欧盟《通用数据保护条例》（GDPR）及其对中国公司的影响

2018-5-29

2018年5月25日，期待已久的《欧盟通用数据保护条例》（“GDPR”）^[i]将正式生效，开启世界上最严厉的数据隐私制度。GDPR是欧盟关于数据隐私的第一个“条例”，将自动适用于所有28个欧盟成员国。与1995年的指令不同，其效力不以国家立法机关通过为要件^[ii]。该条例对个人资料的收集、使用和储存有严格的规定，包括个人的身份证号码、地址、银行信息、种族、性别等。

虽然国家数据保护部门（DPAs）^[iii]负责执行GDPR，但是GDPR制定了关于对侵权行为进行罚款评估的规则。如下文所述，DPAs的权力包括对公司的调查/审计和对公司在全球范围内的销售额征收高达4%的罚款，如有必要，该项罚款将由国家法院进行收取。^[iv]这意味着，如果中国企业未能对欧盟成员国的强制执行诉讼中为自己提出辩护，其可能会遭到缺席判决并承受由此带来的后果。

GDPR是一个长而详细的文件，包含99个条款。此外，由欧盟设立的咨询数据保护组织第29条工作组（“WP”）已经出版（并将继续出版）了一套解释和描述GDPR各条款的指南。这是一项正在进行的工作，还有许多问题有待回答。

德恒善于协助客户确定GDPR是否适用、如何适用以及如何实现合规。我们在欧盟调查和提供咨询/合规服务方面有数十年的经验。针对有可能被调查的德恒客户，我们将协助其尽量减少罚款和其他风险。

一、风险最大的客户类型。

所有在欧盟有业务的中国公司，无论是在欧盟内部还是在欧盟之外处理个人数据，还是在欧盟以外处理欧盟居民的个人数据，都面临风险。尽管如此，以下类型的公司风险最大:

•银行、保险公司、投资基金

•工业企业

•将个人数据用于营销目的的航空公司和酒店连锁

•在欧盟内部监视个人的电信公司

•房地产开发商

•零售电商平台

二、GDPR适用的地域范围

根据GDPR第3条，该条例适用于两种宽泛的情形。

第一，“本条例适用于在欧盟内的控制机构或处理机构的相关实体从事的与其活动有关的个人信息处理，不论该种处理是否在欧盟内进行。”^[v]

基于上述目的，理解欧盟法律下的“实体”可能包含仅设立一个销售办事处的情形是至关重要的。法律并不要求中国公司在欧盟设立有子公司。^[vi]一旦中国公司在欧盟内部有“实体”，只要信息处理与该欧盟内的实体所从事的“活动”“有关”，欧盟法律就具有管辖权。条例不要求数据属于欧盟居民或国民，也不要求处理过程发生在欧盟内部——在中国或其他地方进行的处理仍然可能受到条例的管辖。

举例:

银行业。一家中国的银行在法兰克福有一家子公司，向个人贷款并接受存款，其中一些人是非欧盟居民/公民。在这些活动过程中，银行直接或通过第三方处理机构收集个人数据（后者用来确定信用风险）。所有这些人都受到GDPR的保护，而银行作为一个控制机构，有义务遵守GDPR。

制造业。一家在欧盟设有工厂的中国化学品制造商负责处理雇员和求职者的数据，并监控工作场所的员工。公司有义务确保GDPR的数据隐私要求得到满足。

第二，“本条例适用于在欧盟外的控制结构和处理机构处理欧盟内部的数据主体的个人数据，该种处理行为应当与以下行为相关：（1）向该等欧盟内部的数据主体提供商品或服务；或者（2）监控数据主体在欧盟内部发生的行为。”

基于上述目的，即使中国客户没有在欧盟的设立实体，如果其对欧盟内部个人的信息收集行为与向欧盟内部个人提供相关商品或服务或监视其行为（即在线行为跟踪）有关，其可能仍然受GDPR的管辖。

一个重要的问题是，该第二种管辖权基础是否适用于在自己的网站上向全球销售产品和服务的中国制造商和服务提供商（没有欧盟内部的设立行为）。很明显，仅仅持有一个销售网站并不等同于向欧盟消费者“提供”产品。但GDPR和ECJ判例中的第24条明确指出，下列一个或多个因素的存在可以构成向欧盟消费者提供产品和服务：如果该公司的网站上包含跨国的客服联系方式，以当地货币（或提供换汇）销售产品，提供从一种语言到另一种语言的自动翻译，提供来自欧盟消费者的推荐/评论作为吸引其他欧盟居民的手段，或者使用欧盟顶层域名。

例子:

投资基金。一家在欧盟没有办事处的中国投资基金，通过在金融报纸和杂志上刊登广告，让其高管在欧盟投资研讨会和活动上发言，以及在自己的网站上为潜在的欧盟投资者提供指导，来吸引欧盟投资者。如果该基金收集欧盟个人的数据（通常情况下存在这种情况），那么它很可能处于GDPR的管辖之下。

