
Q1. 在国际贸易频繁的大背景下,了解 GDPR 的基本概念有什么意义呢?
A1. GDPR的发布和生效对于全球众多国家的隐私立法产生了比较重大的影响,包括我国在内的很多国家地区的隐私法的条款都对 GDPR 有所借鉴,与此同时, GDPR 适用的地区和国家也是我国企业进行海外贸易的重要地区之一,对国内企业的发展有着重大影响。
虽然 GDPR 已经生效 4 年,但在日常业务中,很多企业内部的工作人员,甚至是开展数据隐私保护的工作人员,对于 GDPR 的基本概念理解仍有着误区。
因此,对GDPR的基本概念进行宣传,引导对其的正确理解,有利于我国企业有效开展体系建设、遵守法律法规。
Q2. GDPR生效的四年来,对其监管和执法的趋势如何?
A2. 过去的四年来,监管机构的执法活动越来越细化,越来越全面,监管机构也希望被监管方,即各类组织、企业能够更好地遵从 GDPR 的要求,以便更好地保护数据主体的权利和自由。
近几年媒体大多报道监管机构开出天价罚单等新闻,但其实监管机构所开展的多为指导性和咨询性的工作,罚款并不是监管机构的任务和目标。
Q3. 大多数人都认为对于去年 11 月生效的个保法的执法趋势会更加严厉,高老师认为个保法的执法趋势会和 GDPR 的执法趋势相类似吗?
A3. 我认为个保法在我国的执法发展趋势并不会「严」。
首先,国内的隐私保护是从无到有的过程,与欧洲或者欧盟地区的隐私保护发展路径不同。
欧盟地区对于个人信息、个人数据的隐私保护从立法至今经历了很长的发展时间,并不是突然的从无到有,因而欧盟地区对于隐私保护的群众基础较好。
而我国对于个人信息的保护,在之前散落于不同的法律法规当中的一些关于个人信息保护的条款或文字,直至去年才出台了专门用于个人信息保护的法律法规。
同时我国的监管机制与国外也存在较大差别,国外有专门且独立的监管机构。
我认为我国对个保法的监管发展趋势应该是从无到有,从粗粒度到细粒度,从重点关注到全面监管指导的过程。
这是一个必然的趋势,因为 GDPR 的监管发展趋势也是如此,同时也是一个合理的趋势。
严格讲,在这个领域并没有此类概念,监管者如何更好地指导企业去遵从个人信息保护法地要求,被监管者如何更有效地在法律法规监管机构的指导下开展对个人数据的保护,才是我认为的未来一段时间的发展趋势。

Q4.业界对于 GDPR 的适用范围常理解为其适用属地原则和属人原则,高老师是如何理解 GDPR 的适用范围呢?
A4 . GDPR 在开篇就明确了它的适用范围。
第一类是属地原则,指的是如果一个组织在欧盟或者欧洲经济区内有自己的实体,那么这个组织就要使用并且遵循 GDPR 的要求,而不论这个组织是数据的控制者还是数据的处理者。
第二类是属人原则,是指当组织在欧盟或者欧洲经济区没有实体,可能只是通过互联网来开展业务、提供服务,此时如果它所提供的服务对象是欧洲经济区内的人员,那么该组织同样需要遵从 GDPR 的要求。
第三类是较少提及的类型,即根据国际法要适用欧盟成员国法律的情形,如航空器或者轮船注册在欧盟成员国之名下,那它们同样是需要遵从 GDPR 的要求。
Q5. 英国脱欧后,组织或企业在英国收集的英国公民的信息是否受到 GDPR 的管辖?
