欧盟数据合规之一：欧盟数据合规法律规范

欧盟数据合规之一：欧盟数据合规法律规范

 IXCDC

 一、对《通用数据保护条例》和相关指南、意见的数据合规解读

01

立法背景

《通用数据保护条例》（GDPR）是欧盟第一部关于数据保护的权威法案。欧盟的数据立法最早可以追溯至1980年9月23日，前身为欧洲经济合作组织的经济合作发展组织理事会颁布《保护个人信息跨国传送及隐私权指导纲领》。之后，1997年12月15日，欧洲颁布《公共数据通信领域个人数据处理的隐私保护指令》；2002年7月12日，欧洲议会和欧盟理事会通过《电子通信隐私指令》；2009年11月，欧盟对《电子通信隐私指令》进行修改；2012年1月25日，欧洲议会发布《通用数据保护条例》（草案）；2016年4月14日，《通用数据保护条例》通过；GDPR于2018年5月25日正式适用于各欧盟成员国。

在GDPR出台后，EDPB陆续出台了针对其条款进行解释的指南。原立法组第29条工作组同步陆续出台指导性文件和工作意见。

02

内容综述

GDPR共有十个章节内容，涵盖多个方面的内容。其中，重要环节可归纳为五个大方面：适用范围、原则条款、数据主体权利及数据控制者、处理者的义务及法律责任。

适用范围包括“个人数据处理”和“地域范围”。可见于GDPR的第3条、第4条和第9条。第3条规定，对于设立在欧盟境外的控制者和处理者对欧盟境内数据主体的个人数据进行处理，如果涉及下列情况，则适用本条例：（a）向欧盟境内的数据主体提供商品或服务，无论此项商品或服务是否需要数据主体向其支付对价；或（b）对数据主体发生在欧盟境内的行为进行监控。同时，GDPR规定适用的例外情形，包括管辖范围的例外、数据类型的例外、数据处理行为的例外、数据主体和数据控制者或处理者的例外。如成员国保留、公共利益的例外、共同外交和安全政策的例外、基本权利和自有保护的例外、数据主体同意、合同或法律要求所必要的例外。根据GDPR第4条，个人数据是指与已识别或可识别的自然人（数据主体）相关的任何数据，可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符，或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人；而数据处理是指对个人数据进行的任何操作或者一系列操作，无论其是否通过自动化手段进行，如数据收集、记录、组织、建构、存储、改编或修改，恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作。即对一切单独和结合起来足以识别特定自然人的信息的收集、记录、储存、共享等行为均可被认定为GDPR项下的“个人数据处理”。

原则条款可见GDPR第5-7条，包括合法公平透明性、目的限制、数据最小准确化、存储限制、完整保密性、权责一致等内容。如第6条规定，当且仅当以下所列各项中至少有一项获得满足的情形下，数据处理方为合法。

数据主体权利规定在GDPR第三章，包括知情权、访问权、修改权、删除权、被遗忘权、限制处理权、拒绝权、免受自动化决策权等。具体内容包括有权要求控制者无不当延迟地删除其个人数据、有权无不当延迟地修改其不准确个人数据等。其中，知情权指数据控制者从数据主体或其他来源处收集个人信息时，应当提供相应的信息确保数据主体对其自身权利以及救济途径得以充分知晓，包括但不限于数据控制者及数据保护官的身份信息和联系方式、个人数据处理目的及其合法基础、数据储存期限、数据种类、数据主体享有的权利、向监管机构投诉的途径等。访问权指数据主体有权从数据控制者处获得关于其个人数据是否被处理的结果，同时有权了解处理的目的、类别、存储期限、救济途径、安全保障措施等，数据主体还可获得正在处理的其个人数据副本。修改权指数据主体有权要求数据控制者立即更正与其有关的错误个人信息，包括以补充声明或其他方式补充其不完整的个人信息。被遗忘权指当出现收集和处理数据已不再必要、数据主体撤销同意、数据主体行使拒绝权、个人数据被非法处理、基于法定义务需要删除等情形时，数据主体有权要求数据控制者立即删除其个人数据，数据控制者应当采取合理措施并告知正在处理该个人数据的其他控制者。限制处理权指特定情形下，数据主体有权限制数据控制者的处理行为。例如，数据主体对其个人数据准确性提出质疑且控制者需要时间核实时；个人数据被非法处理但数据主体反对行使删除权时；相关个人数据虽然对于处理目的而言已不再必要，但为诉讼所必需的。拒绝权指数据主体有权基于其自身情况拒绝包括直销目的以及公众或第三方利益在内的个人数据处理行为。免受自动化决策权指数据主体有权不受仅基于自动化处理行为得出的决定的制约，以避免对个人产生法律影响或类似影响，该自动化处理包括人物画像。

