通用数据保护条例 (GDPR)

Stripe 欧洲隐私和数据保护指南有所变更

引言

最后更新于 2020 年 8 月 19 日,更新原因是为了反映欧洲法院对 Schrems II 的判决结果。

于 2018 年 5 月 25 日生效的新《隐私和数据保护法》以及《通用数据保护条例(GDPR)》合规的若干项最佳实践概述

GDPR 是数十年来数据隐私法规方面最重要的一次变化。各公司都在致力于将重大变化贯彻到公司制度和合同中,在注重合规和隐私意识的平台上运营的公司占得先机。本指南旨在帮助用户了解 GDPR 广泛的影响,以及为改进数据处理活动以及如何做到并保持 GDPR 合规所提供的机会。

附属细则:本 GDPR 指南仅作参考之用。并非法律意见。有关 GDPR 如何影响您的公司的问题,请联系您的法律顾问,接受定制化指导。

什么是 GDPR?

《通用数据保护条例(“GDPR”)》是一部新的欧盟隐私和数据保护法规。它要求公司体制中隐私保护措施更加细化,数据保护协议更加细致,公司隐私和数据保护实践相关披露对用户更加友好且更加详尽。

GDPR 取代了自 1995 年生效的欧盟现行数据保护法律框架(通常称为《数据保护指令》)。《数据保护指令》需要转换成欧盟成员国国家法律,致使欧盟数据保护法律在地域上呈碎片化状态。GDPR 是一项欧盟法规,对所有欧盟成员国具有直接法律影响,即:无需转换成欧盟成员国国家法律即具有约束力。这会加强欧盟法律的一致性和协调实施。

GDPR 可适用于欧盟范围之外的公司

不同于《数据保护指令》,GDPR 与全球性运营公司相关,不仅仅针对欧盟范围之内的公司。根据 GDPR 的规定,如果公司符合下述条件,则在适用范围内:(i) 公司成立地点在欧盟范围内,或者 (ii) 公司成立地点不在欧盟范围内,但是数据处理活动与欧盟个人相关、与向其提供商品和服务相关或者与对其行为监控相关。

按 GDPR 规定,处理个人数据是一个宽泛的概念

GDPR 对公司如何处理欧盟个人的个人数据进行管控。“个人数据”和“处理”是法规中的高频词,了解其在 GDPR 中的特定含义可以明确本法的实际影响范围:

  • 个人数据是指与身份已识别或身份可识别的个人相关的任何信息。这是一个非常宽泛的概念,因为它包括任何可自行使用的信息或者与其他信息结合起来用于识别个人身份的信息。个人数据不只是一个人的名称或邮件地址。也可包括例如财务信息,或者在一些情况下还包括 IP 地址。此外,某些类别的个人数据因其敏感特性而被予以高等级数据保护。此类数据是指有关个人人种和种族、政治主张、宗教和哲学信仰、工会成员、遗传数据、生物识别数据、健康数据、个人性生活或性取向相关信息以及犯罪记录的信息。

  • 个人数据的处理是触发 GDPR 项下义务的一项主要活动。处理是指对个人数据或个人数据集进行的任何操作或全套操作,不论是否采用自动化方法,例如收集、记录、组织、架构、存储、适应或更改、检索、查阅、使用、通过传输、传播或提供进行披露、排列或组合、限制、删除或销毁。实际上,这就是指存储或查阅个人数据的任何操作均被视为处理。

关键概念:数据控制者和数据处理者

在欧盟数据保护法中,有两种类型的实体可以处理个人数据——数据控制者和数据处理者。

数据控制者(“控制者”)是单独的实体或与他人联合在一起的实体,负责决定处理个人数据的_目的和方法_。数据处理者(“处理者”)是代表控制者_处理_个人数据的实体。

明确为各项数据处理活动处理个人数据的实体是控制者还是处理者很重要。此映射练习可使公司了解其各项数据处理操作相关的权利和义务。

Stripe 的某些数据处理活动属于数据控制者,其他属于数据处理者。当 Stripe 处理信用卡交易时,就是这一双重角色的很好例证。促进交易需要处理个人数据,例如持卡人的姓名、信用卡卡号、信用卡到期日以及卡安全码 (CVC)。持卡人的数据由 Stripe 用户通过 Stripe API(或者通过一些其他集成方法,例如 Stripe Elements)发送至 Stripe。然后 Stripe 使用数据在信用卡组织系统内完成交易,在此,Stripe 起到的是数据处理者的作用。然而,Stripe 也使用数据来遵从其法定义务(例如“客户身份验证程序 (KYC)”和“反洗钱 (AML)”),在此,Stripe 充当的是数据控制者的角色。

