《通用数据保护条例》解读-出海企业合规指南：欧洲篇

前言 中国的互联网行业在海外不断夯实自己的领先优势。据信通院统计，从价值超过100亿美元的数字平台来看，中国和美国仍然保持绝对引领。2020年，中、美百亿美元以上平台企业数量合计达64家，全球占比84.2%，全球新增的7家平台均来自中美。2021年，TikTok更是首次取代谷歌，成为全球访问量最多的域名。越来越多的中国企业开始展现自己强大的国际竞争力，鼓舞着万千中国互联网企业进军海外。 另一方面，与互联网行业息息相关的隐私保护和数据合规立法也在不断完善。2018年5月，欧盟最严个人数据保护法规《通用数据保护条例》(GDPR)正式生效，引起广泛关注。此后全球隐私立法按下加速键：2019年9月，新加坡新修订的《个人资料保护条例》正式生效；2019年12月，印度联邦内阁通过了《2019个人数据保护法》；2020年7月，美国加州正式实施《加州消费者隐私法案》(CCPA)，又在2020年11月通过了CCPA的修正案《加州隐私权利法案》(CPRA)；2021年11月，中国开始正式实施《个人信息保护法》。随着各国开始制定各自的隐私保护和数据合规法律，出海企业也有必要随时跟进当地立法进展，根据规定调整隐私政策以及业务方向。 数美数字风控研究院“风控LawSchool”专栏聚焦数字风控行业，追踪国内外政策法规最新动态，帮助企业敏锐察觉政策趋势，应对合规风险，为企业数字化转型提供坚实后盾。“风控LawSchool”将按照互联网企业出海地区推出“出海企业合规指南”，GDPR为出海系列的第二册。 声明 本册由数美数字风控研究院（公众号ID:ishumei2015）制作，版权归数美科技所有。 本册主要采用文献综述、桌面调研、行业访谈等调研方法写成，参考文献、数据引用及其来源均在脚注内标出，图片采集于网络公开信息并标注来源。 本册致力于为读者呈现海外监管法律的全貌，然而受研究方法与参考资料的限制，文内的观点仅为读者提供行业参考，并不视为针对企业提供的专业建议。 此版为首次发布版本，数美数字风控研究院之后可能会对内容进行再次修订。 出海企业合规指南-欧崍眜 目录 CONTENTS 《通用数据保护条例》解读 适用范围 1 立法进程 2 适用范围 3 地域适用范围 5 合规建议 6 个人权利 7 访问权 7 更正权 8 删除权（“被遗忘权”） 9 限制处理权 10 可携带权 １1 拒绝权 12 不受制于自动化决策的权利 13 合规建议 14 跨境传输 15 跨境传输的定义 15 数据跨境传输需要满足哪些条件？ 17 跨境传输的特殊情况 19 合规建议 20 数据处理原则 ２1 公平、透明和合法 ２1 目的限制 22 数据最小化 23 准确 23 存储限制 24 完整与保密 25 问责与合规 25 合规建议 25 企业义务 27 采取数据保护措施两大原则 27 保障个人数据安全 29 开展数据保护影响评估 30 设立数据保护官 ３1 合规建议 32 关于数美科技 33 关于数美数字风控研究院 33 GeneralDataProtectionRegulation 出海企业合规指南-欧崍眜 《通用数据保护条例》解读 适用范围 2018年被称为“世界数据治理元年”。在这一年的5月25日，《通用数据保护条例》(GDPR）在经过两年的缓冲期后正式步入执法阶段。作为全球首部全面的个人数据保护法，它的出台极大地影响了欧洲乃至全世界的数据保护立法进程。就在GDPR正式实施不久，美国加州便匆忙通过了CCPA草案，而我国于2021年实施的《个人信息保护法》与《数据保护法》在制定过程中也参考了GDPR的个人数据保护框架。 除了其在立法上的先锋地位，GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年，其罚款金额逐年增长：2018年仅为43.6万欧元，2019年7200万欧元，2020年1.71亿欧元，2021年上涨至惊人的10亿欧元。在GDPR的罚款名单上不乏多家互联网巨头，截至目前，被罚金额最高的企业是亚马逊。2021年7月，卢森堡的数据监督管理机构以“不遵守一般数据处理规则”为由，向亚马逊收取了7.46亿欧元的罚款注释1。 注释1： 数据详见： 2022.01.06，DIGIT，“GDPRFinesTotalledover€1bnin2021”， http://www.digit.fyi/gdpr-fines-totalledover-e1bn-in-2021/ GDPR罚单金额排行 BigTech,BigFinesHighestfinesforbreachingoneormorearticlesoftheGDPR(inmillionU.S.dollars) AmazonWhatsAppGoogleH&M TIM BritishAirwaysMarriottInternational WindTre Sources:CMSGDPREnforcementTracker 来源：statista GeneralDataProtectionRegulation1 《通用数据保护条例》解读 出海企业合规指南-欧崍眜 虽然就现阶段而言，中国互联网企业的主要出海地区是东南亚、中东、北美等地区，但欧盟世界前三的经济体量与较高的消费水平也在不断吸引着中国企业。而欧盟作为发展成熟程度相当高的市场，也通常被认为是海外市场中的高岭之花，获取市场难度高，但一旦成功，能大幅提振品牌信心与国际知名度，TikTok和Shein就是很好的例子。 一方面，出海欧洲的中国企业队伍日益壮大，而另一方面，入局欧洲的准入门槛也越来越高。随着GDPR的执法模式日益成熟，企业也迫切需要提升自身的数据保护合规水平，以应对更加制度化的监管。 立法进程 欧盟的个人数据保护立法大致经过三个阶段：《1981年个人数据保护公约》（简称“108公约”）、《1995年个人数据保护指令》 （简称“95指令”）以及2018年《通用数据保护条例》（GDPR）。 