下载文档原格式
译文|欧盟GDPR《一般数据保护法案》编者按:2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018年5月25日正式生效。
GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。
GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
新法案由11章共99条组成,中文译本由中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)组织翻译。
第一章一般规定第1条主题与目标1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。
2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。
3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。
第2条适用范围1. 本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。
2. 本法不适用于以下个人数据的处理:(a) 发生在联盟法律范围之外的活动过程中;(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;(c) 由自然人在纯粹的个人或家庭活动的过程中;(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。
3. 欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第45/2001号条例。
根据本法第98条,处理个人数据适用第45/2001号条例和其他联盟法律法规的,应当符合本法的原则和规则。
4. 本法不影响2000/31 / EC指令的适用,特别是该指令第12条至第15条中的中间服务提供商的责任规则。
金融脱敏技术标准
金融脱敏技术是一种数据处理技术,旨在保护敏感信息,如个人身份信息、财务信息、交易记录等,在金融行业中广泛应用。
下面是金融脱敏技术的主要标准和规范:
1. 《GB/T 35273-2017 金融信息服务筛选和脱敏规范》:该标准提出了金融信息服务中敏感数据的筛选和脱敏规范,包括数据分类、筛选规则、脱敏方法、脱敏效果等方面的要求。
2. PCI-DSS:此标准是全球各大银行卡公司共同制定的支付卡数据安全标准,要求金融机构在处理银行卡数据时必须采用脱敏技术,同时还规定了脱敏技术的具体实现方法和效果要求。
3. GDPR:欧盟采用的一项保护个人数据的法律,规定企业必须采用有效的脱敏技术来保护个人数据隐私,并确保经过处理后的数据仍然具有一定的匿名性。
4. ISO 27001:这是一个信息安全管理标准,它要求企业在处理金融数据时,必须采取有效的脱敏技术来保护数据安全,并设计相应的安全保障措施来防范数据泄露和攻击。
5. CNAS-RL06:这是中国合格评定国家认可委员会制定的数据安全评估标准,其中包括了金融机构在处理敏感数据时需要遵守的脱敏技术规范和数据保护措施。
总之,金融脱敏技术的标准和规范有很多,这些标准和规范为金融机构提供了具体的技术实现方案和具体的实践指导,帮助金融机构更好地处理敏感数据和保护用户信息隐私。
欧盟金融市场的法律框架金融市场是欧盟经济发展中非常重要的组成部分,它的发展不仅关系到欧盟国家的经济繁荣,也关乎全球金融市场的稳定。
为了维护金融市场的健康运转,欧盟在多个方面实施了相应的法律框架,保障了金融业的正常运转和金融消费者的利益。
本文将从欧盟金融市场的法律框架入手,深入探讨欧盟各项金融法律规定的实施现状和未来发展方向。
一、金融服务市场的法律框架金融服务市场是欧盟金融市场的核心板块,是各类金融产品的交易和服务的枢纽。
为了保护消费者的权益和规范金融市场的秩序,欧盟实施了一系列针对金融服务市场的法律框架,如金融市场基准利率监管、金融服务机构的注册和监督等。
这些规定会对金融性质的机构、金融产品和金融服务进行明确的规范和监管,以防止金融市场出现不稳定因素。
欧洲证券与市场管理局(ESMA)是负责在欧盟范围内提供统一监管制度的机构。
它的职责包括:协助欧盟委员会制定金融监管法规,通过加强金融监管措施保护投资者和金融市场的利益,监督市场参与者的行为,防止欺诈和垃圾邮件等金融犯罪行为。
二、投资者保护的法律框架随着投资理财的普及化,欧盟金融市场上涌现了越来越多的小型投资者和自然人投资者。
这使得投资者权益保护的问题愈加受到各界关注。
为了规范金融市场的行为,欧盟对金融机构的业务处理和投资者权益进行了具体的规定。
例如:向投资者提供投资产品须要遵循真实、准确、全面、及时、公正、明确的规定。
同时,还规定金融机构必须保障投资者享有完整的知情权、权利和自主决策权,如投资客户应清楚地知道他们投资的内容、风险,以及与投资有关的所有费用。
投资者保护的法律框架还规定了金融机构应该遵循的监管准则。
欧盟的投资者保护规定要求主管当局对金融机构在的准入条件、公司治理、信息制度和客户保护方面进行监管。
其中,监管侧重于金融机构的严格监管和投资者权益的保护。
三、欧洲银行统一监管框架(SREP)对于银行业而言,其对国家经济和金融市场稳定性影响巨大。
欧盟《一般数据保护条例》监管实效与应对策略欧盟2016年5月24日通过的《一般数据保护条例》(GDPR),于2018年5月25日正式实施,其前身是欧盟1995年制定的《计算机数据保护法》。
GDPR实施以来,因为其严格的规定、高昂的罚款、广泛的适用范围,被称为史上最严格个人数据保护法案,GDPR的出台从正面来看有助于推动我国跨国企业的数据治理水平,值得我们学习借鉴,但从另一个方面来看,欧美发达国家单方面以立法形式,强迫他国遵守本国法律的行为,对国际贸易活动产生了深远影响,我们需要尽快予以有效应对。
一、GDPR对个人信息保护的主要内容一是强化监管机构的监督力度。
打破传统立法管辖权,明确了GDPR长臂管辖原则,同时在欧盟辖内设立专门的监管机构,并赋予其欧盟数据监管的最高机构的地位,为增强监管机构的执法权,赋予了其对违法行为进行巨额罚款的权利。
二是强化个人数据主体权利,明确数据主体的司法救济、赔偿权、被遗忘和删除权,提高了数据主体授权数据处理的有效标准。
三是强化企业数据管理的义务,明确企业有接受检查和信息披露的义务,并以制度方式要求企业实行数据文档化管理,并强制要求企业以规定形式设立数据保护官(DPO)职位,一旦数据发生数据泄漏,企业必须在规定时间内向社会公众履行告知义务。
二、GDPR的监管实效(一)以巨额罚款倒逼企业提升个人数据处理水平。
GDPR 实施以来,一部分企业为避免高昂的处罚成本,选择暂时撤出了欧盟市场,而另一部分有实力的大型企业为继续在欧盟范围内开展业务,选择积极谋求与GDPR的合作,不断改进和完善自身个人数据处理的综合水平。
GDPR定义了个人在互联网背景下拥有的信息权利,保护了自然人的信息权益,并以巨额的罚金倒逼信息采集机构、处理机构、使用机构积极维护个人享有的信息权利。