处理 GDPR 中个人数据的法律依据

接下来要考虑的是确定某一特定的处理活动是否符合 GDPR 规定。根据 GDPR 规定,由控制者或处理者执行的每项数据处理活动都需要有法律依据。GDPR 总共认可六项适用于处理欧盟个人的个人数据的法律依据(在 GDPR 中,欧盟个人是指“数据主体”)。这六项法律依据按照 GDPR 第 6 (1) 条从 (a) 到 (f) 的顺序依次为:

1.数据主体已同意出于一个或多个特定目的对他/她的个人数据进行处理;

2.履行合同需要对数据进行处理,其中数据主体是合同一方,或者在签订合同之前为了应数据主体的要求采取措施,需要对数据进行处理;

3.遵守法律义务需要对数据进行处理,其中控制者是主体;

4.保护数据主体的切身利益需要对数据进行处理;

5.为公共利益行使官方权利而执行任务,需要对数据进行处理;或者

6.实体追寻合法利益,需要对数据进行处理,数据主体要求个人数据保护且其利益或基本权利和自由比此类利益更为重要的情况除外。

GDPR 许可处理列表和《数据保护指令》中所包含的列表有相似之处。然而,也存在明显分歧。

当与《数据保护指令》进行比较时,最常提到的 GDPR 变化就是许可要求更加严格(上述列表中第1项)。GDPR 许可要求包括下列部分,例如 (i) 许可要求可验证,(ii) 许可要求必须与其他事项存在明显区别,以及 (iii) 数据主体必须接到其有权撤回许可的通知。就敏感数据的处理而言,会实行较高的许可要求(“明确许可”),注意这一点也很重要。

需要强调的另一个重要项目是合法利益项目(上述列表中第6项)。若公司依靠“合法利益”作为个人数据处理的支持条件,则需要注意均衡与此法律依据相关的考量要求。为了遵循 GDPR 项下的责任原则,公司必须以文件形式记录其符合均衡考量标准,其中,其在做出符合均衡考量标准这一结论之前所考虑的方法和论据需包括在内。

GDPR 项下的个人权利

《数据保护指令》项下,个人的某些与个人数据相关的基本权利得以保障。GDPR 项下的个人权利持续适用,以说明性修正为准。下表对《数据保护指令》项下和 GDPR 项下的个人权利进行了比较。

个人权利 数据保护指令 GDPR
数据主体访问请求 个人有权了解其个人数据是否被处理,哪些个人数据以怎样的方式被处理以及进行了哪些数据处理操作。 按 GDPR 规定,此类权利的范围已扩大。例如,发起访问请求时,个人须收到其他信息,包括与其之前未拥有的其他 GDPR 项下的数据保护权利(例如数据便携权)相关的信息。
拒绝权 如果个人有令人信服的合法理由,可禁止进行某些数据处理操作。个人也可拒绝以直接营销为目的的个人数据处理。 相较于《数据保护指令》,GDPR 已扩展了此类权利的范围。
修正权或删除权 个人可要求完善不完整数据或修正不准确数据,以确保个人数据处理符合使用数据保护原则。 GDPR 的地位实质上与《数据保护指令》是相同的,不过 GDPR 项下的一些程序保障已加强。
限制权 无限制处理的权利。然而,《数据保护指令》赋予个人要求拦截处理操作不符合数据保护原则的个人数据的权利,例如数据不完整或不准确的情况。 GDPR 赋予个人要求在某些情况下(包括在个人对数据的准确性提出质疑的情况)限制处理个人数据的权利。
删除权(“遗忘权”) 如果处理操作符合数据保护原则,个人有权寻求删除其个人数据。因此,此权利非常有限。 GDPR 大大扩展了此权利。例如,当个人数据与收集目的不再相关时,或者当个人撤回处理许可且无其他法律依据支持后续处理时,可行使删除权。
数据便携权 《数据保护指令》未明确将“数据便携权”称为数据主体的权利。欧盟成员国法律已在国家层面上实施类似于数据便携权的其他权利。 个人可要求将数据控制者所掌握的个人数据提供给自己或其他控制者。

