北京市环球律师事务所

《开曼群岛数据保护法》的精要解读 - 兼议对采用VIE模式中国企业的意义

作者:孟洁刘成伟 | 谭德芳 | 张淑怡


一、概述


对于通常会涉及数据资产或相关业务运营的TMT行业,通常会考虑搭建VIE红筹架构进行海外融资或上市。在这些VIE架构中,通常会在开曼群岛设立公司作为海外融资或上市主体。另外,在一些中国企业“走出去”进行境外投资时,有时也会在开曼群岛设立一层SPV持股主体。然而由于海外市场的国情、法律惯例、文化背景等方面存在差异,进入不熟悉的境外经营环境与投资环境必然伴随着一定的法律风险。大数据时代的来临给企业的海外投资带来了新的挑战,企业不仅要关注境外公司法、税法等方面的规则,还有必要了解当地数据保护方面的法律,增强数据合规和数据安全意识。


鉴于《开曼群岛数据保护法(2017)》(以下简称“DPL”)将于2019年9月30日生效,对于在开曼群岛注册海外融资或上市主体或在开曼设立SPV持股公司的中国企业而言,也有必要认真审视DPL这一开曼新规所可能带来的影响。因为GDPR已经实施一年多了,很多规则已经被大众较为熟悉。因此,在各国新出台数据保护法时,基本都会先拿它来作为衡量尺子,以评判新法的保护力度与处罚重轻。本文也不出例外,通过欧盟《通用数据保护条例》(以下简称“GDPR”)与DPL进行对比,介绍DPL数据保护法的内容和特性,尤其是为中国公司通过VIE的方式去开曼群岛注册公司时应当遵守的数据保护法律规则提供合规指引。


二、《开曼群岛数据保护法》与欧盟《通用数据保护条例》对比分析


(一)域外效力


DPL与GDPR两者均具有域外效力。


具体而言,DPL适用于:


-  在开曼群岛内设立的“数据控制者”处理个人数据;或

-  在开曼群岛以外设立的,且在开曼群岛内处理个人数据的“数据控制者”,但以通过开曼群岛传输个人数据为目的的除外。


如果设立于开曼群岛以外的数据控制者,在开曼群岛内处理数据,则需要指定一名位于群岛的当地代表作为数据控制者,以遵守DPL。


相似的,GDPR第3、27条规定GDPR适用于:


-  设立在欧盟内的组织;或

-  设立在欧盟外,但为欧盟内的数据主体提供商品或服务或对数据主体的活动进行监控的组织,在此种情况下数据控制者或处理者应当在欧盟内委任一名代表。


(二)重要定义与概念


DPL与GDPR均对“同意”、“数据控制者”、“数据处理者”、“个人数据”、“处理”、“个人敏感数据/特殊类型的数据”进行了定义。具体对比如下:


(1) “同意”


对比项目

DPL

GDPR

同意

1. 数据主体的同意,是指数据主体通过声明或明确的肯定行动,表明同意处理与该数据主体相关的个人数据的任何自由、具体、知情且明确的,表示该数据主体意愿的指示;

 

2. 数据控制者负有证明同意的举证责任。同意可在任何时间被撤回;

 

3. 同意的撤回不会影响在撤回之前,基于同意所做处理的合法性。

1. 数据主体的同意指的是数据主体通过声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。

 

2. 当处理是建立在同意基础上的,控制者需要能证明,数据主体已经同意对其个人数据进行处理。

 

3. 如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的,请求获得同意应当完全区别于其他事项,并且应当以一种容易理解的形式,使用清晰且平实的语言。任何违反本条例的声明都不具有约束力。

 

4. 数据主体应当有权随时撤回其同意。在撤回之前,对于基于同意的处理,其合法性不受影响。在数据主体表达同意之前,数据主体应当被告知这点。撤回同意应当和表达同意一样简单。

 

5. 分析同意是否是自由做出的,应当最大限度地考虑一点是:对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。


通过对比DPL和GDPR的“同意”定义和相关规则可以发现,DPL的同意规则在GDPR中均可以找到,且GDPR针对撤回同意的难易程度、如何判定同意是自由作出之两部分进行了额外规定。