从GDPR近年来罚款原因看,逾三成罚款源于数据处理机构的数据处理行为缺乏合适的依据,还有近三成的罚款源于处理机构没有采取有效的技术手段保护个人数据安全。
欧盟的监管机构与监管措施欧洲联盟(EU)作为一个经济和政治联盟,拥有许多监管机构来确保成员国遵循共同的法律框架并保护欧洲市场的公平竞争。
本文将介绍一些欧盟的监管机构,并探讨它们所采取的监管措施。
一、欧洲银行监管局(EBA)欧洲银行监管局是欧盟内负责银行监督的主要机构之一。
它的主要任务是确保欧洲银行业的稳定,并协调监管政策的一致性。
EBA监管银行的风险管理和监督,并促进各国监管机构之间的信息共享和协调。
EBA采取了一系列监管措施来实现其目标。
首先,它制定了财务和风险管理的标准和指南,要求银行遵循这些规定进行业务经营。
其次,EBA进行监管评估和压力测试,以评估银行的风险暴露和资本充足性。
此外,EBA还发布了关于银行业监管的报告和指导,以提高监管的透明度和一致性。
二、欧洲证券与市场监管局(ESMA)欧洲证券与市场监管局是欧盟内监管证券和金融市场的机构。
它的目标是保护投资者、维护市场稳定,并促进资本市场的统一监管。
ESMA负责制定和监督金融市场的规则,以确保市场的透明度和公平竞争。
ESMA采取了多种监管措施来实现其目标。
首先,它发布了欧洲证券和金融市场的法规和指南,要求公司和金融机构遵守这些规定。
其次,ESMA进行监管评估和监控,以确保市场的稳定性和投资者的保护。
此外,ESMA还通过发布指导文件、举办研讨会等方式,提供监管建议和培训,以提高市场参与者对规则的理解和遵守度。
三、欧洲数据保护委员会(EDPB)随着数字经济的快速发展,个人数据的保护成为一个重要的问题。
欧洲数据保护委员会负责监督和促进欧盟成员国在个人数据保护方面的合规性。
该机构确保个人数据的合法和安全使用,并协调欧盟成员国之间的数据保护政策。
EDPB采取了多种监管措施来保护个人数据。
首先,它监督和审查欧洲成员国的数据保护法律和政策,并提出改进措施。
其次,EDPB提供专业意见和指导,帮助企业和个人遵守数据保护规定。
此外,EDPB 还协调不同国家的数据保护机构之间的合作,促进数据保护事务的一致性和协调性。
栏目编辑:梁丽雯 E-mail:liven_01@2018年·第9期27一、GDPR关于数据监管方面的主要内容2018年5月25日,G e n e r a l D a t a P r o t e c t i o n Regulation,GDPR 《一般数据保护条例》新规在28个欧盟成员国统一实施,取代了1995年发布的数据保护指令(DPD ),使得28个欧盟及欧洲经济共同体成员国的个人数据隐私保护法更具有一致性和现代性。
欧盟GDPR关于数据监管方面的主要内容如下。
(一)第六章《独立监管机构》内容覆盖了监管组织、职权、任务和权力欧盟成员国在本国设立负责监控本条例实施的监管机构(至少1个),监管机构应当建立一套机制,帮助本条例在欧盟的推广和使用,执行任务和行使符合本条例的权利的同时,应保持完全的独立性,不受外部影响。
确保每个监督机构具有行使权利所必须的人力、技术和资金等基础性要素资源,以透明化方式委任监管机构的每个成员,使成员不从事违反其监管职责的活动。
通过法律规定来设立监管机构的规则,监管机构成员应当履行其保守职业秘密的职责。
对于数据控制者或处理者所进行的跨境处理,领导性监管机构应该是该控制者或处理者的唯一面谈者。
通过法律规定,每个监管机构都具有调查权、矫正性权力、授权和建议权力。
(二)第七章《合作与一致性》内容涉及监管合作、互相协助、联合行动、一致性适用领导性监管机构应当与其他相关监管机构基于作者简介: 梁毅芳(1990-),男,广东清远人,工学硕士,供职于中国人民银行佛山市中心支行,研究方向:监管科技应用; 吴 丹(1978-),男,广东茂名人,工学硕士,高级工程师,供职于中国人民银行佛山市中心支行,研究方向:监管科技 应用。
收稿日期: 2018-06-21摘要:2018年5月25日,欧盟《一般数据保护条例》正式实施生效,该条例被称为史上最严格的数据保护法律,总十章共99条,其中第六章《独立监管机构》、第七章《合作与一致性》和第八章《救济、责任与惩罚》中关于数据监管条例的内容,对实现我国金融数据治理监管协调及科学防范系统性金融风险具有重要启示意义。
数据存储的金融行业法规
金融行业的数据存储受到许多法规的监管,这些法规旨在确保金融机构对客户数据的保护和安全。
以下是一些重要的金融行业法规:
1.通用数据保护条例(GDPR):GDPR是欧盟颁布的一项法规,这是一项重要的数据保护和隐私法规,适用于处理欧盟公民个人数据的任何公司。
金融机构需要确保他们的数据存储和处理符合GDPR的要求。
2.美国《格兰岱尔法》(Gramm-Leach-Bliley Act,GLBA):
这是美国国会颁布的一项法律,旨在保护金融机构的客户数据。
该法律要求金融机构采取适当的措施来保护客户数据的机密性和安全性,并要求它们提供有关数据处理实践的隐私通知。
3.欧洲支付服务指令(PSD2):PSD2是欧盟的一项法规,旨
在促进电子支付服务的发展,并增加支付服务提供商对客户数据的访问。
根据PSD2,金融机构需要与第三方支付服务提供
商安全共享客户数据。
4.美国《金融隐私法》(Financial Privacy Law):该法律要求
美国金融机构向客户提供隐私通知,并要求它们保护客户个人信息的机密性和安全性。
该法律还规定金融机构在共享客户信息时需要经过客户的同意。
5.香港《个人数据(私隐)条例》:该条例是香港的一项法律,
旨在保护个人数据的隐私和安全。
根据该法律,金融机构需要采取适当的措施来保护客户数据,并且只能在符合法律要求的情况下共享客户数据。
除了上述法规,金融行业还需要遵守其他涉及数据存储的法规,如网络安全法、个人信息保护法等。
Financial Privacy and Data Protection in the enlarged European UnionProf. Dr. Alfred Büllesbach, Chief Corporate Data ProtectionOfficerProf. Dr. Alfred Büllesbachcustomer dataPIN TAN credit line account balance debit balancename address telephone number account number spreading of risks Income financial obligations Places of whereabout sRisks and Dangers •Creation of User profiles•Manipulation of transferred or stored data •Unauthorised knowledge of data•Misuse of data for purposes they were not collected for•Unauthorised use of data•Deletion of data by unauthorised personsObjective