投资法国:关于数据和隐私合规您应该知道什么?

投资法国:关于数据和隐私合规您应该知道什么?

I. 立法和主管部门

 

主要立法

欧盟通用数据保护条例(GDPR:自2018年5月25日起生效,是欧盟的主要数据保护立法。

法国数据保护法(FDPA:自1978年1月6日起生效。为遵循GDPR的要求,后于2018年6月20日由两项法令完成修订。

主管部门

法国国家信息自由委员会(CNIL):法国数据保护机构,其任务是确保数据隐私相关法律法规的有效实施。CNIL还发布了许多针对特定领域数据保护的建议和指导方针,如健康、保险、举报制度等方面。

 

II. 基本定义 1

 

数据控制者

指单独或与他人共同决定处理个人数据的目的与方式的自然人或法人、公共机构、规制机构或其他实体。

数据处理者

指为了数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。

数据主体

指已识别或可识别的自然人。

个人数据

指与数据主体有关的任何信息。

敏感数据

指那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据。

 

III. 数据控制者和处理者的主要义务 2

 

数据处理记录

每个数据控制者、处理者和他们的代表都应保存所有类别处理活动的记录,并应根据要求向监管机构提供该记录。

数据保护影响评估

当处理过程可能会对相关人员的权利和自由带来高风险时,数据控制者必须进行数据保护影响评估。

数据保护官的任命

在以下情况下,必须任命数据保护官:①对个人进行大规模常规和系统性的监控;或②对敏感数据进行大规模处理。

数据泄露报告

数据控制者在知悉数据泄漏后应当至迟在72小时内将该情况告知主管的监管机构,除非该泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,数据控制者应当提供延迟告知的原因。

数据处理者在知悉数据泄露后,应当及时告知数据控制者,不得无故拖延。

 

IV. 数据主体权利 3

 

访问权

数据主体应当有权从控制者那里得知其个人数据是否正在被处理。如果正在被处理,则数据主体应当有权访问个人数据并获知一定数量的额外信息。

更正权

数据主体应当有权要求更正与其相关的不正确信息。

擦除权

数据主体有权要求控制者擦除其个人数据。

反对权

数据主体有权随时以特殊情况、公共或合法利益为由对个人数据处理提出反对。

携带权

数据主体有权获得其提供给控制者的相关个人数据,且其获得的个人数据应当是经过整理的、普遍使用的和机器可读的。数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。

 

V. 处罚

近年来CNIL开出过一系列重大罚单,如:

1. 谷歌:不合规的Cookie设置及透明度的缺乏

2021年12月,谷歌被罚款共计1.5亿欧元,因其网站提供了一个接受Cookie的按钮,但没有类似的拒绝Cookie的按钮,用户需要经过多次点击才能拒绝所有的Cookie。这种设计意味着用户更可能出于方便考虑而接受Cookie,干扰了互联网用户的同意自由。更为严重的是,大量的人受到 影响,而公司可以通过Cookie收集的数据从广告收入中获得巨大的利润。CNIL曾在2021年2月就这一漏洞向谷歌发出警告,其命令谷歌在3个月内为法国用户提供拒绝接受Cookie的简便方法,否则每拖延一天就要支付10万欧元。最终,罚款由谷歌及谷歌爱尔兰公司各分摊支付9千 万欧元及6千万欧元。

2019年1月,谷歌被罚款5000万欧元,原因是其在告知用户如何处理他们的数据时没有足够透明和清晰,以及在个性化广告方面缺乏有效的用户同意。

2. 家乐福:不符合数据保护要求

2020年11月,法国家乐福被罚款225万欧元,家乐福银行被罚款80万欧元。对于家乐福法国公司而言,CNIL发现了公司一些不合规的情况,包括向数据主体提供的信息不完整、不充分、不容易理解,数据存储时间过长,以及没有回应数据主体要求行使其对个人数据的访 问权或对短信或电子邮件广告的反对权。对于家乐福银行而言,CNIL裁定该公司未能公平处理数据主体的个人数据,未能按照GDPR的要求通知数据主体,也未能合法使用Cookie。

相比于中国近些年才出台的较为分散的数据和隐私合规立法,法国自1978年便设立了相关制度且其立法在GDPR时代变得更为集中。中法数据和隐私合规制度也有很多实质性的区别,如立法的适用范围、敏感信息的定义、本地化数据存储的要求等。

总之,在法投资时,企业应充分了解其在数据保护方面的义务。ASIALLIANS团队对中法数据和隐私合规方面都有深入的了解,可以协助企业遵守在法国的合规要求。如需更多详情,请联系我们:asiallians@asiallians.com

  1. GDPR第4、9条;FDPA第2、6条。
  2. GDPR第30、33、35、37条;FDPA第57-58、60、62条。
  3. GDPR第16-17、20-21条;FDPA第50-52、56条。