立了“长臂”管辖原则,该条例由之前的属地主义扩展到属地主义加属人主义。简而言之,内容如下:对于成立地在欧盟境内的机构,不论其处理数据的行为是否在欧盟境内,都要受到本条例的规制;对于成立地不在欧盟境内的机构,只要其在提供产品或服务的过程中处理了欧盟境内个体的个人数据,或者对发生在欧洲范围的数据主体的活动进行监控,也属于该条例的调控范围。也就是说,企业只要参与欧洲市场,与欧洲消费者交易过程中产生的数据就必不可免的会受到GDPR的调控。正是因为该条例调控的范围十分广泛,才在全球范围内造成了巨大的反响。
数据控制者和数据处理者的义务
GDPR更加重视对数据主体的保护,赋予了数据主体更多新的权利,加重了数据控制者与处理者的义务。这也是本次谷歌公司被罚的主要原因。根据GDPR的要求,对于数据控制者而言,承担以下义务:
1、对于设立地在欧盟且符合法定条件的机构,必须设立数据保护专员( DataProtection Officer,简称DPO)。DPO必须具备数据保护专业知识和技能,有能力且独立履行职责,DPO的联系方式必须予以公布,且向监管部门报备。对于设立地不在欧盟但适用GDPR的组织,其必须在欧盟境内指定一个代表机构,以作为该机构与数据保护监管机构之间的联系点。
2、对数据处理活动进行文档化管理。GDPR要求控制者全面记载处理活动,记录内容要求包含数据处理目的、数据主体类别、个人数据的分类描述、数据接收者类别等内容。
3、进行数据保护影响评估。对于高分险的数据处理活动,要事先进行数据保护影响评估,主要进行处理机制以及处理目的系统性描述、必要性评估、数据主体的风险性评估等。GDPR并没有对高风险进行界定,但以下情形,应当事前评估:对个人特征的系统性评价(该评价会对数据主体产生法律上的影响)、对大量敏感数据的处理以及对公共领域大规模的系统性监控。
4、规定事先协商机制。如果数据保护评估结果显示的是高风险,且数据控制者没有有效降低风险的措施,数据控制者应当就数据处理活动向相关的数据保护监管部门进行事先协商。
5、及时进行数据泄露报告。数据泄露是指偶然的或者非法的数据破坏、损失、改变、非授权的披露等。一旦发生上述泄露事故,数据控制者需要及时通知监管机构与数据主体。除数据泄露信息披露外,针对数据处理的“透明”原则,GDPR 还要求数据控制者适时进行信息披露,包括关于数据处理的书面材料、数据控制者的详细信息、数据保护局的联系方式等。
6、采取数据安全保障措施。GDPR对于安全保障措施给予了详细的规定,主要包括:对于个人数据的匿名化和假名化;建立定期测试、评估、评价和管理体系等等。
对于数据处理者而言,GDPR对其要求大体上与数据控制者的要求是一样的。此外,还规定了一些不同之处,比如,数据处理者仅能按照数据控制者书面的要求处理数据,必须确保其员工能够遵守有关保密要求;在数据安全、数据泄露、数据保护影响评估等方面对数据控制者提供协助;如果没有数据控制者的同意,数据处理者不得二次分包业务等等。对于数据处理者的违规行为将同样受到GDPR的严格处罚,同时数据监管部门也同样有权力对数据处理者的行为进行监管。
在GDPR实施的背景之下对于中国跨国公司的要求
GDPR适用范围极广,不受地域的限制。即使中国企业没有在欧盟设立分支机构,但是欧盟用户上这个中国企业的网站注册购买商品或服务,此时如果这个企业不当收集了该用户的信息,就可能被欧盟监管部门处以巨额罚款。随着中欧贸易往来的持续深入,中国企业在欧开展的业务日益扩大,特别是银行、电子商务、互联网、IT 企业和软硬件生产商因涉及个人信息处理,势必会成为GDPR主要规制的对象,因此满足GDPR的要求是企业必然要面对的问题。但是,目前我国企业对GDPR的准备情况则不容乐观。
2017年4月,全球网络安全厂商Veritas Technologies问卷调查显示,高达90%的亚太地区企业对GDPR知之甚少,95%的受访者认为,其所在企业的现行做法并不符合新的立法要求。随着该条例效力渐渐展露,相关企业必须提高对GDPR的了解与重视程度。
对于企业来说,可以从以下几个方面来提高自身对于GDPR的应对措施:
首先,企业数据管控部门要确保企业管理层、业务部门、安全保障部门等及时知晓GDPR的生效及其带来的主要变化,时刻关注世界范围内关于GDPR的最新案例,可通过培训、讲座等多种形式,树立起个人信息保护意识。若属于GDPR规定的必须设立数据保护官的情形,应按照要求设置数据保护官。
其次,妥善处理好企业与数据主体之间的关系。在GDPR的规定中,大大加强了对数据主体的保护,可以说对个人数据权利的保护就是整个条例的核心。企业只有处理好与数据主体之间的关系,在采集个人信息时,清晰明确的向用户介绍采集数据的内容以及对该数据的处理和适用,保证对数据的每一项处理和使用都已取得用户的同意。维护好企业与数据主体之间的关系,可以更有效的避免数据侵权事件的发生。
再次,企业应当主动肩负起GDPR对其规定的义务,建立安全评估与风险防控机构,对数据进行妥善的保管,尽可能的将数据泄露的风险降到最低。提前制定好预备方案,在数据泄露时,及时报告监管部门,采取合理应对措施,将损失降到最低。
最后,由于法案正式生效时间并不长,相对于技术新发展以及不确定因素具有一定的滞后性,对此,企业应就遵循疑惑点不断开展与欧盟相应部门法规、技术层面的协调与交流,加深对于GDPR的理解。
