土耳其数据保护法速览
2020-07-23杨欣欣郭莉莉
杨欣欣 郭莉莉
摘 要:本文对土耳其2016年颁布的《个人数据保护法》进行了介绍,对建立数据处理的强制性登记系统、对数据管控者的要求、数据泄露后的报告制度以及对于数据泄露的处罚等内容进行了分析。
关键词:个人数据保护法;土耳其;欧盟;数据泄露;通用数据保护条例
Abstract: The 2016 Law on the Protection of Personal Data wasTurkey's first comprehensive law, based largely on EU data protection law, yet still different in some aspects. This paper gives a introduction of the Law in its mandatory registration system for data processors, legal obligations of data controllers, reporting system of the data processors and penalties for data breaches.
Keywords: Personal data protection law; Turkey: EU; Data breach; General data protection regulation
1 引言
在世界各国由政府信息公开向政府数据开放“转型升级”的进程中,个人数据保护已成为各国政府和国际社会共同关注与高度重视的重大实践议题。[1]
土耳其2016年颁布的《个人数据保护法》是土耳其第一部在互联网时代建立个人数据处理标准做法和程序的综合性法律。[2]土耳其的數据保护法不仅限于罚款和民事处罚,还可以针对数据泄露提起刑事诉讼。
2 土耳其数据保护法内容分析
2.1 预防数据泄露。《个人数据保护法》中的数据是指自然人的数据,而非公司或其他法人的数据。
土耳其的数据保护法主要基于欧盟指令95/46/EC(欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的指令),适用于敏感和非敏感的个人信息。在土耳其法律中,敏感数据被定义为包括种族、民族、宗教、外貌、政治观点、工会成员、健康、性生活和犯罪记录等相关的数据。
与欧盟的一般数据保护条例不同的是,在土耳其,处理敏感和非敏感数据都需要获得“明确同意”,未经特别同意不得进行进一步数据处理。在土耳其法律和欧盟的一般数据保护条例中,“同意”的定义有所不同。
2.2 数据处理强制登记。根据欧盟的《通用数据保护条例》,向当局登记不是强制性的,但土耳其目前正在推出数据处理的强制性登记系统。自2018年10月1日起,一些数据处理者被要求在土耳其的数据控制注册信息系统注册,包括雇员超过50人、年营业额超过2500万土耳其里拉的土耳其常驻企业,以及处理特定类别数据的企业。居住在土耳其境外、其活动对土耳其产生影响的数据处理者也必须注册,注册截止日期为2019年9月30日。土耳其的数据控制注册信息系统登记于2019年10月完成。
土耳其推出数据处理强制性登记新系统,目标是在土耳其的数据保护方面创造一个更加透明和安全的环境。位于土耳其境外的数据控制人员必须在土耳其境内指定并注册数据保护代表。代表必须是居住在土耳其的土耳其公民或土耳其公司,他必须代表数据管控者与土耳其数据保护局(DPA)进行联系。未进行任命和登记可能意味着罚款100万土耳其里拉(按当前汇率计算为12.5万英镑)。
由土耳其境外的数据管理者所任命的代表,将行使其职责,负责与土耳其数据保护局进行沟通,如接发书信等。代表亦会协助数据使用者将任何数据申请送交数据管理者,同样,也会将管理者的回复及时传达回来。
数据管控者还必须准备一份数据保留和销毁制度,以及数据处理清单。海外数据管理人员必须更广泛地了解土耳其的数据保护法。一般来讲,数据处理者有义务确保合法处理数据,目的明确,数据准确、及时,并且只保存必要长的时间。数据当事人必须被告知数据的使用目的、还转交给谁用,以及当事人就该数据所享有的权利。
2.3 及时报告制度。土耳其的个人数据保护委员会成立于2017年。这个政府机构要求,提供电子通讯服务的公司一旦发生数据泄露,或其中的网络及个人数据的安全受到威胁,要确保向大数据保护局报告。
法律规定,一旦发生数据泄露事件,数据处理方有义务向大数据保护局报告情况,并应尽快通知受影响的当事人。没有具体的时间表,但有一家公司曾因在通知管理部门之前拖延了10个月而被罚款。如有需要,大数据保护局可将数据泄露的情况告知市民。除非在严格限制的情况下,未经数据当事人同意,个人资料不得转移到土耳其境外。如果数据在土耳其境外的转移将严重损害土耳其或数据当事人的利益,则需要获得个人数据保护委员会的批准方能实施。
