适用场景
面向所有涉及处理欧盟境内个人数据的中国出海企业,无论其在欧盟境内是否有实体机构,特别是从事电商、社交、游戏、金融科技、数据分析及任何通过网站或App向欧盟用户提供商品/服务或进行用户行为监控的企业。
核心要点
1. 广泛的适用范围与域外效力
GDPR不仅适用于在欧盟设立实体的企业,其长臂管辖原则也覆盖在欧盟无实体的企业。只要您向欧盟居民提供商品或服务(如接受欧元支付、使用欧盟语言),或对发生在欧盟的个人行为进行监控(如使用Cookies进行用户画像),就必须遵守GDPR。
2. 严苛的数据处理义务与主体权利
GDPR对数据处理提出了极高要求,包括必须获得数据主体清晰、自由、可随时撤回的同意;必须记录数据处理活动;在特定高风险场景下需进行数据保护影响评估并设立数据保护官。同时,它赋予了数据主体访问权、被遗忘权、数据可携权等多项新权利。
3. 严厉的双重法律责任
违规将面临巨额处罚,最高可达全球年营业额的4%或2000万欧元(取高者)。同时,数据控制者与处理者对数据主体的损失承担连带责任,内部则根据过错进行责任划分。这要求企业与合作伙伴均需明确各自的合规义务。
4. 平衡与灵活的合规路径
GDPR并非一味严苛,它强调比例原则,并提供了多种合规路径。例如,通过采用欧盟批准的标准合同条款、有约束力的公司规则或获得充分性认定,可以实现数据的跨境传输。对于中小企业,在记录义务等方面也有一定的豁免空间。
实务建议
- 立即进行业务排查:确认您的业务(如网站、App、营销活动)是否涉及处理欧盟居民个人数据,或是否构成‘向欧盟提供商品/服务’及‘监控行为’。
- 全面审查数据实践:检查用户协议、隐私政策中关于同意的获取方式(是否清晰、自由、易撤回),并建立数据主体行使权利(如访问、删除)的响应流程。
- 建立应急与记录机制:制定数据泄露事件的72小时内报告预案。同时,系统性地记录所有数据处理活动,以备核查。
- 评估并落实跨境传输机制:如果业务需要将欧盟用户数据传输至中国或第三国,应优先考虑采用欧盟委员会批准的标准合同条款(SCCs)作为合法依据。
- 考虑任命数据保护官(DPO):若您的核心业务涉及大规模、系统性监控欧盟用户,或处理特殊类别数据,应评估并任命DPO以履行监督职责。
风险提示
- 误区:认为公司在欧盟没有办公室或服务器就不受GDPR管辖。实际上,只要业务行为触及欧盟市场,就可能适用。
- 误区:将用户协议与隐私政策混为一谈,或使用模糊、捆绑式的同意选项。这无法构成GDPR下的有效同意。
- 注意事项:不要忽视对数据处理者(如云服务商、外包客服)的管理。GDPR要求您确保他们也合规,并可能承担连带责任。
- 注意事项:发生数据泄露时,切勿隐瞒或延迟报告。必须在知晓后72小时内向监管机构报告,否则将加重处罚。