适用场景
计划或已经向欧盟市场提供商品或服务、或监控欧盟境内用户行为的中国企业,尤其是在线平台、电商、拥有网站/APP并处理用户数据的科技公司。
核心要点
1. GDPR的适用范围:关键在于“针对性”
GDPR不仅适用于在欧盟有实体机构的企业,也适用于位于欧盟境外但“针对性”地向欧盟境内数据主体提供商品/服务,或监控其在欧盟内行为的企业。判断是否具有“针对性”,需综合考察网站语言、货币、客户宣传等因素,而非仅因欧盟用户可能访问就适用。
2. 高额罚金并非唯一处罚,但问责原则是核心
GDPR的严厉性不仅在于最高可达全球年营收4%的罚金,更在于其“问责原则”。企业必须主动证明其数据处理活动全程合规,并承担举证责任。这意味着企业需要建立并留存完整的合规记录和证据,而不仅仅是避免被罚。
3. GDPR与中国《网络安全法》的合规协同
对于同时面临中欧监管的企业,不能简单照搬GDPR或中国法律。两者在数据处理合法性基础(如GDPR的“正当利益”与中国法可能不兼容)等方面存在差异。企业应进行数据映射和个案分析,找到合规的共同点与差异点,构建协调的合规框架。
4. 明确内部角色与数据处理链条
企业需清晰界定自身在具体业务中是“数据控制者”还是“数据处理者”,并承担相应责任。跨国集团内,若中国子公司不直接处理欧盟客户数据,GDPR可能主要适用于欧盟实体。但涉及内部系统(如HR系统)跨境传输中国员工数据时,需注意相关义务。
实务建议
- 进行数据映射:全面梳理企业收集、处理、存储的个人数据类型、目的、来源、流转路径及法律依据。
- 评估适用性:根据业务实质(是否针对性面向欧盟、是否监控欧盟用户行为)判断GDPR是否适用,避免过度恐慌或轻视。
- 建立内部治理:任命数据保护负责人,明确各部门职责,制定内部数据保护政策和流程,并对员工进行培训。
- 完善对外告知:以清晰易懂的语言(如提供欧盟当地语言版本)更新隐私政策,向用户明确告知数据处理情况。
- 管理供应商风险:在与第三方(数据处理者)的协议中加入数据保护条款,并建立供应商审查流程。
- 落实技术措施:贯彻“隐私设计”与“默认隐私”原则,对数据采取分类、加密、访问控制、匿名化等技术安全措施。
- 建立响应机制:制定流程以响应数据主体行权请求(如访问、删除),并制定数据泄露应急预案和报告机制。
- 留存合规证据:系统化地记录所有数据处理活动、风险评估(PIA)、培训、安全措施等,以满足“问责”要求。
风险提示
- 误区:认为有欧盟用户访问网站或APP就必然适用GDPR。关键在业务是否具有“针对性”,需综合判断。
- 误区:只关注高额罚金上限。忽视日常合规记录和“问责原则”的落实,可能在调查中陷入被动。
- 误区:将GDPR合规与中国网络安全合规完全割裂或简单等同。应进行协同分析,避免合规漏洞或资源浪费。
- 注意:数据处理的法律依据(如“同意”与“正当利益”)在中欧法律中可能存在差异,直接套用可能导致在中国或欧盟的合规瑕疵。
- 注意:集团内部数据跨境传输(如中国员工数据传至欧盟总部系统)虽可能不直接触发GDPR适用于中国实体,但可能涉及中国出境合规及欧盟接收方的义务。