环球律师事务所

作者：张毅

前言

欧盟通用数据保护条例（英文为General Data Protection Regulation，以下简称“GDPR”）于上周五（2018年5月25日）开始实施。自2016年4月14日该部法律通过以来，许多关于GDPR的报道都称其为“史上最严格的个人数据保护法”，并且着重介绍了GDPR的法律域外适用问题、加强的数据主体权利和控制，以及高额的罚金上限。GDPR是欧盟在个人数据保护法律上的重大改革，改革的部分包括了除大量报道的新规则（即GDPR域外适用、加强的数据主体权利以及高额罚金上限）外，还有几个非常重要的元素：法定的问责原则、法律规则的统一和政府程序的简化、监管机构的执法权力的强化以及监管机构之间执法的一致性和协同性。对GDPR的广泛的域外适用以及高额罚金上限的报道和介绍让许多中国企业对这部欧洲的法律做了一定的了解和认识，但也让这些企业产生困惑和担忧。我们经常听到这样的问题：

“我们公司网站有英文的页面，那欧盟的居民来我们的网站的话我们是不是意味这我们就要遵守GDPR了？”

“GDPR规定2千万欧元或者上一财年的百分之四的全球收入的高额罚金不是我们企业能够承担的，为了避免这些罚金我们还是不要用欧洲人的个人数据好了。”

“欧洲这个法律要求这么高，我们已经花钱做了中国《网络安全法》的合规，还需要再单独做GDPR的合规项目吗？GDPR的合规与中国的《网络安全法》与《个人信息安全规范》的区别在哪里？”

对于许多并没有打算出海或者主要客户为中国客户的中国企业来说，提倡或要求其适用一个“外国法”并进行合规难免会有些强人所难。即便是已经在欧盟布局或者是打算将业务扩展到中国的企业也面临着企业的合规预算的安排和优先顺序的取舍的问题：到底是先将预算用于符合GDPR的要求呢，还是优先考虑符合中国法律的规定呢。我们希望在GDPR生效后的第一个工作日向大家提供我们对GDPR对中国企业可能的适用情形的一些见解及合规建议。

一、GDPR真的会适用于中国企业吗?

GDPR的适用范围主要分为范围适用（GDPR第2条）以及地域适用（GDPR第3条）。GDPR适用于所有对于个人数据的使用及处理行为，包括人工的处理以及自动化的处理。GDPR在适用范围上不包括：（i）已逝的人的个人数据使用（由欧盟各成员国本国法调整，见GDPR前言第27条）；（ii）纯用于私人或者家庭活动目的的个人数据处理；（iii）用于预防、侦测和起诉犯罪、执行刑事判决或为了保护和预防公共安全事件的数据处理行为；及（iv）欧盟机构（诸如欧盟委员会（EU Commission））的数据处理行为。

GDPR的地域适用范围包括：

所有的营业地（establishment）设立在欧盟境内的数据控制者（data controller）或数据处理者（data processor）的数据处理行为，无论这些数据的处理行为是否在欧盟境内发生。（GDPR第3条第1款）

任何在欧盟境外的数据控制者或者数据处理者与如下情形有关的个人数据处理行为：（a）如果该个人数据的处理与针对欧盟的数据主体提供商品或者服务有关（无论数据主体是否被要求付费）；或（b）监控在欧盟的数据主体在欧盟内发生的行为。（GDPR第3条第2款）

在这条GDPR域外适用的规定中数据主体范围为“在欧盟”的数据主体，包括身处于欧盟的任何国籍的自然人（见GDPR前言第14条），并非仅仅指欧盟居民（无论其身在何方）。此外监控的行为的范围也仅是在欧盟的数据主体在欧盟内的行为。如果把“在欧盟的数据主体”理解成了“欧盟居民”，就会出现任何欧盟以外的第三国的人或者公司只要与欧盟居民（无论该欧盟居民在哪）进行交易并且使用了欧盟居民的个人数据都要适用GDPR的错误解读。因此，当中国企业没有其他在网上监控欧盟的数据主体在欧盟发生的行为的情况时，其与在中国境内的欧盟居民进行交易并就履行交易合同的目的而使用该欧盟居民的个人数据的行为并不会导致该GDPR适用于该中国企业。

在GDPR颁布前，欧盟法院在其2010年的判例中对于“是否针对欧洲的数据主体进行销售商品或服务的行为”界定为“在于消费者签署任何协议之前，是否可以通过其网站和该交易主体的整体的活动可以明显的看出该交易主体是有意向位于一个或者多个欧盟成员国内消费者进行销售的”（见欧盟法院判例Cases C-585/08 Peter Pammer v Reedere Karl Schluter GmbH & Co and C-144/09 Hotel Alpenhof GesmbH v Oliver Heller第100及101段）。仅仅是因为在欧盟的数据主体有访问某个英文网站的可能不足以体现该网站的运营者是“针对欧盟的数据主体”。GDPR前言第23条重申这一判断原则，也非穷尽式地罗列了一些例子以辅以判断：

