3 八月 2021

瑞士数据保护法

瑞士联邦国会于2020年秋天通过了修订后的瑞士数据保护法,新法将于2022年生效。此次修订加强了现行数据保护法对个人数据的保护,使其与欧盟一般数据保护条例(GDPR)提供的保护水平相一致。新法也旨在确保瑞士给予个人数据充分的保护。

基本原则不变

虽然现行的数据保护法已被全面修订;整体而言,企业无需改变处理个人数据的方式。在新法中,数据处理的基本原则保持不变,只有一个例外:法人实体的个人数据不再受到保护,尽管一些一般性保护仍然适用。私营领域的数据处理原则上是允许的;只有在某些情况下,才需要提供理由(或法律依据),这一点保持不变。

因此,新法继续偏离欧盟GDPR,后者要求,除非有法律依据,如同意、履行合同、充分的合法利益或法律规定,否则一般禁止处理个人数据。

同意:比GDPR限制少

在有效同意的要求方面,新的瑞士数据保护法并没有像GDPR那么严格。与瑞士目前的法律状况相比,除了在识别分析(Profiling)方面有一个小的修订(见下文)外,基本上没有什么变化。无需告知撤销的可能性,而且多个同意声明可进行合并。

可以证明数据处理活动合理性的依据基本与现行数据保护法相同,并且超出了GDPR规定的范围。稍有限制的是非个人处理目的(如统计用途)的理由,这也是信贷机构经常依据的理由;在数据主体提出要求的情况下,信贷机构须删除超过十年的数据。

“设计时即进行隐私保护”的原则也被明确写入法律,但严格来说,该原则一直存在——甚至已经存在于现行的数据保护法中。实际上,唯一的新规定是瑞士特色的“隐私保护作为默认设置”,它只适用于(在线)服务的提供者提供数据保护设置作为该服务的一部分的情形,并且这些设置必须是默认的,以便将数据处理限制在预先确定的最低限度内。

更多的治理义务:清单、数据保护影响评估、报告

与GDPR的情况很相似,新法的主要变化是新的治理义务,如保存数据处理活动记录的要求、向联邦数据保护和信息专员(Federal Data Protection and Information Commissioner,FDPIC)报告数据丢失和其他数据安全漏洞的义务以及对敏感数据处理进行数据保护影响评估的义务。这三项要求均可比照GDPR下的相应条款,对于尚未就GDPR进行相关工作的企业,这将带来额外的工作量。那些已经进行过相关工作的企业,可以或多或少地直接采用现有的数据处理清单,并对数据泄露通知程序进行修改以同时符合瑞士法律的规定(瑞士数据保护法对何时有必要进行通知规定了略微不同的门槛,但基本上与GDPR规定的通知义务相同。)瑞士立法者还“复制”了数据保护影响评估(DPIA)的概念,之前的立法中,DPIA在瑞士法律中并未直接提及,尽管在瑞士数据保护法律框架下,在敏感数据处理活动中该概念已经是众所周知的“良好做法”。虽然这确实涉及一些工作,但创建DPIA并非特别困难——它基本上包括对计划中的数据处理活动的描述,评估对受影响者的负面影响,并详细说明为减轻这些后果而采取的应对措施。

无任命数据保护官的义务

虽然新法规定,企业可以任命“数据保护顾问”(实质上即为“数据保护官”),但与GDPR不同,企业并没有义务这样做。尽管如此,事实上,如果不任命专人负责处理数据保护,大多数中型和大型企业无法适当地实施数据保护。此外,在瑞士有重要活动的外国企业将必须任命一名瑞士代表,但我们预计只有少数企业会受到这一要求的约束。因此,这项义务并不像GDPR第27条的相应规定那样严格。

