G

   前言

        随着中资企业出海热度高涨，越来越多中资企业在海外进行投资进而开展各类业务。

        其中，欧洲是中资企业对外投资主要目的地之一。根据我国商务部、国家统计局以及国家外汇管理局所发布之《2021年度中国对外直接投资统计公报》数据显示，在2021年，中资企业对欧盟直接投资流量金额为785505万美元（对比于2013年数据，增幅约为173%），对欧盟直接投资存量金额为9,589,839万美元（对比于2013年数据，增幅约为239%）；且，赴欧投资主要流向德国、英国、瑞士、荷兰、卢森堡、瑞典、爱尔兰、塞尔维亚等国家。

        2018年5月25日，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）正式施行，此被称为“史上最严的数据法规”。至今，GDPR施行已逾4年，执法案例涌现，且执法趋严，知名跨国企业被处于巨额罚款之事件时有发生。例如，2021年7月，Amazon Europe Core S.à.r.l.因违反GDPR规定而被卢森堡罚款7.46亿欧元。[1]

        2021年4月9日，中资企业字节跳动海外子公司TikTok Inc.因为违反GDPR第12条第1款规定，从而被荷兰数据执法机构Autoriteit Persoonsgegevens处罚，共罚款75万欧元。[2]

        因此，中资企业赴欧投资，需要充分认识以及遵守GDPR，以减少被处罚之风险。

        故，本文简要介绍GDPR，并结合网站GDPR Enforcement Tracker[3]数据以及美国国际贸易委员会（U.S. International Trade Commission）2020年[4]、2022年[5]研究及统计数据，简要分析并归纳欧盟GDPR整体执法趋势，最后为中资企业赴欧投资提供相关数据合规建议。

        一、GDPR前世今生

        根据GDPR第一章规定，GDPR适用于自然人数据之处理以及自由流动。其实，GDPR并非欧盟首个有关数据保护之指令。在许久之前，欧盟即有相关数据保护立法铺垫或前例。

        1980年，经济合作与发展组织（OECD）发布《个人数据隐私和跨境数据流保护指南》（Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）（以下简称《保护指南》）。该指南更新至2013年，即包括七个原则：一是在数据被采集前，数据主体应得到通知；二是数据收集仅限于数据主体同意之范围内；三是数据收集应有适时相关性以及具体目的；四是若非数据主体同意或法定理由，否则不得公开数据；五是已收集之数据应通过安全措施得以保护；六是数据主体有权知晓其何等信息已被收集；七是数据控制者有责任实施相关数据保护措施。[6] 尽管，无论是对自然人、法人抑或系国家而言，《保护指南》均无法律约束力[7]，但其对世界各国/地区数据保护立法及司法实践具有重要影响与参照作用，当中包括欧盟GDPR。

        1995年，欧盟通过《数据保护指令》（Data Protection Directive）（以下简称《保护指令》）。前述指令正是基于上述《个人数据隐私和跨境数据流保护指南》所述七个原则而制定。在GDPR实施之前，欧盟范围内之个人数据以及隐私保护事宜均由前述指令进行规制。

        相比于《保护指南》《保护指令》，GDPR之最大不同在于其在全欧盟范围内具有强制适用性，以及具有具体执法机制。《保护指南》属于倡导性文件，缺乏强制性；《保护指令》规定并不具体，需要欧盟成员国进一步各自具体立法，以具体施行《保护指令》所含规定。

   二、GDPR简介

        1.核心条款

        GDPR共有99条规定，内容繁多。但，纵观GDPR执法案例整体数据，相关数据保护执法机构频繁引用特定条文作为处罚依据（具体统计情况详见本文第三部分），该等条文正是GDPR核心条款，是数据合规重点所在。前述条文包括GDPR第5、6、12、13、32条。

        2.执法机构

    根据GDPR第51条规定，每个成员国应指定一个或多个监管部门（Supervisory Authority），负责在本国实施GDPR，以保护自然人在数据处理中所享基本权利与自由，以及促进个人数据在欧盟范围内自由流动。GDPR另规定设立欧洲数据保护委员会（European Data Protection Board, “EDPB”）。EDPB职责在于确保GDPR在欧盟范围内得到统一适用，例如指导成员国执行GDPR，并作出具有约束力之决定以解决成员国之间跨境执法的争议。

    据统计，欧盟成员国及欧洲经济区（EEA）成员国各自数据执法部门具体如下：

        上述大部分成员国仅有一个数据执法部门，但德国例外。德国数据执法部门架构为“16＋1”。德国是联邦制国家，有16个联邦州，每个州均有一个数据执法部门以及各自数据保护法律，各州数据执法部门在各自州辖区内各自的享有执法权。州执法部门是德国数据执法的主力。且，德国另有一个联邦层面的数据执法部门（Federal Commissioner for Data Protection and Freedom of Information），该部门作为德国数据执法部门之代表，以作为EDPB之成员。

        3.处罚规则

        对于违反GDPR规定的违法或侵权行为，GDPR在第82条（Right to compensation and liability）规定民事赔偿责任之外，且在第83条以及第84条规定行政罚款的具体规则。

        一方面，根据GDPR第83条规定，数据执法部门在处理具体个案时，在考虑是否处以行政罚款以及罚款金额时，应当综合考虑之因素有11项，包括但不限于侵权行为性质、规模以及持续时间（例如受影响的数据主体人数数量以及损失程度）、侵权过错程度、消除侵权后果的行为、以往侵权行为记录以及事后配合数据执法部门调查及的程度等。

