欧盟GDPR及其对金融业的影响
2018年5月25日, 欧盟 《一般数据保护条例》(The General Data Protection Regulation, GDPR )正式实施。GDPR取代了欧盟1995年颁布实施的《关于个人信息处理保护及个人信息自由传输的指令》,并根据信息化时代的特点,增强了欧盟居民对 个人数据 的控制,统一了欧盟对个人信息保护的监管,降低了欧盟境内个人数据信息流动的成本。
GDPR延续了欧盟对待个人数据信息的一贯思路,即保护个人数据信息和促进数据自由流动并行。因此,GDPR的实施,对信息化时代个人信息保护和使用工作具有里程碑式的意义。
但是,由于GDPR涉及面广、处罚严厉,GDPR的实施对欧盟境内外企业,尤其是日常处理客户数据较多的银行有很大影响,对尚在复苏边缘挣扎的欧洲银行业无疑是雪上加霜。另外,由于欧盟各国前期个人信息保护工作进展不一,GDPR的实施也面临着监管当局和企业准备不足的问题。GDPR与欧盟部分法律也存在一定冲突,法律之间如何协调也需要进一步明确。
GDPR的主要内容
GDPR无需欧盟各成员国转换为国内法而直接实施,统一了28个成员国数据保护规定,意味着欧盟真正建立起了统一的个人数据保护和流动规则。
GDPR仍然延续了欧盟个人数据保护的传统和基本思路,即加强个人数据保护和促进信息流动并存。为此,GDPR在第1条中就指出“不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止”。但GDPR扩展了1995年指令的内容,由34条扩展为99条,同时增加了许多新概念、新原则和新权利。其主要调整包括以下内容。
进一步保障个人对其数据的控制权
GDPR完善了个人数据的适用范围并规定了个人所有的数据权利。GDPR可适用的个人数据范围以“可识别性”和“自动化处理”为依据,获得和使用数据需取得用户同意。GDPR第4条规定:“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识,或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。GDPR第2条规定:本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
GDPR规定的个人所有的数据控制权利包括积极权利和消极权利两类。 积极权利为: 数据收集时的知情权、个人数据处理情况的查询权、个人数据使用时的许可权、个人数据转移权、错误个人数据的修改权、个人数据擦除权、个人数据泄露时的知情权等,拒绝或限制个人数据被各种形式利用的 消极权利: 限制控制者的数据使用范围、拒绝个人数据被非公益科研或统计活动利用的权利、拒绝个人数据被商业利用的权利等。
企业获得和使用个人数据必须取得用户的同意。GDPR第7条要求,有关个人数据使用许可的条款需要区别于其他服务条款,应当以容易识别、通俗易懂的形式表现出来,不得不适当地与其他服务条款捆绑同意,也不能以沉默、不作为等默示方式认定为“同意”。此外,GDPR明确了获得和使用儿童个人数据的方式。GDPR第8条指出:未满16岁(成员国可以将该年龄标准最低下调至13岁)的儿童必须由其监护人作出“同意”的许可。
重新明确数据控制者、处理者的义务和责任
数据处理者一般为数据控制者提供辅助服务。因此,1995年指令规制的对象是数据控制者,处理者为从属地位。而GDPR则视处理者与控制者同等地位,同样规制。GDPR第28条规定:处理者的处理应当受某类合同或其他欧盟法与成员国法的约束,这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的,以及个人数据的类型和控制者的责任与权利。同时,GDPR第31、32、33、37、44、82条也分别增设了信息处理者的独立义务。
此外,数据控制者和处理者采取的数据保护措施应当公开透明。GDPR第6条规定了可说明性原则,要求数据控制者和处理者保障数据保护措施的可说明性,能够通过具体的说明或展示来解释其采取了有效的数据保护措施。解释方式可以通过经认证的形式。GDPR第40、41、42条和第43条规定,在欧盟和成员国层面建立数据保护技术标准和认证制度,公开宣传数据保护认证印章和标志,鼓励控制者和处理者自愿开展数据保护认证,展示数据保护良好形象。
