《通用数据保护条例》解读-出海企业合规指南：欧洲篇

前 言 中国的互联网行业在海外不断夯实自己的领先优势。据信通院统计，从价值超过 100 亿美元的数字平台来看，中国和美国仍然保持绝对引领。2020 年，中、美百亿美元以上平台企业数量合计达 64 家，全球占比 84.2%，全球新增的 7 家平台均来自中美。2021 年，TikTok 更是首次取代谷歌，成为全球访问量最多的域名。越来越多的中国企业开始展现自己强大的国际竞争力，鼓舞着万千中国互联网企业进军海外。 另一方面，与互联网行业息息相关的隐私保护和数据合规立法也在不断完善。2018 年 5 月，欧盟最严个人数据保护法规《通用数据保护条例》(GDPR) 正式生效，引起广泛关注。此后全球隐私立法按下加速键：2019 年 9 月，新加坡新修订的《个人资料保护条例》正式生效；2019 年12 月，印度联邦内阁通过了《2019 个人数据保护法》；2020 年 7 月，美国加州正式实施《加州消费者隐私法案》(CCPA)，又在 2020 年 11 月通过了 CCPA 的修正案《加州隐私权利法案》(CPRA)；2021 年 11 月，中国开始正式实施《个人信息保护法》。随着各国开始制定各自的隐私保护和数据合规法律，出海企业也有必要随时跟进当地立法进展，根据规定调整隐私政策以及业务方向。 数美数字风控研究院“风控 Law School”专栏聚焦数字风控行业，追踪国内外政策法规最新动态，帮助企业敏锐察觉政策趋势，应对合规风险，为企业数字化转型提供坚实后盾。“风控Law School”将按照互联网企业出海地区推出“出海企业合规指南”，GDPR 为出海系列的第二册。 声 明 本册由数美数字风控研究院（公众号ID: ishumei2015）制作，版权归数美科技所有。 本册主要采用文献综述、桌面调研、行业访谈等调研方法写成，参考文献、数据引用及其来源均在脚注内标出，图片采集于网络公开信息并标注来源。 本册致力于为读者呈现海外监管法律的全貌，然而受研究方法与参考资料的限制，文内的观点仅为读者提供行业参考，并不视为针对企业提供的专业建议。 此版为首次发布版本，数美数字风控研究院之后可能会对内容进行再次修订。 目录CONTENTS 适用范围1 立法进程2适用范围3地域适用范围5合规建议6 个人权利7 访问权7更正权8删除权（“被遗忘权”）9限制处理权10可携带权１1拒绝权12不受制于自动化决策的权利13合规建议14 跨境传输15 跨境传输的定义15数据跨境传输需要满足哪些条件？17跨境传输的特殊情况19合规建议20 数据处理原则２1 公平、透明和合法２1目的限制22数据最小化23准确23存储限制24完整与保密25问责与合规25合规建议25 企业义务27 采取数据保护措施两大原则27保障个人数据安全29开展数据保护影响评估30设立数据保护官３1合规建议32 关于数美数字风控研究院33 适用范围 2018 年被称为“世界数据治理元年”。在这一年的 5 月 25日，《通用数据保护条例》(GDPR）在经过两年的缓冲期后正式步入执法阶段。作为全球首部全面的个人数据保护法，它的出台极大地影响了欧洲乃至全世界的数据保护立法进程。就在GDPR 正式实施不久，美国加州便匆忙通过了 CCPA 草案，而我国于 2021 年实施的《个人信息保护法》与《数据保护法》在制定过程中也参考了 GDPR 的个人数据保护框架。 注释 1： 数据详见：2022.01.06，DIGIT，“GDPR Fines Totalledover € 1bn in 2021”， http://www.digit.fyi/gdpr-fines-totalledover-e1bn-in-2021/ 除了其在立法上的先锋地位，GDPR 的高额罚金也是其备受瞩目的原因之一。GDPR 生效不到四年，其罚款金额逐年增长：2018 年仅为 43.6 万欧元，2019 年 7200 万欧元，2020 年 1.71亿欧元，2021 年上涨至惊人的 10 亿欧元。