1.前言
2018年6月20日法国在现有“1978年法案”(关于信息技术、数据文件和公民自由的法案)中纳入了一般数据保护条例 (“GDPR”)条款,该法案管理个人数据保护。
法国数据保护机构(法国国家信息委员会,“CNIL”)作为法国监管机构,其指导方针澄清了1978年法案。
1.1.主要法案、法规、指令
1978年法案已被多次修订,该法案涵盖了算法、儿童、法院判决中犯罪数据匿名化、金融制裁、最重要的是法国的特色:数字继承。
第一项执行法令于2018年8月3日发布,即第2018-687号法令,规定了CNIL的组织和运作,规定CNIL将发布需要数据保护影响评估(DPIA)的列表(DPIA黑名单),详细说明数据主体的权利(例如,在出于科学、历史研究或统计目的进行数据处理时,可以放弃访问权、纠正权、限制权和反对权),建立数据分类制度(行政、财务、运营和医疗)。
通过以上澄清,1978年法案最终与GDPR保持一致,确定了适用于法国个人数据保护的一般框架。
该法案主要包括以下五个方面:
通用条款,包括对基本概念的定义、适用范围、个人数据保护的基本原则、敏感数据规则以及CNIL的组织和运作规则,最后刑法规定;
个人数据处理规定;
与执法有关的数据保护指令;
涉及国家安全和国防的个人数据处理规定;
有关法国海外(即欧洲以外的法国管理领土)的个人数据处理规定。
1.2.指南
CNIL会定期在其网站上发布指南,该指南更多地与GDPR相关,而不是该法案本身:
关于数据保护官('DPO')的建议;
关于日志记录的建议;
关于员工访问其个人数据和工作电子邮件权利的指南;
关于ISO27701和个人数据或个人身份信息处理的指南;
cookie和其他跟踪器指南;
数据保护影响评估指南('DPIA');
其他指南和建议,例如匿名化技术、员工的访问权限、具有约束力的公司规则(“BCR”)、个人数据泄露通知、同意和分析。
除了指南外,CNIL还发布了一系列GDPR合规工具,包括:
在线表格(例如个人数据泄露通知、任命数据保护官('DPO')等等);
模板(例如处理活动的记录)
软件(例如隐私影响评估软件,一种用于检测网站等存储在用户设备上的cookie的开源软件)
CNIL还在2021年推出了一个“沙盒”,旨在为选定的项目提供支持和法律确定性。2022年,CNIL沙盒致力于教育或EdTech领域的数字工具。
1.3.判例法
自GDPR生效以来,CNIL已对多项违反立法的违规行为进行制裁,并对公司发出警告。
制裁主要针对:
未能尊重反对处理的权利;
未能遵守cookie要求(尤其是缺乏信息和有效同意)(特别是2021年12月31日对谷歌1.5亿欧元和Facebook6000万欧元);
未能向数据主体提供信息;
未能与监管机构合作;
数据安全漏洞;
未能遵守限制数据保留期限的义务;
未能遵守促进权利行使的义务;
未能履行处理充分和相关数据的义务。
2.适用范围
2.1.个人范围
只要处理涉及个人数据,无论数据控制者或处理者是法人还是自然人、公众还是私人,该法案都适用。
该法第48条还规定了(任何人有权制定在其死后存储和删除其个人数据的准则)对已故个人的适用。
2.2.地域范围
根据法案第3条,其规定适用于在法国设立的控制者或处理者的活动范围内进行的个人数据处理,无论该处理是否在法国进行。
2.3.数据范围
该法第2条规定,它适用于个人数据的自动处理以及出现在归档系统中的个人数据的非自动处理。
自然人为进行严格的个人或家庭活动而进行的处理不受该法的约束。
3.数据保护监管机构
3.1.数据保护的主要监管机构
CNIL是国家监管机构。它是一个独立的行政机构,由18名成员组成,包括议员、高等法院代表、合格的公众人物和一名主席。
3.2.主要权力、职责和责任