跨国企业的哪些行为可能会受到GDPR的规制
1。未尽到合理提醒义务在中国,目前很多应用软件在使用之前,都会要求用户勾选数据收集同意书,软件的供应商以此为依据在用户使用该软件过程中收集用户产生的数据。这种现象对于软件商而言非常普遍,此类行为并不受到我国当前法律的规制,但实际上却已经违背了GDPR的规定。根据条例的要求,作为数据控制者,应当明确告知数据主体其收集的个人数据。此外,还应该让数据主体知道其个人数据具体经过了何种处理,以及被用在了何处。根据当前各类软件的使用体验来看,我国绝大部分的软件供应商并没有达到GDPR的要求。一旦此类企业进入欧洲市场,很有可能会引起欧盟数据监管部门的高度重视,将会根据具体情况承担不利后果。谷歌案就是给我国企业进入欧洲市场的一个警醒,希望我国的跨国企业能够对此提起足够的重视。
2。未及时汇报数据泄露事故由于数据具有无实体性、易复制性的特性,对于处于网络空间中储存的企业数据非常容易遭到侵犯。实践中,数据控制者往往因顾及企业自身名誉等原因,即使数据遭遇侵犯,企业也会隐瞒事情的真相,防止失去用户的信任,不利于企业发展前景。由于数据经过复制价值也不会减损,所以企业很可能并不会追究侵权者的责任,造成侵权者逍遥法外。而流露出去的数据可能会造成“一传十,十传百”的现象,这就导致了我们经常会接到一些“知根知底”的诈骗电话。根据前文所述,如果这类企业被纳入GDPR的规制范围,那么毫无疑问会受到欧盟数据监管部门的巨额罚款。GDPR设定了二个等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。这样的高额惩罚很可能给企业带来毁灭性打击。
3。违背数据主体的要求欧盟从最开始颁布的数据保护指令到现在制定的GDPR,核心都是在于保护数据主体的权利,在GDPR中,欧盟规定了多项数据主体的权利,其中最引人注目的就是“被遗忘权”和“数据可携权”。对于这两项全新的权利我国企业可能并不了解,当数据主体依法行使自己权利的时候,数据控制者往往会因为不了解而拒绝数据主体的要求。就以遗忘权为例,曾经有一名西班牙男子起诉谷歌称,在该公司的搜索引擎中搜索自己的名字时,有一个链接指向了1998年的一篇刊登在报纸上的文章,文章报道了他的住房被收回的情况。欧洲法院最终支持了该男子的主张,要求谷歌删除相关搜索结果。对于被遗忘的数据范围,数据主体不仅有权要求数据控制者删除其直接控制的数据信息,还有权要求数据控制者删除经第三方转载、复制后的所有数据。由此可见,在数据主体与企业之间就数据处理问题发生纠纷时,GDPR条约往往都会站在个人一方,企业往往会因侵权而支付数额较高的赔偿,所以对于企业而言,处理好数据主体的要求也十分重要。
4。对于第三方的监管疏忽
在大数据时代,数据已经成为了一种非常重要的战略资源,企业为了提高自己的竞争能力,更好的了解市场需求,都会在数据收集方面投入大量的成本。而由于数据的可复制性,企业间的数据交换就成了企业间的一种普遍选择。不同企业之间进行相互合作,分享自己在生产经营过程中获得的数据,或者利用数据进行交易。但数据在不同企业流转的过程中,数据控制方对于数据接收方的使用并未作出详细的要求。虽然第三方获得的数据并不是直接来源于数据主体,但对于其使用也可能会侵害数据主体的权利。根据GDPR的要求,数据控制者不仅需要限制自己对于数据的使用,对于数据的接收方也需要对其进行限制,一旦因第三方的过错导致数据泄露或者其他侵犯数据主体权利的行为发生,不仅第三方要承担责任,数据控制者也需要承担相应的责任。此外,对于数据控制者进行数据交易行为本身是否违法,也要结合数据控制者和数据主体之间的协议进行判断。
5。违背数据最小化原则
数据最小化原则是指,企业在收集、处理的个人数据时基于其处理目的,应当做到准确、相关、必要。最小化原则要求企业不能一味的为了企业自身的发展,过多的收集用户的数据。
现实生活中,我们每天产生的数据无时无刻都在被手记、电脑等设备所记录,随着物联网的发展,更多的设备可以被用来收集的数据,个人的生活痕迹无时无刻都在被记录着。这些个人数据最终都流向了一个个不同的企业,这些数据是否是该企业所必须的我们却不得而知。
实践中我们不难发现,虽然每个软件实际功能千差万别,但很多软件使用过程中收集的用户数据所包含的内容却相差不多。对于一些企业而言,数据的收集早已经过限,超出了最小化原则的要求。对于拓展欧洲市场而言,此类行为应当今早修正,不能为了眼前的小利而失去更大的欧洲市场。
综上所述, GDPR已经敲响了数据合规的警钟,对于进军欧洲市场的企业而言,必须提前做好应对措施,做好企业内部数据管控,深入学习GDPR的要求。以最高的标准要求自己,在发展的过程中以合规为先,才能在打击数据侵权的浪潮中把握先机,屹立不倒。参考文献:
搜狐,《访谈| 刘权:GDPR是把双刃剑》,https://www.sohu.com/a/237712112_671251
访问时间:2019年1月25日
王翔.欧盟《通用数据保护条例》(GDPR)解读[J].法制博览,2018(34):195.
王融.《欧盟数据保护通用条例》详解[J].大数据,2016,2(04):93-101.
桂畅旎.欧盟《通用数据保护法案》的影响与对策[J].中国信息安全,2017(07):90-93.
– 关于TechLaw技术辅助人专家库 –


