为什么GDPR如此重要
自GDPR 生效至今已过去六年,如果以为熟知 GDPR 就可以一劳永逸地掌握欧盟数据隐私方面的监管那就大错特错。无论是针对欧盟公民个人信息、员工信息、人工智能、云计算、物联网等等,欧盟及其成员国的立法都在不断更新中。
对于在欧洲经营业务的中国企业尤其是做跨境电商的企业来说,GDPR 不算陌生,但了解的又不够全面,在数据合规方便无法做到准确无误。这与GDPR 的设计理念有关,数据安全是这部法律的关键词,因此它的理念就是要求数据控制者将数据保护的理念渗透到企业的 DNA 中。
企业数据保护合规的路径大致如下:
企业首先需要了解是否需要在数据保护机构登记
涉及处理欧盟公民个人信息的企业是否需要在数据保护机关 DPA (data protection authority) 那里登记? 目前是只有英国需要在 ICO 注册并缴纳一定的费用。英国虽然已经脱欧,但根据脱欧协议欧盟的大多数法律仍然对英国有效。英国 2018 年的《数据保护法》完全吸纳了欧盟的 GDPR, 仅有小幅修改。其次,每个欧盟成员国就是一个法域,每个法域 DPA 的要求各有不同。就拿对数据合规官(DPO)的要求来说,英国没有强制要求,但德国法律要求员工超过20(修订生效后法律规定不超过 20 人)的企业必须指定 DPO,且德国的数据合规官需要在 DPA 那里登记且能够同主管机关熟练沟通,也就是说德语要熟练。
在技术和组织架构层面始终保持数据的安全性
Privacy by design and default 是GDPR 的重要概念,它要求企业在收集信息之初就设计好保护数据隐私的制度和操作流程。尽管证明企业数据隐私合规的必要手段是提供详尽的文档和制度设计等,但是向DPA 提供文件资料不是根本目的,企业自始至终的合规操作才是终极目标。因此有些跨境电商企业在 App 开发过程中就很注重隐私合规设计,他们是一边在设计产品一边在嵌入合规的操作。GDPR 也提到了数据隐私影响评估(DPIA), 那企业一般什么时候该做数据隐私影响评估呢?其实就是在新产品发布之前或在发现可能存在较高违规风险的时候。
如何进行数据的跨境传输
对于跨国公司来说,数据在不同区域或国家的传输是不可避免的,对于数据的跨境传输存在不同的情况:
1. 在跨国集团公司内部传输
数据在跨国公司内部传输,虽然各子公司所处国家和司法管辖区域不同,但是都属于一个集团,这种情况 BCR(binding corporate rules)就派上用场了。BCR 是欧盟 DPA 们多年不懈努力合作的成果,一套有效的BCR 包含的内容要全面且必须取得 DPA 的批准。
2. 在不同国家之间传输
▪ 在有“充分保护(adequate protection)”的国家之间传输GDPR 认可了欧盟1995 年《数据保护指令》(Data Protection Directive)列举的阿根廷、加拿大、新西兰、瑞士、乌拉圭等国家能够提供充分保护。在GDPR 生效后又认可了韩国、日本和英国为能提供充分保护的国家。
▪ 美国
欧盟同美国之间的数据传输经过了长时间的拉扯和演变。早期,欧盟与美国之间是采用”安全港隐私原则(safe harbor privacy principle)”,认为安全港能提供充分保护。2013 年斯诺登曝光美国国安局监控事件后,欧盟试图挽回公众信任,出台了“安全港 II”。2015 年 10 月6 日,欧盟法院(CJEU)在Schrems案中判决安全港充分保护决定无效。2016 年2 月 29 日,“隐私盾(privacy shield framework)”诞生,但欧盟法院于2020 年 7 月16 日在Schrems II 案中又否定了“隐私盾”能提供充分保护。随后,拜登政府同冯德莱恩又抛出了“跨大西洋数据隐私准框架(Trans-Atlantic Data Privacy Framework”,其效果还未可知。
▪ 在提供足够安全措施的国家之间
鉴于符合“充分保护”标准的国家仅为少数,为解决跨境传输这一难题,GDPR 列举出一些可能的措施供企业借鉴,比如前面提到的 BCR 或者采用标准合同条款(SCC)等等。
员工个人信息保护和电子邮件市场营销
利用邮件进行市场营销一直都是数据隐私保护的重灾区,就连很多欧洲的本土企业都做的不规范。经常会莫名奇妙地收到产品推广邮件,根本不记得何时给过他们许可,也没有“unsubscribe” 链接可以让收件人摆脱骚扰;甚至也没有链接能看下数据控制者是谁,隐私政策在哪。
员工个人信息保护是中国企业出海欧盟必须关注的问题,GDPR 有专章对员工个人信息保护做出规定,德国于 2024 年10 月出台了《员工数据保护法草案》,该法案生效后,对企业的合规要求更高了。
综上,出海企业在欧盟的数据隐私合规是一个历久弥新的议题,相关法律不停在更新,企业面临的挑战和合规风险不断增加,唯有与时俱进、持续学习才能把控风险。
