欧盟GDPR(又称《通用数据保护条例》)的施行,意味着欧盟范围内的数据保护力度达到了新的层面,同时也对世界范围内的数据保护起到了促进作用。在欧盟GDPR实施之初,千余家网站由于不符合欧盟GDPR数据保护的要求而可能被迫退出欧盟市场的新闻引入注目。
首先,根据欧盟GDPR规定,该条例的行为准则的起草方为欧盟内部成员国、监管机构、欧盟数据保护委员会以及欧盟委员会。前述主体在兼顾不同数据处理类型、特征及主体需求的基础上起草准则。而基于不同主体的细化要求,则由各相关协会或者控制者、处理者组成的实体对具体内容进行修正或者延长。
根据欧盟GDPR规定,其可以细化的具体内容如下。首先是处理活动的合理与透明程度,根据数据种类的不同以及处理活动的性质、目的区别,对处理活动透明度的要求也有所区别。对于个人数据而言,由于其隐私性更强,处理的合理程度及透明化操作就更为重要。因此,对于个人数据的收集、匿名化处置的程度都也在需要细化的行为准则范围之内。再者,能够提供给公众以及数据主体的信息、数据主体自身权利的行使范围和界限以及特定情形下数据控制者对正当利益的追求,都是数据处理行为准则中需要细化的部分。此外,基于儿童这一群体的特殊性,对儿童信息的保护往往需要更多的外力介入,因此对于儿童及其信息的保护、获取儿童监护人同意所应采取的形式等,均需要在该数据处理活动开始之前尽可能地具体化。
最后,对于数据处理活动中所需采取的保护措施、在数据泄露时向监管机构进行的报告以及向数据主体进行的及时告知,也需要数据控制者、处理者在内的联合实体或者协会予以细化,其对该类问题的了解也远胜于该条例的制定者。同时,数据转移至其他国家和国际组织的操作流程也必须在实际操作开始之前得到细致的计划安排。
当然,数据处理活动千差万别,因此数据控制者及处理者仅依靠对欧盟GDPR条例的细化并不能满足数据处理活动中对于数据保护的要求。欧盟GDPR作为迄今为止最为严苛的数据保护条例,其明确数据控制者及处理者为确保数据处理活动的安全正常进行,应当通过订立合同或者采取其他强有力的措施,制定具有法律强制力的措施,使该承诺具有约束力与可执行性。此外,由于数据控制者及处理者往往并非数据主体本身,欧盟GDPR考虑到其在数据保护方面的动力可能存在欠缺,明确行为准则中还应包括对数据控制者及处理者履行职责的监督措施,以尽可能保证其遵循欧盟GDPR或者签署合同的规定。
在行为准则的草案完成起草后,根据欧盟GDPR规定,监管机构应当对该草案进行审阅,提出相应的意见书以表明该草案符合或者不符合欧盟GDPR的规定。对于草案的修订或者延期实施,在监管机构审议通过的基础上,其可以对修改或者延期的行为进行批准,以实现草案的完善。在草案批准后,监管机构应对其进行登记并发表准则,以保证该行为准则的公开性。但必须注意,若该行为准则的草案涉及对象为多个欧盟成员国,则监管机构失去发表该草案的权利,转由欧盟数据保护委员会负责。
可见,行为准则对于欧盟GDPR本身的执行起到了补充作用,使得各数据处理活动中的主体在不违反欧盟GDPR规定的基础上,得到更为细致充分的行为指导。
严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。