数据控制者和处理者的义务规定在GDPR第四章，从类别来看，可划分为原则性义务、合规义务、证明义务以及具体义务。要求包括数据控制者应当采取适当的技术、组织措施（如匿名化等）确保数据处理符合GDPR要求的同时又保护数据主体的权利，此外，在默认情形下，该技术和组织措施应保证对个人数据的处理应在最小必要的原则下进行且不得被不特定自然人访问；数据控制者和处理者应当保存由其负责的数据处理活动的记录，该记录应当采取书面形式，必要时向监管机构提供；数据控制者应自发现个人数据泄露事件之时起72个小时内向监管机构报告，报告中应阐明泄露数据的种类、数量、可能导致的后果以及建议采取的处理措施等，数据控制者还应提供数据泄露事件的完整记录以便监管机构之后的核实；数据控制者进行数据处理行为前，应当考虑处理行为的性质、范围、内容和目的以及可能对数据主体权利和自由产生的风险，并完成一份设想的处理行为给个人数据保护带来的影响的评估；若根据第35条制定的数据保护影响评估显示数据控制者的处理行为将导致高风险而缺乏有效风控措施时，控制者应当在处理前向监管机构进行咨询，监管机构应在规定期限内提供书面建议；数据控制者和处理者应当指定一名数据保护官的情形包括三种：一是数据控制者和处理者系行政机关或公共机构的；二是业务涉及的数据处理是定期、系统化且规模较大的；三是涉及处理敏感信息的，数据保护官应当具备专业素养，拥有数据保护法律的专业知识和实践经验。

第五方面是法律责任。GDPR根据违法行为的性质和严重程度规定了两类罚款。其一是针对数据控制者和处理者、认证机构、监管机构违反各自义务的情形，适用1000万欧元的行政罚款（若相对人是企业时则处以其上一财政年度全球营业总额的2％，两者竞合取较高者）。二是针对违反数据处理的基本原则、侵犯数据主体权利、违反数据跨境转移相关规定的情形，适用2000万欧元的行政罚款（若相对人是企业时则处以其上一财政年度全球营业总额的4％，两者竞合取较高者）。

