返回

关注互联网个人信息保护 京东法律研究院推出国内首部GDPR专著

2018-05-29 16:57用户投稿

   5 月 25 日,被称为“史上最严”数据保护条例的欧盟《一般数据保护条例》(以下简称“GDPR”)正式生效。值此之际,京东法律研究院联合南方都市报个人信息保护研究中心和法律出版社于 5 月 24 日下午举办了主题为“欧盟GDPR的影响与应对”高峰论坛。京东集团首席人力资源官兼法律总顾问隆雨,京东集团副总裁、法务部负责人焦娇,法律出版社编辑总监张雪纯,南方都市报社大数据研究院副院长虞伟,中国社会科学院法学研究所研究员周汉华等专家、企业代表近两百人出席本次论坛。论坛上发布了京东法律研究院创作的国内首部关于GDPR的专著《欧盟数据宪章-GDPR评述及实务指引》。

《欧盟数据宪章-GDPR评述及实务指引》新书发布

京东集团首席人力资源官兼法律总顾问隆雨致辞

京东集团副总裁、法务部负责人焦娇做主题演讲

  GDPR作为数字经济时代欧盟最重要的个人信息保护立法,由于拥有“超重罚款”与“最广泛管辖权”两把利刃,使全球各行各业都不得不重新审视自己的数据处理政策和行为,以避免动辄亿计的罚款。GDPR还受到中美等主要经济体和国家的监管部门、研究机构的广泛关注。

  GDPR的出台将对全球数据保护造成什么影响?中国企业应如何应对?京东法律研究团队组成了专门的课题组,对它进行了持续的、全方位的研究,并且在GDPR正式实施之际,推出了《欧盟数据宪章- GDPR评述及实务指引》。该书从理论和实践两个层面,全面介绍和深入评析了全球数据保护面临的突出问题,提出了数字经济时代我国监管部门和企业的应对建议。

  京东集团首席人力资源官兼法律总顾问隆雨表示,技术快速发展的同时,对个人信息过度收集和滥用的威胁也同时存在,对数字经济的健康发展带来了巨大的挑战。如何平衡数据收集、传输、处理和使用过程当中个人信息的保护及数据商业利用之间的关系,找到中间的合理的平衡点,是全球数据治理重要的课题。

坚持以用户为中心的个人信息和数据保护理念,是京东实现“成为全球最值得信赖的企业”愿景的内在驱动和自主需求。这与京东“正道成功”、“客户第一”的价值观是一致的。近年来,京东不仅在规章制度、组织架构、技术创新等多方面做了大量工作,还致力于隐私保护合规及法律政策研究,探索形成了相对有效的数据管理体系,切实保护了用户隐私。未来,京东将继续全面落实国家法律规范要求,不断提高个人隐私保护能力和信息安全水平,切实提供更加优质的用户体验,为中国数字经济的健康快速发展贡献力量。

京东法律研究院创作的国内首部GDPR专著《欧盟数据宪章-GDPR评述及实务指引》

  附:《欧盟数据宪章-GDPR评述及实务指引》序

  京东集团首席人力资源官兼法律总顾问  隆雨 

  在阅读本书之前,很多人或许都有这样的疑问:GDPR不是欧盟的一般数据保护条例吗,除非打算进军欧盟市场,这和中国有什么关系?听说GDPR是史上最严格的个人信息保护规范,而欧洲几乎没有大型互联网企业,那么,GDPR是否限制了欧盟境外的企业在欧盟发展呢?

  一、数据资产时代面临“数据污染”隐患

  互联网、云计算、区块链、物联网、人工智能已渗透到社会生活和经济生活的方方面面,世界已进入到“数字经济时代”。联合国贸易与发展组织《 2017 全球投资报告:投资和数字经济》指出,数字经济是全球投资增长和发展的主要动力,它可以提升所有行业的竞争力,为商业和创业活动提供新机会,帮助企业进入海外市场和参与全球电子价值链,也为解决可持续发展问题提供了新工具。

  数据具有数量庞大,时效性强,价值密度低的特点,单个或者数据孤岛并不能实现社会应用,数据的价值必须通过流动、共享形成数据链条,再通过现代科技加工、利用才能最大程度的发挥出来。正如“大数据时代的预言家”维克托.迈尔-舍恩伯所说,数据就像一个神奇的钻石矿,它的真实价值就像漂浮在海洋中的冰山,第一眼只能看到冰山的一角,而绝大部分都隐藏在表面之下。

  全球进入“数据驱动”的时代,数据流动创造价值。但是,在数据流动创造价值的同时带来更多的风险,个人信息的过渡收集和滥用给数据主体的隐私、企业的信息安全和社会乃至国家的安定带来巨大的挑战。近年来,日趋严重的“数据污染”现象,严重扰乱社会秩序,破坏产业经济的可持续发展,诸如斯诺登事件的爆发和Facebook事件的发酵,引发了世界各国对人信息保护问题的广泛关注,如何平衡数据收集、保存、传输过程中的个人信息保护以及数据商业利用之间的关系是全球数据治理的重要课题。

  二、欧盟探索引领全球数据治理新规则

  个人信息保护已成为世界性话题,个人信息保护立法正在全球兴起,据不完全统计,截止 2017 年,世界上已有 120 个国家施行了个人信息保护法律,且这一数字仍在增长。一国如何制定符合本国国情的个人信息保护规范、企业如何应对不同法律规范体系下的合规要求、个人如何在保障自身数据安全的同时享受数字经济带来的福祉,是大数据发展和运用带给各个国家甚至是每个人的挑战。