108公约是全球范围内有关数据保护的第一份具有法律约束力的国际文件，其规定，“各方必须在其国内立法中采取必要措施适用其规定的原则，以确保在其领土内尊重所有个人在处理个人数据方面的基本人权”注释2。108公约原本仅适用于欧盟成员国，在经过数次修订后，也开始面向非欧洲国家及国际组织开放签署。 1995年，欧盟通过《数据保护指令》，第一次以立法的形 式为保护成员国公民个人信息安全设定标准。在108公约的基础上，95指令建立了具有一定可操作性的个人数据保护规则和实施框架，为欧盟成员国的数据保护法令制定了最低标准。95 注释2 引用详见： 2019.04.06，网络法治国际中心，《国际数据治理：欧洲委员会及其“108号公约+”》 2GeneralDataProtectionRegulation 出海企业合规指南-欧崍眜 《通用数据保护条例》解读 指令在欧盟立法层级上属于“指令”，不具备直接的执法效力，成员国不能直接照章办事，而应依照指令将其转化为地方法律。由于每个成员国都是按照自己对95指令的理解制定地方法律，这也导致各国在保护个人信息的立法进度不一。 2018年的GDPR是对95指令的一次提炼与更新，它在生效后直接取代了95指令。GDPR作为“条例”，各国的监管机构无需对其进行任何修改转化，可直接依据GDPR进行执法。通过提升GDPR的立法地位至“条例”，GDPR成为“一种对其28个会员国的5亿人甚至其他国家的人，采取一致做法的有效机制。” 适用范围 GDPR旨在保护个人隐私权，并加强其对个人数据的控制。GDPR序言开宗明义地指出，“保护自然人的个人数据处理是一项基本权利”，因此，GDPR主要聚焦于对“个人数据的处理”。 GDPR第二条第一款规定，GDPR适用于所有对于个人数据的使用及处理行为，包括人工处理及自动化处理。 紧随其后，GDPR列出了不适用的个人数据处理情形： （1）发生在联盟法律范围之外的活动过程中； （2）由成员国在欧洲联盟条约第五卷第二章范围内（涉及公共外交与安全政策）进行活动时； （3）由自然人在纯粹的个人或家庭活动中； （4）由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和组织公共安全受到威胁注释3。 注释3： 原文详见：GDPRArticle2(2) GeneralDataProtectionRegulation3 《通用数据保护条例》解读 出海企业合规指南-欧崍眜 除了第二条所列举的，GDPR另有多处提到其他的不适用情形，如逝者与法人的个人数据处理、经过匿名化处理的个人数据不适用GDPR。由于GDPR力求对个人数据实现最大程度的保护，因此对个人数据的定义非常广泛，而对其他不适用的情形以列举的方式在文内多处列出，此处不一一枚举。但有一点可以肯定的是，以营利为目的的企业所开展的数据处理活动一定适用GDPR。 由于在不同立法下，“个人数据”的定义也各不相同，因此有必要厘清在该法中“个人数据”具体指哪些数据。 GDPR的“个人数据”判断标准为是否可识别，它指任何指向一个已识别或可识别的自然人身份相关的信息，包括姓名、身份证号码、地址信息或网络标识符（包括IP地址和Cookies）等标识，或是物理、生理、遗传、心理、经济、文化或社会身份等要素。 我国的《个人信息保护法》也采用类似的“识别说”。《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。” 加州的CCPA则在“识别”的基础上，进一步通过数据与个人的合理关联对个人数据进行限缩，并排除了多种不适用的数据，这也使得CCPA定义下的个人数据要比GDPR和个保法范围更小。 三部法规对“个人数据”的不同定义也体现了不同的立法理念。GDPR和个保法的定义较为宽泛，更强调实现最大限度对个人信息的保护，而CCPA的个人数据范围相对较小，更有助于数据的无障碍流动，减少数据保护可能给经济增长造成的负作用。 4GeneralDataProtectionRegulation 出海企业合规指南-欧崍眜 《通用数据保护条例》解读 地域适用范围 GDPR第三条中规定了其地域适用范围： （1）本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。 （2）本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为： (a)发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或 (b)是对数据主体发生在欧盟内的行为进行的监控的。 （3）本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理注释4。 地域适用范围也是GDPR一直以来较大的争议点，其提出的域外管辖权将GDPR的适用范围直接延伸至全球范围内任何面向欧盟提供产品、服务、监控的企业。由于GDPR原文中并未对地域适用范围作出具体的阐述，监管机构以及企业在实际操作过程中难以判断其是否适用GDPR，于是，2018年11月23日，GDPR最高监管机构欧洲数据保护委员会（EDPB）发布《关于GDPR地域管辖的指引——公众版本》，对GDPR地域适用范围的划定作出了具体指引。 判断企业数据处理业务是否受GDPR管辖需要关注两点： 1.企业是否在欧盟境内设立实体； 2.若企业实体设立在欧盟外，其是否以面向欧盟提供商品、服务或以监控为目的。 先说第一点。在此种情况下，如何判断企业是否在欧盟境内设立实体？欧盟境内设立的子公司或分公司是否适用？ 注释4： 原文详见：GDPRArticle3 GeneralDataProtectionRegulation5 《通用数据保护条例》解读 出海企业合规指南-欧崍眜 EDPB在指引中指出，具有法人资格的分公司、子公司及办事机构均有可能适用GDPR，前提是“通过稳定的组织进行有效、