作为法国数据保护机构,CNIL的主要任务是控制和审计对数据保护立法的遵守情况,并在未能补救违规行为的情况下实施制裁。
根据GDPR,CNIL获得进入和检查的权利与之前法国数据保护制度下的权利基本相同,虽然现场搜索的场所性质更加明确,但仍受到保密限制。该法案现在还赋予了借用身份进行在线控制的权利(尽管进行在线审计的权力是在2014年确立的)。
此外,自2020年以来,欧洲监管合作有所增加。通过与EDPB及欧洲同行合作,CNIL裁定通过GoogleAnalytics收集和处理的个人数据被谷歌转移到美国,没有充分的保障措施排除美国情报部门访问个人数据的可能性。2021年,CNIL与卢森堡数据保护机构(“CNPD”)密切合作,针对AmazonEuropeCore发起的调查导致了欧洲数据保护机构迄今为止宣布的最高制裁(2021年7月16日为7.46亿欧元))(尽管该决定尚不可执行)。该索赔是由一家法国协会向CNIL提出的。
对于2022年,CNIL的控制计划侧重于以下领域:商业勘探、远程工作人员监控以及云计算的使用。
4.关键定义
数据控制者:该法案中没有“数据控制者”的定义。可参考GDPR中的定义,数据控制者是自然人或法人、公共当局或其他机构,单独或与他人共同确定个人数据处理的目的和方式。
数据处理者:第2条规定了GDPR第4条中“数据处理者”定义的应用。数据处理者是代表控制者处理个人数据的自然人或法人、公共机构或其他机构。
个人数据:法案中没有“个人数据”的定义。该法案第2条参考了GDPR第4条提供的定义。因此,个人数据是与已识别或可识别的自然人有关的任何信息。
敏感数据:敏感数据是揭示种族或族裔出身、政治观点、宗教或哲学信仰或工会会员身份的个人数据,以及遗传数据、生物识别数据、健康数据、有关自然人性生活或性取向的数据。
生物识别数据:该法案中没有“生物识别数据”的定义。第2条规定了GDPR第4条中定义的应用。因此,生物识别数据是对自然人的身体、生理或行为特征进行特定技术处理后产生的能够识别或确认该自然人唯一身份的个人数据。
假名化:法案中没有“假名化”的定义。第2条规定了GDPR第4条中定义的应用。因此,假名化是指以这样一种方式处理个人数据,即在不使用附加信息的情况下,个人数据不能再归属于特定的数据主体。
5.法律依据
5.1.同意
关于未成年人的同意,该法第45条规定,未成年人可以单独同意处理与直接提供信息服务有关的个人数据,年龄为15岁。未满15岁的,处理前应取得未成年人及其监护人共同同意。
5.2.与数据主体签订合同
5.3.法律义务
5.4.数据主体的利益
5.5.公共利益
5.6.数据控制者的合法权益
5.7.历史和科学研究目的
该法规定,对于为历史、统计或科学目的保留数据所必需的处理,如果数据最初是为其他目的收集的,则可以免除控制者通知数据主体的义务。
6.原则
该法案第4条规定了与GDPR相同的原则;即:
合法性、公平性和透明度;
目的限制;
数据最小化:对于这一原则,该法规定个人数据不得过多用于与以下相关的处理:
代表国家预防、调查、侦查或起诉刑事犯罪或执行刑事处罚或拘留令;
国家安全、国防或公共安全目的;
准确性;
存储限制;
完整性和保密性。
7.控制者和处理者的义务
7.1.数据处理通知
根据GDPR,法国废除了其事先通知制度;但部分处理仍需通知CNIL授权或征求意见。
到目前为止,CNIL仅确定出于研究目的和公共利益目的处理健康数据会触发此事先通知义务,并在线发布了相关的授权申请表。
此外,该法第31条和第32条规定,以下数据需要法令或部长裁定授权才能处理:
特殊类别数据(该法第6(I)条规定的敏感数据);
代表国家识别人员或控制身份所必需的生物识别和遗传数据;
