挑战与应对 | 企业视角的GDPR，几个重要看点 | 自由微信

挑战与应对 | 企业视角的GDPR，几个重要看点

Original 陈际红吴佳蔚中伦视界 2020-09-01

欢迎点击上方 中伦视界 关注我们

《欧盟数据保护通用条例》（General Data Protection Regulation，GDPR）于2018年5月25日正式实施，并取代1995年欧盟发布的数据保护指令(DPD)。有人批评其在数据保护和数据流动之间过分倾向于个人数据的保护，也有人认为其会重塑世界范围内的个人数据保护框架和数据流动秩序。就其对中国企业的影响而言，其影响程度可能会超出一般人的考虑，一是因其扩张型的域外适用效力，中国企业和欧盟的关联因素已经非常广泛，很多中国企业会落入GDPR的适用范围之内；二是其规定的苛刻的法律责任，GDPR生效不足一月，其具体适用细节和执法的力度仍待观察，但对于企业，因合规不足而面对巨额的处罚风险是企业不能承受之重。

一

您的企业是否落入GDPR的管辖？

GRPR的适用场景会很复杂，比如一家位于中国的企业聘用欧盟的居民，其对该欧盟人士的数据处理是否适用GDPR？

1. 适用事项

GDPR以保护数据主体权利之目的而制定，数据处理的技术方式不甚重要，GDPR适用事项范围包括全部或部分的自动化的个人数据处理，以及以其它方式进行的数据处理（只要数据处理构成文件的一部分），包括个人用户画像有关的个人数据处理活动。

GDPR项下的“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息[1]。而“处理”则比通常定义里的数据处理要宽泛，包括任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取自动或非自动化的处理方式。一般而言，企业针对个人数据的收集、传输、存储、加工、分析、画像、转移和其它使用活动，都会落入GDPR的事项范围。相较网络安全法，GDPR从“个人数据”的定义，到对于“处理”动作的规定，适用的范围均进行了一定的扩张。

2. 地域管辖权

GDPR不仅适用在欧洲设立的机构，而且还会波及将欧盟客户作为业务目标的企业。对于后者，具体而言，包括为欧盟内的数据主体提供商品或服务（不论是否收费），以及对欧洲范围内的数据主体的活动进行监控（monitor），收集用户访问网站的cookies亦有可能构成监控（monitor）行为。

结合上述适用事项的规定，加之数据跨境流动的普遍现实，GDPR的域外效力不可小觑。即使企业的设立区域和服务器均位于欧盟境外，但只要收集或存储有欧盟居民的个人数据，都应该注意并分析这一新法规的适用情况。

我们再回头分析上面提出的位于中国的企业聘用欧洲居民的案例，分不同的场景进行讨论：

在招聘阶段，企业会不可避免地收集应聘者的个人数据，如果该应聘者是在欧洲的居民，该过程的数据处理活动是适用GDPR的；

如果欧洲居民在中国的企业长期工作，而非居住在欧洲，考虑到GDPR的适用不以国籍为界定要素，则此阶段的数据处理活动GDPR一般不适用；

如果聘用该欧洲居民的企业虽位于中国，但是欧洲企业的一部分，比如分支机构，则由于其母企业的设立位于欧洲，虽其在中国工作，对该欧洲居民的数据处理活动仍可能导致GDPR适用；

在上面第二种场景下，如果该欧洲居民结束在中国任职回到欧洲居住，该企业对其继续的数据处理会导致GDPR的适用。

作为企业合规的第一步，应先判断清楚企业是否适用GDPR及受GDPR的约束的业务范围。

二

GDPR赋予数据主体哪些权利？

GDPR赋予数据主体的权利就是数据控制者和数据处理者对应的法律义务。

GDPR明确而系统地建立了数据主体对于个人数据的控制权体系，要求数据控制者建立透明和类型化机制：以透明的方式提供信息、做出沟通，以及提供为保障数据主体行使权利而采纳的类型化机制，从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利，详见下面图解：

（点击图片，可放大查阅）

在审视这些权利设置时，应当注意的是，由于GDPR还对个人数据处理的合法事由，个人敏感数据的特殊处理，处理应遵循的各项原则，以及安全事件处理相关的通知义务等内容作出了规定，对于数据主体的权利的理解和设定不应当仅限于上述几个条款所陈述的部分。

数据控制者负有保证数据主体有效行使其权利的义务，即，数据控制者不仅要允许数据主体行使其权利，同时还要保证权利行使的有效性。例如，允许数据主体行使反对数据处理的权利但未告知其关于数据处理的所有信息，此种做法便不会保证权利的有效行使。

