解读制定符合GDPR的隐私政策时的要点
如果处理欧盟(EU)域内用户的个人信息,就必须遵守《欧盟通用数据保护条例》(GDPR),并且需要制定符合GDPR的隐私政策。然而,不少人因为对GDPR的细节理解不够透彻,可能会不清楚自己的网站是否需要遵守GDPR,以及应该如何应对。
因此,本文将解释GDPR的基本概念,并指导您如何制定符合GDPR的隐私政策。此外,我们还将介绍日本的应对情况和一些知名企业的案例,供您参考。
关于GDPR与隐私政策
符合GDPR的隐私政策应该是怎样的呢?本文将解释GDPR的概要以及GDPR隐私政策的义务。
GDPR与隐私政策
GDPR是欧盟制定的详细规定个人信息保护及其处理的规则。GDPR适用于欧洲经济区(EEA:包括欧盟成员国、除瑞士外的EFTA成员国冰岛、列支敦士登和挪威)。在以下情况下,即使是日本企业也可能受到GDPR的适用:
- 向EU境内的数据主体提供商品或服务
- 在EU境内监控数据主体的行为
数据主体是指被识别或可被识别的自然人,即个人数据相关的个人。
符合上述条件的企业需要审查并修订其隐私政策(隐私声明)。如果违反GDPR,可能会被处以最高2000万欧元的罚款,或全球销售额的4%。
参考:日本贸易振兴机构|「欧盟一般数据保护条例(GDPR)」[ja]
为了放心地进行与EU国家的交易,检查隐私政策是必不可少的。
GDPR规定的个人数据获取时的“信息提供”
GDPR规定,在获取个人数据时,管理者必须向数据主体提供一定的信息,GDPR第12条第1款规定了信息提供的方式。
内容如下:
- 简洁、透明、易懂且容易获取
- 使用明了且简单的语言
- 向儿童提供信息时,采取适当措施
- 通过书面或在适当情况下通过电子方式,或其他方式提供
- 如果数据主体要求,可以口头提供信息
此外,GDPR第12条第5款还规定,提供信息应当是免费的。请检查贵公司的隐私政策是否满足上述要求,并根据需要进行修订。
修订符合GDPR的隐私政策时的要点
在GDPR中,分别针对“从数据主体本人获取个人数据的情况(GDPR第13条)”和“从非数据主体处获取个人数据的情况(GDPR第14条)”,列出了多项个人数据管理者应向数据主体明确说明的事项。
管理者应明确说明的事项包括以下几点:
- 管理者的身份信息、详细联系方式
- 如有代理人,其身份信息、详细联系方式
- 数据主体的访问、更正、删除、限制、数据可携带性、提出异议的权利
- 个人数据处理的目的、法律依据
- 个人数据的保存期限,或确定该机构的标准
- 相关的个人数据类型
在明确说明的事项中,有些是日本隐私政策中未包含的,因此在修订时需要特别注意这些内容。关于基于日本个人信息保护法的隐私政策,请参考以下文章。
相关文章:基于个人信息保护法的隐私政策制定要点是什么?[ja]
本文将重点解释在基于日本个人信息保护法的隐私政策中未包含的内容,以及修订的要点。
数据处理合法性的依据
在GDPR(通用数据保护条例)中,与日本《个人信息保护法》不同,明确规定了“数据处理合法性的依据”。个人数据处理合法的依据有以下六点(GDPR第6条)。
- 数据主体的同意
- 合同的履行
- 法律义务
- 与生命相关的利益
- 公共利益
- 正当利益
只要适用以上六点中的任何一点,就可以被认为是合法的,因此应在隐私政策中明确说明。对于首次获取信息的个人,可以通过新的隐私政策获得其同意来应对。
但是,需要注意的是,对于已经获得同意的用户的处理。对于在隐私政策修订之前已经获得同意的人,可能需要重新获得同意。
在这种情况下,可以在隐私政策中列出六个合法依据中的任何一个,并以此来获得对修订的同意。
信息获取项目及其使用目的
在传统的隐私政策中,通常会在同一页面上列出获取的信息、使用目的和使用条款等内容,并一并获得用户的同意。然而,根据GDPR(通用数据保护条例),需要明确用户同意的具体对象。