  欧盟具有尊重个人隐私权利的传统,长期致力于个人隐私保护,欧盟立法者基于对新技术发展的前瞻性思考,尽量权衡了个人信息的各种数据应用场景和各方利益需求,为全球提供了一套综合严谨的个人信息保护框架。GDPR不仅可以为欧盟公民个人权利免受侵害提供保障,更是欧盟全球战略关键的一步。在数字经济时代,谁首先实现了数据的有效治理,谁就掌握了信息全球化的主动权和话语权。GDPR实施具有宣誓意义,有利于建立以欧盟规则为蓝本的全球数据治理规则体系,使欧盟成为全球数字经济秩序的引领者。

  GDPR以“知情同意”为基础,建构了用户的访问、查询、更正、删除、撤回、限制、拒绝等个人信息自决权体系,同时,还引入了全新的被遗忘权和数据可携带权概念,从制度上保证了个人信息处理的最小化和目的限定和透明度原则,但“同意”又不是数据处理的唯一合法途径,个人信息的自决权须让位于基于合同履行之必要、出于高于个人信息主体的合法利益和社会公共利益的个人信息处理;GDPR虽给予用户宽泛的被遗忘权,但也注意协调个人信息保护与言论和信息自由的之间平衡;GDPR虽规定了较为理想的数据携带权,但却将权利的适用限定在基于同意获取,且技术可行的框架内。GDPR还关注了对涉及个人隐私的敏感个人信息的限制处理和对未成年的个人信息的特殊保护。

  GDPR虽对企业规定了严格的问责制,但同时也考虑到企业的合规成本,根据企业的规模、数据处理的量级和频次,对业务设定了不同的数据安全要求。如GDPR给予用户信息访问权,但也规定了企业针对额外需求可根据管理成本收取合理的费用;当企业对数据主体定期进行大规模系统化监控时,或处理大量的涉及用户敏感信息的数据时,数据保护官的设置才是必要的;对于针对欧盟境内个人的偶然发生的数据处理,企业无需设代表一职,且这种情形下可基于合同履行之必要及用户同意进行数据跨境处理;GDPR对小于 250 人的企业还免除了一定的记录义务;对于企业须采取的技术措施,GDPR也在考虑现有的技术水平,以避免企业付出不成比例的工作量和成本;GDPR虽规定了天价的行政处罚金额,但却更关注处罚的有效、成比例及警示作用,其处罚将综合考虑违规的性质、严重程度和违规的持续时间、违规是故意的还是因疏忽而造成的、对个人信息保护的责任心和控制程度、违规是单个事件还是重复事件、受到影响的个人资料的种类、个人遭遇损害的程度、为了减轻损害而采取的行动、由违规产生的财务预期或收益等因素。因此,企业只要能够证明其在个人信息保护方面所作出的努力,则可减轻被处罚的风险。

  同时,欧盟的“家长式”立法,并不意味着“家长式”的监管。GDPR更注重企业在个人信息保护方面的自主能动性。企业只有在遇到高风险的数据处理业务,且经影响评估后仍认为在可用的技术和合理的成本方面不能通过合理手段减轻风险时,方须咨询监管机构。

  政府部门与产业的合作治理精神也在GDPR中得以体现,GDPR规定了“具有约束力的企业规范”、“经批准的行为规范”具有证明跨境个人信息传输合法性的法律效力。

GDPR基于大数据分析的自动化决策(包括数据画像)采取了谨慎的态度,这也是对千人千面的精准营销可能造成的数据过渡收集和滥用及算法不透明可能造成的大数据歧视等前沿现实问题的立法回应。

  三、坚持以用户为中心的个人信息保护理念是京东实现愿景的内在驱动

  作为国家和社会的成员,企业对用户个人信息的保护不仅是自身生存和发展的需求,更是企业为保障国家安全应尽的社会责任。海量的用户信息不仅是企业的数据资产,更是国家战略资源。海量的用户信息一旦泄露,可能会给国家安全和社会公共利益造成严重的危害,因此,应从国家安全的战略高度理解个人信息保护的重要性。

  有效保护用户个人信息,不仅企业的合规需求,更是企业不断发展的内在自主需求和内驱动力。 2017 年底,我国网民规模已达7. 72 亿,仅京东用户也有近 3 亿;如此海量的用户群体,是企业赖以生存和发展的基础,也是中国互联网产业能够走在世界前列的核心竞争力。海量用户因信任选择了我们,我们也应当始终将用户体验放在首位。对个人信息的保护是用户最起码的安全需求,是用户体验的基石,也是为企业发展的生命线。

  我们深信,以用户为中心的个人信息保护理念与京东实现“成为全球最值得信赖的企业”愿景的内在驱动和自主需求,我们将致力于向广大用户和消费者、向社会各界、乃至向世界互联网同行,彰显我们不断提升个人信息保护、维护网络安全的决心、能力和水平。我们将会全面落实国家法律规范要求,不断提高信息安全水平,切实提供更优质的用户体验,为我国网络经济的健康发展和国家安全的战略需求贡献力量。

  全社会个人信息保护水平的提升绝非一部立法就能够实现,但当我们站在未来的视角下,来思考个人信息保护的问题时,GDPR至少为我们提供了一套世界先进的个人信息保护框架。了解GDPR,了解其代表的全球最先进的个人信息保护理念,有利于企业以全球的、发展的视角应对个人信息保护的合规需求,从而建立起具有前瞻性的企业数据安全框架。

  本书是京东法律研究院的最新成果,从理论和实践两个层面,全面介绍和深入评析了全球数据保护面临的突出问题、GDPR立法背景、概述、适用、保护原则、数据主体权利、数据控制者和处理者义务、跨境数据流动规则,并通过与我国以及其他主要法域的数据保护规则相对比,提出了数字经济时代我国监管部门和企业的因应,希望能对我国监管部门以及企业有所裨益。

相关文章 大家在看
互联网个人信息保护
1篇文章
查看