适用场景
面向欧盟市场提供商品、服务或监控用户行为的中国企业,特别是跨境电商、互联网金融、社交平台、在线广告、物流及任何处理欧盟公民个人数据的公司。
核心要点
1. GDPR的长臂管辖范围
GDPR不仅适用于欧盟境内企业,也适用于在欧盟境外但向欧盟居民提供商品/服务,或监控其在欧盟内行为的企业。这意味着即使公司主体在中国,只要业务涉及欧盟用户,就必须遵守GDPR。
2. 明确“控制者”与“处理者”的责任
GDPR对决定数据处理目的和方式的“控制者”及代表控制者处理数据的“处理者”均规定了合规义务。若与第三方(如广告平台、云服务商)共同决定数据处理,可能被认定为“联合控制者”,需共同承担责任。
3. 获取有效的用户同意
同意必须是数据主体在自由、知情的情况下作出的具体、明确、清晰的肯定行动。预先勾选框(默示同意)、捆绑式“接受或放弃”(强迫同意)或隐藏条款均属无效,可能导致高额罚款。
4. 高额罚款与比例原则
违规最高可处2000万欧元或全球年营业额4%的罚款(以较高者为准)。执法机构会综合考虑违规性质、严重程度、持续时间、补救措施及企业合作态度等因素,并非一律顶格处罚。
5. 潜在的刑事处罚风险
在丹麦和爱沙尼亚,违反GDPR可能面临刑事处罚,而不仅仅是行政罚款。与这两国有业务往来的企业需特别警惕。
实务建议
- 评估业务是否触发GDPR管辖:检查是否向欧盟居民提供商品/服务,或对其行为进行监控(如定向广告、用户画像)。
- 梳理数据流并明确角色:绘制企业数据地图,清晰界定自身是数据控制者、处理者还是联合控制者,并据此落实相应义务。
- 重构用户同意机制:确保获取同意时使用清晰语言,提供具体选项,取消预勾选,并允许用户轻松撤回同意。
- 建立数据安全与加密措施:对存储的个人数据(如密码、邮箱)采取假名化、加密等安全技术手段,防止数据泄露。
- 制定违规响应预案:设立内部数据泄露报告与响应流程,一旦发生违规,能迅速评估风险、通知监管机构并采取补救措施。
- 主动与监管机构合作:在调查中保持积极配合、透明沟通的态度,这可能有助于减轻处罚。
风险提示
- 误区:认为服务器或公司不在欧盟就不受GDPR约束。实际上,只要目标用户是欧盟居民,就可能受其长臂管辖。
- 误区:依赖第三方平台(如Facebook、Google Analytics)处理数据就可转移全部合规责任。企业仍可能因共同决定数据处理目的而被认定为“联合控制者”。
- 注意事项:GDPR罚款基数是企业全球年营业额,而非仅在欧业务利润,处罚力度远大于中国《网络安全法》。
- 注意事项:数据合规不仅是IT部门职责,需法务、业务、市场等多部门协同,并将合规要求嵌入产品设计、营销活动全流程。