欧盟《一般数据保护条例》的实施与应对--基于中国银行的探索实践.docx

摘要：欧盟《一般数据保护条例》给我国银行业带来了巨大挑战中国银行作为我国在欧盟境内设有分支机构最多、规模最大的银行，在应对GDPR合规实践中不断探索，在GDPR与我国银行业监管要求的兼顾，在数据技术发展与隐私保护的平衡中，努力寻求GDPR条款在中国银行业合规工作的最佳实践本文首先介绍了GDPR出台背景和对各国隐私保护立法进程的影响，并结合各主要国家隐私法和我国对个人信息保护的要求，解读了GDPR的重要条款，实施难点以及全球执法案例，然后总结了中国银行应对GDPR的合规实践经验，并对我国企业GDPR合规提出政策建议关键词：一般数据保护条例；GDPR合规；隐私保护欧盟《一般数据保护条例》（GeneralData Protection Regulation，简称GDPR）由于其严苛的规定，宽泛的适用范围，高昂的罚款，被冠以“史上最严格的个人数据保护法”，对各国企业都产生了深远影响对我国银行业而言，这既是挑战，也是机遇GDPR采用“长臂管辖”原则，将适用范围扩大到设立在欧盟境外的企业中国金融机构如果不愿失去欧盟广阔的市场，以及因遭处罚而使品牌和声誉受到负面影响，明智的选择是主动出击，积极应对，并将此作为发展机遇，树立自身的市场领先地位。

中国银行作为我国在欧盟境内设有分支机构最多、规模最大的银行，自2017年就开始研究应对GDPR（2016年颁布，2018年5月正式生效）的策略和实施路径，并于2018年正式启动了GDPR合规工作合规工作开展一年多来，中国银行不断探索，在GDPR与我国银行业监管要求的兼顾，数据技术发展与隐私保护的平衡中，寻求GDPR条款在中国银行业落地的最佳实践一、GDPR出台的背景和影响欧洲是全球较早关注个人隐私权保护，并对个人隐私保护最为严格的地区之一1980年9月23日，经济合作与发展组织（简称OECD）发布了《关于隐私保护与个人数据跨界流动的指导方针》（简称《OECD指南》），并提出一系列针对个人数据保护的基本原则，从而确立了个人数据保护的指导框架但《OECD指南》对成员国无法律约束力为提高各成员国个人数据保护法律的统一程度，1995年10月24日，欧盟通过了《关于个人数据处理保护与自由流动指令》（简称《95指令》）,设立了欧盟各成员国立法保护个人数据的最低标准，要求各成员国建立独立的公共机构数据保护局，以监督该指令的应用,并为个人数据向第三国传输提供允许依据但其在转化为各成员国法律的过程中仍留有解释余地，导致欧盟个人数据保护法律制度十分复杂，增加了行政成本。

尽管《OECD指南》和《95指令》关于隐私保护的主要原则仍然有效，但其部分规定已无法适用当今社交媒体、云计算等新技术的发展为建立统一的欧盟数据市场，促进数据流通，并应对科技日新月异的发展，2016年欧盟颁布了GDPR，并于2018年5月25日正式生效，取代了《95指令》对比《95指令》，GDPR扩大了适用范围，增加了数据主体的权利，加重了数据控制者和处理者的责任义务，完善了跨境数据传输机制，规定了欧洲监管机构一致性机制以及数额巨大的行政罚款同时，其作为“条例”，将直接在各成员国成为生效的法律，确保了欧盟范围统一的立法，将个人数据保护提到了前所未有的高度作为一项综合数据保护条例，GDPR的影响已突破了欧盟内部，逐渐成为各国采用或计划采用的个人数据保护法律法规基准不仅欧盟各成员国相继更新了本国的个人数据保护法案，许多希望加入欧盟的中东欧国家，欧洲经济区域会员国，甚至俄罗斯，都陆续参照GDPR制定了个人数据保护法律，以期在个人数据保护立法方面与欧盟达到更好地协调亚太国家，如韩国、日本等也制定或修订了新的个人信息保护法，以争取和欧盟接轨韩国于2016年3月修订了《个人信息保护法》（简称PIPA），并积极与欧盟委员会谈判，希望能借此加入充分性认定名单计划。