A5. 英国目前仍然遵从 GDPR ,且英国遵循的版本为GDPR UK,其与欧盟的 GDPR 的版本是一致的。
经过欧盟和英国的磋商,英国被加到了 GDPR 充分性认定的国家名单中,所以目前在英国收集、处理个人数据同样要遵从 GDPR 的要求。
但是可以预见到,未来英国会对 GDPR UK 版本的条款进行相应的调整以符合英国的实际情况。
至于它调整成什么样子、调整之后是否仍能被列入欧盟的 GDPR 充分性认定名单中,有待进一步的观察。
Q6. GDPR 有三类适用范围,企业如何快速判断自己是否属于 GDPR 的管辖范围呢?
A6. 首先属地原则很容易判断,主要看企业是否在欧盟或者欧洲经济区有自己的实体或分支机构,因为分支机构很可能会提供产品或者服务,所以即使分支机构只做市场营销的活动,也很有可能被监管机构判定为适用 GDPR 的范围。
除了属地原则以外,如果组织在欧盟或者欧洲经济区没有自己的实体,但是通过互联网对欧盟提供服务或者是产品,比如电商平台对包括欧盟在内的国家开开放,页面也有欧盟的一些成员国的语言,并且支持这些国家的货币的支付,也支持对这些国家商品物流,就会被视为是给欧盟成员国或者欧洲经济区的人员提供商品或服务。
又比如不提供服务,而进行数据监督分析的行为,如果被收集的用户对象中有欧盟成员国的人员或者欧洲经济区的人员,则同样适用属人原则。
Q7. 中国企业收集在中国旅游的欧盟公民的个人信息是否也受 GDPR 管辖?如何判断哪一些人是否 GDPR 保护?
A7. 属人原则的「人」不是指欧盟或者欧洲经济区的公民,而是不论国籍,只要这个人在欧盟或者欧洲经济区的土地上,我们给这些人提供服务,就要遵循 GDPR 的要求,这些人就会受到 GDPR 保护。
Q8. GDPR的适用范围与我国个保法的适用范围是否存在异同?
A8. GDPR的适用范围与我国个保法的适用范围从整体上是非常类似的。
我国的个保法既有属地原则,也有属人原则。但是并没有GDPR适用范围中的第三类场景。
比如注册在我国的航空器或轮船,在我国的个保法中并没有单独明确的规定,在后续监管或者立法的过程中,这些内容有可能会进一步的以细则或者指南的形式被补充,有待于后续的进一步的观望。
除此之外,我国的个保法第 3 条第3 款强调法律行政法规规定的其他情形同样要遵从个保法的适用范围,而这一点是 GDPR 所没有的。
这是我们国家法律法规适用范围的兜底条款,也是一个比较常见的现象。
但这一点意味着我们在评估其他法律法规的时候,要注意是否有关于个人信息保护范围的一些具体明确的要求。

Q9. 在我国的个保法中并没有明确控制者和处理者的概念,但是在 GDPR 中却有直接的规定,请高老师为我们介绍一下数据控制者和处理者的概念。
A9. 虽然我们国家的个保法没有用到数据控制者和处理者的术语概念,但是我们国家的个保法里有一个概念叫做个人信息处理者和受托人,而这两个角色的定义和GDPR中控制者和处理者的角色定义非常类似。
在 GDPR 里面,对于控制者的定义指的是单独或共同决定个人数据处理的目的与方式的自然人或不同形态的组织,包括了法人、公共机构或者是其他实体。也就是说,只要能够决定个人数据处理的目的和方法的个人或者是组织,就是 GDPR所定义的控制者。
以快递公司为例,当它交付一个快递或者是履行送快递的任务,它需要知晓有哪些必要的信息能够让它完成合约,而这个是快递公司可以决定的,如何使用、处理这些信息,也是快递公司可以决定的。
在这个场景里面,快递公司就是一个个人信息的控制者。与之相对应的概念就是处理者,即数据控制者,也即处理个人数据的自然人或者不同形态的实体,比如说法人、公共机构以及其他的实体。
处理者和控制者是相对的概念,在很多情况下,当数据控制者外包数据处理活动时,数据处理者往往就会成为控制者的服务提供商,简单的来讲就是甲方乙方的关系。
Q10. 如何在复杂情况下,清楚区分数据控制者和处理者?