综上，GDPR赋予了数据主体多元化的权利，对应的就是数据控制者的法律义务，具体而言，数据控制者一是要告知数据主体应当享有的各项权利（比如在隐私条款中明示），二是要建立落实数据主体权利的内部组织措施和技术措施，比如有方便的通信渠道、有响应数据主体权利要求的有效的内部程序、建立了企业的技术措施等。

三

数据处理者的主要法律义务有哪些？

企业除了需要提供透明和类型化机制，及时响应数据主体的请求，帮助数据主体实现上一节所提及的所有权利外，还需要证明自己已履行GDPR项下的其他义务，主要体现在以下几个方面：

1. 组织要求

GDPR中规定了一项新的问责要求，即企业必须证明其遵守了GDPR，这有些类似于法律制度中的举证责任倒置。

在某些情况下，企业有必要任命一名数据保护官，而一套由适当的规章制度、员工培训及数据保护意识所支持的企业治理结构是履行企业职责并证明其合规性的关键所在。企业必须在充分理解问责制要求的基础上对现有的规章制度进行审查、修改和补充以长期遵守。

1.1 数据处理活动的记录[2]

数据控制者应当保持其所负责的处理活动的记录，该记录应当包含如下信息：

（1）数据控制者、数据保护官的姓名、详细联系方式；

（2）数据处理的目的；

（3）对数据主体的类型以及个人数据的类型的描述；

（4）个人数据已经被披露或将被披露给的接收者（包括位于第三国或国际组织的接收者）的类型；

（5）将个人数据转移到第三国或国际组织的记录以及对适当保障措施的记录；

（6）删除不同种数据类型的预计期限；

（7）技术性与组织性安全措施的一般性描述。

1.2 数据保护影响评估[3]

如果数据处理活动可能对自然人的权利和自由造成很高的风险，该企业应在进行数据处理之前，对其影响进行评估。如果评估表明，在企业没有采取措施降低风险的情况下，处理过程将导致高风险，应事先咨询监管机构。

近期，我国的信安标委亦颁布了《信息安全技术个人信息安全影响评估指南》征求意见稿，其中亦部分借鉴了GDPR关于数据保护影响评估的理念、方法和内容。

1.3 数据保护官[4]

若企业核心活动包括以下各种情形，则必须配备有独立、可靠的数据保护官：

（1）企业的核心业务活动包括对大规模的数据主体进行定期和系统的监测；

（2）对大量特殊类型的个人数据（健康、宗教、种族、性取向等）或与刑事定罪量刑相关的数据进行处理。

对于数据保护官而言，独立性是首要要求，其必须独立于企业内部其他所有的部门单独设置，可以是一个人，也可以是一个部门，这一点与中国的网络安全负责人不同，数据保护官无需对数据安全事件等侵犯数据主体权利的情形负责，需要独立向监管机关报告，而网络安全负责人是需要对于安全事件等问题承担责任的。

一组数据处理实施者可委任一名数据保护官，但须确保每个机构都易于联系该数据保护官。当地法律可能会要求在其他情况下仍需配备数据保护官（例如德国）。因此，一名全球数据保护官指导全欧盟范围的数据保护可能有助于应对不同的全欧盟范围的法规。

1.4 技术和组织安全措施的实施[5]

为保护所处理的个人数据，必须采取与数据处理活动相适应的和合理的技术和组织措施。这种技术和组织措施的实施需要跟记录等义务联系起来，形成一个贯通企业整体的管理系统，从而达到GDPR所要求的数据保护水平。

1.5 数据泄露的通知[6]

如果数据控制者或处理者发生数据泄露，应当在72小时之内报告给数据监管机构，除非这种泄露影响微乎其微，不会对数据主体的权利和人身自由造成侵害；若风险较高，相关数据主体也应知悉该等泄露事件。 GDPR对给予受影响的数据主体的通知及与受影响的数据主体的沟通均提出了要求。

1.6 通过设计实现数据保护和通过默认设置实现数据保护[7]

企业一般应当采取适当的技术和组织措施，该措施设计的目的是为了实现数据保护原则，如数据最小化和将必要的保障措施融入数据处理过程，以保护数据主体的各项权利，在默认情况下，确保为特定目的处理的数据是必要的。

1.7 欧盟代表[8]

除少数例外情形，受GDPR管辖但未在欧盟设立办事处的企业须在欧盟委任一名代表以处理相关事务，他需要对监管机构的质询和数据主体的请求做出回应，并且协助对于违规行为的执行程序，保持对处理行为的记录并且保证该等记录可以应请求查询。