(2) “数据控制者”


对比项目

DPL

GDPR

数据控制者

控制者是指单独或与他人共同决定任何个人数据的处理目的、条件和方式的主体。包括当数据控制者建立在开曼群岛以外,但数据处理在开曼群岛以内,需要指定一位当地代表作为数据控制者的情形。

控制者是指那些决定不论是单独决定还是共同决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。

 

设立在欧盟境外的数据控制者或处理者应当在欧盟内委任一名代表。


DPL和GDPR 关于“数据控制者”的定义和相关规则具有一致性,均为单独或与他人共同决定数据处理目的的主体;且设立在境外的受规制实体均需在法域内委任一名代表。


(3) “数据处理者”


对比项目

DPL

GDPR

数据处理者

处理者任何代表数据控制者处理个人数据的人(或实体),但不包括数据控制者的员工。

处理者指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。


DPL和GDPR关于 “数据处理者”的定义和范围基本一致,但DPL明确说明数据控制者的员工不构成“数据处理者”。


(4) “数据主体”


对比项目

DPL

GDPR

数据主体

任何已被识别的自然人,或任何可能被数据控制者或任何其他人通过合理方式直接或间接识别的自然人,且该自然人并未死亡。

数据主体是指:任何已识别或可识别的自然人。


针对“数据主体”的定义,DPL和GDPR均强调了自然人身份的可识别性,包括“已被识别”和“可被识别”两个方面。有趣的是,DPL还明确规定数据主体必须处于未死亡状态,相对而言,保护范围有所限缩。


(5)  “个人数据”


对比项目

DPL

GDPR

个人数据

与可识别的存活个体有关的数据,例如:

 

1. 存活个体的位置数据、在线标识符或者与特定个体的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个因素;

 

2. 对存活个体的任何意见; 或者

 

3. 表明数据控制者或与该存活个体相关的任何其他人的意图。

 “个人数据指的是任何已识别或可识别的自然人(数据主体)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。


相较于GDPR,DPL中“个人数据”的范围要更广,DPL明确规定“对存活个体的意见”以及“表明数据控制者或与该存活个体相关的任何其他人的意图”亦属于“个人数据”,这在GDPR中是较难以被认定为“个人数据”的。


(6) “个人敏感数据”


对比项目

DPL

GDPR

个人敏感

数据

1. 数据主体的种族或族裔出身;

 

2. 数据主体的政治意见;

 

3. 数据主体的宗教信仰或其他类似性质的信仰;

 

4. 该数据主体是否为工会成员;

 

5. 数据主体的遗传资料;

 

6. 数据主体的身体或精神健康或状况;

 

7. 医疗数据;

 

8.  数据主体的性生活;

 

9.  该数据主体的罪行,或被指控的罪行;

就该数据主体所犯的任何罪行或被指控已犯的任何罪行提起的任何法律程序,处理该等法律程序或该群岛或其他地方法院的任何判决。

1. 特殊类型个人数据是指

 

对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。

 

2. 与刑事定罪和犯罪相关的个人数据的处理

 

对与刑事定罪和犯罪或保安处分相关的个人数据的处理,应当在官方机构的管理之下或者是在规定了保障数据主体权利与自由的措施的欧盟或成员国法律的授权之下进行。任何对刑事定罪信息的全面登记都只能在官方机构的管理下进行。


DPL和GDPR关于“个人敏感数据”的措辞不一致,前者采用了“sensitive personal data”,后者采用了“special categories of personal data”,但二者在保护对象上基本是一致的,只是GDPR将“与刑事定罪和犯罪或保安处分相关的个人数据”另外做出了专条规定。


(7) “处理”


对比项目

DPL

GDPR

处理

处理是指获取、记录或保存数据,或对个人数据进行的任何操作或一系列操作,包括:

 

1. 组织、调适或更改个人数据;

 

2. 检索、查阅或使用个人数据;

 

3. 通过传输、传播或其他方式披露个人数据;

 

