电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

杨雪娇丨舌尖上的地中海数据合规风味大餐——探索意大利的自主与融合

发布日期:2020-03-16

其貌不扬的墨鱼面是每次去水都威尼斯必点餐单上的No.1,意粉的韧劲配上墨鱼汁的鲜味,绝妙地将海鲜与面食协融合起来,虽然吃完模样不太好看,它的味道却让人魂牵梦萦。意大利的个人数据保护立法和监管体系就犹如这墨鱼面,外表低调,内容奢华,层次丰富,同时在GDPR的框架下充分发挥本土立法的自主性,将GDPR与本国立法完美结合,就如墨鱼面在意大利众多美食中脱颖而出一样,意大利的个人数据保护立法和监管体系在一众欧盟成员国中也是相当耐打!




一、意大利个人数据保护的立法框架

2018年5月25日,欧洲议会和欧洲理事会颁布的《通用数据保护条例》(General Data Protection Regulation,以下简称为“GDPR”)开始正式施行并直接适用于欧盟各成员国,同时GDPR在一些特定领域通过开放性条款的形式为成员国通过自主立法,实现立法本地化预留了空间。在GDPR颁布之后,包括意大利在内的大部分成员国都相继颁布了GDPR实施法案对本国的数据保护立法进行修订和补充。

2018年8月8日,意大利通过第101/2018号法令对意大利的《数据保护法典》(第196/2003号立法法令)进行修订使《数据保护法典》符合GDPR的要求。《数据保护法典》于2003年通过并于2004年1月1日正式生效,取代1996年通过的《数据保护法案》,整合了意大利自1996年以来所有与数据保护相关的法律、法典和法令。而此次经第101/2018号法令修订的内容也于2018年9月18日生效。《数据保护法典》主要分为三部分内容:第一部分为一般数据保护规定,设定了数据保护的基本规则,适用于所有主体;第二部分是就为履行法定义务、为公共利益履行职责或者执行公权力以及GDPR第IX章节规定目的处理数据作出的特别规定;第三部分是关于处罚和救济的规则。

除法典外,意大利并无针对不同数据保护领域的专门立法。但一些特别法律也包含了相关的数据保护条款,在处理相关领域的个人数据保护问题时需要遵照,包括但不限于:《劳工法》明确了处理雇员数据时须采取的保护措施;第206/2005号立法法令(即《消费者法典》)对消费者保护进行了特别规定;第70/2003号立法法令(即《电子商务法》)确立了电子商务领域直接适用的强制规定等等。

此外,意大利数据保护监管机构还致力于制定针对各类个人数据保护事项的措施,许多重点领域例如视频监控、生物数据、健康数据、数据泄漏报告、银行和信贷信息、电子健康记录、为营销和自动化识别目的进行数据处理、移动支付,cookies等等都已由数据保护监管机构发布措施进行监管。

刑事立法方面,除《数据保护法典》的刑事处罚规定外,意大利的《刑法典》第615条之三、四、五分别就未经授权访问计算机或远程信息处理系统,未经授权保存和传播可以进入计算机或远程信息处理系统的密码,以及传播旨在破坏或中断计算机或IT系统的工具或计算机程序进行规定。而《刑法典》第635之二、三、四和五则明确了破坏信息、数据和计算机软件的适用范围。




二、《数据保护法典》的特别规定

《数据保护法典》充分利用GDPR的开放性条款,在不违反GDPR的前提下,作出了与GDPR不一致或者对GDPR进行补充的规定,包括但不限于:

1. 关于儿童的同意

GDPR第8条规定在向儿童提供信息社会服务时,若基于儿童同意处理数据,作出同意的儿童须至少满16岁。当儿童不满16周岁时,该数据处理只有获得监护人的同意或授权才合法。同时,GDPR表明成员国可以自行设定比16岁低的年龄,但该年龄不得低于13岁。第101/2018号法令修订时《数据保护法典》则要求儿童年满14岁即可有效表示自己的同意,当不满14岁时,则须由儿童的监护人作出同意。