2. 对数据处理的实质性要求

2.1

对个人数据进行的任何处理均需满足GDPR基本原则的规定，并且获得有效的数据主体同意或满足其他合法事由。

2.2

跨境数据传输到欧洲经济区（EEA）之外的国家仍然需要除了2.1条之外的法定原因以外的额外机制进行保护，例如隐私保护盾等设置、标准合同条款或有约束力的企业规则等机制。

2.3

2.1与2.2条所涉及的对数据处理的实质性要求，需要得到企业内部的技术管理措施、流程和制度的保障，亦需在对外公示的隐私政策、隐私设置以及各种通知（邮件、弹窗等）中确保数据主体对于上述处理的明确知悉，获得其必要的同意。企业应谨慎的根据业务模式、数据流向以及面向的用户群体对于数据处理动作进行梳理和分类，为之配置合理的合法事由和适宜的呈现方式以达到GDPR的要求。

3. 联合控制者和数据处理者

3.1 联合控制者

联合控制者应当共同以一种透明的方式安排其各自的责任以履行各项义务；上述责任安排的实质内容应当被数据主体获知；数据主体可以向每一位数据控制者行使权利。

3.2 数据处理者

GDPR对于数据处理者亦有直接的约束力，要求数据处理者除法律要求外，只能根据数据控制者的指示进行个人数据的处理；必须提供充分保障以实施适当的技术、组织措施使数据处理满足GDPR的要求并确保数据主体的权利；在没有事先获得数据控制者的授权时，数据处理者不得引入其他数据处理者；最后，数据处理者应当保存关于所有其代表数据控制者实施的处理活动的记录。

四

如何进行数据的跨境传输？

数据跨境在全球化时代不可避免，但由于各国法律制度和文化的差异，数据跨境的传输又会对数据主体的权利的行使带来实质性的影响。

GDPR对于跨境数据传输的机制进行了专章规定，对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织，控制者和处理者只有满足GDPR的规定才能进行转移。GDPR规定的合格的跨境数据机制主要包括四种：

1. 充分性决定（Adequate Decision）[9]

欧盟会对单个国家、地区、国际组织或行业的个人数据跨境流动进行充分性保护评估，评估标准包括相关国际协议、国内法律规定、向独立监管机构做出的遵守数据保护规则的法律承诺等。

2. 具有约束力的企业规则（Binding Corporate Rules，BCR）[10]

设立BCR机制的初衷是为了通过企业的具有约束力的内部规则来约束和实现集团企业的数据流动，保障数据主体的权利。BCR协议范本规定了数据保护原则、数据主体的权利、跨国企业的责任及争议解决方式和救济措施等事项。GDPR对BCR规则给与了正式的法律地位，并详细规定了BCR获得认可的程序和内容标准。

3. 标准合同条款（Standard Contractual Clauses）[11]

欧盟标准合同以数据主体权益保护为目的，规定了数据转移当事方和数据主体在数据保护上的权责分配关系，目前欧委会通过的三个格式合同条款仍然有效。如果一国企业在与欧盟成员国企业的经济往来中使用了标准合同，承诺按照合同履行其数据保护义务，便可以认定其满足了数据保护“充分性”要求。GDPR增加了成员国数据监管机构可以指定标准合同条款的渠道，但必须要经过欧委会的认可。

4. 已批准的行为准则（Codes of Conduct）[12]

数据控制者可以成立协会并提出遵守GDPR的详细行为准则（数据控制者协会），这种情形主要针对不适用于GDPR充分性决定，但从欧盟接收数据的主体。

如同之前分析的，由于跨境传输本身是一个处理动作，除了本节分析的保障机制外，还需获得数据主体的同意或者满足其他合法事由所规定的情形。

五

企业将面临哪些法律风险？

企业面临的法律风险是企业进行合规的最大动力，GDPR规定了严厉的处罚机制，企业应当评判自身的风险点，从高风险点入手，避免带来现实的法律风险。

在GDPR项下，当数据控制者或者处理者违反相关规定，未遵守数据处理的基本原则和合法事由的规定，对数据主体的权利造成损害时，数据主体有权直接向监管机构进行投诉，监管机构可决定向其提供司法救济渠道，以及是否对违规主体进行行政处罚。

违反 GDPR 以下规定，违规主体会被处以最高不超过2千万欧元或者企业上一财年全球营业额4%的行政处罚，以两者中较高者为准：

1) 数据处理的基本原则（如合法、公平、透明处理，收集目的明确，确保准确，完整、保密等）

2) 数据处理的合法性基础（如需征得同意，基于合同基础等）

3) 同意的条款（如同意需自愿、知情）

4) 数据主体的权利（包括透明和类型化机制、知情权、查阅权、更正权、删除权等）

5) 个人数据跨境传输给第三国或国际组织。[13]