A10. 在识别控制者和处理的过程中,确实有很多企业容易选择错误的或者是不当的角色,而这容易产生承担过多责任的问题。
进行有效的判定,需要关注在整个数据处理过程中,哪一方能决定最关键环节的处理,以及哪一方能最终决定收集使用哪些信息、数据。通过识别整个数据收集处理过程中的最关键环节的决策权在谁手中,我们就能够明确地知道谁应该是数据的控制者,谁应该是数据的处理者。
在大部分场景下,作为服务方,往往更容易成为或者说更适合作为数据处理者来承担角色和职责,而作为甲方或者作为客户方,往往承担更多的数据控制者的角色和职责。
举一个例子,很多企业往往会把自己的一部分的业务外包出去,在业务外包的这个过程中,可能甲方或者客户会认为提供业务外包服务的供应商在这个领域更专业、技术水平更好、业务服务能力更好,更全面。
因此甲方可能处于一个被动的状态,而服务提供方(乙方)则更主动地提供方案提供咨询、提供指导。
在这个过程中,往往服务提供方(乙方)会有一种错觉,认为他们决定了很多的内容,决定了整体的方案,甲方只是理解了之后表示认同和赞同,而这其实是一种认知上的偏差。
在这个过程中,真正能够做决策的其实是甲方,虽然乙方提供了很多内容、建议、解释说明,但是对于个人数据收集处理的目的、方法这一核心关键内容的决策权仍然属于甲方。
比如说乙方提供的方案的一些内容,甲方了解之后,有可能会要求乙方去进行补充、调整,但其实决策权都是在甲方,乙方只在具体细节的设计上、方案的规划上比甲方具有更丰富的经验,但这不代表乙方能够独自做决策,替甲方进行确认,替甲方承担相应的责任。
所以从双方的角色识别来看,谁最终能够做决策是最重要的。
当然,欧盟GDPR监管机构所出的指南中也有提到,并不是所有能够做决策的环节,做决策的都是数据控制者,而是针对一些关键环节或者是关键内容做决策的,才是数据控制者。
对于数据处理者,简单通俗来讲,数据服务方或者是乙方,虽然他能够有一定的灵活空间来自主决策一些技术层面和管理层面的保护措施,但这个时候他仍然是数据处理者,因为甲方并不会面面俱到地决策所有的内容。
所以在决策一些关键环节或者是关键内容时,比如说信息收集使用的目的、处理的方式,这个决定权在谁手里,那谁就是数据的控制者。
Q11. 在明晰了数据控制者和处理者的概念后,如何理解数据控制者和处理者双方之间的权利义务呢?
对于数据控制者来讲,它的主要义务,首先是明确和数据处理者在合同中约定的双方的责任边界,数据控制者需要确保自己所提供的数据或者是要求数据处理者处理的数据都是合法合规的,符合 GDPR 的要求。
另外数据控制者还需要约定数据处理的具体措施以及安全保护措施,这样能够有效地指导数据处理者按照要求开展数据处理活动,确保数据处理者所采取的保护措施和控制者的要求处于同一水准。
即使数据控制者把数据处理活动外包给了数据处理者,数据控制者仍然要对数据的处理进行相应的记录,这些都是控制者的的义务。
对于数据处理者来讲,它的主要义务,首先是在开展活动时严格遵从控制者的要求。控制者和处理者最主要的区别是,控制者能够自行或者和其他组织共同决定数据处理的目的和方式。其次,数据处理者要对数据处理活动进行记录,来证明自己的处理活动符合控制者的要求,并且符合 GDPR 的要求。再次,控制者要对处理者进行监督和检查来确保数据的处理者按照约定的方式开展数据处理活动,也就意味着,当数据处理者考虑再次分包数据处理活动时,因为有可能在这个过程中产生新的风险,需要提前获得控制者的明确同意。最后,数据处理者有责任协助控制者的监管、问询、检查工作,协助控制者证明数据处理的活动、目的符合法律法规的要求。
Q12. 如果控制者已经履行了对处理者的监督义务,但仍出现了数据泄露或者是对个人信息侵害的后果,此时控制者和处理者之间的法律责任如何承担呢?如果控制者没有履行好自己的义务,这种情况下控制者和处理者之间的法律责任又如何承担呢?此种责任承担方式与个保法的责任承担方式有什么异同吗?