2. 处理特殊类别数据以及刑事犯罪数据

GDPR规定了特殊类别个人数据原则上禁止处理,除非存在第9条第2款规定的特殊情形。特殊类别个人数据保护包括表明种族或民族出身、政治观点、宗教/哲学信仰的数据、工会成员身份、基因数据、用于识别自然人身份的生物数据、健康相关数据以及与自然人性生活性取向相关数据。同时第4款表明成员国可以就处理基因数据、生物数据以及健康相关数据设定更严苛的条件。

第101/2018号法令修订《数据保护法典》时进一步要求,只有采取特定的安全措施例如对数据进行加密或者匿名化,才可以处理基因数据、生物数据以及健康相关数据。此外,《数据保护法典》原则禁止处理健康相关数据,除非用于以下目的:

(1)预防医学目的;

(2)用于评估雇员的劳动能力、诊断、协助、健康、社会治疗或健康/社会系统及服务管理目的;

(3)为公共卫生这一公共利益。

就刑事犯罪相关的数据,GDPR第10条规定只有在公权力机关控制下进行处理,或者欧盟或成员国已为数据主体的权利自由规范适当保护措施而授权处理。第101/2018号法令修订时《数据保护法典》明确处理该类数据只有基于法律或者监管规定并为数据主体提供适当的安全保障。如果尚未制定相关规定的,应通过司法部的法令确定合法处理该类数据的要求。

3. 数据主体权利的限制

GDPR第23条规定欧盟或成员国在必要时候,在尊重基本权利和自由的本质前提下,可以在通过立法措施限制数据主体的权利。《数据保护法典》限制了GDPR下第15条至第22条规定的数据主体权利,当行使上述权利可能对下列事项造成有效而具体的损害:

(1)受反洗钱法律规定保护的受害人的利益;

(2)议会委员会进行的调查活动和公共部门为货币或财政目的进行的活动;

(3)防御性调查活动或者在司法机关前行使权利。

4. 数据保护官的通知义务

依法须设立数据保护官(DPO)的实体须告知数据保护监管机构DPO的联系方式。数据保护监管机构在官网公布了多种通知方式,并采取了线上通知流程。

5. 处罚规定

在行政处罚和刑事处罚方面,第101/2018号法令修订时《数据保护法典》也对GDPR作出了补充和修订:

(1)行政处罚方面

第101/2018号法令确定GDPR第83条第4款(处以最高至1000万欧元或者上一年度全球年收入2%的罚款,以较高者为准)同样适用于以下违反《数据保护法典》情形:

✦ 就信息社会服务情形下儿童的同意:当数据控制者的信息告知未符合相关要求时;

✦ 当公共通信网络或者公共电子通信服务提供商的信息告知不符合GDPR相关规定;

✦ 未就医药、生物或者流行病学领域的数据处理进行数据保护影响评估。

GDPR第83条第5款(处以最高至2000万欧元或者上一年度全球年收入4%的罚款,以较高者为准)适用于以下违反《数据保护法典》情形:

✦ 基于为公共利益目的的合法性基础处理数据;

✦ 就信息社会服务情形下儿童的同意:当儿童的同意是以不恰当的方式获取时;

✦ 就生物数据、基因数据和健康相关数据处理未采取适当安全措施;

✦ 刑事犯罪个人数据处理。

(2)刑事处罚方面

第101/2018号法令为《数据保护法典》增加了以下刑罚规定:

✦ 非法交流和传播数据:当为盈利目的进行大规模数据处理,或者违反《数据保护法典》导致损害,将被处以1至6年的监禁;

✦ 非法获取个人数据:当为盈利目的进行大规模数据处理,或者违反《数据保护法典》导致损害,将被处以1至4年监禁。

同时,第101/2018号法令还对《数据保护法典》现有的刑罚进行修订:

✦ 对数据保护监管机构作虚假陈述和故意妨碍数据保护监管机构行使权利(例如调查);

