reen information
前言
随着中资企业出海热度高涨,越来越多中资企业在海外进行投资进而开展各类业务。
其中,欧洲是中资企业对外投资主要目的地之一。根据我国商务部、国家统计局以及国家外汇管理局所发布之《2021年度中国对外直接投资统计公报》数据显示,在2021年,中资企业对欧盟直接投资流量金额为785505万美元(对比于2013年数据,增幅约为173%),对欧盟直接投资存量金额为9,589,839万美元(对比于2013年数据,增幅约为239%);且,赴欧投资主要流向德国、英国、瑞士、荷兰、卢森堡、瑞典、爱尔兰、塞尔维亚等国家。
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)正式施行,此被称为“史上最严的数据法规”。至今,GDPR施行已逾4年,执法案例涌现,且执法趋严,知名跨国企业被处于巨额罚款之事件时有发生。例如,2021年7月,Amazon Europe Core S.à.r.l.因违反GDPR规定而被卢森堡罚款7.46亿欧元。[1]
2021年4月9日,中资企业字节跳动海外子公司TikTok Inc.因为违反GDPR第12条第1款规定,从而被荷兰数据执法机构Autoriteit Persoonsgegevens处罚,共罚款75万欧元。[2]
因此,中资企业赴欧投资,需要充分认识以及遵守GDPR,以减少被处罚之风险。
故,本文简要介绍GDPR,并结合网站GDPR Enforcement Tracker[3]数据以及美国国际贸易委员会(U.S. International Trade Commission)2020年[4]、2022年[5]研究及统计数据,简要分析并归纳欧盟GDPR整体执法趋势,最后为中资企业赴欧投资提供相关数据合规建议。
一、GDPR前世今生
根据GDPR第一章规定,GDPR适用于自然人数据之处理以及自由流动。其实,GDPR并非欧盟首个有关数据保护之指令。在许久之前,欧盟即有相关数据保护立法铺垫或前例。
1980年,经济合作与发展组织(OECD)发布《个人数据隐私和跨境数据流保护指南》(Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)(以下简称《保护指南》)。该指南更新至2013年,即包括七个原则:一是在数据被采集前,数据主体应得到通知;二是数据收集仅限于数据主体同意之范围内;三是数据收集应有适时相关性以及具体目的;四是若非数据主体同意或法定理由,否则不得公开数据;五是已收集之数据应通过安全措施得以保护;六是数据主体有权知晓其何等信息已被收集;七是数据控制者有责任实施相关数据保护措施。[6] 尽管,无论是对自然人、法人抑或系国家而言,《保护指南》均无法律约束力[7],但其对世界各国/地区数据保护立法及司法实践具有重要影响与参照作用,当中包括欧盟GDPR。
1995年,欧盟通过《数据保护指令》(Data Protection Directive)(以下简称《保护指令》)。前述指令正是基于上述《个人数据隐私和跨境数据流保护指南》所述七个原则而制定。在GDPR实施之前,欧盟范围内之个人数据以及隐私保护事宜均由前述指令进行规制。
相比于《保护指南》《保护指令》,GDPR之最大不同在于其在全欧盟范围内具有强制适用性,以及具有具体执法机制。《保护指南》属于倡导性文件,缺乏强制性;《保护指令》规定并不具体,需要欧盟成员国进一步各自具体立法,以具体施行《保护指令》所含规定。
二、GDPR简介
1.核心条款
GDPR共有99条规定,内容繁多。但,纵观GDPR执法案例整体数据,相关数据保护执法机构频繁引用特定条文作为处罚依据(具体统计情况详见本文第三部分),该等条文正是GDPR核心条款,是数据合规重点所在。前述条文包括GDPR第5、6、12、13、32条。
2.执法机构
根据GDPR第51条规定,每个成员国应指定一个或多个监管部门(Supervisory Authority),负责在本国实施GDPR,以保护自然人在数据处理中所享基本权利与自由,以及促进个人数据在欧盟范围内自由流动。GDPR另规定设立欧洲数据保护委员会(European Data Protection Board, “EDPB”)。EDPB职责在于确保GDPR在欧盟范围内得到统一适用,例如指导成员国执行GDPR,并作出具有约束力之决定以解决成员国之间跨境执法的争议。
据统计,欧盟成员国及欧洲经济区(EEA)成员国各自数据执法部门具体如下:
上述大部分成员国仅有一个数据执法部门,但德国例外。德国数据执法部门架构为“16+1”。德国是联邦制国家,有16个联邦州,每个州均有一个数据执法部门以及各自数据保护法律,各州数据执法部门在各自州辖区内各自的享有执法权。州执法部门是德国数据执法的主力。且,德国另有一个联邦层面的数据执法部门(Federal Commissioner for Data Protection and Freedom of Information),该部门作为德国数据执法部门之代表,以作为EDPB之成员。
3.处罚规则
对于违反GDPR规定的违法或侵权行为,GDPR在第82条(Right to compensation and liability)规定民事赔偿责任之外,且在第83条以及第84条规定行政罚款的具体规则。
一方面,根据GDPR第83条规定,数据执法部门在处理具体个案时,在考虑是否处以行政罚款以及罚款金额时,应当综合考虑之因素有11项,包括但不限于侵权行为性质、规模以及持续时间(例如受影响的数据主体人数数量以及损失程度)、侵权过错程度、消除侵权后果的行为、以往侵权行为记录以及事后配合数据执法部门调查及的程度等。
另一方面,对于罚款金额标准,结合GDPR第83条、第84条规定,GDPR在明确成员国可根据第83条规定决定罚款金额之余,且规定成员国可以另外自行立法制定其他罚款。
GDPR第83条所规定之罚款金额标准如下表所示:
三、执法趋势
GDPR施行至今四年,其整体执法情况归纳如下:
1.罚单数量