A12. 活动可以外包,但是责任不会外包。控制者能够决定数据处理的目的和方式,因此数据控制者承担整体的责任。
监管机构在进行问询、调查,要求整改,甚至最后开罚单,往往都是针对数据控制者。
如果确实是由于处理者的行为而导致违规,而且这个违规事件又导致了数据控制者被开了罚单,数据控制者可以对数据处理者主张赔偿。
个保法所规定的责任承担方式与其有着同样的立法精神。个保法下的个人信息处理者和受托方,也是秉承着「活动可以外包,但是责任不会外包」的观点。
控制者是核心的责任承担者,除非是处理者自己本身有过错,则承担连带责任,或者控制者进行事后追偿,又或者控制者追究处理者的合同违约责任等等。
Q13. 如果个人信息主体的个人信息受到了侵害,此时应该找数据控制者还是处理者来进行维权呢?
A13. 一般来讲应该找数据控制者进行维权,因为控制者是核心的责任承担者。但是要在具体的场景中进行具体分析。
比如,数据控制者业务整体外包给了数据处理者,此时我们实际的维权对象是数据处理者,又比如,在有一些情形下,受侵害的数据主体无法判断应该向谁维权,或者说判断清楚了维权对象,知道了数据控制者是谁,但是沟通后无法得到有效妥善的解决。
此时,受侵害的数据主体可以去找监管机构进行反馈投诉,监管机构有受理数据主体投诉的职责,当它们受理数据主体的投诉之后便会开展对数据控制者的问询和调查。

Q14. 数据跨境合规的措施是很多企业关注的问题,那么目前有几种数据跨境合规的措施呢?
A14. 欧盟提供了多个途径来确保数据尤其是个人数据的合法的跨境。目前数据从欧盟传输到欧盟或者欧洲经济区以外的地方有三类合法的途径。
第一类叫充分性认定名单。数据可以在充分性认定名单中的目的地自由流动,不受任何限制。这是最便利的数据跨境途径。目前亚洲地区的以色列、日本、韩国在充分性认定名单中,而我们国家不在名单中。
第二类叫必要的保护措施。在必要的保护措施里面,又细分了几种场景。第一种场景叫BCR(binding corporate rules)。
BCR 的名单基本上是各类的组织或者是企业,通常是跨国的全球性企业,有大量的分支机构。
在 BCR 名单中的企业,它们内部进行数据传输没有任何其他额外的规则和要求,只要遵从公司内部的规则内容就可以进行数据传输。
如果某家在中国境内的公司在 BCR 的名单中,那么数据从欧盟到这个公司在中国的分支机构是可以自由流动的。
但是不幸的是,BCR 名单中都是一些欧美的大型企业,如 IBM 、微软、西门子,中国本土的企业不在BCR名单中,所以这条路对中国企业行不通。
第二类叫标准合同条款( standard contractor classes )。
标准合同条款是指,欧盟各个成员国的监管机构设计了标准的合同,将数据从欧盟传输到欧盟以外地区时,遵从标准合同中的条款,就可以进行数据的跨境。
这些标准合同的条款有大量的要求需要执行、落实,然后还需要提交给监管机构。
对于中国企业来所,这是最主流或者说最有效的数据跨境的途径。
Q15. GDPR 对于数据跨境的情形是如何进行规定?
