欧盟GDPR对于中国企业的影响

欧盟《通用数据保护条例》(“GDPR”)具有广泛的域外效力,部分中国企业极有可能受到GDPR的规管。下文简要介绍GDP
作者:李丽霞
2019-04-22 15:01:41

           欧盟《通用数据保护条例》(“GDPR”)具有广泛的域外效力,部分中国企业极有可能受到GDPR的规管。下文简要介绍GDPR对哪些中国企业具有效力,以及简述相关中国企业应当如何应对。


1. GDPR适用于哪些中国企业


         这个问题涉及GDPR规定的适用范围。GDPR适用范围如下:

         (1)在欧盟境内设立的数据控制人或数据处理人,在从事业务活动过程中处理个人数据,不论在何地处理该数据。

         GDPR原文所指的是数据控制人或数据处理人在欧盟境内的“establishment”处理个人数据属于其适用范围,强调了“establishment”指的是通过稳定的安排(stable arrangements)所实施的有效活动,该等稳定的安排采取何种法律形式,是否通过分公司或子公司,并非决定性因素。

        (2)在欧盟境外设立的数据控制人或数据处理人,向在欧盟境内的自然人提供货物或服务(不论自然人是否付费)或监控在欧盟境内自然人在欧盟境内的活动时,处理该自然人的个人数据。

        (3)在欧盟境外设立的数据控制人,其位于根据国际公法,欧盟某一成员国法律予以适用的地方。

       相应地,正在布局/开展全球业务(尤其是欧盟境内业务)的中资企业以及隶属于欧盟境内总部的跨国集团中国分支机构,符合相应情形时则受到GDPR的规范。具体而言,以下这些企业可能受到欧盟GDPR的规范和/或影响:

       (1)中国企业在欧盟境内设立分支机构,该分支机构在从事业务活动过程中收集、处理欧盟境内个人数据的,不论该数据处理是否在欧盟境内进行,该分支机构受到GDPR规范。此类企业多为传统金融行业企业,诸如银行、保险等金融行业类企业,以及旅游行业企业包括航空公司、旅游代理公司等外,也包括其他行业在欧盟境内设立分支机构的情形。

       同样,中国企业并未在欧盟境内设立分支机构法律实体,但实际上在欧盟境内采取了收集、处理欧盟境内个人数据的决策和/或行为,也受到GDPR的规范。

        (2)中国企业未在欧盟境内设立分支机构,但向欧盟境内自然人提供服务或货物(不论是否收费),收集、处理在欧盟境内的自然人的个人数据的,则该中资企业受到GDPR的规范。此类企业多为线上运营业务并以欧盟境内自然人为目标客户或以欧盟境内自然人为信息收集处理目标的中资企业。

        (3)中国企业虽未在欧盟境内设立分支机构,但其通过某些方式(多为通过软件)监控欧盟境内自然人在欧盟境内的活动。此类企业多为互联网企业,也包括非互联网企业,此类企业基于某些目的,包括但不限于大数据分析/市场或商业统计分析目的,收集处理在欧盟境内自然人的个人数据。

        (4)境内外商投资企业,其配合欧盟境内的总部或其他关联公司处理包括欧盟境内自然人的个人数据。

        (5)其他为欧盟境内企业提供数据处理服务的中国企业(中资或外资),也受到GDPR的规范。实际上,此类企业的合同相对方即受到GDPR约束的欧盟以及欧盟外的企业有义务要求中国企业遵守GDPR设定的数据保护要求。由此,中国企业与前述企业的服务合同条款中必须包含GDPR所设定的数据保护要求。

       可能受到GDPR规范的国内企业有必要研究GDPR的具体规定和要求,采取相应的合规措施,确保符合GDPR的要求,以避免处罚风险。



2. 受到GDPR影响的中国企业应对策略


        由于GDPR具备域外效力,这使得部分中国企业既受到GDPR的规范,也受到国内数据保护相关法律法规,尤其是《中华人民共和国网络安全法》(以下称为“《网络安全法》”)的约束。基于此,此类中国企业原则上应确保其数据收集、处理政策及其实施同时符合GDPR的规定和国内相关法律法规的要求。

