适用场景
计划将移动应用程序(APP)推向欧盟市场的中国开发者及相关企业,无论是否在欧盟设有实体,只要其APP收集、处理或存储欧盟用户个人数据,或监控其在欧盟境内的行为,均需关注本指南。
核心要点
1. GDPR的广泛适用性与核心原则
GDPR对所有处理欧盟境内数据主体个人数据的行为具有域外管辖权,即使企业未在欧盟设立机构。企业必须遵循合法、公平、透明、目的限制、数据最小化、准确性、存储限制以及完整性和保密性这六项基本原则。
2. 数据处理的合法性基础与透明度要求
处理个人数据需有合法依据,最常见的是获取数据主体的明确同意,或基于合同履行、法律义务等。企业需通过清晰易懂的隐私政策,向用户充分披露数据收集目的、方式、存储期限及相关权利,尤其对儿童数据处理有更严格的同意要求。
3. 数据存储、处理安全与DPIA
个人数据存储时间不得超过实现其处理目的所需,并需向用户告知存储期限或确定标准。数据控制者和处理者必须采取适当的技术和组织措施确保数据安全,并对可能带来高风险的数据处理活动进行数据保护影响评估(DPIA)。
4. 数据跨境传输的严格要求
将欧盟用户的个人数据传输至中国等非欧盟“充分保护”国家时,企业需采取标准合同条款(SCCs)等“适当保障措施”,或在特定例外情形下进行。未经充分评估和保障的跨境传输将面临高额罚款风险。
5. 数据主体权利响应与数据泄露报告
企业需建立机制,有效响应数据主体行使其访问、更正、删除、限制处理等权利的请求。一旦发生个人数据泄露,数据控制者必须在发现后72小时内向监管机构报告,并在高风险情况下及时通知受影响的数据主体。
实务建议
- 全面梳理并评估APP所有数据处理活动,识别潜在风险,并按需进行数据保护影响评估(DPIA)。
- 根据GDPR要求,在必要时指定一名具备专业知识的数据保护官(DPO),并确保其独立履行职责。
- 制定或更新符合GDPR要求的隐私政策和用户协议,确保信息披露透明、语言清晰,并易于用户理解和访问。
- 设计并实施符合GDPR标准的同意机制,确保用户知情、自愿、明确同意,并提供便捷的撤回同意方式。
- 建立健全的数据泄露应急响应机制,明确内部报告流程、责任人及外部监管机构和数据主体的通知程序。
- 审慎评估数据跨境传输的合法路径,优先采用欧盟委员会批准的标准合同条款(SCCs),并确保实施额外的安全保障措施。
风险提示
- 忽视GDPR的域外管辖权,认为只要公司主体不在欧盟即可规避合规义务。
- 未取得有效、明确的用户同意,特别是针对未成年人数据处理,或同意机制不符合“自由意志”原则。
- 隐私政策模糊不清、信息披露不全,或未及时更新以反映数据处理活动的变化。
- 数据存储期限过长,未遵循“存储限制”原则,或未向用户明确告知存储期限。
- 数据泄露事件发生后,未在规定时间内(72小时)向监管机构报告,或未及时通知高风险数据主体。
- 未经充分评估或未采取适当保障措施,盲目进行欧盟用户数据的跨境传输。