《中国企业出海热点地区数据保护指南——英国篇.docx》由会员分享,可在线阅读,更多相关《中国企业出海热点地区数据保护指南——英国篇.docx(6页珍藏版)》请在三一办公上搜索。
1、中国企业出海热点地区数据保护指南英国篇作者:郭玉兰(北京大成(上海)律师事务所)卢蟀洵(北京大成(上海)律师事务所)发布日期:2024.02.26中国企业在走出去的过程中,可能会遇到大量收集、处理、转移用户个人数据的情况,对于现有和潜在用户/消费者众多的互联网、快消品、新能源汽车等行业企业来说更是如此。个人数据安全事件和其他违法处理个人数据行为,将极大地损害公司的声誉,并遭到各国主管机关的“特别关注”和“严厉打击”,例如高额罚款。随着以通用数据保护条例(GDPR)为代表的各国数据隐私安全合规体系建立,企业在面向欧美和新兴国家市场时必须对个人数据安全合规更加重视,以降低相应的法律风险。例如,英国
2、在“脱欧”后,仍然依据欧盟GDPR制定了本国的数据法律;目前美国尚不存在联邦层面统一的数据保护法,仅部分州(如加州)推出了本州的数据保护法律,但正在推进美国数据隐私保护法案(ADPPA)的立法进程,旨在出台一部联邦层面的数据隐私立法;东南亚国家诸如印度、越南等国家亦在近年来颁布了其第一步个人数据保护法律。在数据保护立法大潮的背景下,我们结合理论和实务经验,准备了“中国企业出海热点地区数据保护指南”系列文章,着眼于英国、美国、欧盟、印度和越南等出海热点法域的数据保护法,以帮助出海企业更好地了解其数据保护立法进程与执法概况,明晰数据保护合规要点。本文为系列文章的第一篇,旨在系统理顺英国这一海外市场
3、的个人数据合规法律要求框架,供相关企业参考。1 .综述1.1 立法总览英国信息专员办公室(InfonnationCommissioner,SOffice,ICO)是英国的数据保护主管机关,负责执行包括但不限于下述英国数据保护相关主要立法:(a)UKGeneralDataProtectionRegulation(英国通用数据保护条例,英国GDPRw),沿用了欧盟GDPR的规定。英国GDPR未对欧盟GDPR作出实质性修改;(b)DataProtectionAct2018(2018年数据保护法案,“DPA”):该法案是对英国GDPR的补充,包含就数据处理活动的进一步具体限制、豁免、以及处理敏感个人数
4、据的合法性事由等。在英国GDPR和DPA之外,英国在金融服务监管、互联网和电信服务等行业还存在一些特殊的数据保护规定。1.2 适用范围在个人数据控制者或处理者涉及以下任一情形时,则适用英国的数据保护法律:(a)在英国设立机构并从事处理活动(无论处理活动是否实际在英国进行);(b)并未在英国设立机构,但处理英国境内个人的个人数据,且处理活动与以下情形之一有关:(i)向英国境内个人提供商品和服务(无论是否有偿),或;(ii)对该等个人在英国境内的行为进行监控追踪。(C)并未在英国设立机构,但根据国际公法适用国内法。1.3基本原则和数据主体权利与我国个人信息保护法(下称“个保法”)类似,英国GDPR
5、规定了若干个人数据的处理原则,包括:合法、公平和透明原则:控制者必须向数据主体提供有关收集和进一步处理其个人数据的最低限度的信息。这些信息必须以简洁、透明、易懂、易获取的形式提供。目的限制原则:控制者须为特定、明确和合法的目的收集数据。必要性原则:处理活动应当就实现数据处理目的是适当的、相关的和必要的;准确性原则:数据应当准确,并在必要时更新,必须采取一切合理步骤,在考虑处理目的的基础上,立即删除或纠正不准确的个人资料;储存限制原则:以可识别数据主体的形式保存的时间不得超过处理个人数据的目的所必需的时间;以及完整性和保密性原则:应当采取适当的技术或组织措施,确保以安全的方式处理个人数据,防止未
6、经授权或非法处理,防止意外丢失、毁坏或损坏。控制者有义务通过隐私政策和内部记录等文件,证明其遵守了上述原则。此外,英国GDPR还规定了数据主体所享有的若干权利,如(1)知情权,即从数据控制者处获取关于数据处理细节和信息的权利,并且应当被主动告知拥有哪些权利;(2)访问权,即可以从数据控制者处确认自己的个人信息是否正在被处理、哪些信息被处理、如何处理等;(3)纠正权,数据主体有权要求控制者及时纠正或补充完整关于自己的个人信息;(4)删除权,除某些例外情况,数据主体有权要求彻底清除自己的个人信息;(5)限制处理权,数据主体可以对数据的准确性提出质疑,并且限制数据处理的范围、方式等;(6)可携带权,