信息权受到限制

数据主体的权利得到了一定程度的扩展,但同时也有了更明确的定义。虽然数据主体向企业索取自己的数据会更容易,但新的数据保护法也为拒绝滥用性的访问请求提供了新的论据。例如,只可以要求个人数据“本身”,而且是维护数据保护权利所必须的。GDPR中的“被遗忘权”在现行的瑞士数据保护法中已经存在,并将保留。同样,只在必要的范围和限度内处理数据的原则继续适用。然而,瑞士立法者从GDPR中复制的数据可移植性权利是新的数据保护法中的新内容:它实际上与数据保护没有太大关联,但使消费者能够获得他们存储在网上或其他服务提供商处的数据,以便将这些数据转移给服务提供商的竞争对手。同样全新的是关于自动化的个人决定,即完全基于自动化处理的对数据主体产生法律后果或实质性影响的决定。新的瑞士数据保护法中的相关条款与GDPR中关于自动化的个人决定的条款差别不大,但瑞士新法仅要求数据控制者告知此类决定并允许数据主体要求人工干预。

数据处理:检查合同

对与数据处理者(即数据控制者委托其处理个人数据的企业,如云服务提供商)签订合同的要求有所收紧;现在使用分包商必须得到控制者的批准。然而,新法并没有达到GDPR的要求。由于GDPR第28条的要求如今被认为是行业的标准,我们预计控制者在确保遵守瑞士新规则方面不会有任何问题。与处理者商定的条款通常只需进行调整——不仅提及GDPR,也提及修订后的瑞士数据保护法。

强制性的隐私政策

根据新法,提供信息的义务有所扩大。这意味着,企业必须有数据保护声明,在其中提供有关他们收集的个人数据的某些强制性信息。这类信息通常在企业的网站上并通过其表格和合同条款及条件中的链接提供。从概念上讲,新法的信息义务与GDPR的信息义务非常相似,但没有像GDPR要求那么多的强制性内容。唯一的例外是,控制者有义务说明个人数据出口到哪些国家,以及该企业这样做所依据的法律规定。然而,在我们看来,没有必要单独列出每一个国家;诸如“欧洲”或“全球”这样的术语应该即可。如果企业任命了数据保护顾问或代表,也必须提供这方面的信息。因此,有必要对现有的数据保护声明进行一定的调整,但我们预计这不会带来任何大的问题。

更便利的数据出境

修订后的数据保护法对个人数据跨境转移的管理与过去略有不同,但这带来的实际影响将非常有限。联邦委员会确定哪些国家被认定为提供充分的数据保护,并且可以在没有特别预防措施的情况下将数据出口到这些国家。欧盟的数据出口标准合同条款仍可使用;向FDPIC通报的义务已从修订后的瑞士数据保护法中删除。向外国官方机构披露个人数据也将变得更加容易;以前这通常只有在司法程序中才可能发生。

更多的罚款的可能性,但仍为例外

新法在执行方面也将发生变化。在过去,FDPIC只能向其认为不遵守数据保护法的数据控制者和处理者发出“建议”。如果他们不遵守建议,FDPIC可以起诉他们。以后,FDPIC将直接向控制者和处理者发布命令。例如,FDPIC将能够命令停止某一特定的数据处理活动。这也意味着,与现行数据保护法设定的程序相比,这些新的权力将致使FDPIC的相关程序变得更加复杂,需要更多的资源支持。新的规定是否会带来更多的执法活动,或者由于一直以来的FDPIC人员不足而致使新法下实际案件减少,还有待观察。FDPIC仍将无权实施罚款。

罚款的权利在于各州的执法机构(这些机构并不专门从事数据保护工作),而且罚款的目录已经极大地进行了扩展。以前,对违反通知义务、遵守数据主体访问权的义务和与FDPIC合作的义务的行为可以进行罚款。新的法律框架下,违反关于数据出口的规定、关于委托处理者的规定以及某些违反数据安全措施的行为也可进行罚款处罚。罚款主要由企业决策者支付,条件是决策者有意为之。他们的责任最高可达25万瑞士法郎。虽然与GDPR规定的金额相比,新法设定的金额并不高,但鉴于这类罚款属于个人性质,无法投保,可能会更加有效。我们认为,在瑞士,对违反数据保护的行为进行罚款仍将是例外。此外,违反数据保护法基本原则的行为继续免于处罚,这是与GDPR的一个重要区别。另外,修订后的数据保护法为所有行业引入了普遍的职业保密规定(相关最高罚款达25万瑞士法郎),以及针对身份盗窃的新规定。

