适用场景
面向欧盟(含英国)市场、处理欧盟居民个人数据的中国出海企业,尤其是在业务启动、数据收集、系统搭建或发生数据跨境传输时需重点关注。
核心要点
1. GDPR具有广泛的域外效力
GDPR不仅适用于在欧盟境内设立的企业,也适用于在欧盟境外设立、但向欧盟居民提供商品/服务或监控其行为的企业。只要处理欧盟居民的个人数据,就可能受到GDPR管辖。
2. 明确“数据控制者”与“数据处理者”的角色与义务
企业需根据自身是否决定数据处理的目的与方式,来界定是“数据控制者”还是“数据处理者”。角色不同,在GDPR下的核心义务与责任也不同,这是合规建设的起点。
3. 必须遵循七大核心数据保护原则
GDPR要求数据处理必须合法、公正、透明,并遵循目的限制、数据最小化、准确性、存储限制、完整性与保密性以及问责制原则。这些原则是所有合规工作的基石。
4. 数据跨境传输需提供“适当保障”
将欧盟居民的个人数据传输至欧盟以外地区(如中国总部或云端服务器),必须确保有合法的传输机制,例如签订包含欧盟标准合同条款(SCCs)的协议,以提供充分的数据保护水平。
5. 违规处罚极其严厉
GDPR的罚款额度极高,最高可达2000万欧元或企业全球年营业额的4%(以较高者为准)。易捷航空等案例表明,数据泄露可能导致巨额罚款和声誉损失。
实务建议
- 立即进行数据映射与角色评估:梳理企业收集、存储、处理、传输的所有个人数据流,明确自身在每条数据流中是控制者还是处理者。
- 建立并公示清晰的隐私声明:以简洁易懂的方式,在收集数据前向用户(数据主体)完整告知数据处理的目的、方式、法律依据、存储期限及权利行使途径。
- 审查并夯实数据处理的法律依据:不要仅依赖用户“同意”。评估合同履行、法定义务、合法利益等其他法律依据是否适用,并确保“同意”是自由、具体、知情和明确的。
- 实施技术与管理保障措施:制定内部数据保护政策(如数据泄露响应、留存与删除政策),对员工进行定期培训,并考虑任命数据保护官(DPO)。
- 严格管控数据跨境传输:在与境外关联方或服务商共享欧盟个人数据前,必须签订包含标准合同条款(SCCs)的数据传输协议,并进行传输影响评估。
- 建立数据泄露应急响应机制:制定预案,确保在发生数据泄露时能快速识别、评估、上报监管机构(72小时内)并通知受影响的数据主体。
风险提示
- 误区:认为公司注册地不在欧盟就不受GDPR约束。事实:只要业务面向欧盟用户,就必须遵守。
- 误区:将用户“同意”作为万能合规工具。事实:GDPR对“同意”要求极高,且非唯一合法依据,滥用无效同意风险更大。
- 注意事项:Cookies等追踪技术若用于识别用户,也属于个人数据,需单独获取用户同意,并应在隐私政策和Cookies政策中明确说明。
- 注意事项:与第三方(如云服务商、营销伙伴)共享数据时,必须通过合同明确双方GDPR责任,否则可能承担连带责任。
- 注意事项:“问责制”原则要求企业不仅要合规,还要能证明合规。缺乏书面政策和记录将无法应对监管审查。