出于国家安全、国防或公共安全目的,以及与预防、搜查、发现或起诉刑事犯罪或代表国家执行刑事定罪或拘留令有关(这些“主权处理操作”保持不变)。
7.2.数据传输
该法案对数据传输规定了以下两项限制:
主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚而处理个人数据;和
用于处理有关国家安全和国防的信息。
欧盟法院(“CJEU”)于2020年7月16日宣布“隐私盾”无效,并且欧盟委员会于2021年6月4日通过了新的标准合同条款,CNIL发布了详细指南,以帮助数据控制者识别和管理欧盟以外的个人数据传输。CNIL还发布了一些关于将个人数据传输到美国的指南和建议。最近,CNIL向使用GoogleAnalytics的几个组织发出正式通知,命令他们停止使用GoogleAnalytics,使用这些工具收集的个人数据不符合第44条规定的要求。根据这些决定,CNIL于2022年7月发布了有关如何使分析工具符合GDPR的指南。
7.3.数据处理记录
该法第57条和第60条明确规定控制者、处理者及其代表应根据GDPR第30条规定的条件保存数据处理记录。
7.4.数据保护影响评估
根据该法第62条,控制者必须在GDPR第35条规定的条件下处理个人数据之前执行DPIA。当处理可能对相关人员的权利和自由造成高风险时,必须进行DPIA。
一般来说,满足以下至少两个标准的处理操作需要进行DPIA:
评估/评分(包括分析);
具有法律或类似效力的自动决定;
系统监测;
收集敏感数据;
大规模收集个人数据;
数据交叉;
弱势群体(患者、老人、儿童等);
创新使用(使用新技术);
排除权利/合同的利益。
例如,如果一家公司建立了一个监控其员工活动的系统,则该数据处理符合系统监控的标准和涉及弱势群体的数据的标准,因此有必要实施DPIA。
如果在进行DPIA后处理的剩余风险水平仍然很高,则控制者在处理之前应咨询CNIL。
CNIL的网站上有英文版的实用工具,例如上面提到的有助于DPIA的PIA软件,以及DPIA指南(模板、知识库、方法论和适用于连接对象的指南)。
CNIL指定以下类型的处理不需要DPIA:
仅出于人力资源目的并根据适用文本中规定的条件实施的处理,仅用于管理雇员少于250人的机构的工作人员,使用分析除外;
为供应商关系管理目的而处理;
处理工作委员会和委员会的活动管理;
在医生的外科、药房或医学生物学实验室以个人身份执业的卫生专业人员处理患者护理所需的健康数据;
处理操作的唯一目的是管理物理访问控制和计算工作时间的时间表,没有任何生物识别设备,但处理操作会泄露敏感或高度个人化的数据;
7.5.数据保护官任命
该法第57条规定,控制者应根据GDPR第四章第4节的条件任命一名数据保护官(“DPO”)。任命DPO是CNIL合规的关键点之一。它强烈鼓励法国公司任命DPO,即使根据GDPR的标准,公司没有义务这样做。
DPO的任命必须通过填写包含详细联系信息的表格在线通知CNIL。
此外,第2018-318号审议通过了DPO资格标准,列出了获得DPO认证所需的17项能力,包括:
DPO必须了解合法处理、数据最小化、数据准确性和数据保留等原则;
DPO必须能够确定处理活动的法律依据;
DPO必须能够组织和参与数据保护审计;
DPO必须知道如何识别需要通知CNIL和数据主体的个人数据泄露;
DPO必须知道是否有必要进行DPIA。
7.6.数据泄露通知
该法案第58条提到了向CNIL发出数据泄露通知的规定,还规定了向数据主体通报数据泄露的义务。该法案特别要求电子通信服务提供商记录违规行为,以便CNIL可以验证合规性。
7.7.数据保留
该法案没有关于保留数据的时限的具体规定。
然而,CNIL于2020年7月发布了一份关于数据保留期限的实用指南,详细说明了个人数据保留的主要原则并提供了有关实施的实用建议。
