GDPR对中国数据控制者的影响
| 数据控制者作为GDPR的主要规制对象,被赋予了严格的数据保护义务、数据出境限制和严厉的处罚措施。 |
· 新增主要数据保护义务
· 依法获取用户同意的义务
· 数据泄露报告义务
· 数据系统保护和默认保护义务
· 数据保护影响评估义务和事先咨询义务(DPIA)
· 数据保护专员设置义务(DPO)
· 数据出境限制
· 向非成员国转移数据时,非成员国应达到「充分保护水平」;
· 数据进口国应遵守适当保护措施,或具备公共当局或机构间的具有法律约束力和执行力的文件,或制定有「公司约束力规则」,或存在经认可的「行为准则」和「认证机制」。
· 例外情形只适用于「数据主体同意」、「履行合同必须」和「为了数据控制者追求合法利益目的所必须」。
· 严厉的处罚措施
GDPR详细列举了决定行政罚款数额的各项考量因素,并规定了两档处罚标准:
· 1000万欧元或在被罚对象是企业时,除以其上一财政年度全球营业总额2%的罚款;
· 2000万欧元或在被罚对象是企业时,除以其上一财政年度全球营业总额4%的罚款.
国内立法对个人信息收集方的严格监管要求
| 据不完全统计,我国目前大概有 40 部法律、30 余部法规,以及近 200 部规章和司法解释涉及个人信息保护。在《网络安全法》出台后,违反个人信息保护义务的最高处罚额已达到100万元人民币,且有可能导致业务终止。 |
· 企业须建立健全个人信息保护制度
· 企业应合法收集和使用个人信息(包括最小化原则、授权同意原则,敏感信息特殊同意原则)
· 侵犯个人信息权除收到巨额罚单外,企业主要负责人或将涉及刑事责任。
我们的特色服务
| 通过对GDPR的深入研究,结合客户的实际需求并同时借鉴欧盟地区的先进服务经验,GDPR专项法律服务团队研发了从知识体系培训、企业合规梳理、线上协议更新到数据隐私官(DPO)辅导等一系列特色服务。客户可以根据自身需要搭配选择有效贴身的法律服务。具体包括: · GDPR高端法律培训 · 企业产品合规筛查服务 · 产品线上协议撰写和审核服务 · 数据保护专员(DPO)辅导服务 |
GDPR高端法律培训
| 第一讲 GDPR出台背景介绍 |
· 课程大纲
· 个人数据保护的法理基础
· 欧盟个人信息保护主要法规及历史沿革
· GDPR出台背景介绍以及主要突破和创新点
· GDPR的管辖和适用范围介绍
· 各大企业对GDPR的应对
· GDPR对中国企业商业运营的重大影响
| 第二讲 GDPR的法律框架和主要原则 |
· 课程大纲
· 法律适用范围
· 数据处理基本原则
· 监管部门及一站式监管原则
· 未成年人数据保护
· 风险差异化管理原则
· 数据主体的权利
· 数据画像
· DPO
· 监管权力、处罚及司法救济
| 第三讲 数据控制者、数据处理者和数据主体的GDPR下的权利和义务 |
· 课程大纲
· 数据控制者及处理者义务
· 用户在GDPR中的权利
· 基本权利
· 创新权利及其保护
· 数据画像的特殊规定
· 罚则
| 第四讲 谁是GDPR认可的数据保护专员DPO |
· 课程大纲
· 理解DPO强制设立的几个关键概念
· DPO的地位
· DPO应该具备哪些条件?
· DPO应承担起哪些工作职责?