截止2021年2月，EDPB正式出台的GDPR指南包括对克减条款、数据保护影响的评估、个人数据的转移等内容的解释。如，关于根据《条例》第42条和第43条进行认证和确定认证标准的第1/2018号准则；关于根据第2016/679号条例克减第49条的第2/2018号准则；关于GDPR地域范围的第3/2018号准则(第3条)；关于根据《一般数据保护条例》(2016/679)第43条认可认证机构的第4/2018号准则；关于第2016/679号条例规定的行为守则和监督机构的第1/2019号准则；关于在向数据主体提供在线服务的情况下根据《国内生产总值条例》第6(1)(b)条处理个人数据的第2/2019号指引；关于欧洲数据保护监督员名单草案的第01/2019号建议，涉及需要进行数据保护影响评估的处理操作；关于通过视频设备处理个人数据的第3/2019号指引；关于第25条通过设计和默认方式保护数据的第4/2019号指引；关于GDPR下搜索引擎案例中被遗忘权标准的准则5/2019；关于在联网车辆和移动性相关应用中处理个人数据的第1/2020号准则；关于第2016/679号条例第46(2)(a)条和第46(3)(b)条的第2/2020号准则，涉及欧洲经济区与非欧洲经济区公共当局和机构之间的个人数据转移；关于在COVID-19爆发的情况下为科学研究目的处理健康数据的第03/2020号准则；关于在爆发COVID-19的情况下使用位置数据和接触者追踪工具的第04/2020号准则；关于根据第2016/679号条例同意的第05/2020号准则；关于《第二支付服务指令》和《国内生产总值条例》的相互作用的第06/2020号准则；关于GDPR中控制者和处理者概念的第07/2020号指南；关于针对社交媒体用户的第08/2020号指引；关于根据《条例》第2016/679条提出相关及合理反对意见的第09/2020号指引；关于补充转移工具以确保遵守欧盟个人数据保护水平的措施的第01/2020号建议；关于欧洲监督措施基本保障的第02/2020号建议；关于《国内生产总值条例》第23条规定的限制的第10/2020号准则；关于资料外泄通知的例子的第01/2021号指引。

第29条工作组出台的指导性文件和相关意见同样具备极高的参考效力。如，2016年11月23日出台的第29工作小组关于国家间为税务目的自动交换个人数据的声明；同日出台的第 01/2016 号工作文件：关于在转移个人数据时通过监控措施干预隐私和数据保护基本权利的理由；2017年10月27日出台的关于"数据可移植性"权利的准则；2018年7月6日出台的GDPR条例下的同意准则等内容。

二、 对《数据治理法案》数据合规解读

01

立法背景

根据欧盟委员会的定义，数据治理是指一系列使用数据的规则和方法，例如通过共享机制、共享协议和技术标准等，意味着以安全的方式(包括通过受信任的第三方)共享数据的结构和流程。2020年2月19日发布的《欧洲数据战略》中提出形成“健康、环境、能源、农业、流动性、金融、制造业、公共行政和技能”九个由安全的技术基础设施和治理机制组成的公共数据空间，在这些公共数据空间中，欧盟委员会意图不断改善和治理能源消耗，使个性化医疗成为现实，并促进获得公共服务，并允许来自整个欧盟的公共部门和企业的数据采取较低的成本以可信赖的方式进行交换，从而促进新的数据驱动产品和服务的开发。

2020年11月25日，欧盟委员会于布鲁塞尔通过了《欧洲数据治理法案》（Data Governance Act）的提案。《欧盟数据治理法案》是2020年《欧洲数据战略》（A European Strategy for Data）中宣布的一系列措施中的第一项，旨在“为欧洲共同数据空间的管理提出立法框架”。

02

内容综述

《数据治理法案》提案共有八章内容，将数据分为五种，致力于欧盟经济和社会获取更多数据，并为公民个人和企业提供对他们所生成的数据的更多控制权。依照公民个人和企业数据在现实中的适用情况，提案将数据分为健康数据、移动数据、环境数据、农业数据、公共行政数据五种。[1]在健康数据方面，掌握不同病人的数据情况，有利于改善个性化治疗，提供更好的医疗保健，帮助治愈罕见或慢性病；在移动数据方面，数据为出行提供了实时导航，每年可节省超过2700万小时的公共交通用户时间和高达200亿欧元的汽车驾驶员人工成本；在环境数据方面，有利于及时应对气候变化，减少二氧化碳排放，应对洪水和野火等紧急情况；在农业数据方面，推动了农村地区发展精确农业，打造农业食品部门的新型产品和服务；在公共行政数据方面，提供更好、更可靠的官方统计数据，并有助于循证决策。[2]

