互联网+ > 热点讯息 >
管辖权夯实欧盟GDPR威力之基
2018-05-09 00:41 作者:许可 来源:法治周末

微信截图_20180509131847.png

 资料图

许可

在数字经济的世界版图上,欧洲无疑是落后者。但在525日后,它将以一种新的方式改变这一格局,这就是号称“史上最严”的个人信息保护法律——《一般数据保护条例》(下称“GDPR)即将实施。一旦违反条例相关规定,高达2000万欧元或上一财年全球营业额4%的罚款,足以让任何高科技公司战栗不安。事实上,欧盟已经给他们及其政府开出了一道难以回答的选择题:要么让企业操作规程或国内法与GDPR保持一致,要么被5亿富有消费者的市场排除在外。而令欧盟这一威胁变成真实可信的,莫过于GDPR3条所规定的宽泛管辖范围。因此,如何理解GDPR的管辖权便成为我们谨慎应对的前提性问题。

作为划定管辖权的首要原则,由“领土原则”所衍生的“营业机构/营业场所(establishment)标准”确立了GDPR对企业管辖的基本空间。GDPR3条第1款规定:“本条例适用于营业机构/营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,而不论该处理行为是否发生在欧盟境内。”为了防范企业规避GDPR,这里的“营业机构/营业场所”应做广义解释,其不仅包括了公司法人及其子公司或分公司,还包括了没有实体,但实际开展业务的情形。可在另一方面,“营业”意味着在固定场所持续进行的活动,而非偶发或一次性的,就此而言,有无位于欧盟境内的邮箱地址、银行账号、代表人以及活动性质和内容都是“营业”与否的重要参考因素。“营业机构/营业场所标准”是决定性的管辖权标准,一旦认定便无须考虑其他情形,举例而言,如果一家中国公司在欧盟境内设有营业机构或场所,即使其收集的是中国公民的个人数据,且由美国的分支机构处理,也依然在GDPR的管辖之内。

GDPR对个人数据的保护,以保护欧盟内自然人利益为宗旨,不论数据控制者或处理者在欧盟之内还是欧盟之外,也不论处理行为是在欧盟之内还是之外发生,均适用欧盟法律。保护管辖是GDPR1995年欧盟《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》的主要调整之一,它大大拓展了欧盟的域外管辖范围。

可以说,保护管辖的兴起有着深刻的技术原因。伴随着互联网信息技术的飞速发展,网络空间的交互式和参与式信息通讯压缩了时间和空间,借用量子力学的宏观表达,作为个人数据载体的电子可以在不同地方同时出现,廉价的存储器、便捷的访问和全球性的覆盖使得无法通过属地管辖完成保护公民的使命。为此,各国纷纷突破领土限制,将数据处理的实际不利影响行为作为管辖的边界。

2014年谷歌西班牙子公司(Google Spain)诉西班牙数据保护局(AEPD)Mario Costeja(Mario Costeja曾在1998年申请破产,并且拍卖了名下不动产。不过后来已经恢复了信用和社会保障资格,但是通过谷歌搜索,依然可以检索到当时包含有他名字的相关报道,他认为这影响了自己的信誉,便将谷歌告上法院。谷歌拒绝和解,将此案上诉到欧盟法院)中,欧洲法院判定:即使个人数据的处理操作是谷歌公司在欧盟以外进行的,但由于谷歌母公司的经营活动与西班牙子公司的推广销售密不可分,谷歌仍然落入《数据保护指令》的地域效力范围。

无独有偶,在美国的United States v. Galaxy案中,被告Jay Cohen是一家在线赌博组织(WSE)的负责人,被诉通过网站接受美国公民的赌注。面对被告依据WSE设在安提瓜岛(位于加勒比海)这一事实提出的管辖异议申请,法庭基于Jay Cohen的美国国籍,驳回其请求。

同样,我国网络安全法第75条和中国人民大学张新宝教授领衔起草的《个人信息保护法》(专家建议稿)均将“保护原则”引入其中,以期最大限度为维护国家和个人的权益。显而易见,由于网络空间的互动性,保护管辖权不可避免地对他国主权造成妨碍,因此,GDPR3条第2款对其适用情形予以进一步细化。