日本于2017年5月30日起施行新版《个人信息保护法》（简称APPI），并于2019年1月通过欧盟委员会的充分性认定，创造了世界上最大的安全数据流动区域印度于2018年7月27日正式发布《2018年个人数据保护法案（草案）》，其中的多数关键内容与GDPR相同或相似新加坡个人数据保护委员会自2017年以来，陆续发布了一系列关于个人数据在数字经济中管理方案的公开咨询函，为启动《个人数据保护法》（简称PDPA）的修订做准备美国于2020年1月1日正式生效的《加利福尼亚州消费者隐私保护法案》（简称CCPA），承接了GDPR的主要精神和一些规范性内容，但不像GDPR是对数据保护的全面规定，而是更关注消费者隐私的保护同时，欧盟也通过与美国签订的《隐私盾框架协议》，将GDPR对数据的严格管控要求施加给美国政府和企业我国自2017年《网络安全法》施行以来，个人信息保护方面监管新规出台频繁2018年5月正式实施的国家标准《信息安全技术个人信息安全规范》是目前国内在个人信息保护方面最完善的规范性文件，在规则制定细节上也大量参考了GDPR的规则，不仅成为企业个人信息保护的重要指南，也为我国监管机构执法提供了参考。

以上这些法案或监管要求共同呈现出增强个人数据保护这一全球不可逆转的大趋势GDPR作为促进这一趋势最重要的法律，在加强对数据主体权利保护的同时，也规定了巨额的行政罚款，最高可达企业上一财政年度全球营业额的4%或2000万欧元我国银行业金融机构在建立个人数据保护机制、实施个人数据保护管理和技术手段时，应深入理解GDPR重要条款的内涵与实施难点，特别要认真解读已披露的金融行业GDPR执法案例，以更好地把握GDPR的监管脉搏，平衡合规成本二、GDPR的重要条款与实施难点鉴于GDPR的长臂管辖原则和高昂的罚款，我国大部分涉及欧盟业务的金融机构已开展或计划开展GDPR合规工作尽早启动GDPR合规实施工作，构筑合规壁垒，有利于企业把握战胜竞争对手的机遇GDPR的合规需要企业内部所有部门的共同努力其不仅需要科技部门制定数据保护策略，调整技术和数据架构，建立数据全生命周期的安全控制措施，也需要业务、运营、人力资源、风险管理、合规、内审以及企业内所有涉及收集、分析和以其他方式利用客户个人身份信息的职能部门和人员参与其中，互相协作，共同完成GDPR合规任务金融机构在重新思考现有数据处理流程、开展针对性GDPR合规工作时，需要理解GDPR扩大后的适用范围、规定的数据控制者和处理者对于个人数据处理的若干责任和义务，以及新的数据主体权利等重要条款的内涵和实施难点。

一）扩大后的适用范围GDPR为加强对欧盟居民个人数据的保护，采用“长臂管辖”原则，将适用范围扩大到设立在欧盟境外的企业GDPR不仅适用于设立在欧盟内的控制者和处理者对个人数据的处理，无论其处理行为是否发生在欧盟境内，还适用于控制者和处理者对欧盟内主体开展的个人数据处理，无论其机构是否设立在欧盟内对于在欧盟境内设立了分支机构的中国企业，GDPR是适用的然而，如何判定GDPR是否适用于其欧盟境外的分支机构和中国总部，以及是否适用于未在欧盟境内设立营业机构的中国企业，则是企业在实施GDPR合规工作的一个重要难点有些中国企业认为，GDPR并不适用于他们，但也有企业认为，适用于全集团的所有业务作为金融机构合规的第一步，应先判断清楚GDPR在本企业的适用情况以及受GDPR约束的业务范围图1列出的三个问题，将帮助企业判断GDPR的适用性您或您的服务提供商对数据主体在欧盟境内的行为进行监控吗”，这个问题包含的活动范围比许多企业想象得要广这里的“监控”不仅包括摄像头之类的物理监控，也包括对数据主体网上行为的监控例如，如果企业有对诸如欺诈、反洗钱、制裁或网络威胁等实施监控的职能部门，且这些部门需要处理和使用欧盟居民的个人数据，企业就需要遵守GDPR的要求。