7、数据主体有权以通用可读的方式带走个人数据,将其传输至某第三方,并且不因此受到特殊对待或限制;(7)反对权,数据主体可以在某些情况下禁止对其数据进行处理,或拒绝对自己进行数据画像及自动化决策,等等。2 .个人数据的处理与个保法类似,英国GDPR对个人数据处理的全流程作出了详细的规定,包括:2.1 合法性基础英国GDPR项下处理个人数据的合法性基础包括:(a)同意:数据主体作出事先的、自由的、具体的、充分知悉的且明确的同意;(b)履行合同:处理活动是履行数据主体作为一方当事人的合同所必需的。数据主体有权随时撤回同意。(C)履行法定义务:控制者在英国法律下负有处理相关数据的法律义务;(d)保护个人重
8、要利益:即处理活动为保护数据主体或其他自然人的重要利益所必要;(。)维护公共利益:即处理活动为维护公共利益或政府职权所必要;(f)正当利益:即处理活动为控制者追求的正当利益所必要。在上述合法性基础上,敏感个人数据的处理还需满足下述条件之一:G)取得受影响数据主体的明确同意;(ii)在劳动法律下处理活动存在必要性;或(iii)处理活动为提出、行使或捍卫法律主张(例如起诉)所必要。2.2 数据保护影响评估(DPIA)数据控制者在开始任何可能对自然人的权利造成高风险的数据处理之前,必须进行DPIA,包括但不限于如下情形:对个人权益产生重大影响的自动化决策和用户画像;大规模处理“特殊类别数据”或“刑事
9、定罪和犯罪数据;对公众访问的区域进行大规模系统监控。2 .3数据委托处理、对外提供和共享如果数据控制者委托处理者处理个人数据,将其处理的个人数据共享给其他控制者,或与其他控制者共同处理个人数据,根据英国GDPR的规定:若数据从控制者转移至处理者,则委托处理者代表其处理个人数据的公司必须与该处理者签订协议,约定处理数据范围、处理的期间、性质、处理目的、个人数据类型和数据主体类别,以及英国GDPR项下的数据处理者义务;若数据从控制者转移至控制者,虽然现行英国法律未特别作出合规要求,但我们出于风险控制的考虑,仍建议公司签订书面的数据处理协议。在上述情形下,数据控制者虽然无需获得数据主体的同意,但其隐
10、私政策须明确数据委托处理、对外提供和共享的处理目的。3 .4数据跨境传输虽然英国法律未就数据本地化作出强制要求,但数据控制者须采取一定必要的保护措施,确保数据跨境传输的合法、合规。控制者或处理者只有在采取适当的保护措施时才能进行数据跨境传输,并且该跨境传输以数据主体可主张相关权利以及获得法律补救为前提。适当的保护措施包括:公共当局或机构之间具有法律约束力且可执行的文书:根据英国GDPR第47条规定的具有约束力的公司规则(BindingCorporateRules,BCR);国务大臣根据DPA第17C条制定的法规中指定的标准数据保护条款;ICO根据DPA第119A条发布的文件中指定的标准数据保护
11、条款;根据英国GDPR第40条批准的行为准则(以及采取适当保护措施的具有约束力且可执行的承诺);或者根据英国GDPR第42条批准的认证机制(以及采取适当保护措施的具有约束力且可执行的承诺)。就上述标准数据保护条款,ICO已根据英国GDPR等法律条文于2022年3月21日发布了两项标准合同性质的文件,其一是国际数据传输协议(InternationalDataTransferAgreement,简称为“IDTA”),又被称为英国版SCC;其二是欧盟委员会标准合同条款国际数据传输附件(UKAddendumtotheEUSCCs),即欧盟新“SCC”的英国附录,后者的主要目的是在英国脱欧后附在原欧盟S
12、CC之后,并将合同管辖权收归英国。此外,ICO还发布了风险评估模板,当风险评估过高时,双方在签署IDTA时应填写IDTA附件二的额外保护条款。如果公司违反数据跨境传输的法律规定,则可能面临最高为1750万英镑或全球营业额的4%的罚款。4 .监管合规4.1 年度数据保护费英国的数据控制者(而非处理者)通常需要向ICo支付费用(“数据保护费”),特定类型的企业,例如公共机构、慈善机构和小型职业养老金计划相关公司可豁免该费用。目前,该费用从每年40英镑到2,900英镑不等,具体数额取决于公司所属的类型:公司类型数据保护费(年度)第1类:年度营业额不超过63.2万英镑,或员工人数不超过10人40英镑第
13、2级:年度营业额不超过3,600万英镑,或员工人数不超过250人60英镑第3级:不符合第1级或第2级标准的公司2,900英镑4.2 数据保护官若存在下述情形,控制者和处理者须任命名数据保护官(DataProtectionOfficer“DPO”):公共当局或机构进行的数据处理,但行使司法权的法院除外:控制者或处理者的核心活动包括对数据主体进行大规模的定期和系统监控;或者控制者或处理者的核心活动包括大规模处理“特殊类别数据”或“刑事定罪和犯罪数据”。DPO的职责包括确保公司及其员工遵守英国GDPR和其他数据保护法的义务、开展DPTA,制定公司数据保护政策、管理内部数据保护活动、培训员工并进行内部