of Data Protection:Protection of the personal rights of those whose data is being processedProf. Dr. Alfred BüllesbachBasic Principles of Data Protection in Europe I ➔Data Avoidance and Economy➔Legal authorisation or customer consent➔Data integrity and accuracy➔Compliance with the purpose➔Restrictions on data transfer to foreign countries➔Binding employees to data secrecy and limitation/control of access to personal customer data➔Assuring technical data securityProf. Dr. Alfred BüllesbachBasic Principles of Data Protection in Europe II ➔Rights to individuals:•notice•access•correction an deletion•objection against data use for marketing purposes•right not to be subject to an automatedindividual decision➔Only in Germany:•According to Section 6c of the BDSG, mobile storage media (chip cards) must besubmitted to prior data-protection checks bythe corporate data-protection officer.•Section 6b of the BDSG restricts the optical supervision of rooms open to the public. Theconcerned individual must be informed aboutProf. Dr. Alfred BüllesbachInternational data-protection regulations in Europe: Conventions and Charters •Article 8 of the Convention of the Council of Europe for the Protection of Human Rights and Fundamental Freedoms:“Everyone has the right to respect for his private and family life,his home and his correspondence.”•Convention of the Council of Europe for the Protection of Individuals with regard to AutomaticProcessing of personal Data•Article 8 Section 1 of the Charter of Fundamental Rights of the European Union:“Everyone has the right to the protection of personal dataconcerning him or her.”➨The right to data protection is a human right inProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach International data-protection regulations in Europe: Directives I •1991:Council Directive on money laundering •1995: Data Protection Directive –implementation still not successful in France, Luxembourg, Ireland –will create a standardised legal data protection in the member states, allow data transfer within the EU domestic market and facilitate the cross-border flow of financial data within the EU •1997: Telecommunication Data Protection Directive Article 12: –The use of automated calling systems or fax for the purposes of direct marketing are only allowed if addressees have given their prior consent.–Member States take appropriate measures by national legislation.–Right to choice applies to subscribers who are naturalInternational data-protection regulations in Europe: Directives II •1999: Directive about Electronic Signaturesobjective: facilitating the use of electronic signatures andcontributing to their legal recognitiondistinction between “electronic” and “advancedelectronic” signaturescreates the conditions that ensure safe use of digitalsignatures in legal and business transactionsopportunities have been little used•2000: E-Commerce Directiveobjective: ensuring the free movement of informationsociety services between the Member Statesapproximates national provisions on information societyservices