识别分析无需同意

新数据保护法审议修订时的主要争论点是识别分析(Profiling),识别分析在瑞士数据保护法中的含义与GDPR中的含义相同。值得注意的是,根据GDPR,识别分析本身的法律意义非常有限。识别分析本质上是对个人的某些方面自动形成意见。尽管新法对识别分析做出了界定,但几乎没有任何条款提到它,至少在私营领域如此。与之前的很多新闻报道中提及的不同,新法并没有规定识别分析需要得到同意。新法明确规定的是,如果在特定情况下需要同意,在进行“高风险”识别分析时这种同意必须具有明确的性质。如果识别分析产生更详细的个人档案,则被视为高风险。这已经符合现行数据保护法下的法律状况。换句话说,新法在这方面几乎没有带来任何实质变化。虽然识别分析本身无需同意,毫无疑问的是,数据处理操作可能达到一定程度、需要说明理由。同意是一种可能的理由,但控制者也可以根据情况以更高的私人利益为依据。

应对举措

现在需要做什么?大多数企业应该会有足够的时间来实施修订后的数据保护法的最重要的条款。首先,应该根据新的要求审查数据保护声明,并对其进行调整,如果没有的话,必要时创建新的声明。这一过程中最耗时的部分通常是对数据保护活动进行内部审查,以确保涵盖企业获得个人数据的所有情况。一旦企业获得这些信息,就可以创建或更新数据保护声明,并建立数据处理活动的清单。如果相关声明和清单已经基于GDPR的要求创建,它们在很大程度上可以直接用于执行修订后的数据保护法。

下一步,根据新的、更严格的处理规定确定控制者、处理者之间的关系并检查、调整相关合同。同样,如果已经基于GDPR的要求做了这项工作,无需进行太大的改动,通常需要调整相关条款,不仅提及GDPR,也提及修订后的瑞士数据保护法。类似地,控制者和处理者应明确国际数据转移方面的具体情形,并核实是否符合当前数据保护法的要求,因为不合规行为以后可能被罚款处罚。如果已经符合当前的数据保护法的相关要求,很可能无需做出任何改变。

企业还应该实施数据保护影响评估程序,并在必要时任命一名数据保护官,即使法律没有强制要求。还应引入一个识别、分析、报告和处理数据安全漏洞(包括无意的数据丢失和误发的电子邮件)的程序。企业也应该有流程——如果还没有的话——来回应受影响的个人的请求,例如,那些要求访问他们的个人数据的人的请求。当提到“流程”时,我们的意思是,公司至少应该指定一个人负责处理相关的事宜,知道在各个情形中应该如何应对,或者从哪里获得如何应对的相关信息。

最后,应识别自动化的个人决定,如果相关,应告知数据主体并给与人工干预的机会。此外,应识别基因、生物识别数据和非个人目的的数据及其可靠程度,并对其进行检查和调整以适用新的要求。当然,现有的培训也应该进行调整,以符合修订后的数据保护法的要求,也可通过审计来验证新要求的实施。

那些已经实施了GDPR要求的企业将不需要做太多的额外努力。新数据保护法中主要的与实务相关的变化在提供信息的义务方面(在数据出口的情况下需要提供相关国家和法律依据的信息)、数据主体的权利方面(特别规定了不同的例外情况)、报告数据泄露的义务方面(没有72小时的义务,门槛略有不同)以及任命数据保护官或代表方面(大多数公司将不会正式要求设立数据保护官或代表)。

如果您有任何相关问题,请随时联系我们。

作者:

类别: 中国业务, 数据及隐私权保护

You are currently offline. Some pages or content may fail to load.