“最严数据法”GDPR来袭,中国企业可能面临这些风险
图片来源:视觉中国
作者王磬
对中国企业来说,刚刚于5月25日生效的GDPR(《通用数据保护条例》)最值得注意的便是其域外适用性。
GDPR的管辖范围并不局限在欧盟境内:只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR。这大大扩展了传统数据保护法案的适用范围。如被欧盟认定违规,最高处罚金额可至2000万欧元(约1.5亿人民币)或企业全球年营业额的4%,两者中取其高值,故也被称为“史上最严数据保护法”。
详见界面报道《“最严数据法”GDPR今日生效,能否将数字时代的权力关进笼子里?》
5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(aliexpress)等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。
据界面新闻记者了解,海尔、华为等在欧洲有较大市场份额、并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。在早前的4月份,腾讯甚至曾通知其国际版用户,QQ将在5月停止向欧洲区用户的服务。尽管腾讯随即声明会继续保留该服务,但可以看出,慑于其强大的惩罚力度,不少中国企业已经对GDPR有所行动。
有开发者/公号拥有者收到了微信团队的邮件,要求删除部分微信用户的个人数据
此前在回答界面新闻记者提问时,主导了GDPR立法的欧盟委员会委员维拉•朱洛娃(Věra Jourová)强调,所有在欧盟境内经营、或是搜集和处理欧盟公民数据的外国企业,都需要遵守欧盟的法律。她表示,中国与欧盟在对待隐私议题的立场上有较大不同,中国目前也尚未进入欧盟认定的“具有适当数据保护水平的国家”名单。
这些无疑都增加了中国企业违规的风险。欧盟是一个拥有5亿消费人口的市场,这对希望“走出去”的中国企业来说具有巨大吸引力,越来越多的中国企业在近年来开展了涉欧业务,甚至建立了驻欧分支。GDPR来袭,中国企业如何能够安全过关?
中国企业为何需要关注GDPR?
有多年数据合规与跨境投资经验的律师冯坚坚对界面新闻记者表示,在GDPR执行的过程中,中国企业“中奖”的可能性很大。冯坚坚目前是竞天公诚律师事务所上海办公室的合伙人,也是上海市律师协会互联网业务研究委员会委员。
冯坚坚指出,相比于欧盟内企业,中国企业相对缺乏GDPR合规意识,很多中国企业并不知道GDPR也适用于自己,或是怀有侥幸心理。在欧盟,自2016年4月GDPR被通过以后,给了各方两年的缓冲期。欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR付出了较大的财务、管理成本,削减了营业收入和营销手段。相比之下,中国企业的信息则相对滞后、行动相对迟缓。
另一方面,欧盟境内近年也有贸易保护主义抬头的倾向,与中国出现过不少贸易摩擦。GDPR合规有可能会成为欧盟产业保护的新手段,一旦发现中国企业的不合规行为,会遭严惩。有咨询公司的调查表明,欧盟境外企业更可能在违规处罚中被“抓典型”。
冯坚坚还指出,即使对于那些目前尚未开展涉欧业务、无被罚款风险的中国企业来说,现在关注GDPR也有其意义。一个趋势是,欧盟的企业未来都会倾向跟已完成GDPR合规的欧盟境外企业进行合作,如果中国企业不进行GDPR合规,将很有可能合作受阻、甚至失去欧盟市场。
欧盟数据保护法专家克里斯托弗•库纳(Christopher Kuner)也确认了这一点。他对界面新闻记者表示,GDPR将是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。由于GDPR规定了企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为重要考量标准。当前在欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
哪些中国企业最有可能踩到GDPR的雷区?
冯坚坚介绍,适用GDPR的中国企业主要有两种情形:一,在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;二,尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
冯坚坚观察到,中国企业对GDPR的态度“分化比较明显”。一方面,有很早就开始为GDPR做准备的企业,主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。但另一方面,也有大量企业并未认真对待GDPR。
在他看来,其中有一类企业面临的风险最大:在某个细分市场已经做到了领头羊、拥有涉欧业务、但尚未进行GDPR合规的中企。这类企业有一定的关注度和财力,在欧盟通常会有本地的竞争对手,而对手很有可能在过去两年里已经投入了GDPR合规成本,甚至就此调整了业务、减少广告活动。
此时,尚未进行合规的中国企业将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉、举报;而成员国政府出于保护本国企业的目的,也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。
在荷兰从事GDPR合规咨询的资深法律顾问陈红娟告诉界面新闻记者,从她目前接触到的在欧中国企业来看,对GDPR的态度普遍还不是很积极。“很多中国企业现在处于观望状态。GDPR开始执行了,到底严不严?特别是中小企业,不太想花这个合规的成本,如果真的有警告或罚款,就再开始重视。这其实是对风险没有正确的认识。”陈红娟说。
陈红娟表示,业界对于GDPR的执行确实有一些质疑,特别是不同的成员国可能有不同的力度。“但如果执行力度非常强的话,GDPR上的九十九个条款,每一条中国企业都可能踩坑。”陈红娟说。
涉欧中国企业该如何应对GDPR?
陈红娟建议,应对GDPR的准备,企业越早做准备越好。短期虽然会增加一定的成本,但可帮助企业避免风险、对长期的声誉也有好处。
冯坚坚给出了应对的具体步骤:首先,企业应先对GDPR有大致了解,自己进行初步评估,判断该企业是否适用GDPR。在情况复杂、无法判断的情况下,可以聘请外部机构做进一步调查确认。一旦确认适用GDPR,应开展相应的GDPR专项合规工作。
判断中国企业是否使用GDPR
由于GDPR涉及到业务、IT、法务等多个部门的协同,冯坚坚建议,人力方面,应考虑设置内部数据保护方面的负责人,或是聘请外部合规顾问。要尽快落实数据合规的基础设施,调整隐私政策、审查数据处理协议、开展数据审计、评估合规差距,并进行持续性的培训、检测与跟踪。