网站是否使用欧洲的语言显示
以欧洲货币显示价格
以欧洲的语言显示以方便客户下单
在网站上宣传其客户为欧洲的客户以及用户

除了网站的内容是否有上述的情形外，中国企业也要考虑其的产品是否会收集用户（包括可能的欧洲的客户）的个人数据，因为这有可能会导致GDPR的适用。这些收集个人数据的情形有如大数据分析、物联网、或者作为人工智能中的训练数据（training data）。

对于跨国企业而言，如果其欧盟的运营实体主要负责欧盟的业务及运营，并且中国的子公司不直接作为交易主体与欧盟的客户发生交易，中国运营实体也没有利用任何内部的数据系统用来收集、处理、存储或监控其欧盟关联公司的员工、在欧盟的客户或者供应商的个人数据的话，基本上GDPR比较不太可能适用于该跨国企业的中国子公司。如果是纯粹将中国区的员工的个人数据录入到由欧洲总部进行统一采购和管理的内部人力资源管理系统（服务器在欧洲），这个数据传输到欧洲的行为并不会导致该中国实体直接适用GDPR，反而是GDPR将适用于其管理这个内部人力资源管理系统（包括服务器）的位于欧洲的实体。对跨国公司在中国的子公司而言，中国的《网络安全法》以及相关的法律法规才应是其个人数据保护和网络安全的主要适用法律。

对于业务已经扩展到欧盟的中国企业，中国企业可以采取梳理企业自身的个人数据的使用和处理的情形，然后将欧盟的实体作为处理欧盟员工、客户或供应商的个人数据的实体。

二、违反了GDPR就一定会被罚2千万欧元或者百分之四的上一财年的全球收入的罚金（两者以最高的为准）吗？

相信许多人对于GDPR最熟悉的部分就是其的罚金上限，即2千万欧元或百分之四的上一财年的全球收入的罚金（两者以最高的为准）。但违反了GDPR的企业或个人不一定就会直接被欧盟的监管机构处以罚金或者直接罚到罚金的上限。GDPR第58条规定了欧盟监管机构调查、改正及处罚及发布指导意见的权力，对违反GDPR的数据控制者或者处理者的处罚也有多种形式。虽然监管机构对任何对GDPR的违反应进行处罚，但是选择处罚的方式须进行个案分析并且应考虑适用某一处罚方式是否恰当。对于轻微违反GDPR的行为可能适用警告更为合适时，使用罚金就不见得合适（GDPR的前言第148条）。单就罚金的适用而言，GDPR第83条第1款规定了许多欧盟监管机构在处罚时候应该要全盘考虑的因素，这些因素包括了如数据泄露的严重性、受影响的数据主体的人数、出现数据泄露时数据控制者或者处理者的减损行为、是否先前有相关的违反GDPR的行为、对监管机构的调查的配合程度等。除此之外，采用罚金进行要求违反GDPR的数据控制者或者处理者的处罚时，罚金的金额要符合 “有效性、比例性以及劝阻性”的要求。从下表所列不难看出，不是违反GDPR任何一条都会直接罚至罚金上限。对于罚金的适用，如果企业同时违反了多项GDPR的规定，监管机构对该企业的处罚的金额不得超过最严重的那条规定的处罚金额。

<span style="font-size:8pt;line-height:150%;font-family:Arial;" "="">

GDPR 第83条第4款

GDPR 第83条第5款

罚金上限

如果违法主体是个人：1千万欧元

如果违法主体是公司：1千万欧元或者2%的上一财年全球收入（以较高者为准）

如果违法主体是个人：2千万欧元

如果违法主体是公司：2千万欧元或者4%的上一财年全球收入（以较高者为准）

罚金适用的违法事项

未准守儿童的同意的规定、未履行设计时即进行隐私保护（privacy by design）以及隐私保护作为默认设置（privacy by default）、数据控制者对于数据处理者的使用、未留存数据处理的记录、不配合数据监管机构的要求、不采取数据的安全措施、未履行数据泄露汇报义务、未进行个人数据影响分析、未按要求指派个人数据保护官、未准守其参与的行为准则或者认证的要求

未符合个人数据保护原则规定、没有法定事由处理数据、未取得有效数据主体的同意、违反使用个人敏感信息的禁止性规定、不遵守数据主体权利请求或者剥夺数据主体权利、违反跨境传输的规定、对于数据保护监管机构的调查的不配合和不履行监管机构的改正的要求或处罚

三、除了高额罚金上限外，GDPR究竟对于企业来说“严”在哪里？

个人数据处理是主要发生在数据主体与数据控制者之间。如果数据控制者没有办法完成某项数据处理，其可以聘用数据处理者帮其完成某项或多项数据处理。因此在这样的关系中，数据控制者理应承担个人数据保护主要的责任，并且将向执法机构负责解释其的行为的合法性。自1995年个人数据保护指令颁布后，数据保护在欧盟许多成员国内均没有完全成功地被落到实处，其中一个主要的原因是企业内部没有在各个业务流程上将个人数据保护落到实处（见欧盟数据保护理事会European Data Protection Board, 原第29条工作组的第173号工作报告）。因此，GDPR引入并细化了问责原则（accountability principle），并且这个原则从某种意义上才是真正使得GDPR成为“史上最严格的个人数据保护法”的原因。