根据网站GDPR Enforcement Tracker之统计数据,据不完全统计,截止2022年12月份,欧盟成员国、欧洲经济区成员国以及英国(包括其退欧之前的数据)共发出1392份GDPR罚单。自2018年7月开始至今,罚单持续增加。具体数据如下:
(数据源于GDPR Enforcement Tracker)
2.分布地区
经统计,截止2022年12月,发出GDPR罚单数量最多的前10个国家分别是西班牙、意大利、德国、罗马尼亚、匈牙利、希腊、挪威、波兰、比利时以及法国,其中西班牙发出的罚单高达548份,可见西班牙的数据保护执法力度最严格以及积极。具体数据如下表所示。
(数据源于GDPR Enforcement Tracker)
另,对于GDPR执法力度,西欧国家普遍强于东欧国家。[8] 例如,在2018年5月至2020年3月期间,罚款金额超过1万欧元的罚单至少有107份,当中78%罚单是由西欧国家发出。其中,西班牙所发罚单数量远超其他国家。前述数据具体如下表所示:
(以上统计图源于“The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities.”Journal of International Commerce and Economics. May 2020. https://www.usitc.gov/journals.)
3.罚款金额
一方面,对于各国累计GDPR罚款金额,罚款最多之前10个国家依次为爱尔兰、卢森堡、法国、意大利、英国、西班牙、德国、希腊、奥地利以及瑞典。
有趣之处为,上述国家累计罚款金额与累计罚单数量并不匹配。例如,尽管西班牙累计发出GDPR罚单数量最多,罚单高达551张,但其累计罚款金额仅有0.57亿欧元,并非金额最多。其中,爱尔兰累计发出罚单仅18张,但其累计罚款逾9.1亿欧元,排名首位;卢森堡累计发出罚单23张,其累计罚款金额逾7.4亿欧元,排名第二。具体数据如下表所示。
(数据源于GDPR Enforcement Tracker)
另一方面,对于个案罚款金额,单笔罚款金额最多之前10个案例集中于卢森堡、爱尔兰、法国、德国以及意大利,具体数据如下表所示。其中,截至目前,GDPR单笔罚款最多之案例为Amazon Europe Core S.à.r.l.,该公司被卢森堡数据执法机构罚款7.46亿欧元。其次,跨国互联网公司Meta被爱尔兰数据执行机构在两案中合计罚款6.7 7.46亿欧元。此外,WhatsApp、Google、Facebook、H&M Hennes & Mauritz等公司均被处于相应巨额罚款。
四、合规建议
1.在欧设立公司或设置主要办事机构时,应根据自身需要选择在相关国家开展活动,并应对所在国家GDPR执法力度以及特点有充分了解,并针对性建立合规体系与策略。
2.应切实采取合理措施保护已收集之用户信息,例如匿名化、加密、系统保密性与可靠性、意外故障可恢复性、日常测试维护等,以确保符合GDPR第32条所述义务。
3.如今随着ChatGPT、AIGC等生成式人工智能技术兴起,通过API方式接入前述技术传输、交互处理用户个人信息,使得数据处理更复杂,加之海内外监管规定不完善,此对企业的GDPR合规带来更多挑战,故需顺应技术发展潮流,适时调整GDPR合规策略。
注释:
[1] “AMAZON.COM, INC.FORM 10-Q”. https://www.sec.gov/ix?doc=/Archives/edgar/data/0001018724/000101872421000020/amzn-20210630.htm#i5986f88ea1e04d5c91ff09fed8d716f0_103.
[2]https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boete_tiktok.pdf.
[3] https://www.enforcementtracker.com.
[4] “The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities.”Journal of International Commerce and Economics. May 2020. https://www.usitc.gov/journals.
[5] “The Changing Tides of Data Protection Regulation and Enforcement in Europe”, Journal of International Commerce and Economics. February 2022. https://www.usitc.gov/journals.
[6] “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.”Organisation for Economic Co-operation and Development. https://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm.
[7] “OECD Recommendation of the Council.” European union Agency for Cybersecurity. https://www.enisa.europa.eu/topics/risk-management/current-risk/laws-regulation/data-protection-privacy/oecd-recommendation-of-the-council.
[8] 出于分析目的,西欧国家被定义为奥地利、比利时、捷克共和国、丹麦、芬兰、法国、德国、冰岛、爱尔兰、意大利、列支敦士登、卢森堡、荷兰、挪威、葡萄牙、西班牙、瑞典和英国。东欧国家定义为保加利亚、克罗地亚、塞浦路斯、爱沙尼亚、希腊、匈牙利、拉脱维亚、立陶宛、马耳他、波兰、罗马尼亚、斯洛伐克和斯洛文尼亚。
供稿 | 广东格林律师事务所民事专业委员会
编辑 | 张驰