引言
2018年5月25日《一般数据保护法案》(General Data Protection Regulation,GDPR)开始全面实施,该法案堪称史上最严格的数据保护法案,欧盟对于个人信息的保护及监管达到了前所未有的高度。
关于GDPR的域外效力更是引起世界范围内各行业的广泛关注。在GDPR生效当天,多家美国知名新闻网站均中止了在欧洲范围内的新闻服务并关停欧洲服务器,其中包括《洛杉矶时报》《芝加哥时报》《纽约每日新闻》等。
国内如新浪微博、国航、东航等多家中国企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并推出新版本。微信国际版隐私条款则详细说明了信息的使用规则、存储地点等。海尔、华为等公司均雇请了专门的合规团队以应对欧盟隐私保护的系列规则。
中国企业尤其是占有欧盟市场的出海企业,其在开展数据处理活动时多会落入GDPR管辖范围,了解GDPR的相关内容,对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚具重要意义。
关于法国家乐福违反GDPR事件概述
(一)事件背景
近来,法国零售巨头家乐福(Carrefour France)及其银行部门(Carrefour Banque)因多次违反GDPR,而被法国监管机构法国国家信息与自由委员会(France's National Commission for Information Technology and Civil Liberties,CNIL)处罚。
考虑到家乐福公司已经采取了重大补救措施,CNIL最终决定对家乐福法国公司处以225万欧元(约1800万人民币)罚款,对家乐福银行处以80万欧元(约632万人民币)罚款,合计超过300万欧元(约1432万人民币)。
(二)罚款原因
家乐福在多个领域违反了GDPR,具体包括通知个人的义务、使用Cookie、限制数据保留、促进权利行使的义务以及不尊重权利。
自2019年5月起,CNIL对家乐福展开了为期两个月的检查,主要有以下不合规行为:
1.家乐福将数据保护信息与其他信息隐藏于冗长的文档中,不易于用户访问或理解相关信息;
2.家乐福缺少关于数据保留的关键信息,譬如,未规定数据保留期限的完整信息,其保留了超过2800万条5至10年不活动客户的数据;
3.家乐福非法使用Cookie,在获得用户同意前,自动将cookie放置在用户的计算机上;
4.家乐福对数据权行使的规定过于严苛,要求数据主体提供身份证明,这一措施被CNIL批评为“不合理”;
5.家乐福怠于响应数据主体请求,譬如,未予回应删除数据的请求,访问数据的请求;
6.家乐福银行违规传输用户数据,其表示“当客户订阅通行卡信用卡计划时,除姓名和电子邮件地址外,其他信息均不会传达给家乐福忠诚度”。事实上,家乐福不仅传输了姓名和电子邮件地址,还传输了邮政地址、电话号码、家庭成员数量等数据。
(三)处理结果
CNIL表示,自发现问题以来,家乐福已投入大量资源来确保合规。对此,CNIL决定不对其发布禁令,因为家乐福已作出“重大努力”,以使所有已查明的违规行为合规。
现在,家乐福修改了其网站上的信息和通知,改变了Cookie的使用方式,删除了旧数据,部署了大量人力和组织资源,对不到一个月时间内收到的所有请求做出响应,并“彻底检修”了自身的在线订阅流程,以准确告知用户数据传输情况。
关于GDPR的域外适用
GDPR的域外效力是世界范围内各行业广泛关注GDPR的重要原因,如中国企业出海多会和欧盟成员进行贸易往来,此时开展数据处理活动即很有可能落入GDPR的管辖范围,需要遵守GDPR的监管要求。
因此,判断是否落入GDPR的管辖则是实现GDPR合规的起点,也是企业开展数据合规工作的第一步。
根据GDPR第2条及第3条的规定,企业在判断所进行的数据处理活动是否适用GDPR时需同时考虑实质管辖范围及地域管辖范围的要求。
(一)实质管辖范围
根据GDPR第2条,GDPR适用于全自动、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理,即GDPR适用于个人数据处理活动。若企业所进行的数据处理活动不涉及个人数据,则基本不会落入GDPR的管辖。
如果您的企业对数据主体的任何个人数据信息采取收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播、或其他方式利用、排列或组合、限制、删除或销毁,均可能落入GDPR的管辖。
(二)地域管辖范围
根据实质管辖范围的要求,若企业进行的数据处理活动不涉及个人数据,则不会落入GDPR的管辖范围。相比于实质管辖范围的判断,地域管辖范围的判断较为复杂。地域范围的判断有两种标准,分别是经营场所标准和目标指向标准。
1.经营场所标准
经营场所标准是指根据GDPR第3条第1款,在欧盟境内设有经营场所的数据控制者或数据处理者,只要个人数据处理活动发生在经营场所开展活动的场景下,即使实际的数据处理活动不在欧盟境内发生,该数据处理活动也要受GDPR管辖。
2.目标执行标准
目标执行标准是指根据GDPR第3条第2款,GDPR适用于在欧盟境内无营业场所的数据控制者或处理者施行的针对欧盟境内数据主体的下述个人数据处理活动:(a)向欧盟境内的数据主体提供商品或服务,无论是否要求数据主体支付价款;(b)对欧盟境内数据主体的行为进行监控。
相较于GDPR管辖的判断标准,在中国数据保护法律框架下,在中华人民共和国境内建设、运营、维护和使用网络以及网络安全的监督管理,即应当遵守国内相关法律如《网络安全法》的各项要求。
英国脱欧对中国企业的影响
中国企业在英国存在很多商业行为,需要了解英国脱欧对于中国企业在受GDPR管辖方面产生的影响。
对此,虽然英国在2020年1月31日正式脱离欧盟,并进入一年的脱欧过渡期。但在过渡期内,英国仍需执行欧盟的各项规则。英国信息保护委员会(Information Commissioner’s Office,“ICO”)发布的关于英国脱欧相关问题解答(Information rights and Brexit Frequently Asked Questions)中表明,签署脱欧协议后至2020年年底为过渡期,在此期间英国仍正常适用GDPR。
在过渡期结束后,英国可能不再适用GDPR,但英国境内企业均需遵守英国数据保护法案(Data Protection Act 2018)。当然,根据GDPR第3条适用GDPR的企业仍须遵守GDPR的各项规定。
因此,对于面向英国境内数据主体提供产品及服务的中国企业而言,针对英国境内个人数据主体所进行的数据处理活动在短期之内仍需满足GDPR的要求。同时,企业应当持续关注英国与欧盟协议签署的推进情况,及时进行相应调整。
法国家乐福违反GDPR被罚370万美元,中国企业就安全了吗?——解读GDPR的域外效力
作者:马清泉 王译萱来源:文康法律观察

引言 2018年5月25日《一般数据保护法案》(General Data Protection Regulation,GDPR)开始全面实施,该法案堪称史上最严格的数据保护法案,欧盟对于个人信息的保护