首先,GDPR将保护主体限定为“欧盟境内的数据主体”。这一看似清晰的界定可能因以下情形而模糊:如果一名德国人被派往中国工作,他在北京使用中国互联网企业的网约车服务,那么是否受到GDPR的保护?再如,一名中国旅行者在巴黎用中国互联网企业App的搜寻美食,则这名旅行者和中国企业又是否受制于GDPR呢?在第一个例子中,GDPR关于“位于欧盟境内”(who are in the Union)的表述,足以将北京的德国人排除在外。不过,若他回到欧盟后,中国企业仍持续收集、存储或使用其个人信息,则有可能触发保护管辖权。较诸第一个例子,第二个例子在字面上落入了GDPR的范围内。GDPR序言第14条规定:“个人数据的处理旨在服务于人。无论自然人的国籍或居住地,就个人数据处理而言,保护自然人的原则和规则均应尊重其基本权利和自由,特别是保护其个人数据的权利。”虽然这里提及了“无论何国”,但它究竟是指任何欧盟成员国,抑或欧盟以外的国家,尚不清楚。在文义解释不敷适用时,有必要求诸立法目的解释。对此,欧盟委员会在发布的改革公告中特别指出:GDPR取代了《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》,其旨在协调欧洲各国的数据隐私法律,保护和赋予所有欧洲公民的数据隐私权利,从而在整个地区重塑组织对待数据隐私的方式。因而,从保护“欧洲公民”的目的出发,中国游客并非GDPR的保护主体。当然,若中国公民在欧洲长期居留,以至于获得了类似于“公民”的身份,则可以成为GDRP的适用对象。

其次,就保护条件而言,在欧盟以外的企业只有在下述两种情形下才受到GDPR的管辖:为欧盟境内的数据主体提供货物或服务,不论有偿或无偿;对数据主体在欧盟境内的行为进行监控。

第一种情形的关键在于判断企业是否存在接触欧盟消费者的“真实意思”。根据GDPR序言第23条、24条和欧盟法院的判决,提供英文网页、电子邮箱或其他联系细节,尚不足以认定,其“真意”应当综合考量各种因素:表面证据,如向谷歌等搜索网站或Facebook等社交媒体付费,以期便利欧盟公民接触到相关网站或向目标群体推送;其他因素,包括相关活动的“跨国因素”(如旅游),提供国际区号的电话号码,使用欧盟国家的顶级域名,宣称其用户来自欧洲国家,接受欧元支付或为外汇转换提供选项,提及欧盟内交付方式,使用欧盟外国家不经常使用的语言或提供翻译,等等。

第二种情形的关键在于判断“监控”(monitor)的范围。根据GDPR序言第24条,“监控”即在互联网上追踪特定自然人,利用个人数据为特定个人画像,以分析、评估和预测该人的工作表现、兴趣、个人喜好、可信度和行为举止。第29条工作组(The Article 29 Working Party)进一步列出了具体的监控类型,包括基于在线活动的广告、使用城市公交系统获得旅行数据、为了风控目的的信用评分、通过手机的地址追踪、利用可穿戴设备的健康数据搜集、通过车载电脑和智能家居的数据搜集等。

可以预见的是,随着GDPR的实施,欧盟必将以此为抓手向全球扩张其影响力,并为世界个人信息保护法树立新的标准。然而,徒法不足以自行。GDPR如何在域外执行仍将面临重重挑战。对个人而言,虽然GDPR宣称为之提供有效的司法救济途径,但当被告企业位于欧盟境外时,其不得不向欧洲数据保护机关(DPA)求助。对监管者而言,除非涉案企业在欧盟设有实体,否则其域外的执法仍须与他国政府机构合作。不过,这并不意味着GDPR软弱无力。相反,在未来,它将通过一系列双边协议,巩固其制度优势,同时凭借重大案件的执法,对大型互联网企业苛以重罚,从而形成有效威慑。对此,以全球市场为志向的中国企业勿临渴而掘井,当未雨而绸缪,早做应对。

(作者系中国人民大学金融与互联网安全研究中心副主任)

责任编辑:郑少东
    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览