数据执行保护
本文要点?为保护未成年人制定的有关同意、“未招揽通信”接收人和敏感数据的更加严厉的处罚;
?14岁是能够给予同意的最低年龄;
?刑事处罚以及更容易解决未决诉讼;
?在雇佣关系内处理个人数据的道德标准;
?电子通信服务运营商的具体义务;
《通用数据保护条例》(“GDPR”)和《网络与信息安全指令》(“NIS Directive”)项下通知义务的重合。
2018年9月19日,意大利2018年第101号《法令》(“《法令》”)生效。在欧洲《通用数据保护条例》(“GDPR”)[1]生效后,意大利通过《法令》修订了《个人数据保护法》(2003年第196号立法,“《个人数据保护法》”)。《法令》的新版本将《通用数据保护条例》作为处理个人数据的主要法规,并规定必须尊重个人尊严和基本权利及自由。《法令》还对行政处罚和刑事处罚作出了重大改革,以方便解决未决处罚程序。
新数据隐私法>>改革概述
未成年人:为获得与向儿童直接提供信息社会服务有关的个人数据处理同意,在意大利设定的最低年龄是14岁。《通用数据保护条例》设定欧洲最低标准为16岁,但意大利已执行《通用数据保护条例》中规定的权利,即允许成员国将这一年龄降低。
基因数据、生物识别数据和健康数据:《法令》执行《通用数据保护条例》第9条第4款,规定个人数据保护权利机关(“数据保护机构”)为基因数据、生物识别数据和健康数据所应采取的安全保护措施,该等保护措施每两年更新一次,遵守相关保护措施是合法处理数据的前提条件。数据保护机构还确认给予同意(将在必要时)的简易程序。此外,《法令》整体禁止传播生物识别、基因和健康数据(《个人数据保护法》中已为后一类的数据规定了禁令)。这意味着不得向身份不明的人士传播个人数据,且不得由任何人随意处置或用于协商。《法令》允许为执行个人数据的受限访问程序使用生物识别数据,但必须是控制人在《通用数据保护条例》第32条项下必须执行的数据保护的技术和组织措施的范围内。
与刑事定罪和犯罪有关的数据(如果数据处理并未在政府机关的控制下执行):如果法律规定应获得授权,并规定应对相关人士的权利和自由提供适当的安全保护措施,则如果已经按照法律或法规的规定获得授权,这些数据的处理将被允许。如果没有获得此项授权,相关处理和相关安全保护措施将在与数据保护机构协商后,由司法部颁布的法令决定。
相关人士权利的限制(《通用数据保护保利》第15条至第22条:访问、修改、“被遗忘权”、处理限制、可携带性、异议以及自动决定范围内的安全措施):对数据持有人行使这些权利,或通过向数据保护机构提出投诉行使这些权利在某些情况下是受到限制的,因为在该等情况下,这些权利的行使可能影响其他权利或相关权益(例如,反洗钱法规定的权益)。《法令》规定,有关该等权利的限制、延误或除外情况的“详尽通知”必须尽快向相关人士交付。
职权授权:一旦获得指定,数据持有人或处理人可自行向其授权的自然人分配与数据处理有关的工作和职能。
“罗宾逊名单(Robinson List)”:当相关人士通过在异议公众登记册登记的方式行使其异议权时,《法令》确认,禁止为所谓“直接营销”目的处理与报纸或电子名单上的个人数据有关的数据。
指导方针:依据《通用数据保护条例》第58条第6款行使向每一成员国提供的权利,《法令》向数据保护机构授予权利,允许其采取与组织和技术措施有关的指导方针,以执行《通用数据保护条例》的原则,包括数据处理的最小化原则。
雇佣关系中行为的道德标准:数据保护机构还必须在雇佣关系内提升数据处理的道德标准,并在行使《通用数据保护条例》第88条对每一成员国规定的权利时,规定向相关人士提供信息的具体方法。遵守司法部以颁布法令的形式在意大利政府公告上公布的道德标准,这将构成数据处理合法性的先决条件。
