欧洲《通用数据保护条例》(General Data Protection Regulation, GDPR)出台至今已实施两年多。处理个人数据通常是GDPR所禁止的,除非法律明文许可,或数据主体已同意处理。虽然同意是处理个人数据的较著名的法律依据之一,但它只是《通用数据保护规例》(GDPR)提及的六个依据之一。其他包括:合同、法律义务、数据主体的切身利益、公共利益和GDPR第六条第(1)款规定的合法利益。
有效法律同意生效的基本要求在第7条中有规定,并在GDPR第32条中作了进一步的规定。同意必须是自由、具体、知情和明确的。为了获得自由给予的同意,必须在自愿的基础上给予。元素“自由”意味着数据主体的真正选择。任何可能影响选择结果的不适当压力或影响因素都会使同意无效。在这样做时,法律文本考虑到了控制者和数据主体之间的某种不平衡。例如,在雇主与雇员的关系中:雇员可能担心拒绝同意可能会对其雇用关系产生严重的负面影响,因此同意只能是在少数特殊情况下作为处理的合法依据。此外,还适用所谓的“耦合禁止“或“禁止耦合或捆绑“。因此,合同的履行不得取决于是否同意处理进一步的个人数据,而这是履行该合同所不需要的。
为了获得知情和具体的同意,至少必须通知数据主体有关控制者的身份、将处理哪类数据、如何使用这些数据以及处理操作的目的,以防止“功能蠕变”。还必须告知数据主体有权随时撤回同意。撤回必须像表示同意一样简单。在相关情况下,控制者还必须告知数据用于自动决策的情况、由于没有适当的决定或其他适当的保障措施而可能产生的数据传输风险。
同意必须受一项或多项具体目的的约束,必须对这些目的作出充分解释。如果同意使处理特殊类别的个人数据合法化,数据主体的资料必须明确提及此点。在知情同意所需的信息和关于其他合同事项的信息之间必须始终有明确的区分。
最后但并非最不重要的一点是,同意必须是明确无误的,这意味着它需要声明或明确的肯定行为。同意不能是默示的,必须始终通过选择加入、声明或主动动议给予,这样就不会误解数据主体已同意特定处理。也就是说,对同意没有任何形式的要求,即使出于控制者的责任建议书面同意。因此,它也可以电子形式给出。在这方面,儿童和青少年在信息社会服务方面的同意是一个特例。对于未满16岁的儿童,父母责任持有人还需要额外的同意或授权。年龄限制受弹性条款的限制。会员国可根据国内法规定较低的年龄,但该年龄不低于13岁。如果服务产品没有明确地针对儿童时,则它将不受此规则约束。但是,这不适用于同时面向儿童和成人的要约。
可以看出,在处理个人数据时,同意并不是一颗灵丹妙药。特别是欧洲数据保护当局已明确表示,“如果控制者选择在处理的任何部分依赖同意,他们必须准备尊重该选择,并在个人撤回同意的情况下停止该部分处理”这意味着一旦数据主体撤回其同意,控制者不得从合法基础同意转换为合法权益。即使最初存在有效的合法权益,这一点也适用。因此,应始终选择同意作为处理个人数据的最后选择。
6月2日,全国人民代表大会官方网站发布《中华人民共和国民法典》(以下简称为《民法典》)。《民法典》在第四编第六章,对“隐私权和个人信息”进行专章保护,在现行有关法律规定的基础上,进一步强化对隐私权和个人信息的保护。现陈立彤律师团队就《民法典》、国内其他规范性文件(包括处于征求意见稿阶段的规范性文件)以及 GDPR中关于个人信息保护的“同意”进行了对比。本公众号仅公开了《关于个人信息保护中“同意”的比较》的部分内容,需要完整文件的可通过工作邮箱发送邮件至[email protected]获取
(横过手机看大图)
往期回顾
开放银行与个人金融信息安全(一)「实务经验介绍暨往期沙龙回顾」
开放银行与个人金融信息安全(二)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(三)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(四)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(五)「实务经验暨往期沙龙」
“人脸识别第一案”开庭,对强制刷脸能否说不?