在 GDPR 的罚款名单上不乏多家互联网巨头，截至目前，被罚金额最高的企业是亚马逊。2021 年 7 月，卢森堡的数据监督管理机构以“不遵守一般数据处理规则”为由，向亚马逊收取了 7.46 亿欧元的罚款注释 1。 GDPR 罚单金额排行 Highest fines for breaching one or more articles of the GDPR(in million U.S.dollars) 虽然就现阶段而言，中国互联网企业的主要出海地区是东南亚、中东、北美等地区，但欧盟世界前三的经济体量与较高的消费水平也在不断吸引着中国企业。而欧盟作为发展成熟程度相当高的市场，也通常被认为是海外市场中的高岭之花，获取市场难度高，但一旦成功，能大幅提振品牌信心与国际知名度，TikTok 和 Shein 就是很好的例子。 一方面，出海欧洲的中国企业队伍日益壮大，而另一方面，入局欧洲的准入门槛也越来越高。随着 GDPR 的执法模式日益成熟，企业也迫切需要提升自身的数据保护合规水平，以应对更加制度化的监管。 立法进程 欧盟的个人数据保护立法大致经过三个阶段：《1981 年个人数据保护公约》（简称“108 公约”）、《1995 年个人数据保护指令》（简称“95 指令”）以及 2018 年《通用数据保护条例》（GDPR）。 108 公约是全球范围内有关数据保护的第一份具有法律约束力的国际文件，其规定，“各方必须在其国内立法中采取必要措施适用其规定的原则，以确保在其领土内尊重所有个人在处理个人数据方面的基本人权”注释 2。108 公约原本仅适用于欧盟成员国，在经过数次修订后，也开始面向非欧洲国家及国际组织开放签署。 注释 2 引用详见：2019.04.06，网络法治国际中心，《国际数据治理：欧洲委员会及其“108 号公约 +”》 1995 年，欧盟通过《数据保护指令》，第一次以立法的形式为保护成员国公民个人信息安全设定标准。在 108 公约的基础上，95 指令建立了具有一定可操作性的个人数据保护规则和实施框架，为欧盟成员国的数据保护法令制定了最低标准。95 指令在欧盟立法层级上属于“指令”，不具备直接的执法效力，成员国不能直接照章办事，而应依照指令将其转化为地方法律。由于每个成员国都是按照自己对 95 指令的理解制定地方法律，这也导致各国在保护个人信息的立法进度不一。 2018 年的 GDPR 是对 95 指令的一次提炼与更新，它在生效后直接取代了 95 指令。GDPR 作为“条例”，各国的监管机构无需对其进行任何修改转化，可直接依据 GDPR 进行执法。通过提升 GDPR 的立法地位至“条例”，GDPR 成为“一种对其28 个会员国的 5 亿人甚至其他国家的人，采取一致做法的有效机制。” 适用范围 GDPR 旨在保护个人隐私权，并加强其对个人数据的控制。GDPR 序言开宗明义地指出，“保护自然人的个人数据处理是一项基本权利”，因此，GDPR 主要聚焦于对“个人数据的处理”。 GDPR 第二条第一款规定，GDPR 适用于所有对于个人数据的使用及处理行为，包括人工处理及自动化处理。 紧随其后，GDPR列出了不适用的个人数据处理情形： 注释 3： （1）发生在联盟法律范围之外的活动过程中；（2）由成员国在欧洲联盟条约第五卷第二章范围内（涉及公共外交与安全政策）进行活动时；（3）由自然人在纯粹的个人或家庭活动中；（4）由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和组织公共安全受到威胁注释3。 原文详见：GDPR Article 2(2) 除了第二条所列举的，GDPR 另有多处提到其他的不适用情形，如逝者与法人的个人数据处理、经过匿名化处理的个人数据不适用 GDPR。由于 GDPR 力求对个人数据实现最大程度的保护，因此对个人数据的定义非常广泛，而对其他不适用的情形以列举的方式在文内多处列出，此处不一一枚举。