一般数据保护条例(欧盟第2016/679号条例)于2018年5月25日生效。它适用于所有的数据处理,不管是自动化的还是非自动化的。然而,条例中最特别的部分是其领土适用范围。许多人认为,虚拟世界已经消除了边界,互联网世界的最大参与者已经形成了大量的争论,特别是在税收问题上逃避地方立法的行为。因此,欧盟决定澄清事实。欧盟传递出的信息很清楚,不管你是在美国、亚洲还是其他地方,在处理欧盟居民的个人数据时,你都必须遵守这些规则。制裁的高昂代价意味着,这一新的法律框架必须被非常认真地对待。最高罚款额定为上一年度营业额的4%,对任何在2018年度被制裁的企业来说上一年度均为2017年度。例如,对于GAFA(谷歌、苹果、Facebook和亚马逊)来说,如果他们不遵守规定,最大制裁罚款金额可估计如下:亚马逊约为1780亿美元营业额中的71亿美元(高于利润……),苹果约为1410亿美元营业额中的56亿美元,谷歌约为1000亿美元营业额中的40亿美元,Facebook约为320亿美元营业额中的12.8亿美元。
前项指令之有限地域适用范围
1995年10月24日第95/46EC号欧洲指令,2004年8月6日法国第2004-801号法律,对1978年1月6日第78-17号法国数据保护法进行了更新。
该指令当然可适用于不在欧盟境内设立的数据控制器,但该指令要求它们使用位于欧盟境内的处理手段。
后来发现,许多处理器都是基于其处理的治外法权而设法规避欧洲数据保护条例的。
多年来,谷歌一直声称,其在法国和欧洲收集的数据不受法国法规的制约,而是受加州法规的制约,因为该公司及其服务器都位于加州。
由于欧洲委员会的宗旨是保护个人数据,新条例应纠正这一缺陷。
条例的境外适用范围
从2018年5月25日起,欧洲条例将适用于在欧盟内设立了数据控制器或数据处理器(一般是信息技术服务供应商)的所有个人数据的处理,而不论数据处理本身是否在欧盟内进行。
条例还规定,如果控制器或处理器不在欧盟内设立,而处理的对象是位于欧盟内的一个数据主体,则不论有关人员的国籍如何,都应适用条例。
在欧盟内设立的控制器或处理器
该条例没有界定设立的概念。法国和欧洲法院对此作了广泛的解释,它们优先考虑通过稳定的安排,以有效而真实的活动为基础来对设立作出解释。
设立这一概念已经(在2015年10月1日欧盟法院 Weltimmo案中)被认定为,在有关会员国有一名代表、一个银行账户和一个信箱。
此外,这种设立的法律形式并不是绝对的。因此,一个没有法人资格的简单的分支机构,用非欧洲籍管理器进行的个人数据的处理,也必须遵守条例执行。
未在欧盟内建立的控制器或处理器
如果控制器或处理器并非在欧盟内建立,也没有在欧盟内设立机构,则适用该条例的情况是,处理数据与位于欧盟境内的居民有关,处理活动与欧盟28个成员国(包括5.2亿名居民)的因特网用户有联系。
- (i) 向用户提供物品或服务,无论这些服务是免费的还是付费的
该条例没有关于提供货物和服务的任何定义,但它提供了一些指示,使人们有可能将这种提供定性(第23条),例如用在一个或多个欧盟成员国内通常使用的语言或货币来订购货物和服务,或者是提及欧盟内的客户或用户。
然而,仅仅是访问一个网站、电子邮件地址或其他联系方式则不足以定性。
换言之,必须核查数据管制员对有关人员的意图。他是否打算向欧洲联盟的有关人员提供货物或服务。
- (ii) 对用户的行为进行监测,如果这种行为发生在欧盟内。
特别是,该条例规定对自然人进行观察,以便就其作出决定,或分析或预测其个人偏好、行为和态度。
这两个条件(i)和(ii)是可变的,而非累积的。
在欧盟之外的个人数据的转移又如何呢?
原则上,禁止在欧盟之外转移个人数据。其目的是保护个人数据免受数据避风港的影响,在这方面适用更灵活的规定。
这项原则有很多例外:
- 向欧洲经济区国家转移数据
这些国家已与欧盟签署了一项协议,通过这些协定,他们通过了个人数据保护条例。
- 向订有适足协议的国家转让数据
欧洲联盟承认,某些国家有与欧洲条例相当的关于保护个人资料的条例。这些条例相当于欧洲法规。
- 向已签署标准合同条款或BCR(“有约束力的公司规则”)的国家转让数据
这些国家尚未作出充分的决定,或没有关于个人数据保护的条例。因此,其想法是通过标准条款或公司集团内部的协议,对数据建立合同保护而不是法律保护。
标准合同条款
标准条款已由欧洲委员会起草,可通过其网站查阅。这些协议是数据管制员和在国外设立的处理器之间在信息技术服务协议的框架内缔结的,或者是在向集团子公司或实体发送个人数据方面订立的协议。
目前,在使用这些条款之前,数据管制员可以从法国的国家管理机构(CNIL)获得授权。这项授权申请将从2018年5月25日起停止。
约束性公司规则(BCR)
BCR只关注公司集团。集团内部通过章程,所有子公司和实体承诺遵守欧洲数据保护条例。
宪章一经起草,将通过相互承认制度提交欧洲数据保护当局批准。
这项授权请求将在2018年5月25日之后继续。
向美国转移个人数据:“隐私保护”系统
这是欧洲联盟和美国联邦贸易委员会(FTC)之间的一项国际协议,美国公司可以自由遵守。根据该协议的条款,FTC会承诺确保签署该系统的公司遵守这一国际协议所载的数据保护规则。
总之,欧洲个人数据保护条例的目的是适用于处理欧洲居民个人数据的世界各地的公司。
它结束了所有的线上服务选择最有利和最不严格的国家来发展公司的经济模式,以及捉迷藏式择地行诉的做法。
制裁的程度消除了人们对这一新框架将要实施的坚定性的怀疑。它产生的风险很难被认为是次要的。
它要求使用欧洲联盟28个居民5.2亿人的个人数据的任何公司深思熟虑并遵守条例。
这篇文章的作者是ThierryAbuléa.