中国企业在走出去的过程中,可能会遇到大量收集、处理、转移用户个人数据的情况,对于现有和潜在用户/消费者众多的互联网、快消品、新能源汽车等行业企业来说更是如此。个人数据安全事件和其他违法处理个人数据行为,将极大地损害公司的声誉,并遭到各国主管机关的“特别关注”和“严厉打击”,例如高额罚款。
随着以《通用数据保护条例》(GDPR)为代表的各国数据隐私安全合规体系建立,企业在面向欧美和新兴国家市场时必须对个人数据安全合规更加重视,以降低相应的法律风险。例如,英国在“脱欧”后,仍然依据欧盟GDPR制定了本国的数据法律;目前美国尚不存在联邦层面统一的数据保护法,仅部分州(如加州)推出了本州的数据保护法律,但正在推进《美国数据隐私保护法案》(ADPPA)的立法进程,旨在出台一部联邦层面的数据隐私立法;东南亚国家诸如印度、越南等国家亦在近年来颁布了其第一步个人数据保护法律。
在数据保护立法大潮的背景下,我们结合理论和实务经验,准备了“中国企业出海热点地区数据保护指南”系列文章,着眼于英国、美国、欧盟、印度和越南等出海热点法域的数据保护法,以帮助出海企业更好地了解其数据保护立法进程与执法概况,明晰数据保护合规要点。
本文为系列文章的第一篇,旨在系统理顺英国这一海外市场的个人数据合规法律要求框架,供相关企业参考。
综述
1.1立法总览
英国信息专员办公室(Information Commissioner’s Office,“ICO”)是英国的数据保护主管机关,负责执行包括但不限于下述英国数据保护相关主要立法:
(a)UK General Data Protection Regulation (《英国通用数据保护条例》,“英国GDPR”),沿用了欧盟GDPR的规定。英国GDPR未对欧盟GDPR作出实质性修改;
(b)Data Protection Act 2018(《2018年数据保护法案》,“DPA”):该法案是对英国GDPR的补充,包含就数据处理活动的进一步具体限制、豁免、以及处理敏感个人数据的合法性事由等。
在英国GDPR和DPA之外,英国在金融服务监管、互联网和电信服务等行业还存在一些特殊的数据保护规定。
1.2适用范围
在个人数据[1]控制者[2]或处理者[3]涉及以下任一情形时,则适用英国的数据保护法律:
(a)在英国设立机构[4]并从事处理活动(无论处理活动是否实际在英国进行);
(b)并未在英国设立机构,但处理英国境内个人的个人数据,且处理活动与以下情形之一有关:
-
(i)向英国境内个人提供商品和服务(无论是否有偿),或;
-
(ii)对该等个人在英国境内的行为进行监控追踪。
(c)并未在英国设立机构,但根据国际公法适用国内法。
1.3基本原则和数据主体权利
与我国《个人信息保护法》(下称“《个保法》”)类似,英国GDPR规定了若干个人数据的处理原则,包括:
-
合法、公平和透明原则:控制者必须向数据主体提供有关收集和进一步处理其个人数据的最低限度的信息。这些信息必须以简洁、透明、易懂、易获取的形式提供。
-
目的限制原则:控制者须为特定、明确和合法的目的收集数据。
-
必要性原则:处理活动应当就实现数据处理目的是适当的、相关的和必要的;
-
准确性原则:数据应当准确,并在必要时更新,必须采取一切合理步骤,在考虑处理目的的基础上,立即删除或纠正不准确的个人资料;
-
储存限制原则:以可识别数据主体的形式保存的时间不得超过处理个人数据的目的所必需的时间;以及
-
完整性和保密性原则:应当采取适当的技术或组织措施,确保以安全的方式处理个人数据,防止未经授权或非法处理,防止意外丢失、毁坏或损坏。
控制者有义务通过隐私政策和内部记录等文件,证明其遵守了上述原则。
此外,英国GDPR还规定了数据主体所享有的若干权利,如(1)知情权,即从数据控制者处获取关于数据处理细节和信息的权利,并且应当被主动告知拥有哪些权利;(2)访问权,即可以从数据控制者处确认自己的个人信息是否正在被处理、哪些信息被处理、如何处理等;(3)纠正权,数据主体有权要求控制者及时纠正或补充完整关于自己的个人信息;(4)删除权,除某些例外情况,数据主体有权要求彻底清除自己的个人信息;(5)限制处理权,数据主体可以对数据的准确性提出质疑,并且限制数据处理的范围、方式等;(6)可携带权,数据主体有权以通用可读的方式带走个人数据,将其传输至某第三方,并且不因此受到特殊对待或限制;(7)反对权,数据主体可以在某些情况下禁止对其数据进行处理,或拒绝对自己进行数据画像及自动化决策,等等。