具体来说，《数据治理法案》第一章是基本规定，列出提案立法主体、范围以及使用的定义。[3]

第二章主题为“重复使用公共部门机构持有的某些类别的受保护数据”，该机制以尊重他人的权利为前提，且此类数据的重复使用不在指令欧盟第2019/1024号指令（开放数据指令）的范围内。第二章规定有详细的重复使用的条件和禁止排他性规定，如允许此类重复使用的公共部门机构必须在技术上进行配备，以确保充分保护数据的隐私和机密性。

第三章旨在建立“数据共享”的机制，明确“数据共享服务者”的概念，确认条件和义务。数据共享服务的提供者必须遵守提案要求，在数据交换方面保持中立，如禁止将此类数据用于其他目的。该章节确保数据共享服务以开放和协作的方式运行，同时通过为自然人和法人提供更好的服务来增强他们了解和控制数据的能力。成员国指定的主管机关将负责监督对提供此类服务的遵守情况。

第四章主题是“数据利他主义”，确认了程序上的登记申请要求，以及实体上的透明度和特殊要求。它为从事数据利他主义的组织提供了注册为“欧盟认可的数据利他主义组织”的可能性，以增加对其运营的信任。[4]

第五章规定了主管机关的职能要求，包括监督数据共享服务提供者和从事数据利他主义的实体实施的通知框架。确认对机构决定提出申诉和司法补救措施的权利。

第六章设立“欧洲数据创新委员会”，确定了欧洲数据创新委员会的组成并明确了其职能和任务，将促进成员国当局采取最佳措施以及保证通知框架的一致。

第七章确认欧盟委员会的授权和程序。

第八章包括关于数据共享提供者一般授权计划运作的过渡性规定和最终规定。

三、对《数字服务法案》数据合规解读

01

立法背景

提案旨在全面革新能够有效约束亚马逊、谷歌和苹果等在欧盟运营的大型在线平台的监管内容及监管方式，遏制其在数据领域的垄断地位。2020年6月，欧委会就《数字服务法案》立法计划开启公众磋商程序，就市场支配地位、在线广告、智能合同等有关问题和多个领域的未来治理框架广泛征求公众意见。2020年10月29日，欧洲政策中心发文提出迫切需要提高互联网平台的透明度，并建议制定《数字服务法案》。2020年12月15日，欧盟公布《数字服务法案》草案，[5]更新了欧盟现有的《电子商务指令》（《电子商务指令》并未被取代），对网上平台等在线中介服务机构的法律责任和义务制定了新规则。

02

内容综述

《数字服务法案》草案的主要内容可分为四个主题：适用范围、平台责任、平台尽职义务和处罚。

根据《数字服务法案》草案，法案不受歧视地适用于欧盟单一市场，包括在欧盟以外建立的在欧盟提供服务的在线中介机构。如果这些机构不在欧盟成立，则必须任命一名法定代表来履行相应义务，即该法适用于向营业地或居住地在欧盟的服务对象提供的中介服务，无论服务提供者具体的营业地址在哪里，所有在欧盟提供服务的在线中介机构，无论是在欧盟内部还是外部建立，均须遵守新规则，中国互联网和科技公司也是该法适用的对象。微型和小型公司的义务与它们的能力和规模相匹配，也必须对其行为负责。

《数字服务法案》适用于传输或存储第三方内容的中介服务，包括提供网络基础设施的服务（如网络接入供应商、域名注册商）、云服务和网络托管服务、在线平台（如社交网络、内容共享平台、应用商店、在线市场、在线旅游和住宿平台等）等。根据不同在线服务的性质、规模和影响，《数字服务法》对不同类型的中介服务设立了不同程度的义务，以确保其服务不被滥用于非法活动，并负责任地开展业务。