relating to the internal market, theestablishment of service providers, commercialcommunications, electronic contracts, the liability ofintermediaries, codes of conduct, out-of-court disputeProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach International data-protection regulations in Europe: Proposal of the EU-Commission •1999: Amended proposal for a Directive concerning the distance marketing of consumer financial services objective: access without discrimination to the widest possible range of financial services available in the Community, so that the consumer can choose the best suited to their needs guarantees high level of consumer protection ensuring the free movement of financial services in order to enhance consumer confidence in distance selling …financial service“ means any banking, insurance, investment or payment service Covers all financial services liable to be provided at a distance …distance contracts“: offer, negotiation and conclusion are carried out at a distance Member States may not adopt provisions other than those laid down in this Directive Problems:•Disparities in legal provisions concerning contracts andData-protection and bank secrecy •Bank secrecy is a product of the contractual relationship between bank and customer, data protection is imposed by act of law•Unlike bank secrecy, the German BDSG only protects natural persons•Bank secrecy is relevant only in connection to third parties, data protection also regulates the collection, storage, changing or use of data by the bank •Before a bank discloses customer data to third parties, it must observe both sets of legal obligations, if its customers are natural persons➨data protection and bank secrecy represent two separate regulations that do not oppose oneProf. Dr. Alfred BüllesbachNational data protection regulations I Right of the concerned individual toNotice Access Correction/Deletion Belgium x x x Denmark x x x Germany x x x Finland x x x France-x x Greece x x x Great Britain x x x Ireland x x x Italy x x x Luxembourg x x x The Netherlandsx x x Austria x x x Portugal x x x Sweden x x x Switzerland-x x Spain x x xProf. Dr. Alfred BüllesbachNational data protection regulations I Right of the concerned individual toNotice Access Correction/Deletion Bulgaria (Draft)Cyprus (Draft)Czech Rep.x x x Estonia if consent necessary x x Hungary x x x Latvia x x x Lithuania x x x Malta(Draft)Poland x x x Romania (Draft)Russia x x x Slovak Rep. x x x Slovenia if consent necessary x x Turkey (Draft)Prof. Dr. Alfred BüllesbachNational data protection regulations II Right of the concerned individual toChoice Onward Enforcement(opt-out) Transfer Belgium x x x Denmark x x x Germany x x x Finland x x x France x-x Greece x x x Great Britain x x x Ireland x-x Italy x x x Luxembourg x-x The Netherlands x xxAustria x x x Portugal x x x Sweden x x x Switzerland x-xProf. Dr. Alfred BüllesbachNational data protection regulations II Right of the concerned individual toChoice Onward Enforcement(opt-out) Transfer Bulgaria(Draft)Cyprus(Draft)Czech Rep.x x x Estonia x-x Hungary x x x Latvia x x x Lithuania x x x Malta(Draft)Poland x x x Romania(Draft)Russia x-x Slovak Rep.x x x Slovenia x-x Turkey(Draft)Prof. