7月30日,亚马逊在一份证券文件披露,卢森堡数据保护局对亚马逊罚款7.46亿欧元(约合人民币57.2亿元),原因对个人数据的处理不符合欧盟通用数据保护条例(GDPR)。此前类似案例的最大罚款金额是谷歌,被处罚5000万欧元。
随着全球数字经济的兴起,各个行业的数字化转型愈演愈烈。在经济活动中产生的数据从单纯的信息记载功用,逐渐转化成具有独立经济价值、乃至国家安全价值的一种利益形态。
个人、企业、社会组织,甚至国家层面都在逐渐围绕数据处理活动展开越来越多的博弈。中国的《数据安全法》,从法律层面就数据安全专门制定的基础性规定,对数据的收集、存储、使用、加工、传输、提供、公开等处理活动及其安全监管进行明确规定,建立数据分类分级保护制度、数据安全应急处置机制、数据安全审查制度等。
企业如何维护消费者数据安全
对于企业上市而言,数据不仅作为企业资产价值评估的重点,其全流程管理的合规现状也已成为上市审核的核心要素。在《网络安全法》生效的不到三年内,数据合规问题逐渐从幕后走向台前,走入大众的视野,也落入上市审核机关的“射程”范围内。无论是上市企业还是已经上市的企业,在数据合规方面着实需要下一定功夫。
在数据价值被不断挖掘、传统行业数字化转型的今天,数据合规势必成为未来各行各业必须达到的经营要求。但也要注意的是,数据合规的法律体系虽然暂未搭建完善,但企业也应该从自身行业出发,遵循国际法律法规基本准则,强化数据合规意识,共同提高数据安全保护水平,促进行业健康发展。
不只是中国,美国对于企业涉及的数据合规做出了权力上的规定。由于美国各法律关于信息主体权利的规定都不一致,我们以《2018年加州消费者隐私法》(CCPA)在此方面的规定为例。
删除权:消费者有权要求经营者删除其从消费者那里收集的有关该消费者的任何个人信息。
可携带权:CCPA规定消费者有权要求经营者将其个人信息以易于使用或传输(即可携带)的方式向消费者提供,以便消费者可以无障碍的将信息传输给第三方。如CCPA要求信息可以通过邮件或电子方式传递,如果以电子方式提供,则信息应采用便携方式并且在技术可行限度内采取便于消费者无障碍地将信息传递给第三方的格式。
选择退出权:消费者有权在任何时候指示一个拟将消费者个人信息出售给第三方的经营者不得出售该消费者的个人信息。这项权利可以被称为“选择退出”权。
选择加入权:CCPA规定,如果经营者实际明知消费者年龄小于16岁,则经营者不应出售该消费者的个人信息,除非年龄在13至16岁之间的消费者,或者年龄小于13岁的消费者的父母或监护人,已明确授权经营者可以出售个人信息。
其次,建立全流程数据安全管理制度,明确数据安全负责人和管理机构。建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度,采取相应的技术措施,保障合法合规处理数据。互联网公司应当在网络安全等级保护制度的基础上,履行数据安全保护义务,明确数据安全负责人和管理机构,落实数据安全保护责任。
最后,也需要开展内部数据分类分级管理工作,建立相应管理制度,定期对数据安全岗位相关人员开展数据安全培训,培训内容应涵盖法律法规、管理要求、安全技术等内容;另一方面定期对全员开展数据安全意识培训,加强员工数据安全意识与能力。
JLG伯盛仲合作为多家中国出海企业的常年法律顾问,与客户及其中国律师团队相互配合积累了丰富的经验并获得了客户及其中国律师团队的信任和高度赞扬。JLG将始终为广大出海企业保驾护航,做大家最信任的涉外法律顾问。若您有任何疑问,欢迎点击此处与我们取得联系。