类似地，如果企业有网站监控流量和用户行为，且采用第三方供应商运行网站，企业和企业供应商的这些活动也需要遵守GDPR的要求如果金融机构在美国加州也设立了营业机构，或是在加州之外处理了加州居民的个人信息，还需要考虑同时符合CCPA随着各国对本国居民个人数据保护立法意识的提升，“长臂管辖”原则被越来越多的国家和地区采纳除美国加州外，新加坡的PDPA也规定，该法案适用于在境外收集并被传输至新加坡境内的个人数据的处理活动韩国PIPA也未限定数据收集和处理的地点，理论上也具有域外效力对于在多个国家和地区设立营业机构的金融机构，需要综合考虑各国有关个人数据保护的法律法规，特别在涉及不同国家“属地原则”和“属人原则”的交叉适用时，应考虑进一步制定客户和员工的细分策略，以及特定业务的管理流程二）设立数据保护官GDPR提出应设立数据保护管理的专职要求，即设立数据保护官（简称DPO），并规定了其任命和主要职责等具体要求根据GDPR的要求，当机构为公共主体，且机构对数据主体进行定期和系统的大规模监控，或涉及大规模收集和处理一些敏感数据，例如，生理数据、犯罪数据、医疗数据等情况时，应当设立DPODPO的任命除要满足GDPR的要求外，还应考虑欧盟成员国当地的法律法规要求。

例如，德国联邦数据保护法（BDSG）第38条要求，雇佣10名以上长期员工进行自动处理个人数据的独立法人公司，必须任命一名DPO若企业应设立DPO而未设立，则属于违规，将面临最高1000万欧元或企业全球营业额2%的处罚（两者取最高值）已披露的案例中，奥地利一家医疗机构因未设立DPO被奥地利数据保护局做出5万欧元的处罚决定DPO这一专职角色的设立，将在金融机构的数据合规工作中发挥统筹各方的核心作用GDPR明确规定，DPO履行如下职责：监督GDPR合规情况并开展培训，为个人数据保护影响评估提供建议，与监管机构协作并作为监管联络人，关注数据处理行为的相关风险等数据保护的专职要求在各国个人数据保护相关法律法规中也有所体现例如，新加坡PDPA规定，各机构须委任一名数据保护官，确保本机构符合PDPA；韩国PIPA规定，机构应指定个人信息保护责任人；印度《数据保护框架白皮书》在执行工具方面也提出了数据保护官的要求我国《个人信息安全规范》中也提出，主要业务涉及个人信息处理或处理超过50万人的个人信息时，应设立专职个人信息保护责任人或工作机构我国《数据安全管理办法（征求意见稿）》规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。

对于中国金融机构而言，许多机构的数据管理工作分散在多个部门，职能交叉，缺乏统一的数据保护统筹规划考虑到数据保护专职要求在各国立法中的广泛适用，结合我国监管要求与国家标准中的规定，无论机构是否在欧盟开展个人数据处理业务，都应该尽早将设立数据保护官这一专职要求提上日程，统筹管理整体数据保护相关工作，以积极应对国内外的监管要求，以及我国即将出台的《个人信息保护法》三）扩充数据处理基本原则相较《95指令》，GDPR进一步明确了合法公平透明原则，并从处理的合法性、同意的条件、儿童同意等方面，诠释了“知情同意原则”例如，谷歌由于其向用户提供的告知信息需要经过五六个步骤才能访问，且对于广告个性化投放数据处理目的、收集和处理数据的类别，描述过于笼统和含糊，并预先勾选了广告个性化的显示框，导致同时违反数据处理的透明性原则与合法性原则，并因此被法国数据保护监管机构（CNIL）处以5000万欧元的罚款1. 数据处理的基本原则综观各国有关个人数据保护的法律法规，包括我国的《个人信息安全规范》，基本都遵循了GDPR提出的数据处理基本原则，包括合法透明公平、目的限制、数据最小化、准确性、存储限制、完整性、保密性和权责一致原则。

我国金融机构在收集个人数据时，多采用较为笼统的形式描述收集的个人数据类型和目的，在实际操作中也很难区分每一个收集的数据具体用在哪些业务流程中，以及用于何种处理目的，在日常管理中也较少将每个业务流程与其涉及的具体数据字段进行关联管理这些问题给数据管理成熟度较低的金融机构带来了巨大的挑战一般来讲，企业在确定GDPR适用范围。