4. 调整、合并、阻止、删除或销毁个人数据。

 “处理是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。


DPL与GDPR对于“处理”的定义是一致的,均为对个人数据进行的任何操作行为,包括收集、记录、存储、访问等等。


(三)数据保护原则


DPL对数据控制者规定了实施八项数据保护原则(以下简称“DPP”)的义务,类似地,GDPR第5条规定了处理数据的基本原则,即合法性、合理性、透明性;目的限制原则;数据最小化原则;准确性原则;限期存储原则;数据完整性与保密性原则和可问责原则。DPL与GDPR对于此部分的规制既有相似部分也有特殊部分,以下将进行比较分析。


对比项目

DPL

GDPR

合法性原则

数据保护第一原则——公平合法处理

 

在此原则下要求公平处理个人数据。

 

1. 为了保证公平处理,必须有处理个人数据的法律依据(至少满足DPL附表21-6段中的条件之一):

 

(a) 同意;

(b) 履行合同所必需;

(c) 法律义务;

(d) 保护重要利益;

(e) 执行公务所必需;

(f) 合法利益。

 

2. 对于个人敏感信息,至少满足DPL附表3中的条件之一:

 

(a) 同意;

(b) 雇佣;

(c) 重要利益;

(d) 非盈利性社团;

(e) 数据主体公开的信息;

(f) 法律程序;

(g) 公共职能;

(h) 医疗目的;

(i) 法规规定的情形。

 

3. 在确定个人数据是否得到公平处理时,应考虑个人数据的取得方式,以及数据主体在数据处理的目的方面是否被欺骗或误导。此外,除非已向数据主体提供数据控制者的身份及数据处理的目的,否则将视为个人数据未获得公平处理。

对涉及到数据主体的个人数据,应当以合法的方式来进行处理。

 

1. 对于一般个人数据的处理,只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:

 

(a) 数据主体已经同意基于一项或多项目的而对其个人数据进行处理;

 

(b) 处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;

 

(c) 处理是控制商履行其法定义务所必需的;

 

(d) 处理对于保护数据主体或另一个自然人的核心利益所必要的;

 

(e) 处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;

 

(f) 处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。

 

1段(f)点不适用公共机构在履行其任务时的处理。

 

2. 对于特殊类型数据的处理,则必须满足至少如下一项条件:

 

(a) 数据主体明确同意基于一个或多个特定目的而授权处理其个人数据,

 

(b) 处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的;

 

(c) 数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的;

 

(d) 基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施;或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关,并且个人数据在未经数据主体同意前不对实体外的人公开;

 

(e) 对数据主体已经明显公开的相关个人数据的处理;

 

(f) 当处理对于提起、行使或辩护法律性主张必要时,或者法院在其所有的司法活动中所进行的处理;

 

(g) 处理对实现实质性的公共利益必要的,对实现目标是相称的,尊重数据保护权的核心要素,并且为数据主体的基本权利和利益提供合适和特定的保护措施;

 

(h) 处理对于预防性医学或临床医学目的是必要的,或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律,或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的;

 

(i) 在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者

 

(j) 处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。


DPL和GDPR个人数据处理的合法依据总体上是一致的,而且均对个人敏感数据或特殊类别的个人数据处理合法依据做出了特殊规定,只是GDPR在条款的规定上更为细致。


对比项目

DPL

GDPR

目的限制原则

数据保护第二原则——为一个或多个具体的合法目的而被获取,且个人数据的后续处理不得违反以上目的。

个人数据应为特定、明确和合法的目的而被收集,并且个人数据的后续处理不得违反以上目的。依据本条例第89条第1款为公共利益进行档案管理、出于实现科学研究或历史研究目的、统计目的而进一步处理个人数据的,不应被视为不符合初始目的。


DPL的数据保护第二原则基本上和GDPR的“目的限制”原则内容趋同,都强调了必须基于合法和特定目的收集数据,以及不得初始目的以外的其他目的处理数据,但GDPR另外规定了例外情形。


对比项目

DPL

GDPR

数据最小化原则

数据保护第三原则——就个人数据收集或处理的目的而言,个人数据必须充分、相关且不过量。

个人数据的处理应充分、相关并且应限制于为实现个人数据处理目的所需的最小限度内。


DPL的数据保护第三原则和GDPR的“数据最小化”原则具有一致性,均强调了数据收集和处理的充分性、相关性和最小必要性。如果数据控制者持有的数据超过实现其目的所需的数据量,数据主体也有权要求停止数据处理。在用于所声明目的的数据不充分的情况下,数据主体可以基于更正权要求数据控制者补充不完整的数据。