建议按照获取的信息分别列出使用目的,并采用相应的显示格式来分别获取用户的同意。
使用目的的明确化
在GDPR中,必须明确表示获取信息的使用目的。例如,如果使用目的仅表述为“为了提升服务”,这样的内容过于模糊,可能会被认为是不适当的。
此外,不得进行与既定目的不相符的额外处理,因此在修订隐私政策时也应注意这一点。
删除权与数据可携带权
许多企业在传统的隐私政策中已经包含了访问权和更正权。然而,在GDPR(通用数据保护条例)中,还要求必须明确提及“删除权与数据可携带权”。
删除权是指用户有权要求管理者删除其个人数据的权利。数据可携带权则是指个人数据可以被转移到另一项服务中的权利。
例如,可以将用户的数据和通话记录等从手机运营商A转移到手机运营商B。为了遵守GDPR,隐私政策中必须包含这些权利的相关说明。
明确数据保存期限
在《通用数据保护条例》(GDPR)中,要求明确一个以前在隐私政策中往往未被提及的内容——个人信息的保存期限。如果无法确定具体期限,也可以通过明确保存期限的决定标准来满足要求。
日本企业对GDPR的应对状况
我们将介绍由一般财团法人日本信息经济社会推进协会和株式会社ITR共同发布的《2021企业IT利用动向调查》详细版[ja]的调查信息。
根据调查结果,已经对GDPR做出应对的企业并不多,正在应对(考虑中)的企业占比最高,为26.1%。截至2021年的统计数据显示,与欧盟没有个人数据传输往来的企业也呈现出较多的趋势。
与欧盟个人数据交换的调查结果如下:
从上图可以看出,回答“目前没有交换,未来也没有计划”的企业占44.4%,为最多。回答“过去有交换,但自GDPR实施以来,欧盟和日本分别处理数据”的企业占12%。
回答“目前没有交换,但计划未来会有”的企业占25.9%,“目前正在交换”的企业占17.6%,虽然未来与欧盟交换数据的企业有增加的可能,但从2021年的调查结果来看,这样的企业仍然较少。
来源:JIPDEC/ITR《企业IT利用动向调查2021》[ja]
知名企业对GDPR的应对
许多企业希望修订其隐私政策以符合GDPR,但可能不清楚具体应该如何修改。本文将详细解读作为企业GDPR应对案例的Google和Facebook对GDPR的具体应对措施。
谷歌对GDPR的应对措施
为了应对《欧盟通用数据保护条例》(GDPR),谷歌宣布了以下措施:
- 提高对用户的透明度
- 改善用户的管理能力
- 增强数据可携带性
- 改进保护者同意和儿童适当使用互联网的工具
- 支持商业用户和合作伙伴
- 加强隐私合规计划
下面我们将详细解释这些措施。
参考资料:谷歌「针对欧盟通用数据保护条例(GDPR)的谷歌准备工作[ja]」
提高对用户的透明度
为了让用户更容易理解Google收集的信息及其原因,以及便于找到这些信息,我们正在改进和更新隐私政策。其他新增的内容包括:
- 添加了关于信息管理、导出和删除的详细说明
- 除了文本,还增加了视频和图表
此外,我们也修改了设置,使隐私设置页面更容易打开。
用户管理的改进
为了符合《欧盟通用数据保护条例》(GDPR)的要求,我们改进了用户管理方法。具体的变更内容如下:
- 在“我的活动”中可以查看和删除数据
- 增加了按主题、日期、产品搜索的功能
- 可以确认适合自己的隐私设置
- 可以管理和隐藏显示的广告
- 通过Google仪表板可以掌握数据
此外,自GDPR实施之前,我们就已经使用户信息和广告等更易于管理。
提升数据可携带性
谷歌拥有包括Google照片、Google云端硬盘、Google日历和Gmail等多种服务。为了符合GDPR(通用数据保护条例)的要求,谷歌正在实施以下提升数据可携带性的措施:
- 扩充支持数据下载的服务和管理项目
- 增加定期下载数据的计划任务功能
加强监护人同意与儿童适当使用互联网的工具改善