· 中国的类似职位和角色要求
| 第五讲 GDPR中数据保护影响评估和跨境流通的特殊要求 |
· 课程大纲
· 高风险数据处理活动的界定标准
· 数据保护影响评估的必要性以及违反后果
· 如何设立DPIA
· DPIA中应包括的内容和实操指引
· 数据跨境监管几种主流模式简介
· GDPR关于跨境数据的规定介绍
· GDPR关于集团内部数据跨境流通规则介绍
· 美欧数据跨境的合作介绍
· 中国数据跨境的规定
· 中国企业目前的困境和建议
| 第六讲 中国个人信息保护法律体系介绍以及中国企业对GDPR的应对策略 |
· 课程大纲
· 中国法律对个人信息保护的法律体系框架
· 个人信息保护的背景、保护对象和原则
· 背景概述
· 保护对象:个人信息的定义
· 八大保护原则
· 重点保护行业:提供云计算、大数据和其他大型公共信息网络服务的单位
· 大数据企业关于个人信息保护的法定义务
· 网络安全保护义务及违规后果
· 实名制义务及违规后果
· 数据存储和出口保护
· 个人信息保护义务及违规后果
· 中国企业对GDPR的应对策略
· 中国法律与GDPR的衔接
· 自查流程
· 文件的准备
企业产品合规筛查服务
我们将协助企业针对公司产品功能,特别是其中涉及到的个人信息处理原理,进行全面合规风险筛查,并针对筛查中发现的其他重大问题提供风险提示以及风险修正法律建议书。
| 数据处理风险分析 检查产品功能中有关个人信息处理部分以及数据安全保障与GDPR和中国网络安全法要求的差距,包括但不限于: |
· 是否属于关键信息基础设施提供方
· 是否可能触发GDPR的法律管辖
· 数据跨境传输的风险
· 用户数据的收集/存储/传输/分享的方式
· 用户相应的隐私权保护,包括用户同意权的设定、用户访问、更新以及删除个人信息的权利
· 用户数据在公司内部的访问权限划分以及公司员工的数据保护意识
· 是否采取足够的技术保护措施进行数据加密、存储以及保护
· 针对特殊用户(比如儿童)以及特殊个人信息(比如身份、基因等敏感信息)的保护
· 用户发布信息内容审核相关法律问题
· 第三方合作数据合作风险
· 公司是否需要聘任DPO以及进行数据保护影响评估
· 产品的用户协议、隐私政策、免责声明等是否符合法律要求
| 风险合规筛查 我们提供具体产品除数据和个人信息保护之外的一般性运营风险筛查,包括但不限于: |
· 资质牌照风险,如涉及电子数据交换需要的EDI执照(增值电信业务B21)
· 产品自身商标版权风险以及第三方许可风险,如:APP名称保护、商标申请、APP功能或内容侵权、第三方API服务相关风险、第三方开发相关版权归属问题、软件著作权登记及图片版权风险,并提供前述知识产权侵权防范以及产品侵权投诉处理建议
· 我们发现的产品运营中的其他合规问题,包括但不限于产品责任划分、消费者权益保护、资金流转、内容审查、不正当竞争、广告及促销等相关运营风险。
| 服务流程 |
· 产品及服务摸底阶段,
· 此阶段我们将会提供《用户协议问卷》及《隐私政策问卷》,并与公司详细了解产品功能和运营流程;
· 业务沟通阶段
· 根据产品信息的反馈,双方组织(1-2次)产品业务会,以期我方能够深入理解产品和服务的逻辑及技术原理,并定位主要风险。
· 提供法律风险筛查和合规建议报告。
产品线上协议撰写和审核服务
| 服务内容 撰写以及审核如下常见线上协议以及其他与产品相关的特定协议以及使用规则: |
· 用户注册协议
· 隐私政策
· 免责声明
· 侵权投诉规则
· 第三方服务使用协议;
· 其他产品相关线上协议。
| 服务流程 |
· 根据产品分析建议以及产品需求,与客户共同确定核心协议及内容框架。
· 根据框架内容完成后,完成符合中国法律并契合GDPR要求的线上协议。
· 根据客户反馈,对协议进行持续修订。
· 将与客户商讨协议的定稿、公证、发布形式等细节内容,并进行书面建议。
数据保护专员(DPO)辅导
| 数据保护专员(DPO)是GDPR明确指出的企业内承担数据保护合规相关职责的职能角色。根据GDPR要求,数据控制者或处理者如果存在以下三种情形之一则必须设立DPO: 是“行政机关”或“公共团体”; 对数据主体的数据监控和使用是系统性和常规化的,且规模较大; 涉及收集和处理一些敏感数据,例如犯罪数据、医疗数据、生理数据等等。 |
我们将基于GDPR以及中国的《个人信息安全规范》有关DPO以及数据保护负责人的要求协助提供如下数据保护专员(DPO)辅导服务:
· 协助企业理解和判断任命DPO的必要性
· 讲解GDPR、《数据保护官指南》以及中国的《个人信息安全规范》从规则上对DPO的设立、地位和职责的规定要求
· 协助企业制定DPO的选派条件以及职责要求,包括但不限于根据制定专业性和技能的要求,解决独立性和岗位利益冲突
· 就企业DPO的职责履行持续提供顾问建议,包括但不限于:
· DPO需要向企业和企业员工提供GDPR数据保护方面的信息和建议
· 对企业GDPR合规以及数据保护方面所做的工作进行监管
· 对企业数据保护影响评估(DPIAs)方面工作的参与和管理
· 数据外泄的紧急汇报
· 同数据主体沟通和联系
(一)
研究文章清单
国际视野下的大数据政策与个人信息保护
从“信息安全”到“网络安全”,等级保护制度有哪些值得关注的变化?
网络安全2017年度盘点
电商类企业数据收集处理实践及中外合规建议
中欧数据跨境监管解析
GDPR:一般数据保护条例直接适用指南
GDPR画像和自动化决策有哪些推荐采用的良好实践?
GDPR下的集团公司数据内部跨境输出规则(BCRs)
你的企业需要数据保护专员吗?
如何遵守GDPR中的「同意」要求?
长点心吧!中国企业应该从Facebook数据泄露事件中吸取教训
无人驾驶车辆信息和数据保护的法律监管思考