为了更好地服务客户在专门技术方面的专业需求,比特律TechLaw专门成立了技术辅助人专家库,特别邀请在互联网、区块链、大数据、人工智能、物联网、生物科技、医疗科技等科技领域具有专业知识的专家为客户提供专业咨询意见。


法律依据:《刑事诉讼法》第192条:公诉人、当事人和辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定人作出的鉴定意见提出意见。


最高人民法院《关于民事诉讼证据的若干规定》第61条规定: 当事人可以向人民法院申请由一至二名具有专门知识的人员出庭就案件的专门性问题进行说明。人民法院准许其申请的,有关费用由提出申请的当事人负担。审判人员和当事人可以对出庭的具有专门知识的人员进行询问。经人民法院准许,可以由当事人各自申请的具有专门知识的人员就有案件中的问题进行对质。具有专门知识的人员可以对鉴定人进行询问。




– 关于比特律 –


比特律专注于TechLaw科技领域专业法律服务,探索科技与法律的前沿问题,服务领域包括互联网、区块链、大数据、人工智能、物联网、生物科技、医疗科技等,下设TechLaw部、资本市场部、知识产权保护部和企业家刑事风险部。


联系我们:微信:legalguard;电话:18911142242


延伸阅读:


人工智能法律:
分类/逐条深度解读电子商务法
无人驾驶法律责任认定与承担分析
AI机器人电话骚扰的法律风险问题分析

人工智能应用的法律问题及责任机制分析


大数据法律:

数据处理协议法律合规审查要点分析

网络平台运用大数据杀熟的法律规制

互联网科技公司用户数据保护法律风险分析及解决方案

GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
GDPR之“用户数据可携权”评析(二) ——“用户数据可携权”实务运用问题分析


区块链法律:
证券法适用于新加坡Token发售/发行之规范及案例

UT/ST之分及ST项目Reg D & Reg S注册发行
Reg A+: 对于小公司 or STO更好的上市方式?

发行证券型Token准备工作/流程及关键点分析

关于SAFT:Simple Agreement for Future Tokens
区块链私募基金模式设计及Token合规要点
Token Fund的设立管理及传统VC发展趋势
新加坡区块链公司架构设计及问题分析
区块链项目落地新加坡实务操作要点分析
香港证监会发布虚拟资产持牌监管标准及运营者框架监管声明

香港1-9号金融牌照分类及申请条件

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

返回顶部