问责原则首先表现在数据控制者必须负责证明其使用个人数据的行为符合GDPR的规定并且应当合适的技术手段和组织方式将个人数据保护落实到底（GDPR第5条第2款）。鉴于数据控制者和数据处理者对其合规承担的举证责任，这使得各个企业（无论是数据控制者或是数据处理者）必须要落实GDPR的合规。这种举证责任倒置也在数据主体因为数据控制者或者处理者违反GDPR而遭受损失的诉讼中体现（见GDPR第82条）。采用公司约束规则（Binding Corporate Rules）在欧洲的数据控制者或者数据处理者也有责任要证明其与欧盟境外的数据泄露事件无关方可免责。

以数据泄露（data breach）事件为例，数据控制者需要将该事件报告给其的数据保护监管机构，瞒报本身就是违反GDPR的行为。如果数据保护监管机构通过新闻报道或者他人举报获知数据泄露事件，则其将会对这些数据控制者或数据处理者进行调查。监管机构在开展调查时将会首先看数据控制者或者数据处理者的数据泄露事件记录以及GDPR第30条所规定的记录。之后数据控制者或数据处理者将不可避免的要回答监管机构的下列一些问题并要以书面的方式证明：

数据控制者有没有根据GDPR所要求的设计时即进行隐私保护（privacy by design）以及隐私保护作为默认设置（privacy by default）的要求采取了相应的技术手段

数据控制者有没有根据GDPR所要求的设计时即进行隐私保护（privacy by design）以及隐私保护作为默认设置（privacy by default）的要求采取相应的合规措施

公司有无向其员工进行过有关个人数据保护的公司政策和业务流程的培训

如果没有事前对所有的数据处理行为以妥善的方式留下书证，那该数据控制者则很难在时间内补齐这些文件，也将很可能会被认定为违反GDPR和被处以相应的处罚。

四、中国企业需要如何应对GDPR和中国的网络安全和数据保护的要求？

对于中国企业而言，中国的《网络安全法》应是其主要的适用法律。在发生网络安全事件或数据泄露事件时，中国的监管机构更为可能立刻对这些企业进行调查和执法，而不是欧盟的数据保护监管机构。中国的《网络安全法》很快就要生效满一周年。在这一年内，我国陆续出台了很多相关的规定以完备我国对个人数据保护和网络安全的法律体系。此外，国家标准化管理委员会也推出了《个人信息安全规范》。从《个人信息安全规范》的参考材料中我们可以看到，这部安全规范的起草者也借鉴了GDPR的一些规则和定义。

通过调和各个国家之间的法律规则来得到一个公司内部的合规框架或者合规事项是相对来说非常困难的事情。然而单纯选择一个法律搭建合规体系也不见得是一个一劳永逸的做法。直接采用GDPR进行合规的方式在中国还需注意数据处理行为的法定事由的“兼容性”问题，例如中国的数据处理行为的法定事由不包括“正当利益（legitimate interest）”，那在欧洲选择正当利益这个法定事由的数据处理在中国可能就需要通过获取数据主体的同意了。一般而言选择正当利益为法定事由的数据处理行为都是在一定程度上没有办法给与用户百分之百的自主控制的事项，反映在其是否能够在数据主体要求撤回同意的时候无条件遵守该撤回申请并停止数据使用。通过对每个数据处理行为进行个案分析，然后选择合规方式会相对容易找到这些法律规则要求的共同点。

每个公司无论其个人数据保护的合规工作目前处于哪个阶段，企业可以从如下的一些步骤开始建立合规体系或者自查。这些步骤借鉴了法国数据监管机构CNIL以及英国数据保护监管机构ICO的合规建议，同时也考虑了我国现行法律和《个人信息保护安全规范》的要求。

对于个人数据的种类、使用目的、使用的方式、数据的使用主要负责部门以及数据的来源进行记录，此外还要标注使用个人数据的法定事由
向数据主体进行明确告知，告知的方式应采取通俗易懂的方式及语言
指派个人数据保护合规官以及分配企业内部的数据保护的工作职责
建立相应的流程以处理和回应数据主体的请求
完备企业内部对于各项数据处理及业务流程的书面记录
建立供应商审查流程并且完备与供应商的协议并加入相关的数据保护的要求
对企业采集和储存的个人数据的采取相应的技术和安全措施，比如数据分类及加密处理、访问权限控制、对数据进行化名或者匿名化处理，在新的产品或者系统使用前进行隐私影响分析
建立文件限期储存期限制度

个人数据保护合规需要处理的内部业务流程以及涉及技术手段很多，对于很多企业来说这都不是短期之内能够很快完成的事情。环球律师事务所将会发布个人数据保护专题以分享我们在这个领域的经验和见解。

返回列表