GDPR还提高了数据控制者和处理者的法律责任,并规定了欧盟和成员国监管当局有矫正性处罚权利和行政罚款权利。矫正性处罚权利包括:对控制者或处理者发出警告、进行申诫、命令其行使GDPR规定或在特定期限完成、对处理施加暂时性或具有明确期限的禁令、要求对个人数据进行纠正或擦除、撤回认证以及中止数据传输第三国或国际组织等。行政罚款权利包括:除上述矫正性处罚措施外,施加最高1000万欧元或相当于上年全球营业收入总额2%的罚款,两者取最高一项;对违法行为较恶劣的,除上述矫正性处罚措施外,施加最高2000万欧元或相当于上年全球营业收入总额4%的罚款,两者取最高一项。
完善数据跨境传输和转移的保护规则
为了充分保障欧盟居民的个人数据保护权利,GDPR将适用范围扩大至一切与欧盟居民个人数据相关的控制者和处理者,即欧盟居民个人数据在欧盟境外也受GDPR保护。此外,GDPR对欧盟个人数据向境外流动提出了严格要求,除非满足一定条件下可以证明个人数据能在欧盟境外某一地区得到充分保护,否则禁止控制者和处理者将欧盟居民个人数据转移至该境外地区。
GDPR详细规定了对境外信息保护水平的判断标准,包括人权和基本自由保护的法律制度情况,公共机构获取该被转移数据的情况,是否存在数据保护执法机构及其执法有效性,有关个人数据保护的国际承诺和其他国际义务情况。
欧盟委员会根据上述因素加以考虑,可以宣布某一领土、特定部门或国际组织为充分保护辖区(Adequate Jurisdictions)。GDPR第45条规定:欧盟作出的充分保护辖区认定结论需要至少每四年复评一次,对复评不合规的应当废除、修订或暂停实施。但考虑到实际操作情况,GDPR第46条规定:对于未获欧盟委员会认定的,控制者和处理者在满足下列担保条件下也可以向欧盟境外传输个人数据,即公共机构或实体之间签订的具有法律约束力和可执行性的文件,制定有约束力的公司规则并获得监管机构批准的,根据GDPR规定的程序制定并经欧盟委员会批准的数据保护标准条款,第三国控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺。
改革欧盟个人数据保护行政管理体系
GDPR从管理机构、管理模式和管理方法三个方面改革了欧盟个人信息保护行政管理体系。设立欧洲数据保护委员会(European Data Protection Board)。GDPR第68条规定,设立欧洲数据保护委员会,委员会成员由欧盟成员国个人数据保护行政机构负责人或其代表、欧洲数据保护监督局负责人或其代表组成,委员会的秘书处由欧洲数据保护局担任。欧洲信息保护委员会的设立,将有效提升欧洲数据保护局的权力,确保GDPR在各个成员国的统一适用,并及时向欧盟委员会报告GDPR的实施情况。
建立欧盟个人数据保护一站式管理模式。GDPR实施前,欧盟各成员国均有个人数据保护的行政主管机构,这对欧盟跨国企业经营造成了多重监管的负担且增加了成本。GDPR为了构建一个高度统一的数据保护政策,设立了一站式管理服务模式。欧盟成员国之间开展个人数据处理活动的企业无须分别面向各个成员国履行申报等监管义务,而是通过主要经营地的个人数据保护行政主管机构,按照一站式管理服务实现集中高效监管。
按风险等级差异化方法有针对性地进行个人数据保护工作。GDPR将个人数据处理活动的风险划分为高风险、一般风险和低风险三类。对于高风险,GDPR要求数据控制者开展此类活动前要做影响评估并向数据保护局咨询,出现高风险损害的数据泄露时应当报告和通知数据保护主管机构和数据主体。对于一般风险和低风险,GDPR适当降低或部分免除了控制者和处理者的责任义务。
GDPR对金融业的潜在影响
GDPR的实施使欧盟继续走在了信息时代数据保护工作的前列,并有助于消除欧盟各国个人数据监管壁垒,促进境内数据自由流动,为实现欧盟“单一数字市场”战略(为了打破欧盟境内的数字市场壁垒,便利数字经济的发展,欧盟委员会2015年5月6日公布了“单一数字市场”(digital single market)战略的详细规划。该战略有三大支柱,第一支柱是为个人和企业提供更好的数字产品和服务;第二支柱是创造有利于数字网络和服务繁荣发展的环境;第三支柱是最大化发掘数字经济的增长潜力,推动欧盟范围内数字自由流通)的实施打下了坚实基础。另外,欧盟个人数据境外传输的较高标准,也倒逼全球范围内加强个人数据保护工作。但由于GDPR涉及每个处理和控制欧盟居民个人数据的企业,也有着较高的处罚标准,GDPR实施初期势必对企业经营产生一定影响,尤其对日常处理和保存客户数据较多的金融行业来说。全球市场研究机构Vanson Bourne对500家企业进行了调查,其中76%的金融企业认为GDPR实施将会对企业带来巨大的挑战。