对比项目

DPL

GDPR

准确性原则

数据保护第四原则——个人数据应当是准确的,如有必要,必须及时更新。

个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到删除或更正。


DPL的数据保护第三原则对应于GDPR的“准确性”原则,内容基本一致。但是DPL对“不准确”的个人数据做出了明确定义,即指具有误导性、不完整或过时的数据。鉴于根据DPL,数据主体的意见也属于个人数据,而意见具有主观性,因此,意见的记录并不一定因为数据主体的不同意见或者意见被证明是错误的而成为不准确的个人数据。


对比项目

DPL

GDPR

限期存储

原则

数据保护第五原则——个人数据的保存时间不得超过实现特定目的所需时间。

对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第891)条所规定的合理技术与组织措施。


DPL和GDPR均对个人数据的保存时间做出了规定。同时,DPL第23条第7款明确规定“为了实现历史、统计或科学目的而处理的个人数据”也属于数据存储限制的例外情形。总体而言,数据控制者均应制定数据保存时间的策略,定期检查数据,并在不再需要时对该数据进行删除或匿名化处理。DPL和GDPR都没有为各类数据规定特定的时间限制,因为它取决于为了实现特定目的而需要保存数据的时间。


对比项目

DPL

GDPR

数据主体的权利

数据保护原则第六原则——个人数据应根据本法规定的数据主体的权利进行处理。

/


相较于GDPR,DPL将“数据主体的权利”专门作为一项数据保护原则,这在某种程度上突出了对数据主体的保护。从数据主体享有的权利内容来看,GDPR和DPL的规定基本上具有一致性,数据主体均享有访问权、更正权、停止/限制处理权、有关自动化决策的权利等。


对比项目

DPL

GDPR

数据完整性与保密性

数据保护第七项原则——对个人数据采取适当的技术和组织措施。

处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。


DPL第七项原则和GDPR的“完整性和保密性”原则的内容是一致的。在具体内容方面,DPL做出了更为细致的规定。DPL区分了物理安全和网络安全, 就物理安全而言,相关因素包括对商业设施的保护(如通过门锁、警报、安全警示灯、闭路电视监控等方式)、对商业设施设置访问权限和对访客的监控、信息技术设备(特别是移动设备)的安全性,就网络安全而言,需考虑的因素包括系统、数据、在线服务和设备的安全性。此外,数据控制者的全体工作人员都要理解保护个人数据的重要性,也要熟悉安全政策和程序。


对比项目

DPL

GDPR

数据跨境传输的充分保护

数据保护第八项原则——进行国际传输时,对数据主体权利和自由的保护应达到充分标准。

/


DPL将数据跨境的“充分性保护”作为数据保护的原则之一,突出了数据出境场景下个人数据保护的重要性。另外,值得注意的是,监察专员(Ombudsman)认为,下列国家和地区的保护措施是充分的:适用欧盟GDPR的欧洲经济区成员国,以及欧盟委员会根据GDPR第45(3)条作出认可决定的国家,或认可决定根据GDPR第45(9)条仍处于有效状态的国家


(四)罚则


DPL规定,违反DPL(如未能根据数据主体的请求向其提供特定详细信息、在数据泄露时未能通知数据主体和行政监管部门、非法获取、披露、出售或获得个人数据、扣留、更改、隐瞒或销毁行政监管部门要求的信息、故意或过失披露信息、妨碍令状或做出虚假陈述、未能遵守执法或金钱性的强制执行令等行为)可能导致每次违规单处或并处高达CI$100,000 / US$122,000的罚款以及最长5年的监禁。在严重违反DPL并可能对数据主体造成重大损害或严重影响的情况下,也可能产生高达CI$250,000 / US$305,000 的其他罚款。


GDPR则根据违反的条款不同,设置了不同情形下的最高额罚金:


- 如存在以下行为,则应当施加最高一千万欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的罚款,两者取其高的一项进行罚款:


(a) 未准守儿童的同意的规定、未履行隐私保护设计以及默认隐私保护(PBD)、对于数据处理者的使用不合规;

(b) 违反数据泄露报告、处理安全、处理活动的记录义务;

(c) 违反数据保护影响评估和事前咨询义务/任命DPO;

(d) 违反行为准则或认证要求。


- 如存在以下行为,则应当施加最高二千万欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额4%的金额的罚款,两者取其高的一项进行罚款:


(a) 未符合个人数据保护原则规定、没有法定事由处理数据、未取得有效数据主体的同意、违反使用个人敏感信息的禁止性规定、不遵守数据主体权利请求或者剥夺数据主体权利、违反跨境传输的规定;

(b) 未遵照监管机构调查权/违反成员国法律;

(c) 违反数据流动暂停或终止监管要求/矫正指令。


比较DPL和GDPR的规定,就罚则类型而言,DPL相较于GDPR,额外规定了最长5年的监禁刑;就罚金额度而言,GDPR的最高额远高于DPL。


根据DPL,除了罚款以外,对于有行政执法权的监管部门来说,相关部门还有权采取如下行动:


(a) 对申诉进行听证、调查和裁决;

(b) 对数据控制者的合规性进行监督、调查和报告;

(c) 对处理相关的业务进行干预、提供意见并发布指令;

(d) 命令更正、限制、删除或销毁数据;

(e) 对处理行为施加临时或永久禁令;

(f) 对一般性和针对特定数据控制者的改革提出建议;

(g) 参与违反DPL条款的诉讼程序,或将违反行为提交给相关监管部门;

(h) 与国际数据保护监管机构合作;

(i) 公布和宣传DPL的要求以及该法项下数据主体的权利;

(j) 其他看似偶然或有助于履行DPL所规定职能的事项。


三、DPL生效对拟在开曼设立公司搭建VIE架构的企业的影响与意义简析


根据中国法律,部分行业具有严格的准入门槛,仅允许内资企业或中国籍居民从事,或者出于公司海外上市的需要,部分公司会选择通过采用VIE的模式,在开曼设立公司,从而实现其商业目的。


通常而言,在实践中,红筹架构的基本操作模式如下图所示:


 



鉴于采用VIE模式的公司通常会在开曼设立实体,并且在公司设立和年审过程中,在特定情形下会涉及到个人信息的收集和处理,因此,很有可能需要适用DPL的规定。比如说,在公司注册阶段,需要提交董事、股东的相关资料,如董事、股东为自然人的,则涉及到该主体的身份证/护照信息、个人住址、联系电话等信息。公司注册以后,为办理年审,也需要提交或更新自然人董事或股东的个人信息。因此,基于上述场景,通过VIE形式到开曼群岛设立公司搭建红筹架构进行海外融资或返程投资的企业有可能会被认定为是“数据控制者”,并且受到这样一部法律的约束。


此外,为了满足商业运营的需求,还有可能会涉及将开曼公司的相关数据(包括个人数据)传输至公司在第三方国家的运营实体的情形,在该场景下,公司还应当特别关注DPL关于数据出境的相关规定。根据DPL第八项数据保护原则,基于充分性保护传输个人数据应当考虑的因素包括:


(a) 个人数据的性质

(b) 数据的来源国

(c) 传输的目的国

(d) 拟处理个人数据的目的与时间

(e) 传输目的国现有的法律

(f) 传输目的国现有的国际义务

(g) 传输目的国现行的行为规范或标准

(h) 传输目的国针对数据的其他安全措施。


因此,建议该类企业在DPL生效之前了解这部数据保护法的基本要求、对数据的保护类型、保护原则、个人数据的权利的实现机制、以及可能受到处罚规则(高额罚款+高达5年的监禁)。根据不同企业在开曼处理数据的实际情况,制定并实施个人数据保护合规计划,建立有效的内部培训和治理机制,以应对DPL政策实现相关机构的批准、监督、实施和审查,也将成为必不可少的一环,从而避免相应的法律责任。



请点击左下方“阅读原文”查阅《开曼群岛数据保护法(2017)》原文。


阅读原文

 




近期新闻

更多新闻