监管机构在行使行政裁量权时，以下情节将被重点考虑：

1) 侵权行为的性质、严重程度和持续时间等；

2) 故意或过失；

3) 是否采取弥补措施；

4) 企业的安全技术措施或组织措施情况；

5) 既往违法行为；

6) 与监管机构的合作；

7) 个人数据的类型等。

就企业可能面临的风险等级，企业可结合自身的欧盟市场的相应情况进行评估，总体而言：

1) 对于大企业、处理大量数据的企业，其合规要求较高，其面临法律风险的几率也会增大。欧盟在制定GDPR过程中，也充分考虑了大企业和中小型企业（SMEs）的不同情况，大企业承担高标准责任是一个共识；

2) 如果企业遭受数据主体的投诉，也会增加企业面临的法律风险，数据监管机构的调查可能会因为对数据主体投诉的调查而展开；

3) 企业如果面临数据泄露的风险或发生了数据泄露，可能会导致数据监管机构的调查。

六

企业实现GDPR合规的路径

GDPR合规是企业系统性整改的过程，涉及不同的职能部门，包括全部受影响的产品，最后落实到具有实施力的企业组织措施和技术措施上。我们认为，在GDPR合规中，应当覆盖“四个要素”，合规过程分为“三个阶段。”

四个要素即组织、流程、规章和培训，构成了一个完整的企业数据保护体系建设（Data Protection Management，DPM）。GDPR绝非一个法律部门或IT部门就能完成的工作，其首先需要的是管理层的重视，由管理层下达企业的决策，对执行合规的部门（核心包括法律和IT）进行必要的授权，安排充分的人力和财力资源，这是启动合规项目的第一步；GDPR所规范的数据处理活动包括数据的整个生命周期，GDPR合规中也需要进行全流程、全生命周期的合规，要根据数据的Data Mapping定位数据流，进而确定风险点和合规点。数据的流转既包括在组织内部的流转，也包括在组织外的流转，比如数据处理、共享和跨境的传输等；GDPR的合规核心是企业的组织措施和技术措施，保证这些措施的效力和可执行性，需要通过企业的规章制度和标准程序来实施，这些完成的规章制度和标准流程必须是针对企业现状的、并实时更新的；制度和合规培训是企业执行GDPR合规项目必要的阶段，其可以让相关的部门和员工了解其所承担的责任及要求，保证实施的效果，也可以培养企业数据保护的意识。

GDPR的合规过程一般分为三个阶段，即：差距分析，风险分析及合规建议，合规方案的实施和优化。

第一步：差距分析

为评估一个企业的数据保护状况，首先必须要分析数据保护合规的现状与GDPR所规定的义务之间的差距。这需要收集企业数据保护合规现状的相关信息，例如：处理数据的部门、处理数据的目的、处理的数据类型、内部责任的划分、数据主体权利的保障措施、数据保护官制度的实施、IT安全措施等；其次，评估特定适用于一企业的GDPR要求。

第二步：风险分析及合规建议

实现GDPR的要求并非易事，同时合理地满足所有的需求有相当难度。企业需评估各项数据处理活动对企业业务、数据主体的权利以及导致法律风险的可能性等的风险程度，合理调配资源，提出可行的合规建议。

第三步：合规方案的实施和优化

GDPR的实现过程需要其所涉及的企业欧洲实体的配合，以及企业管理层对于合规事务的明确认知。如果在欧盟设有办事处或实体，企业应将项目职责分配给相关企业欧盟办事处的关键人员，并指定一名主管项目经理领导该项目。若没有办事处或实体，可考虑先从设立GDPR规定的代表开始，结合其他合规措施一起推进。

GDPR对于个人数据处理设定了诸多严格的规定，对企业的合规能力而言是一个巨大的挑战。但是，基于风险控制的导向，GDPR对于企业的实质性要求其实是结合自身实际选择能够保障数据主体各项权利的技术和组织措施，同时能够向监管机构证明采取的措施与其面临的风险程度相适应。面对世界各国逐步趋于严厉的数据监管趋势，能够在这一挑战面前快速反应、深入思考的企业，将有效降低其现存和潜在的合规风险，从这个角度而言，GDPR对于企业也是一个难得的机遇。

注：

[1] Art.4 of GDPR

[2] Art.30 of GDPR

[3] Art.35,36 of GDPR

[4] Art.37-39 of GDPR

[5] Art. 32 of GDPR

[6] Art.33,34 of GDPR

[7] Art.25 of GDPR

[8] Art.27 of GDPR

[9] Art.45 of GDPR

[10] Art.47 of GDPR

[11] Art.63 of GDPR