       GDPR和《网络安全法》确立的个人数据保护原则有同亦有异。受到影响的中国企业自然应当“求同存异”,既追求兼容性,相同的要求必须写到数据保护/隐私政策及告知被搜集信息个人的条款里,也要满足二者确立的不同数据保护要求,确保二者的不同规定在制度层面和执行层面都得到遵守。

       本文无意比较GDPR和《网络安全法》的区别,仅从下述两个方面来简要探讨受到GDPR影响的中国企业应如何应对GDPR的要求:

       (1)劳动/人力资源角度

        实现全球人力资源(人才)数据库统一管理的外资企业或纯中资企业,包括经营国际业务的猎头公司,有必要研究并按GDPR要求采取合规措施。具体应注意以下:

        (a)中国企业收集/处理员工信息,尤其是来自欧盟或适用欧盟GDPR规范的非欧盟国家或地区人员个人数据时,应当告知收集个人数据的范围和目的,征得其书面明确同意。

        (b)应只收集符合告知目的的必要信息,同时应采取合理合法措施维护员工个人信息数据库的安全,且仅为最初告知的收集数据目的而使用、处理个人数据。将收集的个人数据用于告知目的以外的其他目的,必须确保兼容性,否则应再次取得明确同意。

        (c)除非为相关法律规定所要求或属于为GDPR所允许的范围,收集处理个人数据后未录用员工或已录用的员工离职的,应及时删除此前收集的个人数据。

        (d)大型跨国集团人力资源信息(包括员工个人数据)共享或能被中国境内企业访问处理的,应确保欧盟境内个人明确同意此类跨境数据转移、被访问。同时,采取技术和制度措施保护此类转移至中国境内或在中国境内可以访问处理的境外人员数据。

        (e)涉及到监测员工行为(包括员工所持有的含定位、监测、追踪功能公司的公司设备,如手机等)数据的,中国企业也应取得员工的事先书面同意,并且该等信息数据收集必须为该企业业务经营管理所必须,不得侵犯员工的隐私。

        (f)中国企业将员工个人数据提供给外包方如人事代理公司时,应确保外包方保证保护该个人数据的安全,尤其是外包方应具备技术能力、可靠性以及相应的资源做好该数据保护工作,并从合同条款层面约束外包方,核实外包方是否有数据保护的相关内部制度。

       (2)商业运营角度

         此处主要指互联网企业或通过网站、软件等形式监控欧盟境内个人在欧盟境内活动,或向欧盟境内个人提供产品或服务的企业,其在业务营运过程中收集处理欧盟境内个人数据,其应着重注意的事项(并未穷尽此类事项,还需根据企业的具体营运特点、行业特点做到符合GDPR的规定)。

        (a)总体来说,所涉中国企业应比照GDPR的具体要求,制定完善的数据保护制度/政策,在网站或APP内设置告知条款,采取数据保护技术措施,保护数据安全。

        (b)告知收集个人数据方面,同以上第(1)条,中国企业应通过合理途径告知被收集个人数据的欧盟境内人员并取得其明确同意。中国企业面向该等人员收集其信息的线上网站或软件(包括手机APP)中应有清晰、易懂、明确的告知条款,用欧盟境内人员能够获取的语言方式展示,通过技术手段保留取得被收集数据的个人的同意证明。跨境转移个人数据的,也应取得欧盟境内人员的明确同意。

        (c)为业务目的,需要在欧盟境外处理欧盟境内人员个人数据的,如果自行处理,应确保自身具有保护数据安全的技术措施和制度措施(包括符合GDPR规定情形设置数据保护官即DPO),如通过第三方(包括欧盟境外的关联机构)完成以上个人数据的处理,应识别第三方的技术能力和可靠性,并在与第三方的合同中明确数据保护具体要求。

        最后,尽管GDPR具有适用于部分中国企业的域外效力,作为境外的法律规范,有关GDPR的法律意见最终需要具备该领域执业能力的外国律师出具或确认。同时受到国内网络安全法、数据保护法律法规及GDPR双重规制的中国企业,有必要在中国律师的协调下,确保其隐私政策的制定完善及内部操作流程、对外业务安排等方面既符合中国相关法律法规的规定及监管要求,又符合GDPR的规定,尽量降低数据合规方面的风险。