连载 | 欧盟数据保护新规来势汹汹,中国智能硬件商如何见招拆招(一)
欢迎点击上方 中伦视界 关注我们
漫话GDPR
GDPR为影响全球数据保护的最大法规,将于明日(5月25日)起全面实施,如无法符合其要求,组织将可能面临高额罚款。
李律师漫话GDPR——一招拆解中国企业数据保护困局。面对公司业务重心在海外市场并在欧盟占有一席之地的智能硬件制造商,王总犯了难,对此李律师给出四点分析。
王总最近有点烦心。王总的公司主要生产智能手环和体重计,由于国内市场竞争激烈,三年前王总便开始把市场重心逐渐向海外市场转移。如今,王总公司的产品在海外市场已占据一席之地,欧盟是其中的重要市场之一。
欧盟市场的拓展一直较为顺利,为王总公司带来了可观的利润。但是,王总发现,最近不少同行都在讨论欧盟即将生效的《一般数据保护规定》(General Data Protection Regulations,下称“GDPR”)。王总的公司在欧盟境内没有任何分支机构和员工,只是通过分销商进行销售;虽然公司的智能手环和体重计可以配合公司的APP一起使用,但APP所连接的服务器在中国境内,公司在欧盟境内并无服务器。基于这些事实,王总原先一直以为,GDPR对其公司并不适用。但与同行交流后发现,虽然真正了解GDPR的人不多,但不少人都看到了媒体报道的对违规行为的巨额处罚,还听说GDPR完全可能适用于欧盟境外的公司,都认为应该慎重对待。
偶然一次机会,王总经朋友介绍结识了李律师。李律师的一席话改变了王总的最初想法。李律师告诉王总,GDPR是欧盟为增强个人信息数据保护而出台的新规定,用以约束个人、企业、公共机构和其他各类实体收集、处理欧盟境内个人数据的行为,将于今年5月25日正式生效施行。经过与李律师的深入讨论,王总对GDPR对其公司在欧盟的智能手环和体重计业务的要求有了进一步的认识:
1.欧盟曾于1995年颁布了个人数据保护指南(Directive 95/46/EC)。但在现如今这个数据爆炸性增长的时代,原来的个人数据保护指南已不能满足个人对隐私和数据保护的迫切需求。在此背景下,GDPR应运而生。其在更新和完善欧盟先前数据保护法规的基础上,加强了对欧盟境内个人的隐私和个人数据的保护,系欧盟近二十年来在数据保护立法方面的最大变化,被称为“史上最严隐私保护规定”。
2.GDPR将在欧盟所有成员国内统一实施。GDPR要求各欧盟成员国成立专门的监管机构来监控GDPR的实施情况,受理数据主体(即欧盟境内个人)的投诉并进行调查、实施行政处罚等。
3.GDPR最大的一个变化就是域外法权的运用,即将其管辖范围在一定情况下扩大到欧盟境外。首先,GDRP适用于所有设立在欧盟境内的数据控制与处理机构的数据处理行为,无论该处理本身是否发生在欧盟境内。其次,对于设立在欧盟境外的公司或其他实体处理欧盟境内个人的个人数据,如果该等数据处理是与其向欧盟境内个人提供商品或服务或监控欧盟境内个人在欧盟境内行为相关的,GDPR也同样适用。最后,GDPR还可能适用于欧盟境外、但根据国际法需适用欧盟某成员国法律的情形。王总公司通过分销商在欧盟境内销售商品并通过APP提供服务,如果在此过程中收集和处理了欧盟境内个人的个人数据,就很有可能符合上述第二种情形,从而受到GDPR的约束。
4.GDPR为行政处罚设定了巨额罚款上限,这也是前期媒体报道中最抓眼球的地方。GDPR并没有对违法行为一一设定罚金,而只是将违法行为分为两类,分别列出了两档最高处罚金额:对于第一类违法行为(主要包括未能履行数据保护义务),最高罚金为1000万欧元或者相关实体上一年度全球营业收入的2%,两者取其高;对于第二类更为严重的违法行为(其中包括违反数据处理的基本原则和条件、侵犯数据主体的权利、非法向欧盟境外转移数据等等),罚金则最高可达2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。请注意上述公式中的计算基数均为全球营业收入,既非利润,也不仅限于欧盟境内的营业收入,数额可谓惊人!当然,监管机构对于违法行为的处罚措施并不仅限于罚金,还可以采取警告、训斥、要求改正、责令对个人数据予以更正等其他措施。GDPR规定,监管机构在决定是否罚款及其金额时应考虑:
(a)违法的性质、严重性与持续时间,和所涉及的个人数据类型;
(b)过失和责任程度,以及过去的相关违法行为;
(c)任何纠正或补救行动;
以及(d)与监管机构的合作程度等因素。
此外,任何因数据控制或处理机构违反GDPR而受到伤害的欧盟境内个人也均有权要求赔偿。
随着对GDPR逐渐深入的了解,眼看着GDPR即将生效,王总不由地心中打鼓。作为在欧洲销售智能硬件的中国企业,如何在欧盟日趋严格的数据保护环境下,尽早地建立完备的内部数据管理制度,更加合规地开展业务,已经成为一个十分紧迫的问题。王总对李律师的专业解答给予了深深的谢意,约定后续就相关问题向李律师进一步请教,便赶回公司,吩咐公司下属成立专门团队以处理欧盟数据保护新规带来的各种问题。
GDPR天价罚金,王总公司等中国智能硬件商该何去何从?让我们拭目以待。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:
私募股权与投资基金, 资本市场/证券, 一带一路与海外投资
长按识别图中二维码,可查阅该合伙人简历详情。
作者往期文章推荐:
点击“阅读原文”,可查阅专业文章官网版。