Google为了监护人和儿童能适当使用互联网,提供了家庭链接(Family Link)应用程序。通过使用家庭链接,监护人可以为儿童创建专用账户。
该应用程序允许设置和管理家庭规则,如“管理使用时间”和“暂停设备”的功能。
商业用户与合作伙伴支持
为了应对《欧盟通用数据保护条例》(GDPR),我们更新了Google合作伙伴(如广告主和网站运营者)在网站或应用内请求用户同意的相关政策。其他更新内容包括:
- 提供支持遵守GDPR的工具
- 加强使用Google广告服务的企业的认证流程
- 更新数据处理条款
- 提供数据可携带性、数据事件通知等详细信息
加强隐私合规计划
为了应对《欧盟通用数据保护条例》(GDPR),我们正在加强隐私合规计划。具体内容如下:
- 改进隐私保护程序
- 加强产品审查流程
此外,我们也在对数据处理进行更全面的文档化。
Facebook对《通用数据保护条例》(GDPR)的应对
Facebook宣布了以下措施以应对《通用数据保护条例》(GDPR):
- 确认从展示广告中获取的信息
- 选择个人资料信息
- 确认面部识别技术(欧盟和加拿大)
- 更新的服务条款和数据相关的同意
- 引入便于访问、删除和下载信息的功能
- 向年轻用户提供的信息
下面我们将详细解释这些措施。
参考:Facebook「关于遵守《通用数据保护条例》(GDPR)和提供新的隐私保护措施[ja]」
确认从展示广告中获取的信息
Facebook的合作伙伴会使用“赞”按钮点击和Facebook提供的工具获取的信息来展示广告。Facebook向用户提供有关广告的信息,并允许用户选择是否同意合作伙伴使用这些信息来展示广告。
选择个人资料信息
Facebook的个人资料中可能包含政治观点、宗教信仰和人际关系信息。用户可以选择是否继续公开这些信息,以及是否允许将公开的信息用于广告。
用户可以随时自由选择个人资料信息,并且如果用户愿意,可以轻松删除这些信息。
确认面部识别技术(欧盟和加拿大)
Facebook允许欧盟成员国和加拿大的用户选择是否使用面部识别技术。其他地区的用户也可以自由选择是否使用。
更新的服务条款和数据相关的同意
Facebook将向用户展示同意“服务条款”和“数据政策”,这些文件包含了关于服务机制的详细信息。
引入便于访问、删除和下载信息的功能
通过使用“个人数据管理工具”,用户可以检查和删除有关自己的数据。此外,Facebook也简化了数据下载和导出的过程。
Facebook更新了移动设备上的活动日志功能,使用户更容易查看过去分享了哪些信息。
向年轻用户提供的信息
Facebook本身就对十几岁的用户设置了限制,具体包括:
- 广告类别的限制
- 面部识别的使用禁止(18岁以下)
- 限制查看和搜索十几岁用户分享的信息
此外,Facebook的默认设置是不公开信息。
为了应对GDPR,Facebook还特别设立了规定。对于欧盟成员国的用户,查看广告和在个人资料中填写信息(如宗教信仰、政治观点等)需要父母或监护人的许可。
在其他地区,用户可以选择是否同意合作伙伴使用从他们那里获取的数据来展示广告,以及是否公开个人资料中的个人信息。
总结:GDPR相较于日本法对个人数据的范围更广,必须要做出相应
在GDPR中,有各种规定,如“明确每项获取信息的使用目的”、“明确删除权和数据可携带权”、“明确保存期限”等,这些规定使得用户的权利范围比传统的日本法要宽泛得多。
一旦违反GDPR,就可能需要支付巨额的罚款,因此,处理欧盟境内个人信息的企业必须遵守GDPR。在欧盟境内开展业务或考虑未来进入的企业,应当制定符合GDPR的隐私政策。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,全球商务不断扩大,专业的法律审查需求也日益增加。我们事务所提供国际法务解决方案。
Monolith法律事务所的业务范围:国际法务・海外业务[ja]