零售网站。中国的一个奢侈化妆品品牌（没有欧盟内的实体）拥有一个零售网站，全世界的消费者都可以访问这个网站。当欧盟居民访问网站时，此人将被导向该公司的英国网站，一切内容都是英文的，价格是英镑，列出了欧盟买家的评论，并提供了一个英国电话号码和电子邮件地址作为客服联系方式。这家公司处理购买家的数据，并监控网站的访问者。那么它很可能受GDPR的管辖。

三、适用范围

GDPR包含适用于个人数据处理的“原则”，如必须合法收集的原则（通常是通过获取数据主体的同意，但也可能是其他方式），为了“指定的、明确的和合法的目的”，仅限于实现这些目标所必须的数据，数据保存的时间不得超过必要的时间，而且数据必须是准确的。每个要求都辅以了详细的解释、要求和分析。第29条WP已经发表了一份密集的指南，仅针对“同意”的问题。

GDPR还包含控制机构和处理机构的各种义务，以及数据主体的权利。例如，“控制机构”必须将相当数量的与被收集信息有关的信息和索赔的权利等传达给数据主体， 个人有权获得该等数据，以及在其他义务之外，“处理机构”必须实施适当的技术和组织措施，确保数据处理满足GDPR的要求。尤其是对中国客户而言，某些个人权利可能会让人有些意外。第16条规定了“纠正权”，第17条规定了清除权，或更普遍地被称为“被遗忘的权利”，即即使信息准确、真实。同样地，这里的每一项权利和义务都必须结合具体情况加以详细分析。

数据保护官。从事“大规模”个人数据处理业务的公司必须指定一名数据保护官（“DPO”），该人员在公司内担任明确的角色，并且应当采取相应的行动。^[vii]第29条WP指南的相关适用规则确认银行和保险公司属于这一类公司。当然，腾讯和阿里巴巴等大型互联网公司也将被要求任命DPO。

数据保护的影响评估。GPDR第35条介绍了数据保护影响评估（“DPIA”）的概念。当公司进行“很可能会对国民的权利和自由造成很大的风险”的数据处理操作时，可能需要进行DPIA。相关的第29条WP指南明确地确认，如果中国公司“系统地”监控员工的行为，比如跟踪员工的互联网活动、监控员工的工作站等，就有可能出现很高的风险。

四、风险/处罚的范围

如前所述，GDPR规定最高罚金为公司全球营业额的4%。但在实践中，DPA将考虑各种因素，这些因素在第29条WP所制定的指南中有详细说明。事实上，这一标准很大程度参照了欧盟反垄断案件中应用的标准。DPA将考虑侵权的性质、严重性和持续时间，以及减轻和加重处罚的情节。

在确定罚款金额时的一个重要的因素是控制机构是否按照相应的水平和成本，从一开始就采用了适当的技术、组织措施和程序，以确保遵守GDPR（称为“隐私设计”），而不是采取事后的纠正措施。另一个因素是，控制机构有否采取适当措施，确保只处理特定用途所需的个人数据。

除行政罚款外，侵权人还可能面临民事诉讼（第79-82条），包括消费者团体、协会等提起的集体诉讼。

五、实现合规

首先，必须强调的是，尽管GDPR和指南有技术性，但这些监管文书采取的方法在语气和内容上都具有令人惊讶的法律属性。因此，对于GDPR是否适用于一家公司或者是否适用于某一情况，律师有充足的机会提出异议。在某些情况下，相关DPA也可能允许非正式协商，以帮助促进相关公司的合规。

然而，一旦明确了GDPR适用于某个特定的德恒客户，该客户就应该了解GDPR的要求及其所带来的风险。该客户可能需要审查其收集和存储数据的系统、获取数据主体同意的方法（即是否足够清晰、透明和精确）、提供数据访问和删除的系统等等。

参考文献：

[i] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=NL

[ii] 尽管如此，法律上允许会员国通过比GDPR更严格的国家立法。德国去年通过了新的联邦数据保护法，并将于2018年5月25日生效。例如，根据FDPA的第38条，在德国经营的公司如果雇用10人及以上从事数据的自动处理，就必须指定一名数据保护官。在欧盟框架下，该门槛更高，如下文所示。

[iii] 例如，在英国，有信息专员办公室，https://ico.org.uk/ 。在德国，有17个数据保护机构，其中在联邦一级有一个，仅覆盖电信和邮政服务，另在16个州里每州都有一个（“Lander”）。

[iv] GDPR，第58(5)条。

[v] 控制机构决定处理个人数据的目的和方法。处理机构代表控制机构处理个人数据。控制机构通常，但不绝对，和处理机构是同一法人。在GDPR项下，控制机构和处理机构有各自的职责。当控制结构将数据处理工作外包给第三方时，其自身的责任并不会被免除。

[vi] 事实上，在欧盟法院的一个判例中，当案件中的当事人住在匈牙利，发布了匈牙利不动产的广告，有当地的邮寄地址和银行账户，以及综合其他表明其在匈牙利具有“真实及有效的活动”时，某一公司代表的存在就被视为足以构成设立了实体。Weltimmo v. NAIH, C-230/14 (2015).

[vii] GDPR，第37-38条。

本文的内容旨在为相关话题提供粗略的介绍。读者应当结合自己的特定情况向专业人员咨询。