处理简历中的数据无需同意:《法令》明确,在简历发送人发送简历后,隐私陈述必须在首次与其联络后作为即时应用软件向简历发送人发送。在根据相关人士请求采取的为执行前合同措施的有限目的范围内(《通用数据保护条例》第6(1)(b)条),处理简历内的个人数据无需获得同意。
>>行政处罚
《法令》规定,如违反如下条款,相关责任人将面临高达20,000,000.00欧元或(如为企业)该企业全球范围内年营收4%的巨额罚款,且以数额较大者为准:
– 有关未成年人个人数据处理必须取得其父母或监护人同意的规定;
– 有关所谓“垃圾信息”的规定;
– 有关公共网络服务商或为公众可获取的通讯服务处理的订阅人及用户通讯量的数据处理相关规定;
– 有关个人基因、生物及健康数据的保护;
– 特定类型数据处理的道德标准,包括涉及雇佣关系存续期间处理个人数据;
– 保险监管机构(IVASS)出台有关为预防、打击强制第三方保险领域欺诈行为而建立的索赔数据库的运作方式及规程的规定;
– 禁止为不涉及数据持有人所提供活动、产品或服务的营销、销售或开展市场调研或商业往来之目的向第三方传达、转让及传播登记在异议公众登记册的个人数据。
>>刑事处罚
就刑事处罚而言,请注意虽然《法令》初稿意图通过彻底删除刑事处罚实现大规模去刑事化,但新《法令》仍涉及如下犯罪行为,其中原《个人数据保护法》对部分犯罪行为已有所规定,而此次更新的《个人数据保护法》另外规定了其他犯罪行为。
但无论如何,《法令》明确将属于2001年第231号法项下规定的相关犯罪行为清单、有关个人数据保护的犯罪行为,即有关企业需为其员工的犯罪行为承担责任摈除在外,不纳入更新后的《个人数据保护法》。
?非法处理个人数据
保留《个人数据保护法》第167条规定,但延伸了其适用范畴,不仅适用于谋利驱使的犯罪行为(此前规定),更新后措辞更改为还包括意图对他人造成损害而犯下的犯罪行为。
该犯罪行为将面临6至18个月的刑期。但如果相关数据属特殊类别数据(依《通用数据保护条例》第9条规定)且涉及定罪及犯罪行为(依《通用数据保护条例》第10条规定),且系为自身或其他人士谋利而使用数据或数据的使用给其他相关人士造成损害,还将面临最高3年的刑期。《法令》规定了公诉人同数据保护执法部门之间的信息流动,即当公诉人得知根据《个人数据保护法》第167条规定发生违法行为后应不加延迟地通知数据保护执法部门,而数据保护执法部门以详尽报告的形式向公诉人提供其在调查过程中收集的文件。为防止处罚过度,如行政处罚同样适用该案件,应相应减轻该案件所适用的刑事处罚。
?大规模处理个人数据的违法交流及传播
《个人数据保护法》第167-bis条规定了一项新的犯罪行为,旨在处罚在意图给他人造成损害或为自身或他人谋利目的驱使下,违反特定法律要求而大规模传播数据的行为(例如,相关人士未就此给予同意)。该罪行将面临1至6年不等的刑期,但是如果同时适用行政处罚,所判处的刑期应减少。
?以欺诈手段获取大规模处理的个人数据
《个人数据保护法》第167-ter条进一步规定,如果任何人士以欺诈手段取得经大规模处理、包含个人数据的自动生成档案或其实质部分,以此谋利或给他人造成损害的,构成犯罪,将面临刑事处罚,该条规定同第167-bis条紧密相连,刑期为1至4年。
?向数据保护执法部门作出虚假陈述,阻挠数据保护执法部门执行任务或行使职权
原《个人数据保护法》第168条规定,向数据保护执法部门作出虚假声明或陈述将面临刑事处罚,刑期为6个月至3年不等,该条规定在更新后予以保留。此外,故意阻挠或干扰数据保护执法部门的监管举措或相关法律程序或数据保护执法部门调查工作的,将面临最高刑期为1年的刑事处罚。
?违反数据保护执法部门管理办法