金融企业合规成本短期内将显著上升
GDPR的实施,要求企业处理和控制个人数据必须以可识别方式取得用户同意,并采取“简洁语言”让用户了解其个人数据使用情况,用户有删除个人数据的权利。另外,超过250人的企业还需要设立一名数据保护官。对不符合GDPR规定的,情节严重的处理高额罚款。金融企业,特别是银行,日常交易、处理和保存大量的客户数据。上述要求会在短期内显著提高金融企业的合规成本。全球知名咨询公司Oliver Wyman合伙人Chris McMillan提出,银行在及时调整其客户数据处理方式和IT设施方面存在巨大挑战,一个客户的数据可能在一家银行100多个系统中处理和控制,每个系统调整可能都需几个月的时间。因此,普遍认为 欧盟银行业 或会是第一批遭受GDPR处罚的行业。
欧盟外国家或地区跨境金融业务经营成本增加
GDPR规定的欧盟个人数据可跨境传输的前提条件为,欧盟认可的数据充分保护辖区或经欧盟委员会批准认可的法律文件、双方合约和公司规则等。目前欧盟认可的数据充分保护辖区仅有11个国家和地区(安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士和乌拉圭)。另外,欧盟与美国2016年启动了名为“隐私盾(Privacy Shield)”的欧盟个人数据保护项目,项目注册的美国企业可传输欧盟个人数据。除上述外,向其他国家和地区企业传输欧盟个人数据,必须得到欧盟委员会认可或批准。跨境金融业务大部分涉及个人数据传输且交易量巨大,如跨境支付和跨境融资等,如事先必须取得欧盟委员会认可或批准,会大幅增加跨境金融业务成本。
关注GDPR与其他 金融监管 法律之间的关系
各类金融监管法律都对金融企业客户数据的处理和控制提出明确要求。以银行为例,客户尽职调查是银行了解客户和履行反洗钱法律规定的基本义务,在这个过程中,势必涉及客户信息收集、处理和保管等程序。尽管GDPR规定了数据控制者的正当利益,可作为客户同意的替代条件(数据控制者的正当利益包括:在保障网络信息安全前提下处理个人信息、向数据保护行政主管机构报告犯罪或者公共安全重大威胁等),但在实际操作中,其他法律并没有具体规定哪些属于可不取得客户同意而直接进行调查的信息,哪些信息可以或不可以删除等。因此,银行势必面临着大量的诉讼风险。
另外,欧盟银行业近年来先后面临一系列的法律规定,如《欧盟金融工具市场指令Ⅱ》《国际财务报告准则第9号》等,这些规定都强调了银行数据收集、处理以及报告的义务。如何平衡GDPR与这些法律之间的关系也亟待明确。
欧盟 金融科技 (FinTech)发展或受到一定制约
金融科技以数据和技术为核心,融入了大数据、云计算、 人工智能 和区块链等技术创新,逐渐改变传统金融业态。以大数据为例,目前金融企业广泛利用 大数据技术 评估客户需求和信用等级,从而提供有针对性的金融产品和定价安排。而GDPR明确规定,如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对,其中包括与此类直接营销相关的概况分析。因此,大数据分析行为面临一定法律风险。
此外,GDPR还要求控制者应当为数据主体提供自动化决策的相关信息。而云计算和人工智能都基于复杂的自动化算法,算法涉及商业秘密和知识产权保护等一系列问题,能否以及如何向数据主体提供,仍需商榷。
而使用区块链技术处理个人数据则更加不符合GDPR规定。区块链技术是一种全新的数据存储与管理范式,本质上是在多点分布存储的去中心化数据库。而GDPR仍是一种中心化的规范方式,重点规范的是中心化的数据控制者和处理者。区块链解决去中心化信任的关键就在于数据的不可篡改性,这与GDPR规定的个人数据更正权、删除权和被遗忘权等基本权利有严重冲突。
欧洲银行业正逐渐从欧债危机和国际金融危机中慢慢复苏,但仍较脆弱。特别是意大利和希腊等银行,不良贷款和债务比例一直居高不下。在此情况下,GDPR统一实施必然增加了这些国家银行业的经营压力,成员国政府或会阻碍GDPR在银行业的实施。如强行推广,恐又加剧欧洲民粹主义和分裂主义思潮盛行。因此,GDPR在欧盟银行业实施恐遭遇阻力