在平台责任和义务方面。平台没有监督和积极调查违法事实的一般义务，但在收到监管机构或司法机关发出的对某一具体非法内容采取行动的命令后，应毫不迟延地通知发出命令的当局，并具体说明所采取的行动和时间。《数字服务法案》为有效干预、正当程序和保护网上基本权利设立了严格法律标准，并为处理网上非法内容、应对社会风险和监管在线机构方面制定了新的有效措施。这些措施包括：建立了明确的事前监管机制，根据“通知和行动”原则迫使数字平台对标记为非法的内容迅速采取行动；实施风险管理程序，防止操纵技术或系统滥用于虚假宣传活动和非法内容；对违法行为进行了明确、严厉的威慑和处罚；提出了内容审核决策的透明度要求，使用户和消费者将能够通过审计报告和独立研究更好地了解大型在线平台对社会的影响。如平台具有透明度报告义务和在线广告的透明度义务，即在网络界面上展示广告的平台应确保服务对象展示的广告能使人以清晰明确的方式实时识别出广告的信息、展示广告的自然人或法人，以及确定广告显示对象的主要参数的有意义的信息。

需深入了解的是，《数据服务法案》草案对特大型在线平台确认了在管理系统风险方面的额外义务。“特大型在线平台”是指在欧盟的月均活跃服务对象数量等于或高于4500万的在线平台。鉴于特大型在线平台在传播非法内容和社会危害方面所构成的特殊风险，为这类平台设定了特殊的规则，包括平台必须履行风险评估、风险管理的义务、必须进行独立的外部审计和接受公共问责，提供商品推荐系统的透明度和用户获取信息的选择，并与监管机构和研究人员共享数据等。[6]具体而言，部分实质性义务仅适用于具有重大社会和经济影响的大型在线平台（在欧盟至少有4500万用户，占总人口的10%），因而非常小的平台免除了大部分义务。

《数字服务法案》的执法机制将由国家和欧盟层面的合作组成，以监督在线中介机构如何适应新的监管要求。满足法案大型概念的平台，委员会将拥有直接监督权，最高可以处以服务提供商全球营业额6%的罚款。每个成员国需在国内法中明确规定处罚措施，配合任命一名数字服务协调员，作为独立机构进行处罚。《数字服务法案》的执法机制不仅限于罚款。数字服务协调员和委员会将有权要求平台在必要时立即采取行动：对于流氓平台拒不履行重要义务，从而危及人民生命安全的，在考量到所有相关方之后，可以采取请求法院暂时停止其服务的最终手段。

四、 对《数字市场法案》数据合规解读

01

立法背景

欧盟地区一直关注科技巨头公司权力过大，遏制小公司市场竞争的问题。在《数字市场法案》下，数据将成为核心竞争力，在数据的聚集以及平台权利的滥用方面对GDPR的局限作出了突破。欧盟有关《数字市场法案》的一系列监管指引将数字公司大致分为中介服务、托管服务、在线平台、超大在线平台四类，明确界定了数字公司的责任和义务。简单来说，数字公司规模越大、用户越多、提供的服务越多样，承担的责任和义务越多。

在这种情况下，新的《数字市场法案》草案寻求对科技巨头的市场行为进行监管。此次这项针对反竞争行为的法案将令监管机构在某些情况下可以向公司处以全球年收入6%-10%的罚款，或拆分大型科技公司以停止反竞争行为。[7]

02

内容综述

《数字市场法》只适用于根据法案中的客观标准被认定为“守门人”的大型在线企业。通过加强守门人平台进行规制与监管，防止科技巨头对企业和消费者施加不公平条件，旨在促进欧洲数字市场的创新、增长和竞争，帮助中小企业和初创企业发展和扩张，从而确保重要数字服务市场的公平性和开放性。因此，明确“守门人”的概念是通读法案最重要的环节。

