中国信通院发布《欧盟GDPR合规指引》
欧盟《通用数据保护条例》(以下简称“GDPR”)于2016年5月24日正式生效,并于2018年5月25日全面实施,在全球范围内引起了广泛关注。纵观其演进历史,欧盟的个人信息保护起源于传统隐私保护,发展至今先后历经以《1981年个人数据保护公约》、《1995年个人数据保护指令》(以下简称“95指令”)和GDPR为主要表现形式的三个阶段。
在互联网和大数据崛起的新环境下,欧盟认为95指令不能切实保护数据主体的权利和自由,也无法对成员国之间的个人数据保护法加以协调。因此自2009年开始,欧盟启动个人数据保护框架的改革工作,旨在强化数据主体权利保护,统一欧盟各成员国的数据保护立法进程。GDPR以“一个大陆、一部法律”为蓝图,实现了在欧盟28个成员国内部建立统一个人信息保护和流动规则的立法初衷,被称为“史上最严格的数据保护法”。
GDPR实施一周年之际,5月28日在贵阳举办的2019年中国国际大数据产业博览会“人工智能产业与数据跨境业务的法律监管国际论坛”上,中国信息通信研究院安全研究所联合对外经济贸易大学数字经济与法律创新研究中心、北京大学法治与发展研究院、奋迅律师事务所、科文顿"柏灵律师事务所、京东集团,共同发布《欧盟GDPR合规指引》,为深入理解GDPR提供了有益思路。
《欧盟GDPR合规指引》按时间线梳理了GDPR的立法背景和施行进展,详细阐述了GDPR相较于95指令在扩张域外适用效力、扩张数据主体权利、强化数据控制者和处理者问责、丰富数据跨境流动机制、改革数据保护监管体制等五大方面的新增制度要点。
《欧盟GDPR合规指引》主体部分重点梳理了GDPR的合规体系,涉及风险评估、组织架构保障、合规体系设立与执行、合规培训及宣讲、合规体系执行的监督和审计等五个维度。此外,《欧盟GDPR合规指引》也格外关注了GDPR与我国法律的内容比较及冲突应对,详细解答了GDPR的疑难问题并给出了实用的合规建议。