个人数据的处理
与《个保法》类似,英国GDPR对个人数据处理的全流程作出了详细的规定,包括:
2.1合法性基础
英国GDPR项下处理个人数据的合法性基础包括:
(a)同意:数据主体作出事先的、自由的、具体的、充分知悉的且明确的同意;
(b)履行合同:处理活动是履行数据主体作为一方当事人的合同所必需的。数据主体有权随时撤回同意。
(c)履行法定义务:控制者在英国法律下负有处理相关数据的法律义务;
(d)保护个人重要利益:即处理活动为保护数据主体或其他自然人的重要利益所必要;
(e)维护公共利益:即处理活动为维护公共利益或政府职权所必要;
(f)正当利益:即处理活动为控制者追求的正当利益所必要。
在上述合法性基础上,敏感个人数据的处理还需满足下述条件之一:(i)取得受影响数据主体的明确同意;(ii) 在劳动法律下处理活动存在必要性;或 (iii) 处理活动为提出、行使或捍卫法律主张(例如起诉)所必要。
2.2数据保护影响评估(DPIA)
数据控制者在开始任何可能对自然人的权利造成高风险的数据处理之前,必须进行DPIA,包括但不限于如下情形:
-
对个人权益产生重大影响的自动化决策和用户画像;
-
大规模处理“特殊类别数据”或“刑事定罪和犯罪数据";
-
对公众访问的区域进行大规模系统监控。
2.3数据委托处理、对外提供和共享
如果数据控制者委托处理者处理个人数据,将其处理的个人数据共享给其他控制者,或与其他控制者共同处理个人数据,根据英国GDPR的规定:
-
若数据从控制者转移至处理者,则委托处理者代表其处理个人数据的公司必须与该处理者签订协议,约定处理数据范围、处理的期间、性质、处理目的、个人数据类型和数据主体类别,以及英国GDPR项下的数据处理者义务;
-
若数据从控制者转移至控制者,虽然现行英国法律未特别作出合规要求,但我们出于风险控制的考虑,仍建议公司签订书面的数据处理协议。
在上述情形下,数据控制者虽然无需获得数据主体的同意,但其隐私政策须明确数据委托处理、对外提供和共享的处理目的。
2.4数据跨境传输
虽然英国法律未就数据本地化作出强制要求,但数据控制者须采取一定必要的保护措施,确保数据跨境传输的合法、合规。
控制者或处理者只有在采取适当的保护措施时才能进行数据跨境传输,并且该跨境传输以数据主体可主张相关权利以及获得法律补救为前提。适当的保护措施包括:
-
公共当局或机构之间具有法律约束力且可执行的文书;
-
根据英国 GDPR 第 47 条规定的具有约束力的公司规则(Binding Corporate Rules, BCR) ;
-
国务大臣根据DPA第17C条制定的法规中指定的标准数据保护条款;
-
ICO根据 DPA 第 119A 条发布的文件中指定的标准数据保护条款;
-
根据英国GDPR第40条批准的行为准则(以及采取适当保护措施的具有约束力且可执行的承诺);或者
-
根据英国GDPR第42条批准的认证机制(以及采取适当保护措施的具有约束力且可执行的承诺)。
就上述标准数据保护条款,ICO已根据英国GDPR等法律条文于2022年3月21日发布了两项标准合同性质的文件,其一是《国际数据传输协议》(International Data Transfer Agreement,简称为“IDTA”),又被称为英国版SCC;其二是《欧盟委员会标准合同条款国际数据传输附件》(UK Addendum to the EU SCCs),即欧盟新“SCC”的英国附录,后者的主要目的是在英国脱欧后附在原欧盟SCC之后,并将合同管辖权收归英国。此外,ICO还发布了风险评估模板,当风险评估过高时,双方在签署IDTA时应填写IDTA附件二的额外保护条款。
如果公司违反数据跨境传输的法律规定,则可能面临最高为1750万英镑或全球营业额的4%的罚款。