✦ 不遵守数据保护监管机构的决定;

✦ 违反对雇员进行远程监控或者禁止意见调查的规定,将参照《劳工法》的规定进行制裁。




三、数据保护监管机构Garante

意大利在1996年的《数据保护法案》中就设立了数据保护机构监管机构Garante,将其作为一个独立的管理机构,致力于保护与数据处理相关的基本权利和自由以及确保个人的尊严得到尊重,后续的《数据保护法典》对其进行了保留。而作为GDPR实施法案的第101/2018号法令确定Garante还将负责监督GDPR在本国的适用。

Garante是一个有四名成员组成的合议机构,其中包括一名主席,一名副主席和两名组成成员。成员由议会选举产生,任期七年。

Garante的职责广泛,具体包括:监督个人数据处理是否合法合规,在适当的情况下要求数据控制者和数据处理者采取特定措施使数据处理合法;处理申诉;禁止或限制对个人数据主体可能产生重大影响的数据处理活动;采取数据保护立法中规定的措施;提请政府和议会酌情注意需要在各行各业通过具体的法律或条例;提升公众隐私户数保护意识;发布意见等等。




四、Garante的近年监管重点

从2018年下半年以来,Garante着重检查了以下领域的数据处理活动:(1)管理着大数据库的企业和公共行政部门的数据处理活动;(2)信贷机构的数据保护措施(特别是个人数据泄漏报告有关);(3)为电话营销目的的数据处理。特别是最后为电话营销目的数据处理,Garante已向多家企业开出大罚单,最大的一张是今年1月20日向电信公司TIM开出的总计2780万欧元的罚单。

从2017年1月至2019年间,Garante收到数百起有关TIM的投诉,该公司在未经客户同意或者即使客户已经在公开登记册上(public register of objections)登记明确表示拒绝接听营销电话的情况下仍进行电话营销。除此之外,针对客户的App提供不正确和不透明的数据处理信息,以及使用无效的获得用户同意方式。在某些需要填写纸质表格的场合下,还存在一个单一同意用于多种不同目的的情形,其中包括电话营销。另外,TIM还涉及未采取适当的安全措施保护个人数据(包括与呼叫中心交换黑名单),超长存储数据超过必要期限。基于上述种种违法行为,Garante向TIM开出2780万欧元罚单并命令其采取20项整改措施。

2020年2月18日,Garante在官网新闻中公布2020年上半年度的检查计划,指出在2019年进行的检查处罚活动涉及处罚数额共计约1591万欧元,表明Garante将重点关注以下领域的数据处理活动:医药和健康领域的跨国公司数据处理、电子发票平台、食品外卖公司、电子银行服务、检举管理系统、电话呼叫中心的电话管理和录音情况、营销行为以及数据主体使用忠诚卡情况。此外,Garante还将特别关注处理特殊类别个人数据的公共行政部门和企业所采取的安全措施,以及在提供信息、获取数据主体明确同意以及数据存储期限方面的合规情况。当然,Garante也将根据报告和申诉情况,特别是针对严重违法行为开展检查活动。

 舌尖上的地中海数据合规风味大餐 

❖  品味西班牙的精细

或许您还想看

杨雪娇:密码法草案——重塑商用密码管理制度

周杨、杨雪娇:“告知同意”原则的新发展及对保险业务数据应用带来的影响

杨雪娇,北京德和衡律师事务所互联网与TMT业务中心网络安全与数据合规业务部律师助理(实习律师),毕业于浙江大学和德国慕尼黑大学。擅长互联网产品法律风险分析及控制,并尤为擅长研究和解决网络安全与数据保护、电子商务等领域内的产品合规问题。

联系方式

电话:13810048335

邮箱:yangxuejiao@deheng.com

质控人:辛小天 互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

  • 娄鹤

    主任

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

团队其他成员

  辛小天       江智茹       史蕾       陈国彧       于赓琦       唐莹       周杨       许瑛毅    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计