国际数据传输

国际数据流话题已成为近年来的热点话题,在这方面已进行了大量辩论和法律改革。也几乎可以肯定,未来几年,国际数据流相关法律将会继续演变。现今,依据欧盟数据保护法,欧盟个人的个人数据传输至欧盟范围之外之前需符合某些要求,除非公司所接收的个人数据在允许的司法管辖区列表范围内(参见这里 查看允许的司法管辖区列表)。

依据 GDPR,国际数据传输是一个具有挑战性、需要管控的话题,因为法律不断演变,只有少量数据传输机制可用。面临挑战时,公司需要与时俱进,因为个人数据合规流是所有技术公司的支柱。

由于欧美合作关系,我们不再依赖隐私护盾作为源自欧盟的数据传输机制。在欧洲法院于 2020 年 7 月 16 日发布 Schrems II 决议后,隐私护盾不再有效。我们坚持瑞士-美国隐私护盾,并继续致力于遵守隐私护盾框架的原则。为此,我们会继续在政策和协议中引用隐私护盾。

更一般地说,Stripe 采用恰当的国际数据传输合规措施管理所有 Stripe 全球实体处理欧盟个人的个人数据处理。此类措施以欧盟标准合约条款为依据。

如上所述,国际数据流依然是未来法律改革的一个方面。为此,我们紧跟国际数据传输合规措施相关的法律发展趋势,采取各项可行措施,确保欧盟数据主体的个人数据的国际传输合规。这也意味着我们已最大程度地将冗余并入我们的数据传输合规项目,寻求采用 GDPR 项下 Stripe 可用的工具进行扩展。

不合规

不符合 GDPR 规定最典型的后果就是对不符合规定的公司处以最高罚款。处以最高罚款为全球收入的 4% 或 2000 万欧元,两者取高者。某些其他类型的侵权需承担的最高罚款为全球收入的 2% 或 1000 万欧元,两者取高者。

不常引用的是 GDPR 第 58 条数据保护部门 (DPA) 的权力。此类权力包括数据保护部门能够推行纠正措施,例如暂时或明确限制数据处理活动,包括完全禁止数据处理或命令暂停数据流向第三国家的接收方。

Stripe 和 GDPR

在 Stripe,隐私、数据保护以及数据安全是一切的核心。我们不断致力于在安全和数据隐私领域为自身重设标准,将 GDPR 视为整个行业就此集结起来共同改进的一个机会。

2016 年,Stripe 开始努力重新实现 GDPR 合规,我们致力于确保我们的服务在 GDPR 于 2018 年 5 月 25 日生效时能够符合 GDPR 的规定。

GDPR 合规由许多要素构成。其中,我们一直在更新我们的文档和协议,使之符合 GDPR 要求。我们也一直在修订我们的内部政策和流程,以确保达到 GDPR 标准。

大部分 GDPR 合规要素出现在公司“幕后”,因为它们与公司如何处理个人数据的相关更新有关。以下是 Stripe 等类似平台为实现 GDPR 合规而针对用户(及自身)采取的一些措施:

  • 根据公司业务运行情况,对数据保护指令和 GDPR 规定的要求进行差距分析。

  • 必要时审查并更新内部工具、流程及政策。

  • 必要时改进数据映射和数据存储实践并更新,以符合 GDPR 项下的记录保存义务。

  • 对隐私和数据保护审查工具进行专用差距分析,以符合数据保护影响评估的要求。

  • 更新国际数据传输的方法。

  • 更新合同,以体现 GDPR 第 28 条的义务,因为这与公司的合约方相关。

  • 必要时审查并改进与供应商的关系,以符合 GDPR 的要求,确保第三方以合法的方式接收并处理个人数据。

  • 更新公司的隐私合规计划(含员工持续培训),以体现针对 GDPR 所进行的改变。

责任原则

Stripe 应向法律专家咨询,以了解 GDPR 项下其各项合规义务。一般而言,如果您公司的成立地点在欧盟范围内,或者如果您公司正在处理欧盟个人的个人数据,则 GDPR 适用于您。

需要记住的一项最重要的 GDPR 原则就是责任原则。责任原则规定数据控制者必须能够证明处理活动符合 GDPR 中所述的数据保护原则。证明合规的最简单方式就是通过存档和交流 GDPR 合规方法。