监管合规
3.1年度数据保护费
英国的数据控制者(而非处理者)通常需要向ICO支付费用(“数据保护费”),特定类型的企业,例如公共机构、慈善机构和小型职业养老金计划相关公司可豁免该费用。目前,该费用从每年40英镑到2,900英镑不等,具体数额取决于公司所属的类型:
3.2数据保护官
若存在下述情形,控制者和处理者须任命一名数据保护官(Data Protection Officer “DPO”):
-
公共当局或机构进行的数据处理,但行使司法权的法院除外;
-
控制者或处理者的核心活动包括对数据主体进行大规模的定期和系统监控;或者
-
控制者或处理者的核心活动包括大规模处理“特殊类别数据”或“刑事定罪和犯罪数据”。
DPO的职责包括确保公司及其员工遵守英国GDPR和其他数据保护法的义务、开展DPIA、制定公司数据保护政策、管理内部数据保护活动、培训员工并进行内部审计,以及负责和ICO联系对接。
公司任命的DPO应当具有数据保护法和实践方面的专业素质和专业知识。DPO可以是承包商,也可以是现有公司员工,若DPO由员工担任,则该员工的职责应与DPO的职责相一致,不存在利益冲突。若公司应当任命但未任命DPO,可能会受到英国GDPR规定的处罚,例如罚金。
3.3数据安全事件
控制者和处理者应在考虑最新技术、实施成本以及处理的性质、范围、背景和目的的基础上,实施适当的技术和组织措施,以确保数据安全级别与数据处理风险相匹配。
此类措施包括但不限于:
-
个人数据的匿名/假名化和加密;
-
确保处理系统和服务的持续保密性、完整性、可用性和弹性;
-
在发生安全事件时及时恢复个人数据的可用性和访问途径;和
-
日常测试、评估技术和组织措施有效性的流程,以确保处理安全。
如果发生个人数据泄露事件,则控制者有义务在首次意识到个人数据泄露事件发生的72小时内立即向ICO报告,除非该泄露对数据主体的权利和自由造成风险的可能性较小。若存在委托处理的情形,处理者同样须立即向控制者发出通知。前述通知必须包括下述信息:
(a)个人数据泄露的性质,包括相关数据主体的类别和数量
(b)DPO(或联系人)的姓名和联系方式
(c)泄露事件可能造成的后果
(d)为补救或减轻泄露事件而采取的任何措施
3.4法律责任
与GDPR和中国个保法相同,英国GDPR同样以数额和营业额为基准设定了违反个人数据保护义务的行政责任。英国GDPR项下的行政罚款最高可达企业上一财政年度全球营业额的4%。截至本文发布之日,ICO依据英国GDPR下发的最高数额罚款为2020年针对英航的2千万英镑罚款。
DPA还规定了许多刑事犯罪,例如未经控制者同意非法获取或向他人披露个人数据的罪名以及故意或重大过失下重新识别已去识别化的个人数据的罪名。ICO有权对这些行为提起刑事诉讼。
此外,若公司负有义务向ICO通报数据泄露事件但未向ICO通报,也可能会导致高达870万英镑或全球营业额2%的巨额罚款。
结语
为避免不合规的处罚风险,相关中国企业须对英国的个人数据安全及隐私保护相关法律有全面地了解并持续跟进立法的发展,同时通过专业的数据合规团队对现有的数据安全策略进行评估,提供具有操作性的合规意见。
本文是域外个人数据保护立法系列文章的第一篇。在之后的几篇文章中,我们还会继续向各位读者介绍美国、欧盟、印度和越南这几个中国企业出海热点地区的个人数据保护立法,欢迎大家持续关注。
[1]“Personal Data”;与我国《个人信息保护法》项下的“个人信息”类似,指与已识别或可识别的自然人(“数据主体”)有关的任何信息。
[2]“Controller”;与我国《个人信息保护法》项下的“处理者”类似,指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他团体。
[3]“Processor”;与我国《个人信息保护法》项下的“委托处理者”类似,指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他团体。
[4]包括在英国设立的办事处、分支机构或子公司,也可能包括在英国在家办公的员工。