保留原《个人数据保护法》第170条对相关罪行的刑事处罚,尽管有关人士提议拟废除该条规定。《法令》规定,此项罪行将面临3个月至2年监禁。
?违反关于远程监控以及调查员工意见的规定
《个人数据保护法》第171条保留了关于违反劳动法的相关规定。可能招致处罚的行为包括使用旨在监控员工行为的工具、未经内部劳资委员会或雇员代表机构事先同意也未经劳工监察局授权安装潜在的监控设备(1970年第300号法律(即劳工法)第4条)以及调查与员工职业技能评估无关的事实(1970年第300号法律第8条)。实施上述行为可能被处以154.00欧元至1,549.00欧元的罚款或者15日到1年的监禁,构成更加严重的违法情形除外。情节严重的,可能单处或并处罚款、监禁以及追究刑事责任。如果考虑到用人单位的经济状况,上述罚款基准金额对不足以有效处罚违法行为,法院可以将罚款金额增加至不超过基准金额的5倍。
?有利于被告原则(Favor rei)
关于有利于被告原则,《个人数据保护法》第24条规定,对于发生于2018年9月19日之前的并且根据新法不再被认定为犯罪的行为,适用行政处罚代替刑事处罚,但前提是尚未作出最终、约束力的判决。在后一种情况下,鉴于法律不再将相关行为认定为犯罪,有可能通过执行法官撤销判决。
>>方便诉讼程序结案
《法令》规定,截至于2018年5月25日尚未结案的处罚程序(相关程序并未因禁止令而判决),可以通过支付最低处罚金额五分之二的金额解决。为实现这一目的,当事人必须在2018年9月19日起的90日内付款。该期限届满后,如果当事人未提交答辩,《法令》规定当事人必须按照违法行为通知书或者先前投诉所列的处罚决定执行。
>>为公众提供服务的电信服务运营商的义务《法令》确认,电信行业运营商(例如电话或互联网服务供应商)有义务指定适当措施,保护交通及位置等个人数据,并确保实施数据安全政策。欧盟《通用数据保护条例》规定了同利益相关方沟通时的清晰原则,《法令》也遵照该条例明确规定向服务订购人以及(如可行)向用户提供的信息政策和网络安全违规风险通知((先前版本《个人数据保护法》已经将此作为一项强制义务)时,必须在考虑到相关人士的类别和年龄组别(并且相关人士是未成年人的情况下特别注意)的前提下采用清楚、适当和适合的语言。
然而,欧盟《网络与信息安全指令》[2]规定的核心服务运营商向计算机安全事件应急小组(CSIRT)报告安全事件的义务,并不适用于电信服务运营商[3],除了其承担的特定行业的义务外。《网络与信息安全指令》以及为实施该欧盟指令而通过的2018年第65号《法令》认定的核心服务为银行、金融市场、能源、数字服务和基础设施、运输和医疗。关于其他运营商,第29条项下关于数据保护的工作组警告,安全事件也可能被认定为违反个人数据保护规定,因此除了《网络与信息安全指令》规定的报告外,还应当按照《通用数据保护条例》第32条向数据保护主管机关提交单独报告(所谓数据安全事故)。
注释:
[1] 欧洲议会和欧洲委员会2016年4月27日有关就处理个人信息保护自然人和保护该等数据自由移动的第2016/679 号条例(欧盟),以及废除第95/46/EC号指令(《通用数据保护条例》)。
[2] 欧洲议会和理事会 2016年7月6日颁布的2016年第1148号指令关于欧盟内网络和信息安全通用措施的规定。该指令通过2018年第65号法令在意大利执行。
[3] 根据《电子身份识别和信托服务指令》(eIDAS)(欧洲议会和理事会2014年7月23日关于内部市场电子交易的电子识别和信托服务欧盟2014年910指令,废除1999/93/EC号指令),此类豁免主体是公共通信网络的其他供应商以及信托服务供应商(例如电子签名服务的供应商)。
来源:高伟绅律师事务所