14、审计,以及负责和ICO联系对接。公司任命的DPO应当具有数据保护法和实践方面的专业素质和专业知识。DPO可以是承包商,也可以是现有公司员工,若DPo由员工担任,则该员工的职责应与DPO的职责相一致,不存在利益冲突。若公司应当任命但未任命DPO,可能会受到英国GDPR规定的处罚,例如罚金。4.3 数据安全事件控制者和处理者应在考虑最新技术、实施成本以及处理的性质、范围、背景和目的的基础上,实施适当的技术和组织措施,以确保数据安全级别与数据处理风险相匹配。此类措施包括但不限于:个人数据的匿名/假名化和加密;确保处理系统和服务的持续保密性、完整性、可用性和弹性;在发生安全事件时及时恢复个人数据的可用
15、性和访问途径;和日常测试、评估技术和组织措施有效性的流程,以确保处理安全。如果发生个人数据泄露事件,则控制者有义务在首次意识到个人数据泄露事件发生的72小时内立即向IeO报告,除非该泄露对数据主体的权利和自由造成风险的可能性较小。若存在委托处理的情形,处理者同样须立即向控制者发出通知。前述通知必须包括下述信息:(a)个人数据泄露的性质,包括相关数据主体的类别和数量(b)DP0(或联系人)的姓名和联系方式(C)泄露事件可能造成的后果(d)为补救或减轻泄露事件而采取的任何措施4.4 法律责任与GDPR和中国个保法相同,英国GDPR同样以数额和营业额为基准设定了违反个人数据保护义务的行政责任。英国G
16、DPR项下的行政罚款最高可达企业上一财政年度全球营业额的饯。截至本文发布之日,ICO依据英国GDPR下发的最高数额罚款为2020年针对英航的2千万英镑罚款。DPA还规定了许多刑事犯罪,例如未经控制者同意非法获取或向他人披露个人数据的罪名以及故意或重大过失下重新识别已去识别化的个人数据的罪名。ICO有权对这些行为提起刑事诉讼。此外,若公司负有义务向ICO通报数据泄露事件但未向ICo通报,也可能会导致高达870万英镑或全球营业额2%的巨额罚款。5 .结语为避免不合规的处罚风险,相关中国企业须对英国的个人数据安全及隐私保护相关法律有全面地了解并持续跟进立法的发展,同时通过专业的数据合规团队对现有的数
17、据安全策略进行评估,提供具有操作性的合规意见。本文是域外个人数据保护立法系列文章的第一篇。在之后的几篇文章中,我们还会继续向各位读者介绍美国、欧盟、印度和越南这几个中国企业出海热点地区的个人数据保护立法,欢迎大家持续关注。1、PersonalData”;与我国个人信息保护法项下的“个人信息”类似,指与己识别或可识别的自然人(“数据主体”)有关的任何信息。2、Controller;与我国个人信息保护法项下的“处理者”类似,指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他团体。3、“Processor”;与我国个人信息保护法项下的“委托处理者”类似,指代表控制者处
18、理个人数据的自然人或法人、公共当局、机构或其他团体。4、包括在英国设立的办事处、分支机构或子公司,也可能包括在英国在家办公的员IoH郭玉兰(北京大成(上海)律师事务所)E:amanda.guoD+862138722106大成上海分所合伙人执业领域:公司与并购、劳动与人力资源、不动产与建设工程、竞争与反垄断11卢择洵(北京大成(上海)律师事务所)律师助理E:yixun.lu北京大成(上海)律师事务所大成在全球逾80个国家和地区拥有200多个办公室、1万多名律师及专业人士,可使用80多种语言为全球各地的客户提供来自本地的高品质与高价值法律服务。我们在Acritas全球精英律所品牌指数榜上名列前茅,
19、荣膺BTI客户服务30强奖项;更凭借在客户服务方面的系列创新举措,包括创立下一代法律创新、咨询及科技企业机构等,赢得知名商业及法律媒体的广泛赞誉。我们倡导多中心文化,汇聚全球优秀人才,挑战现状,服务客户,回馈社会。大成上海办公室成立于2001年,作为沪上成立最早的一批合伙制律师事务所,其本土化优势、律师执业水平得到不断凸显和提升,已成为上海律师界的一支重要法律服务团队。上海办公室目前拥有员工700余人,包括专业人士500多位,其中近一半毕业于海外知名法学院或拥有海外工作经验,可多语言工作。凭借优质的法律服务及出色的专业实力,上海办公室被上海市律师协会评为“2015-2018年上海市十佳律师事务所”;荣膺商法杂志“2020年度上海地区卓越综合实力律所”。作为一家综合性的律师事务所,我们的服务覆盖19个专业,18个行业。依托大成全球法律服务网络,上海办公室能够为客户提供卓越的全球资源和本土知识相融合的法律服务,帮助客户应对全球各地最为复杂的法律和商业环境,为客户提供一站式的综合法律服务。