根据指南,CNIL会定期提供有关特定处理的保留期限的指南或推荐良好做法。例如,在使用cookie和跟踪设备的建议中,CNIL认为cookie的生命周期为6个月是良好做法,或者受众测量跟踪设备的生命周期不应超过13个月。
CNIL建议根据处理目的(例如,业务关系的持续时间)评估保留期或确定保留期的标准,并保留证明此评估合理性的文件。
7.8.儿童资料
当个人未满15岁时,需要由未成年人及其父母共同提供同意。
控制者也有义务向此类未成年人提供信息,其措辞必须适合他们的年龄,因为必须让儿童意识到使用互联网的风险,特别是当他们在社交网络上创建帐户时。
2021年6月9日,CNIL发布了一系列加强未成年人在线个人数据保护的建议:
规范未成年人在线行为的能力;
鼓励未成年人行使其权利;
推广尊重未成年人隐私和最大利益的家长控制工具;
通过设计加强未成年人的信息和权利;
检查未成年人的年龄和父母是否同意尊重儿童的隐私;
提供具体的保障措施以保护儿童的利益。
7.9.特殊类别的个人数据
该法第6条规定,禁止处理特殊类别的个人数据(敏感个人数据)。
此外,该法第44条规定,该法第6条不适用于:
出于预防医学、医学诊断、护理或治疗管理或卫生服务管理的目的而必须进行的处理,由卫生专业人员或其他因以下原因而受职业保密义务约束的人进行他们的职责;
由法国国家统计和经济研究所(“Insee”)或其中一个部级统计局进行的统计处理;
以公共利益为由处理健康数据,并遵守该法第三章第3节专门处理健康领域的个人数据;
根据雇主或行政部门实施的CNIL标准规定处理有关控制进入工作场所以及员工使用的设备和应用程序所必需的生物识别数据;
处理法院判决中包含的公共信息;和
公共研究所必需的处理,如果是为了重要的公共利益目的而进行的。
社会安全号码('NIR')
第2019-341号法令(“NIR法令”)列出了使用NIR处理活动的控制者类别和允许的目的。其包括以下内容:
为履行其在社会保护领域的任务而进行的处理,包括为进行评估、研究、统计和研究而必须使用自然人国家身份登记册中的登记号码;
国家公共卫生局,用于管理和跟进健康警报;和
公司,为了履行其报告义务,要求使用自然人国家身份登记册中的注册号,以及根据有关申报、缴款计算的法律规定和集体协议自动处理工资单和人事管理并支付给专门的组织。
7.10.控制者和处理者合同
该法第60条规定数据处理者进行的处理应受合同或书面协议约束。
8.数据主体权利
8.1.知情权
该法第48条列出了当直接从数据主体收集或间接收集个人数据时控制者应向数据主体提供的信息。
数据主体的知情权在以下情况下受到限制:
为新闻或文学和艺术表达的目的进行处理;
为了预防、调查和起诉刑事犯罪而进行处理;
当数据最初是为其他目的收集时,出于公共利益的存档目的、科学或历史研究或统计目的而进行处理。
该法案第82条在其修订中规定,使用cookie需要数据主体的同意。
CNIL发布了关于使用“cookie和跟踪设备”的指南,在Cookie指南中,CNIL指出:
网站上的导航不再被认为是用户同意的有效表达。个人必须通过明确的积极行动明确同意放置cookie。否则,cookie或跟踪器不能放置在他们的设备上;
撤回同意应与获得同意一样容易,并且可以随时进行;
拒绝cookie、跟踪器应该和接受一样容易;
在个人同意之前,必须清楚地告知他们跟踪器的目的,以及接受或拒绝它们的后果;
在收集同意时,必须告知个人在其设备上存放cookie的所有参与者的身份;
运营跟踪器的组织必须能够随时证明有效收集了用户的同意。
Cookies指南还规定,某些cookies无需征得同意,例如允许用户身份验证的cookies和跟踪器、保留电子商务网站上购物车内容的cookies或保留用户对cookies使用选择权的cookies和跟踪器。
