适用场景
面向所有涉及处理欧盟居民个人数据的中国出海企业,无论其是否在欧盟设立实体,尤其是在欧盟市场提供商品/服务、监控用户行为或雇佣欧盟居民的企业。
核心要点
1. GDPR的广泛管辖权
GDPR具有扩张性的域外效力,不仅适用于在欧盟设立的企业,也适用于向欧盟居民提供商品/服务或监控其行为的非欧盟企业。这意味着,即使服务器和公司主体均在中国,只要业务涉及欧盟用户,就可能受到GDPR的管辖。
2. 数据主体的核心权利
GDPR赋予数据主体一系列权利,包括知情权、访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携权以及反对权。企业作为数据控制者,有义务建立透明、有效的机制来保障这些权利的实现。
3. 企业的核心合规义务
企业需履行多项组织与实质性义务,包括:记录数据处理活动、进行数据保护影响评估、在特定情况下任命独立的数据保护官、实施技术与组织安全措施、在72小时内报告数据泄露、以及遵循“通过设计和默认实现数据保护”原则。
4. 严格的跨境数据传输规则
向欧盟经济区外传输个人数据需满足严格条件,主要合法机制包括:欧盟的充分性认定、采用标准合同条款、制定有约束力的公司规则或遵守已批准的行为准则。企业需根据自身情况选择合适的合规路径。
5. 高额处罚与法律风险
违反GDPR核心原则(如合法性基础、数据主体权利、跨境传输规则)可能导致最高2000万欧元或企业全球年营业额4%的罚款(以较高者为准)。风险高低与企业规模、数据处理量、是否发生数据泄露及用户投诉密切相关。
实务建议
- 第一步:进行适用性评估。明确企业业务(如面向欧盟的电商、App、招聘)是否落入GDPR管辖范围。
- 第二步:开展数据映射与差距分析。梳理企业收集、处理欧盟个人数据的全流程,识别与GDPR要求的差距。
- 第三步:建立合规框架。更新隐私政策,建立响应数据主体权利请求的内部流程,评估并任命数据保护官(如需)。
- 第四步:加固安全与跨境措施。实施加密、访问控制等技术措施,并为向中国等非充分性认定国家的数据传输选择标准合同条款等合法工具。
- 第五步:制定应急与培训计划。建立数据泄露72小时应急响应流程,并对相关员工进行GDPR合规培训。
风险提示
- 误区:认为公司不在欧盟就无需遵守GDPR。实际上,只要目标用户是欧盟居民,就可能受管辖。
- 误区:将中国的网络安全负责人等同于GDPR的数据保护官。后者要求更高的独立性,且职能定位不同。
- 注意:获取用户同意必须满足“自由、具体、知情、明确”的要求,预选框等模糊方式可能无效。
- 注意:数据跨境传输不能仅依赖用户同意,必须同时满足本章规定的合法传输机制之一。
- 注意:GDPR合规是持续过程,需定期审查和更新数据保护措施,不能一劳永逸。