守门人通常控制着至少一种核心平台服务（如搜索引擎、社交网络服务等，拥有持久、庞大的用户基础，在欧洲数字市场占据或预期占据稳固而持久的地位，因而在事实上拥有规则制定的权力。守门人可基于客户数量、累积活动能力、市场估值等综合标准进行推定，具体应考量如下三个累积条件：第一，影响内部市场的规模：企业在过去三个财政年度在欧洲经济区实现的年营业额等于或超过65亿欧元，或者在上一财政年度其平均市值或等值公平市价至少达650亿欧元，并在至少三个成员国提供核心平台服务；第二，控制着企业用户通向终端用户的重要门户：如果公司运营的核心服务平台在上一财政年度在欧盟建立或位于欧盟的月活跃终端用户超过4500万，并且在欧盟建立的年活跃商业用户超过1万；第三，享有或在不久的将来预期享有稳固而持久的地位：企业在过去三个财政年度中的每个年度都符合其他两个标准。如果上述三个条件均得到满足，则推定该企业为守门人，除非企业提出确凿论据来证明相反的情况。

《数字市场法案》草案确认了大大型在线平台不公平做法。包括自我偏好、反操纵、不公平的搭售和捆绑，以及没有或有限的数据共享。确定了作为“守门人”的大型在线平台所产生的三个主要问题，包括大型在线平台对平台用户以及竞争对手的不公平待遇；损害有效竞争和市场竞争力的结构性问题；分散和无效的机构监督和执法。《数字市场法》草案被认定为守门人的平台施加了一系列额外的具体义务，既包括守门人在日常运营过程中实施某些行为的积极义务，也包括避免从事某些不公平行为的禁止性义务。

概括来说，守门人应当积极履行的义务主要包括：守门人应在特定情况下允许第三方与自己的服务进行交互操作；守门人应为在其平台上投放广告的公司提供访问守门人的性能衡量工具以及独立验证所需的信息；守门人应允许其企业用户在守门人平台之外推广其服务并与客户签订合同；守门人应为企业用户提供访问守门人平台上的活动所生成的数据权限等等。守门人不得从事的不公平行为主要包括：守门人不得再阻止用户卸载任何预装软件或应用程序；守门人不得使用从其企业用户获得的数据与之竞争；守门人不得限制其用户访问其可能在守门人平台之外获得的服务等等。[8]

具体而言，《数字市场法案》草案提议事前监管框架的黑名单与白名单方案，即除非数据可供活跃在同一商业活动中的其他在线平台访问，大型在线平台被禁止使用在其平台上收集的数据。同时对政府授权的数据访问也作出开放性的改变。同时草案确认了泄露文件灰色列表，对大型在线平台对其他平台的限制作出限制。如，不能阻止第三方卖家访问“守门人”收集的关于客户的重要信息；不能限制其他平台方访问或采用其在使用大型在线平台时提供、接收或生成的数据；必须以“名义价格”分享与搜索广告相关的“搜索点击”数据。

《数字市场法案》草案明确规定了对违规行为采取的不同严厉程度的威慑或制裁措施。如，欧盟委员会可处以高达公司全球年营业额10%的罚款，并定期支付高达公司全球年营业额5%的罚款。

参考文献：

[1] https://mp.weixin.qq.com/s/s5GmL-9nRg-LjtL9_i35ng

[2] https://mp.weixin.qq.com/s/xDUZfWgx4Ax0iPjpOxPASw

[3] https://mp.weixin.qq.com/s/15j8-DHxsl1LjvlDTLOcyw

[4] https://mp.weixin.qq.com/s/ftzXWt3mQu7QFgyrn2GCXw

[5]https://eur-lex.europa.eu/legal-content/en/TXT/?qid=1608117147218&uri=COM%3A2020%3A825%3AFIN

[6] https://mp.weixin.qq.com/s/NdcbnpHjGGXKwo9cVZe3Ww

[7] https://mp.weixin.qq.com/s/0c2xnI6AdY9wHKgZsPzd5g

[8] https://mp.weixin.qq.com/s/lOB4oAkAWrXNUOl5xijw4A