法国数据保护立法最新动态——《数字共和国法》十大关键点
来源:钱弘道北京大学法学博士,经济学 作者:钱弘道北京大学法学博 人气: 发布时间:2017-03-17
摘要:来源:数据法律资讯 自2015年12月起,法国开始针对管理数字经济的法律进行修订。经过一年的修订,2016年10月7日,法国第1321号《数字共和国法》(Digital Republic Law,以下简称DRA)[1]正式生效。该法引入了许多新的规定,旨在对数字经济进行一体化的管理
|
来源:数据法律资讯 自2015年12月起,法国开始针对管理数字经济的法律进行修订。经过一年的修订,2016年10月7日,法国第1321号《数字共和国法》(Digital Republic Law,以下简称DRA)[1]正式生效。该法引入了许多新的规定,旨在对数字经济进行一体化的管理,管理内容包括数据开放,在线合作经济,打击色情行业,访问互联网等。该法对与隐私相关的行业来说十分重要,在欧盟《统一数据保护条例》(以下简称GDPR)生效之前,DRA率先对法国《1978年数据保护法》和其他法律作出了一系列重要修订。 1法国国家信息自由委员会可处以更高数额的罚款与此前的15万欧元相比,现在法国国家信息自由委员会(以下简称CNIL)有权处以最高额为300万欧元的罚款。根据DRA,一旦GDPR于2018年生效,CNIL就有权根据GDPR第83条的规定,对任何违反数据保护要求的行为处以高达2000万欧元或企业全球年营业额4%的行政罚款。然而,如果法国国内的数据控制者违反了其新修订的数据保护法的规定,而这些规定不在GDPR的适用范围之内,则其仍被处以300万欧元罚款。 2强化个人权利 紧随GDPR,DRA意欲根据《1978年数据保护法》引入一项一般权利,使个人能够自行决定和控制其个人数据的用途,以此强化个人权利。举例而言,DRA明确规定当数据控制者以电子方式收集个人数据时,其必须保证个人能以电子方式行使个人权利。 3应告知数据主体的附加信息DRA要求数据控制者告知数据主体其存储个人数据的期限,如不可能,则应告知其决定期限的标准。所有向公众提供在线通信服务的供应商必须明确告知用户,其有权决定在其死后如何处理其个人数据,包括作出数据处理的最后指示。(详见死后隐私权的内容) DRA规定,在以医学研究为目的而进行的数据处理中,不满18周岁的未成年人的家长、法定监护人或是受法定监护的人的法定代理人,有权接收数据处理的相关信息并行使《1978年数据保护法》规定的权利。但是在《公共卫生法典》所包含的某些类型的医学研究中,不满15周岁的未成年人可以拒绝其家长或法定监护人访问他们因这类医学研究而被收集和处理的个人数据,并且可以独立行使访问权、更正权和拒绝处理权。 4死后隐私权DRA创造性地为个人设立了一项新权利,即个人有权决定在其死后如何处理其个人数据。任何人均可在死前作出关于个人数据存储、清除或披露的一般或具体指示。一方面,一般指示适用于所有被收集和处理的个人数据。这些指示由CNIL或者经认证的第三方存管。另一方面,个人可以向特定数据控制者发送指示,指示在其死后,控制者在什么情况下可以继续使用其所保留的与死者有关的数据。当数据控制者收到个人的具体指示后,必须基于该人的同意才能在其死亡后继续处理相关的个人数据,且数据控制者不能在一般使用条款中免除同意要求。该新条文为个人从社交网络和其他网络平台上的在线个人资料中删除其数据提供了可能性。如果死者生前没有作出任何指示,则死者的继承人可以行使死者的数据保护权利。 5被遗忘权根据《1978年数据保护法》,DRA引入了一项新权利,即个人有权要求数据控制者立即删除个人为未成年人时为提供信息社会服务而收集的个人数据。当数据控制者将数据共享给第三方控制者时,考虑到现有技术条件和实施成本,最初的控制者应采取包括技术手段在内的合理措施,将数据主体要控制者清除所有相关个人数据的链接或副本的要求告知给正在处理个人数据的第三方。 若该数据控制者没有删除数据,或未能在一个月内回应数据主体的要求,该个人可以向CNIL投诉,CNIL必须自收到投诉之日起三周内作出回应。 6增强通信保密性DRA针对电信运营商或是向公众提供在线通信服务的电子通信服务供应商设定了一项新义务,要求其维持通信的保密性,包括信息的内容,发送者和接收者的身份,以及如果可能,信息的主题栏和附件。禁止数据控制者以广告、统计或提升服务质量为目的对邮件或其他类型的电子通信进行自动化处理,除非数据主体已经在实施处理行为的一年前对该处理行为作出了明示同意,且该同意必须是针对每一类型处理行为所作出的特定化的同意。尽管如此,电子信息还是会被自动化分析以显示信息,对信息进行分类排序,或发送信息,或检测病毒与其他形式的计算机恶意软件。 7消费者的一项新权利:数据便携权根据《消费者法典》的规定,DRA增设了一条新规定(第48条),赋予消费者个人数据恢复权和便携权。第48条要求所有为公众提供在线通信服务的供应商应使消费者能够免费地恢复其在网上存储的所有数据,包括资料档案、用户网上账户中所存储的可访问的所有数据,以及与用户网上账户有关且其他数据控制者能轻易做到重复使用和开发的其他类型的数据。数据控制者必须以可读的格式提供数据,若做不到,则必须通知消费者并提供替代方法来恢复用户的数据。 8网络平台供应商DRA为网络平台供应商设定了具体义务。网络平台供应商在满足下列情形时被界定为向客户提供面向公众的在线通信服务的企业:一、能够通过一种计算机算法对第三方(比如搜索引擎)在线提供或展示的内容、商品或服务进行排序或引用;二、允许当事人相互接触以销售商品,提供服务,交换或共享内容、商品和服务(比如在线拍卖或购物网站)。 这些网络平台供应商必须向消费者提供下列内容的真实、清晰和透明的信息:一、平台所要遵守的数据使用一般条款,以及对在此平台上可获取的内容、商品或服务进行排序、引用或取消引用的技术手段;二、是否存在合同或资本关系,或在供应商影响到平台上可获取内容、商品或服务的排序或引用的情形中供应商所要支付的赔偿(remuneration);三、当平台允许消费者联系专业人员或非专业人员时,当事人在民事和财务事务上的权利和义务。 9数据存储不受限DRA的最终文本删除了要求“所有数据必须存储于欧盟范围内且不得转移至欧洲范围之外”的规定。因此不存在要求企业将其数据存储于法国境内的“数据驻留规则”(data residency rules),相反,只要企业遵守GDPR规定的欧盟数据保护要求,他们可以继续将个人数据转移至欧洲范围之外。 10实际影响法国通过DRA释放了一个明确的信号,即:法国非常重视个人数据保护,并热衷于建立强有力的保障措施来保护个人数据。该法表明,即使GDPR在整个欧洲范围内建立起统一的数据保护制度,欧盟成员国仍然可以采用额外的或更严格的数据保护规则。因此,继续适用具体的国家法律意味着企业在欧洲范围内处理个人数据时可能仍需要遵守不同国家的国内法。 [1] 法国第1321号《数字共和国法》英文翻译为“the French Digital Republic Act” 校对/责任编辑:施佳倩
|