在 Stripe,合规是公司许多人共同努力的结果,包括用户操作、销售、设计、安全以及法律。根据我们的经验,跨职能合作和易读文档对整个 DPR 合规过程非常有用。

GDPR 公司检查表

在距 2018 年 5 月 25 日还有几周之时,中小型企业在为 GDPR 合规做准备时可能会面临特别的挑战。请记住,我们已经为用户收集了 GDPR 合规计划的一些要素,收录在一个检查表中。

在相同页面获取:就什么是 GDPR 及其如何影响您的公司相关问题与技术、客户支持以及法律同事共同合作,相互促进。

清晰了解您公司在个人数据处理方面的问题:数据映射练习可帮您了解系统是如何对个人数据进行存储和处理的。下列问题可为您提供指导:

  • 您正在处理什么类型的个人数据?(例如:财务信息、健康信息、营销相关信息等)
  • 您正在处理的个人数据针对的是什么类型的个人?(例如:持卡人、儿童、患者等)
  • 为什么处理此信息?
  • 您是如何收集此信息的以及您为何要收集此信息?
  • 您如何保护此数据?
  • 是否有任何第三方会收到此信息?如果有,您是否按照您方的隐私政策或以其它通知方式对第三方接收方进行了披露?您知道第三方是谁吗? 您会将个人相关信息保留多久?

法律依据映射:参考上述 6 项法律依据。将您的数据映射中各项处理操作与法律依据相关联。此关联会为您提供法律依据映射。

了解如何尊重个人行使其权利:

  • 能够使用数据映射信息响应数据主体访问请求。
  • 从数据映射中了解个人数据位于您系统的什么位置(与其他系统相互参照),以便遵从退出、更改以及删除请求。
  • 了解您的系统使用的是什么数据格式,确定您要如何响应数据便携请求。

数据外泄和事故响应:当您向您的同事交谈公司的技术/安全方面的问题时,确保您了解事故响应计划。进行几次桌面练习,以便事故响应所有相关人员都了解发生安全事故时应该做些什么。理想情况下,您的事故响应团队是一台微调的机器,当有情况发生时,随时准备好执行事故响应计划。

还有许多要素可添加到此检查表中,您需要与内部专家和外部顾问合作,制定出符合您的需求的检查表。例如,您可能需要进行数据保护影响评估,指定一名数据保护官,管理并审查营销及其他公司沟通实践,回访供应商管理和签约过程,仅举几例。

如果您在筹划数据处理活动方面有着坚实的基础,那么您自身便拥有很大的优势,有利于处理后续所遇到的 GDPR 合规问题。

在下方,您会找到一些我们已参考过且认为有用的其他资源,我们希望它们对您也会有所帮助。

其他资源

GDPR 在多处提及,很难跟踪记录网上可用的好资源。以下是一些我们为与 GDPR 发展趋势保持同步而参考的一些资源:

  • 一切从法律文本开始:GDPR 法律文本全文参见这里,数据保护指令链接在这里

  • 监管部门:欧盟各成员国都有数据保护部门 (DPA),其中许多都会发布 GDPR 实施相关的有益指南。数据保护部门列表参见这里.

  • 第 29 条工作组 (WP29),很快将成为欧洲数据保护委员会 (EDPB):WP29 是一个咨询机构,由欧盟各成员国的数据保护部门,欧洲数据保护监管和欧洲委员会的代表组成。自 2018 年 5 月 25 日起,WP29 将成为欧洲数据保护委员会。欧洲数据保护委员会成员包括欧盟各成员国数据保护部门的负责人和欧洲数据保护监管。

    WP29 已发布了数百条指南和意见,已公开探讨了几个咨询话题。最新的指南和意见都集中于如何以最佳的方式将 GDPR 要素融入公司的合规架构中。WP29 新闻编辑部参见这里

    WP29 的旧网站有许多其他资源,遗憾地是,随着新网站的布局,现在不能轻易访问。可在这里访问包含有其他资料的存档网站。

  • 一些数据保护部门、律师事务所、隐私机构,例如 IAPP 以及许多其他机构、非政府组织和公司正在举办 GDPR 相关活动。关于 GDPR 实施,其他公司所面临的问题很有可能与您的公司所面临的问题非常相似。可以利用这一机会联系 GDPR 社区,共同解决问题。

返回指南
You’re viewing our website for France, but it looks like you’re in the United States. Switch to the United States site