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach National data protection regulations IIIconcerning to notify Data Protectionautomated OfficerdecisionsBelgium x x possibleDenmark x x -Germany x x xFinland x x -France x not generally -Greece x x -Great Britain x x -Ireland -x -Italy x x -Luxembourg -x-The Netherlands xx xAustria x x -Portugal x x -Sweden x x x Switzerland -x -National data protection regulations IIIconcerning to notify Data Protectionautomated OfficerdecisionsBulgaria(Draft)Cyprus(Draft)Czech Rep.-x-Estonia-processing of sensitive data-Hungary-x-Latvia-x-Lithuania-x-Malta(Draft)Poland-x-Romania(Draft)Russia-x-Slovak Rep.x x-Slovenia-x-Turkey(Draft)Prof. Dr. Alfred BüllesbachApplicability of the BDSG to Financial-Service Providers ➔Financial-service providers under private law: general provisions of the BDSG, as well as specific regulations for the private sector apply (Sections27-38a)➔Federal credit institutions under public law in free competition: Sections 27-38a apply as well➔The BDSG does not recognise any so-called corporate privileges: associated corporations in a corporate group are considered third parties inrelation to one anotherProf. Dr. Alfred BüllesbachCollecting, processing and use of personal data by financial-service providers: Relevant legal regulations outside the BDSG I ➔Data collected according to Section 31 of the Securities Trading Act about the financial situation of the client may be stored according to Section 34➔According to Sections 2 and 9 of the Money Laundering Act in connection with Section 154 of the Fiscal Code, financial institutions must storethe acquired data of depositors of cash amounts over 30.000 DM➔General accounting or recording obligations (Section 257 of the Commercial Code, Section319 of the Fiscal Code) can legitimise data-processing activities according to commercial and fiscal regulations➔Sections 915ff. of the Code of Civil Procedure and the List of Insolvent Debtors Code contain special data-protection regulations for the accessing ofdata in the debtors’ index and their use in creditindustryProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Relevant legal regulations outside the BDSG II ➔According to Sections 13 and 14 of the Act Regulating Banking and Credit Business specific loans are to be disclosed➔In the case of the decease of a bank customer, transmission obligations of the bank are applicable to the revenue authority according to theInheritance Tax Law➔Credit institutions have information obligations for the control of investment-income-tax payment and have to respect official inspection rights in othertaxation procedures, public-investigationprocedures and criminal proceedings➔Employment offices have information rights before they agree to pay unemployment benefits (Section 315 of the Social Security Code Vol. III)➔Finally, an institution that acts as an employer has