适用场景
面向所有涉及处理欧盟境内自然人个人数据的中国出海企业,无论企业是否在欧盟设立实体,只要向欧盟居民提供商品/服务或监控其行为,均需关注。尤其适用于电商、金融科技、社交、游戏及任何拥有用户数据的互联网企业。
核心要点
1. 广泛的适用范围
GDPR不仅约束在欧盟设立实体的企业,也适用于在欧盟境外但向欧盟居民提供商品/服务或监控其行为的企业。这意味着,即使您的公司总部在中国,只要业务触达欧盟用户,就必须遵守GDPR。
2. 核心原则与数据主体权利
GDPR确立了合法、公平、透明、目的限制、数据最小化、准确性、存储限制、完整性与保密性以及问责制等核心原则。同时,它赋予了数据主体一系列强大权利,包括访问权、纠正权、删除权(被遗忘权)、限制处理权、数据可携权以及反对自动化决策的权利。
3. 企业的主要合规义务
作为数据控制者或处理者,企业需承担多项义务,包括:实施“通过设计和默认的数据保护”措施、记录处理活动、在发生数据泄露时72小时内通知监管机构、进行数据保护影响评估、在必要时设立具备独立性的数据保护官(DPO)等。
4. 严格的跨境数据传输规则
向欧盟以外的国家(如中国)传输个人数据受到严格限制。通常需要依赖欧盟委员会的“充分性认定”,或采取适当的保障措施(如标准合同条款、有约束力的公司规则)。否则,只能在满足特定例外情形下进行传输。
5. 巨额处罚与合规平衡
违规处罚最高可达2000万欧元或企业全球年营业额的4%(以较高者为准)。尽管要求严格,但GDPR也提供了多种合法性基础和豁免条款,旨在平衡数据保护与合理使用,企业无需因过度担忧而完全放弃欧盟市场。
实务建议
- 立即开展合规自查:对照GDPR要求,全面审查您的隐私政策、用户协议、数据收集实践、第三方数据传输协议等。
- 明确数据处理的法律依据:梳理各项数据处理活动,确保每项处理都有合法依据(如用户同意、履行合同必要、合法利益等),并妥善记录。
- 建立用户权利响应机制:设立便捷渠道,确保能及时响应欧盟用户行使访问、更正、删除、可携等权利的要求。
- 完善数据安全与事件响应:强化技术安全措施,制定并测试数据泄露应急预案,确保能在72小时内向监管机构报告。
- 评估并规范数据跨境流动:梳理向中国或其他非欧盟地区传输数据的场景,采用欧盟认可的标准合同条款(SCCs)等工具确保传输合法。
- 考虑任命数据保护官(DPO):如果您的核心业务涉及大规模、系统性监控用户或处理特殊类别数据,应任命符合GDPR独立性要求的DPO。
- 开展员工培训与建立内控:对相关员工进行GDPR合规培训,建立数据访问权限管理和定期审计制度。
风险提示
- 误区:认为公司不在欧盟就无需遵守GDPR。实际上,只要业务面向欧盟用户,就必须遵守。
- 误区:将GDPR与中国《网络安全法》完全等同或认为满足GDPR就自动满足中国法。两者虽有重叠,但在细节(如DPO职责、数据本地化)和立法重点上存在差异,需分别合规。
- 注意事项:获取用户“同意”必须自由、具体、知情且明确,预先勾选的框或捆绑式同意通常无效。
- 注意事项:与第三方(如云服务商、数据分析伙伴)共享数据时,必须通过合同明确其处理者责任,否则您作为控制者可能承担连带责任。
- 注意事项:数据保护影响评估(DPIA)并非一次性工作,当引入新技术、新业务模式或数据处理风险发生变化时,需重新评估。