A15. 出境的数据跨境有以下二种情形。第一种是在欧盟境内的组织、企业把收集到的个人数据传到欧盟境外。这种场景是比较典型的数据跨境场景,是一个物理概念的跨境。
第二种是受欧盟管辖的组织、企业向不受欧盟管辖的组织、企业传输个人数据。
这种场景其实与属人原则规定的内容类似,即企业、组织不在欧盟内,但是由于企业、组织为欧盟境内的人员提供服务,所以企业、组织受 GDPR 的管辖,也即企业、组织持有的欧盟境内的个人数据的处理都受 GDPR 管辖的。
当企业、组织要把这些数据传输给欧盟境外的任何其他第三方的时候,同样属于跨境,但它不是一个物理概念的跨境,而是一个逻辑跨境。
Q16. 如果在欧盟境内的组织、企业要将数据传输到欧盟经济体以外的其他国家或者是地区,对该组织、企业有什么要求,有什么义务需要履行?对于数据接收方,又会有些义务呢?
A16. 如果企业要把数据传输到欧洲经济区或者欧盟以外的国家地区。首先要搞清楚要传输什么类型的数据。其次,对数据的用途还需要做相应的评估,然后通过这些分析和评估来决定哪些传输途径是可行的,以及有哪些数据接收的司法管辖区是可选的,因为不同的司法管辖区对于数据接收的形态和需求是不一样的。
有的企业可能只在欧盟和国内有自己的实体,那么数据必然是从欧盟跨境到欧盟经济体以外。但是有的企业,它在海外有很多分支机构,在这样的情况下,数据不是一定要跨境。
数据跨境的起点是提供方,接收方是终点而不是中转站。只有数据最终的接收方和数据最初的提供方之间才能被视为数据跨境,而中转其实是一个风险很大的行为。所以对于数据真正接收方的选择,既可以考虑国内,也可以考虑充分性认定国家名单中的其他国家。如果在这些国家有企业的分支机构,则数据不一定要传回国内。因为传回国内要选择「标准合同条款」路径,对于企业来讲是一个很大的挑战。
而传到充分性认定国家名单中的国家,既能开展对该国的业务,同时也能便捷处理从欧盟传过来的数据,降低了数据传输的复杂度。
不仅仅是数据发送方、提供方要遵从 GDPR 的要求,受 GDPR 的管辖,数据接收方也要遵从 GDPR 的要求,受 GDPR 的管辖。
比如在标准合同条款里存在着对数据接收方有明确要求的条款,要求接收方有必要的数据保护措施、相应的数据保护响应机制,以及对于用户数据主体主张权利进行响应的行为等等。除了标准合同条款的这些明确约定以外,充分性认定国家名单以及BCR(有约束力的公司规则)中对数据接收方也要求其遵从所在国的法律法规。
Q17. 若数据却有必要传输至非充分性认定国家以外的国家,此时企业、组织可采取哪些措施?
A17. 首先在进行数据跨境前要做 PIA 评估,即隐私影响评估,评估数据传输的必要性、合法性以及是否符合 GDPR 规定的七个原则。
对于 GDPR 原则的遵从,对于数据主体权利的保护和响应,以及对于监管机构要求的配合程度,这几点是监管机构最关注的。如果这几点违反了要求,那么监管机构一定会适用最高档的罚款。如果在其他方面违反了要求,会适用低一档的罚款。所以在评估数据跨境时,一定要从监管机构的要求去进行评估。评估完之后,决定还是要跨境的,需要告知数据主体数据跨境的目的、跨境的接收方、跨境的风险、对于数据主体会造成的潜在的影响并获得数据主体的同意。
如果选择适用标准合同进行数据跨境传输,则要根据标准合同条款中的要求去执行,对开展的数据跨境的数据类型、数据接收方、如何处理数据、数据主体的同意等方面都需要进行相应的记录,来确保数据跨境的活动是符合 GDPR 的要求,符合监管的要求。