但有一点可以肯定的是，以营利为目的的企业所开展的数据处理活动一定适用GDPR。 由于在不同立法下，“个人数据”的定义也各不相同，因此有必要厘清在该法中“个人数据”具体指哪些数据。 GDPR 的“个人数据”判断标准为是否可识别，它指任何指向一个已识别或可识别的自然人身份相关的信息，包括姓名、身份证号码、地址信息或网络标识符（包括 IP 地址和 Cookies）等标识，或是物理、生理、遗传、心理、经济、文化或社会身份等要素。 我国的《个人信息保护法》也采用类似的“识别说”。《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 , 不包括匿名化处理后的信息。” 加州的CCPA则在“识别”的基础上，进一步通过数据与个人的合理关联对个人数据进行限缩，并排除了多种不适用的数据，这也使得CCPA定义下的个人数据要比GDPR和个保法范围更小。 三部法规对“个人数据”的不同定义也体现了不同的立法理念。GDPR和个保法的定义较为宽泛，更强调实现最大限度对个人信息的保护，而CCPA的个人数据范围相对较小，更有助于数据的无障碍流动，减少数据保护可能给经济增长造成的负作用。 地域适用范围 GDPR 第三条中规定了其地域适用范围： （1）本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。 （2）本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为： 注释 4： (a) 发生在向欧盟内的数据主体提供商品或服务的过程中， 原文详见：GDPR Article 3 无论此项商品或服务是否需要数据主体支付对价；或 (b) 是对数据主体发生在欧盟内的行为进行的监控的。 （3）本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理注释 4。 地域适用范围也是 GDPR 一直以来较大的争议点，其提出的域外管辖权将 GDPR 的适用范围直接延伸至全球范围内任何面向欧盟提供产品、服务、监控的企业。由于 GDPR 原文中并未对地域适用范围作出具体的阐述，监管机构以及企业在实际操作过程中难以判断其是否适用 GDPR，于是，2018 年 11 月23 日，GDPR 最高监管机构欧洲数据保护委员会（EDPB）发布《关于 GDPR 地域管辖的指引——公众版本》，对 GDPR 地域适用范围的划定作出了具体指引。 判断企业数据处理业务是否受 GDPR 管辖需要关注两点： 1. 企业是否在欧盟境内设立实体； 2. 若企业实体设立在欧盟外，其是否以面向欧盟提供商品、服务或以监控为目的。 先说第一点。在此种情况下，如何判断企业是否在欧盟境内设立实体？欧盟境内设立的子公司或分公司是否适用？ EDPB 在指引中指出，具有法人资格的分公司、子公司及办事机构均有可能适用 GDPR，前提是“通过稳定的组织进行有效、真实的营业活动”。例如，一家美国汽车制造公司在布鲁塞尔设有办事处，负责其在欧洲的营销和广告活动，那么它可以被视为一个稳定的组织在承担真实有效的营业活动，因此这家办事机构便适用 GDPR。 2021 年 7 月，荷兰数据保护局以侵犯儿童隐私为由，对 TikTok 处以 75 万欧元的罚款，这也是中国企业首次因违反 GDPR 而受到处罚。在案件审理过程中，TikTok 以其主要机构位于爱尔兰为由提出异议。但荷兰数据保护官认为，TikTok 是在调查开展期间才将总部转移至爱尔兰，在爱尔兰的人力与资源尚不足以支持其在当地开展营业活动，反而有借在爱尔兰设立机构为由规避荷兰执法的嫌疑。这一案例也充分说明，GDPR 的地域适用及监管机构认定会结合具体的业务形态判定，而不会局限于实体的设立地点。 再来看第二点，这里的关键在于企业是否面向欧盟境内的人提供产品、服务或监测行为。开发海外专用 APP、使用欧元或欧盟成员国货币结算、使用