8.2.访问权
8.3.更正权
8.4.删除权
8.5.反对/退出的权利
该法规定,可以在GDPR第21条的条件下行使反对处理数据的权利。
根据该法第56条,如果法律要求进行处理,或者存在授权处理的压倒性明文规定,则不能行使反对权(除非在市场营销的情况下,反对权是绝对的)。
8.6.数据可移植权
该法案并未实施GDPR中的数据可移植性权利。
8.7.不受制于自动决策的权利
该法第47条规定,任何对个人具有法律效力或重大影响的决定均不得仅基于个人数据的自动处理做出。
与国家安全和国防有关的处理和以预防、调查和起诉刑事犯罪为目的的处理没有此类限制。该法第95条补充说,禁止任何基于特殊类别的个人数据对自然人进行歧视的画像。
8.8.其他权利
限制处理权:该法案并未实施GDPR中的限制处理权。
9.处罚
该法案规定了CNIL及其委员会/主席的权力,可以在控制者或处理者违反GDPR或该法案规定的义务的情况下采取纠正措施并实施制裁。
制裁程序分两步进行(可选的通知阶段,然后是制裁阶段):
初始警告;
在一定期限内正式通知遵守;和
如果控制者/处理者仍处于违规状态,它可以:
发出命令;
发布禁令,要求遵守GDPR或该法案(每晚一天将被处以最高10万欧元的罚款);
下令暂时或最终限制处理;
根据GDPR或法案禁止处理或撤销授权;
暂停数据流向第三方国家或国际组织。
根据该法第20条,强制措施和金融制裁可能并不总是在正式通知之前发出。
然而,在实践中,CNIL很少实施大规模制裁,而是更倾向于采取更合作的方式,与控制者/处理者讨论并与他们合作以实现合规。
9.1执行决定
CNIL已发布各种执法行动,其中包括以下内容。
2019年1月21日,CNIL根据GDPR对谷歌有限责任公司处以5000万欧元的罚款,理由是个性化广告缺乏透明度、信息不充分和缺乏有效同意。2020年6月19日,国务委员会驳回了针对它的投诉并确认了CNIL的决定。
2020年11月26日,CNIL对家乐福法国公司和家乐福银行处以225万欧元和80万欧元的罚款,原因是它们违反了GDPR。
2020年12月7日,CNIL对GOOGLELLC和GOOGLEIRELANDLIMITED处以总计1亿欧元的罚款,原因是在放置广告cookie之前未征得用户的事先同意,以及缺乏搜索引擎GOOGLE .fr的用户信息。
2021年7月20日,CNIL对AG2RLaMondialeGroup处以175万欧元的罚款,原因是AG2RLaMondialeGroup未能遵守与保留期限和个人信息相关的义务。
2021年7月26日,CNIL对孟山都公司处以400,000欧元的罚款,原因是孟山都公司未告知数据主体出于游说目的而对其数据进行的处理。
2021年12月31日,CNIL对谷歌LLC和谷歌IRELAND LIMITED处以1.5亿欧元的罚款,对FACEBOOK IRELAND LIMITED处以6000万欧元的罚款。未能遵守有关使用cookie的规定,包括数据主体的同意和撤回同意,以及告知个人使用cookie的义务。
2022年6月23日,CNIL对TOTALENERGIESÉLECTRICITÉETGAZFRANCE处以100万欧元的罚款,原因是该公司未能履行其在直接营销(反对权)方面的义务,并尊重数据主体的信息权利、访问权和反对权。
2022年10月20日,CNIL以非法处理个人数据、不尊重个人权利以及不与CNIL合作为由,对CLEARVIEWAI处以2000万欧元的罚款。此外,CNIL还下令停止在没有法律依据的情况下收集和使用法国个人的数据,并删除已经收集的数据。CNIL在此禁令中增加了每天延迟100,000欧元的罚款。