        另一方面，对于罚款金额标准，结合GDPR第83条、第84条规定，GDPR在明确成员国可根据第83条规定决定罚款金额之余，且规定成员国可以另外自行立法制定其他罚款。

        GDPR第83条所规定之罚款金额标准如下表所示：

        三、执法趋势

        GDPR施行至今四年，其整体执法情况归纳如下：

        1．罚单数量

        根据网站GDPR Enforcement Tracker之统计数据，据不完全统计，截止2022年12月份，欧盟成员国、欧洲经济区成员国以及英国（包括其退欧之前的数据）共发出1392份GDPR罚单。自2018年7月开始至今，罚单持续增加。具体数据如下：

（数据源于GDPR Enforcement Tracker）

      2．分布地区

    经统计，截止2022年12月，发出GDPR罚单数量最多的前10个国家分别是西班牙、意大利、德国、罗马尼亚、匈牙利、希腊、挪威、波兰、比利时以及法国，其中西班牙发出的罚单高达548份，可见西班牙的数据保护执法力度最严格以及积极。具体数据如下表所示。

（数据源于GDPR Enforcement Tracker）

    另，对于GDPR执法力度，西欧国家普遍强于东欧国家。[8] 例如，在2018年5月至2020年3月期间，罚款金额超过1万欧元的罚单至少有107份，当中78%罚单是由西欧国家发出。其中，西班牙所发罚单数量远超其他国家。前述数据具体如下表所示：

（以上统计图源于“The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities.”Journal of International Commerce and Economics. May 2020. https://www.usitc.gov/journals.）

    3．罚款金额

    一方面，对于各国累计GDPR罚款金额，罚款最多之前10个国家依次为爱尔兰、卢森堡、法国、意大利、英国、西班牙、德国、希腊、奥地利以及瑞典。

    有趣之处为，上述国家累计罚款金额与累计罚单数量并不匹配。例如，尽管西班牙累计发出GDPR罚单数量最多，罚单高达551张，但其累计罚款金额仅有0.57亿欧元，并非金额最多。其中，爱尔兰累计发出罚单仅18张，但其累计罚款逾9.1亿欧元，排名首位；卢森堡累计发出罚单23张，其累计罚款金额逾7.4亿欧元，排名第二。具体数据如下表所示。

（数据源于GDPR Enforcement Tracker）

    另一方面，对于个案罚款金额，单笔罚款金额最多之前10个案例集中于卢森堡、爱尔兰、法国、德国以及意大利，具体数据如下表所示。其中，截至目前，GDPR单笔罚款最多之案例为Amazon Europe Core S.à.r.l.，该公司被卢森堡数据执法机构罚款7.46亿欧元。其次，跨国互联网公司Meta被爱尔兰数据执行机构在两案中合计罚款6.7 7.46亿欧元。此外，WhatsApp、Google、Facebook、H&M Hennes & Mauritz等公司均被处于相应巨额罚款。

    四、合规建议

        1.在欧设立公司或设置主要办事机构时，应根据自身需要选择在相关国家开展活动，并应对所在国家GDPR执法力度以及特点有充分了解，并针对性建立合规体系与策略。
    2.应切实采取合理措施保护已收集之用户信息，例如匿名化、加密、系统保密性与可靠性、意外故障可恢复性、日常测试维护等，以确保符合GDPR第32条所述义务。
    3.如今随着ChatGPT、AIGC等生成式人工智能技术兴起，通过API方式接入前述技术传输、交互处理用户个人信息，使得数据处理更复杂，加之海内外监管规定不完善，此对企业的GDPR合规带来更多挑战，故需顺应技术发展潮流，适时调整GDPR合规策略。

    注释：

        [1] “AMAZON.COM, INC.FORM 10-Q”. https://www.sec.gov/ix?doc=/Archives/edgar/data/0001018724/000101872421000020/amzn-20210630.htm#i5986f88ea1e04d5c91ff09fed8d716f0_103.

    [2]https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boete_tiktok.pdf.

    [3] https://www.enforcementtracker.com.

    [4] “The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities.”Journal of International Commerce and Economics. May 2020. https://www.usitc.gov/journals.

    [5] “The Changing Tides of Data Protection Regulation and Enforcement in Europe”, Journal of International Commerce and Economics. February 2022. https://www.usitc.gov/journals.

    [6] “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.”Organisation for Economic Co-operation and Development. https://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm.

    [7] “OECD Recommendation of the Council.” European union Agency for Cybersecurity. https://www.enisa.europa.eu/topics/risk-management/current-risk/laws-regulation/data-protection-privacy/oecd-recommendation-of-the-council.

    [8] 出于分析目的，西欧国家被定义为奥地利、比利时、捷克共和国、丹麦、芬兰、法国、德国、冰岛、爱尔兰、意大利、列支敦士登、卢森堡、荷兰、挪威、葡萄牙、西班牙、瑞典和英国。东欧国家定义为保加利亚、克罗地亚、塞浦路斯、爱沙尼亚、希腊、匈牙利、拉脱维亚、立陶宛、马耳他、波兰、罗马尼亚、斯洛伐克和斯洛文尼亚。

供稿 | 广东格林律师事务所民事专业委员会

编辑 | 张驰