适用场景
业务涉及欧盟市场、处理欧盟公民个人数据的中国企业,特别是跨境电商、互联网金融、在线服务、数字营销、物流等行业,在业务启动、扩张及日常运营阶段均需关注。
核心要点
1. GDPR的长臂管辖范围广泛
GDPR不仅适用于在欧盟设立的企业,也适用于在欧盟外设立但向欧盟居民提供商品/服务,或监控其在欧盟内行为的企业。这意味着即使公司主体在中国,只要业务触达欧盟用户,就必须遵守GDPR。欧盟监管机构已积极开展跨境执法合作,长臂管辖无实操障碍。
2. 明确数据控制者与处理者的责任
GDPR对决定数据处理目的和方式的“控制者”与代表控制者处理数据的“处理者”均规定了合规义务。企业若与第三方(如数据分析平台、云服务商)共同决定数据处理目的,可能被认定为“联合控制者”,需共同承担责任,不能以依赖第三方为由免责。
3. 获取用户“有效同意”标准严格
GDPR要求用户的同意必须是自由给予、具体、清晰且明确的肯定性行动。预先勾选的复选框、捆绑式“一揽子”同意、或“不接受则无法使用”的强迫同意均属无效。企业需设计清晰、独立的同意获取机制,并允许用户随时撤回同意。
4. 处罚严厉且具有全球性
违规处罚分为两档,最高可达2000万欧元或企业全球年营业额的4%(以较高者为准)。罚款基数是全球营业额,而非仅在欧盟的所得,处罚力度远超国内《网络安全法》。此外,在丹麦和爱沙尼亚,违规还可能面临刑事处罚风险。
5. 执法具有灵活性,配合调查可减轻处罚
尽管罚款上限很高,但监管机构在实际执法中会考虑违规性质、严重程度、企业合作态度及补救措施等因素。主动报告数据泄露、积极配合调查、展现强烈合规意愿的企业,有可能获得较低金额的罚款或仅被要求整改。
实务建议
- 进行业务映射评估:首先判断您的业务(如向欧盟销售商品、提供APP服务、投放定向广告)是否触发GDPR的管辖条件。
- 梳理数据流与角色:厘清自身在数据处理中是控制者、处理者还是联合控制者,并明确上下游合作方的数据合规责任。
- 重构用户同意机制:检查并修改用户注册、隐私政策、Cookie提示等环节,确保获得GDPR标准的“明确同意”,废除预勾选和捆绑同意。
- 建立数据主体权利响应流程:制定内部规程,以应对欧盟用户提出的数据访问、更正、删除(被遗忘权)、携带权等请求。
- 完善数据安全与泄露响应:采取加密、假名化等技术措施,并制定数据泄露应急预案,确保能在72小时内向监管机构报告。
- 开展员工GDPR培训:确保业务、技术和法务团队了解GDPR核心要求,特别是在数据收集、营销和用户沟通等一线环节。
风险提示
- 误区:公司注册地在中国,GDPR管不到。 正解:只要业务涉及欧盟用户,GDPR即适用,已有非欧盟公司被罚先例。
- 误区:使用了合规的第三方服务商(如云平台),自身即可免责。 正解:若与第三方共同决定数据处理目的,可能被认定为“联合控制者”而共同担责。
- 误区:用户勾选了隐私政策即算有效同意。 正解:同意必须针对具体、明确的目的,且不能与其他条款捆绑,模糊、概括性的同意无效。
- 注意事项:GDPR罚款基于全球营业额,处罚力度远超国内法规,切勿以国内合规经验简单套用。
- 注意事项:在丹麦和爱沙尼亚业务需特别警惕,违规可能不仅导致罚款,还有刑事处罚风险。