网络爬虫与大数据安全「往期沙龙回顾」
侵害公民个人信息刑事风险的识别与控制「往期沙龙回顾」
我们刚做的这个等保2.0,得分接近90
本栏目由大成律师事务所陈立彤、赵云虎、刘骥、赵中星、张建民、马朗、朱海斌律师等组成的网络安全与数据治理团队主持。
陈立彤律师
陈立彤律师为中国律师、美国纽约州律师、福特公司前亚太区合规总监;香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”,钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务,是“数据120”首席数据合规顾问,该平台运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一包括《信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(征求意见稿)以及《信息安全技术 移动智能终端个人信息保护技术要求》等。
赵云虎律师
赵云虎律师执业于北京大成(上海)律师事务所,上海交通大学金融学士、工学硕士,华东政法大学法律硕士,拥有律师执业资格、基金从业人员资格、专利代理人资格以及高级程序员资格,曾任职于华为、中兴、先进半导体等企业。赵律师的执业领域主要为公司法、争议解决、以及科技法,包括高新技术企业投资、知识产权等高新科技领域的法律业务,能够将数理逻辑和法律相结合为客户提供更专业、差异化的法律服务。赵律师曾经或正在服务的客户主要来自于高科技行业及金融类机构。
刘骥律师
刘骥律师是耶鲁创新学者、全国律协涉外领军人才与司法部涉外人才千人计划双入库律师、广东省律协涉外领军人才、广东省律协信息网络与高新技术法律专业委员会委员,大成律师事务所中国区科技、传媒、通讯行业领导人、大成律师事务所知识产权专业委员会理事。刘骥律师对高科技产业的趋势和方向具有极高的敏锐度,为创业技术与新兴成长企业提供融资、股权激励、投资并购、合规等创造性的解决方案和灵活的策略,帮助企业迅速应对,推动事业发展。
赵中星律师
赵中星律师的执业领域为网络安全和数据合规、外商直接投资、境外投资和公司事务。赵中星律师专注于为科技、媒体和电信行业客户的日常运营、投融资、行业监管和数据合规等方面提供法律解决方案。赵中星律师曾为全球知名电商企业、数据分析公司、网络营销公司、互联网和手机安全产品公司、互联网金融公司、区块链、共享单车平台等商业模式所涉及的诸多与数据相关的前沿法律和监管问题提供咨询和建议。赵中星律师也是汤森路透Practical Law数据库的特约作者之一,曾就网络安全和数据合规、外商投资、境投融资、互联网行业监管多个专题撰写律师实务指引文章。
张建民律师
张建民律师为狗熊会联合创始人,数据合规研究中心主任。主要从事私募股权、证券投资基金,投融资并购以及衍生的争议解决业务,张律师是数据资产调查(数据FTA)法律服务产品的首创者,对数据合规、隐私保护、数据治理有着长期、深入的研究。
马朗律师
马朗律师执业以来,共办理各类刑事案件200多件,尤其在职务犯罪、金融犯罪和知识产权犯罪领域有丰富的办案经验。基于丰富的刑事诉讼经验,马律师在企业合规领域所遇刑事法律风险的识别与控制,亦有独到且专业的法律见解与方案。马律师兼任中国案例法学研究会理事、上海市刑法学研究会理事、华东政法大学司法改革与判例研究中心副主任、上海市律师协会刑事法律业务研究会委员、大成律师事务所企业合规与刑事法律风险防范研究中心执行主任等职。
朱海斌律师
朱海斌律师专注于金融证券、贪污贿赂、合同诈骗、涉税、非法集资、挪用侵占等各类型白领犯罪及金融领域犯罪案件的研究与办理。曾办理多起具有重大社会影响力的刑事犯罪案件,曾荣获大成首届“十佳刑辩律师”。曾在上海市公安局普陀分局、经济犯罪侦查总队办理经济犯罪案件十余年,侦办过百余起重特大经济金融犯罪案件。具有丰富的办案实战经验,获得上海市公安局、中国证监会授予的多项荣誉。
我们的服务范围包括:

政府调查与刑事辩护:
-行政监管调查应对
-刑事调查应对
-刑事辩护
-政府调查应对
监管分析
结合行业监管要求,对于数据驱动或涉及数据的业务模式或活动进行监管分析,包括:
-自动驾驶;
-大数据分析和应用;
-电商平台(包括跨境电商业务);
-智能硬件;
-网络营销;
-线上销售保险产品;
-政务数据的合作和使用。
网络安全等级保护制度
将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下:
-定级:确定系统等级
-备案:向公安机关备案
-安全建设整改:安全技术建设整改、安全管理建设整改
-等级保护测评(需要具有网络安全等级保护测评资质的机构进行,并且不能是安全建设整改供应商);
-安全自评。
数据自由应用尽职调查(FTA调查)
指对数据控制者/数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA调查适用于以下情景:
-以数据资产为标的的交易;
-包含数据资产的投资并购项目;
-以数据为纽带的企业间合作项目;
-基于数据衍生的数据类创业项目;
-数据企业的自我合规诊断与提升。
差距分析
对现时的数据收集和使用活动进行梳理,生成数据地图,并根据相关法律法规和内部数据治理制度的要求,评估违法违规的数据处理活动,并提出建议,协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。
数据影响评估
-个人隐私影响评估:为涉及个人信息收集和使用的业务开展个人隐私影响评估,出具评估报告,提示风险和建议
-供应商(上游)评估
-供应商(下游)评估
-第三方数据接收方评估
-第三方数据提供方评估。
数据合规体系建设
为客户建立全面的网络安全和数据治理合规体系制度,包括:
-《网络安全和数据保护政策》(纲领)
-《个人信息管理规范》
-《数据分类分级和权限管理规范》
-《实现数据主体权利管理规范》
-《向第三方输出数据管理规范》
-《从第三方接收数据管理规范》
-《数据安全事件管理制度》
区块链
-区块链赋能场景合规评估
-区块链监管与合规咨询
-区块链境外监管、合规及商用项目咨询
                                        扫描二维码
                                   关注我们
继续阅读
阅读原文