information-collecting obligations towards Social Security carriersProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Legal basis in the BDSG ➔Section 28 of the BDSG concerns data processing for an entity’s own corporate purpose➔Data processing offered as a service, such as credit-information systems or directory distributors, is regulated by Section 29➔Data processing on behalf of others is regulated in Section 11 of the BDSG and Section 25a of the Act Regulating Banking and Credit BusinessProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Section28 of the BDSG ➔Data processing to fulfil a contract with a client is permitted according to Section 28 of the BDSG➔Pre-contractual relationships are equivalent to contract➔Producing user profiles is included by credit-card contracts only for the purpose to minimise the risk for the customer and not for advertising➔Data processing and use without contract or exceeding the contract is allowed if it is required to preserve the justified interests (even advertising,marketing in coherence with the contract ) of thefinancial institution and protection-worthy interests of the concerned individual do not predominate➔According to Section 6a of the BDSG Credit Scoring and “Automated individual Decisions”Prof. Dr. Alfred BüllesbachData exchange with credit-protection systems: Section 29 of the BDSG ➔The customer releases the credit agency from the bank secrecy in the contract, e.g. by signing theGerman SCHUFA clause➔The transfer of data from the database of the credit protection system is based on the justified interest of associated corporations, e.g. Sections 29Paragraph 2 of the BDSG for the SCHUFAorganisations in Germany➔The credit protection system is obligated to document all retrievals from their databaseProf. Dr. Alfred BüllesbachCross-border data and payment transactions ➔According to Art. 25 I of the Data protection Directive, data transfer is permitted by law if anadequate level of protection is ensured➔If the third country does not ensure an adequate level of protection, the transfer is exceptionallypermitted according to Art. 26 I—if the data subject has given his consent—if the data transfer is part of a contract—if the transfer is necessary in the interest of the data subject—if the transfer is made from a register according to a law ➔If none of these exceptions applies, Contract Clauses or Codes of Conduct may guarantee an adequate level of protection➔The safe harbor principles can guarantee anProf. Dr. Alfred BüllesbachData-protection obligations for financial services offered by teleservice providers •To facilitate anonymous use and use based on a pseudonym if economically reasonable•To secure data protection using information technology•Not to create user profiles related to individuals •To observe regulation with regard to the use of contract, connecting, and billing data•To provide a right of access that can be electronically requested and granted➨long-term acceptance for electronic commerceProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach。