与欧盟的《通用数据保护条例》规定一样,在通过电子方式发送商业信息之前,土耳其的数据当事人通常必须选择“加入”以获得信息,每一次这样的联系也必须提供一个简单的方式方便选择退出。在土耳其法律中,这些规则的一个重大例外是,可以在事先未经其同意的情况下,向从事商业贸易的商人发送商业信息。
2.4 罚款及刑事处罚。土耳其的数据保护法律规定,如果一家公司的个人数据被盗,或未经同意披露,将被处以最高为公司年净销售额3%的行政罚款。这为公司保持数据安全提供了强大的动力。
土耳其对数据泄露的处罚并不仅限于罚款。《刑法》规定了因数据泄露而可能坐牢的条款。非法收集个人资料的人可能会被监禁一至三年。如果非法收集的数据是敏感的,这项处罚将会加重。那些收集、非法发布或转移个人数据的人可能会被监禁两到四年。
如果公职人员滥用职权,或为获取专业利益而犯法,可将罚款增加一半。即使未删除在保留期过后合法收集的数据,也可能被处以一到两年的监禁。一旦土耳其的数据控制注册信息系统完全建立起来,监管机构的任务就会变得更简单,届时执法行动可能会增加。
3 启示
3.1 数据保护意识。据统计,土耳其是欧洲跨境电商增长最快的国家之一,2014年土耳其7700万人口中网购人数占三分之一,交易额180亿美元[3]。2015年11月,G20领导人峰会期间,中土两国签署了《关于加强海上丝绸之路建设,务实开展电子商务合作谅解备忘录》,进一步加速推进了双边贸易的开展。2020年1—2月中国与土耳其双边货物进出口额为309402.4万美元,同比增长3.3%;其中中国对土耳其出口商品总值为256978.5万美元,进口商品总值为52423.9万美元[4]。阿里研究院预计,到 2020 年我国跨境电商交易规模将达到 12 万亿元,约占中国进出口总额的 37.6%[5]。中土之间的跨境电商贸易额也有望继续攀升。
《土耳其数据保护法》连同欧盟的《通用数据保护条例》的出台,势必对跨国企业带来一定的合规压力。受影响的企业主要集中于需要进行大数据收集和控制的行业,例如金融、生命科学(尤其是健康类的行业)、交通、零售、电商等[6]。土耳其的数据保护制度虽然在很大程度上是基于欧盟法律,但是还有几项不同的规定,这就要求在土耳其经营的中资企业要谨慎行事,无论是跨境电商,还是实体贸易,都要加强保护用户数据信息,积极合规,尤其是要注意数据泄露有可能导致的刑事责任。
3.2 个人数据保护的重要性。郭维嘉和郭少友认为社会公众对隐私伤害的隐忧表现为个人数据的公共存储会影响人们联系公共机构并寻求帮助的意愿。加拿大卡尔加里大学教授T.P.Keenan指出隐私侵害的不良后果之一是数据的不合理使用和不公平的产生。个人隐私安全问题关系到公众对政府数据开放的认可度和接受度,也会影响政府数据的开放度 [2]。
3.3 个人数据保护制度的设计。2020年4月9日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》公布,“数据”作为五个要素之一被写入文件。《意见》还提出要加快培育数据要素市场,推进公共机构数据资源统一汇聚和集中向社会开放[7]。伴随着我国政府对于公共数据的公开,个人数据保护的问题也会随之更加引人关注,制度设计也就成为个人数据保护的首要环节。
2020年即将出台的《民法典》将单辟“隐私权和个人信息保护”一章,对私密信息和个人信息加以规定。不仅如此,2020年也是我国《个人信息保护法》制定的关键时间节点[5]。相比于欧盟的《通用数据保护条例》过严(强调公共利益)和美国的《隐私法案》《信息自由法》《爱国者法案》过宽(强调商业利益),出台适合中国国情的个人数据保护法[6][8]显得尤为重要。
参考文献:
[1]陈朝兵,郝文强.国内外政府数据开放中的个人隐私保护述评.《图书情报工作》[J].2020.4.29.
[2]Eren Can Ersoy.Examining Turkish law on data protection.Computer Fraud& Security[J].Volume 2019,Issue 9, September 2019,Page9-11.
[3]乾元坤和官網:中国与土耳其跨境电商签约.www.qykh2009.com/prohelp_6866.html.
[4]华经产业研究院.[EB/OL].[2020-03-25].https://www.huaon.com/channel/tradedata/603593.html.
[5]许可.2019全球数据与信息治理回顾与前瞻.网域前沿[J].2020(02):79-83.
[6]徐偲彇,姚建华.“看不见”的国际传播:跨境数据流动与中国应对.传播策略[J].2019(06):46-56.
[7]复旦DMG.推进政府数据开放被写入中央文件,DMG为您解读.[EB/OL].[2020-04-10].http://www.dmg.fudan.edu.cn/?p=7725.
[8]夏文君,昭智.个人数据保护在欧美发展的新趋势.科技文献信息管理[J].2014(03):61-64.
(作者单位:郑州航空工业管理学院 来稿日期:2020-04-20)
