Details

电商出海的GDPR数据合规要点



欧洲《通用数据保护条例》(General Data Protection Regulation, 后文称“GDPR”)自2018年5月生效以来,已被欧洲各国的数据保护监管机构援引执法千余次,罚款累计超20亿欧元1,也成为中国电商企业出海欧洲不容忽视的一道合规准入门槛。其中,诸如企业如何受欧盟成员国监管机构管辖、欧洲的个人数据是否需要做本地化存储、能否回传中国等问题,是出海电商重点关注和普遍感到困惑的问题。盈理数据合规团队结合为出海企业提供GDPR合规差距分析及整改建议的相关经验,聚焦电商出海需要关注的几个重点问题,以期为出海电商就GDPR合规进行要点指引。


Q:在欧盟境内没有实体,是否需要受到GDPR管辖?如何受管辖?

A:GDPR具有一定的域外效力。根据相关条款,即使是在欧盟境内没有设立任何机构的企业,只要在向欧盟的数据主体提供商品或服务的过程中涉及欧盟数据主体个人数据的处理,就要受到GDPR的管辖。因此,中国电商出海欧洲,通过app、网站或其它渠道收集欧盟用户的个人数据并进行处理,应当受到GDPR管辖。


对于在欧盟境内无实体但要受到GDPR管辖的企业,GDPR要求企业在其销售产品/提供服务的欧盟国家书面指派一名欧盟代表(EU Representative),授权其与监管机关建立联系、应对监管机关的问询和检查、回复数据主体的权利请求,并在隐私声明中写明该代表的联系方式。欧盟代表可委派在欧盟的个人或在欧盟设立的各种商业或非商业实体担任,包括但不限于律师、律师事务所、咨询公司、私人企业等2


Q:GDPR中定义的数据控制者(controller)和数据处理者(processor)在责任上有何区别?谁的责任更大?如何判定企业是数据处理者还是数据控制者?

A:数据控制者(controller)在GDPR的定义下是决定数据处理的目的和方式的自然人或组织,数据处理者(processor)则是代表controller处理个人数据的自然人或组织。简单来说,controller的责任更大,因为其需要对数据处理活动的合法性以及数据主体行使权利负责;processor则是相当于受controller的委托进行具体的数据处理活动。processor在GDPR下最主要的义务是按与controller之间的数据处理协议(data processing agreement)进行个人数据处理活动,协助controller履行其各项GDPR合规义务,并以适当技术和组织措施确保受委托进行的处理活动的安全。


如何判定企业的主体身份,要根据实务中不同的数据处理场景来做具体判定。有时,在同一个大的业务场景下,就不同的处理行为而言,一个企业也可能存在不同的主体身份。例如,某中国电商为其欧洲企业客户提供SaaS服务,就企业客户终端用户的个人数据处理而言,该电商的数据合规身份是processor,而就该SaaS系统管理后台涉及的个人信息收集和处理,该电商的数据合规身份是controller。


Q:使用云计算相关服务如何配合保障GDPR合规?

A:GDPR并不禁止企业外采不同类型的云计算服务(IaaS, PaaS, SaaS)进行个人数据的处理。简单来说,出海电商若本身主体身份为controller,那么云计算服务提供者相当于其委任的processor,企业需要和云服务商签订数据处理协议(data processing agreement)并指示和监督云服务商按照协议约定进行相关个人数据处理;若出海电商本身成立processor,那么云服务商相当于出海电商委任的sub-processor,则出海电商需要在自身与controller签订的数据处理协议(data processing agreement)里明确sub-processing的相关事项,且出海电商要对自身委任的sub-processor的个人数据处理行为负责3


Q:数据跨境传输方式,是否需要清楚明确的说明?如何保障合规?

A:GDPR并无个人数据本地化存储或本地化处理的强制性要求,但作为处理行为的一种,受到GDPR管辖的controller和processor需要为自身的数据跨境(international data transfer)行为找到合法性依据,controller还应在面向数据主体的隐私声明中告知个人数据跨境的相关事宜。GDPR规定了三大类数据跨境的合法性依据:一为充分性认定(adequate protection),二为适当的保障措施(appropriate safeguards),三为特定情况下的克减(derogation)。目前实务中适用于大部分中国出海电商的跨境依据是第二大类适当保障措施下的经欧委会通过或批准的标准合同条款(Standard Contractual Clauses, 后文简称“SCC”),以及同一大类下的经欧盟成员国数据保护机构批准的有约束力的公司规则(Binding Corporate Rules, BCRs)。


Q:数据存储在欧洲云服务商当地的服务器,但国内IT管理人员可以登录欧盟系统做管理运维,是否可行?

A:可行,不过上述模式相当于欧盟的个人数据可以被欧盟境外所访问,也属于数据跨境(international data transfer)的一种,因此无论出海电商自身属于controller还是processor,均需要为上述跨境行为找到合法性依据。具体来看,就出海电商作为controller而言,一般需要和当地云服务提供商签订跨境SCC作为跨境依据;就出海电商作为processor而言,相当于就处理事项委任了sub-processor提供基础的数据存储服务,因此首先需要和controller在数据处理协议(data processing agreement)中约定好sub-processing事项,此外还需要与云服务商签订SCC作为跨境依据4


Q:企业员工出差到欧盟当地IDC做运维,如何证明他没有将数据带离?

A:理解企业担心员工有此种行为可能构成个人数据从欧盟出境,从而产生合规风险。安全技术层面,应有相应的物理环境监控、日志审计以及系统权限设置等措施来保证;组织管理层面,应建立或完善相应的行为制度规范、员工合规培训并且在员工入职时要求签署遵守数据保护相关法律的承诺。企业应留存好相应行为记录、制度文件作为证明。


Q:生产经营环节中如何保障合规?例如,IT运维人员变更数据库、升级版本,有可能动到个人数据,这部分如何合规?

A:出海电商应当有相应的信息安全管理制度、工作流程及操作规范来保障数据处理过程中的安全合规。实现GDPR合规,要求任何运维活动应当不影响个人数据的安全处理(Confidentiality),比如数据库访问权限产生不符合最小必要授权或其它影响处理安全的变动,或直接造成数据泄露;另外应当保证个人数据的完整性(Integrity)和准确性(Accuracy),也就是“动”到数据不应使个人数据的内容有减损,或导致个人数据与数据主体之间的对应关系产生偏差等影响个人数据完整性和准确性的情况。


Q:针对要求“发生信息泄露后,应该通知当地国家的主管机关”,比如公司注册地在德国,但在法国开展业务,应向德国报告还是向法国报告?

A:公司注册地在德国,但在法国开展业务,属于GDPR规定的在欧盟境内跨境处理(cross-border processing)的情形,此时应由牵头的监管机构(lead authority)采取一站式的管辖,牵头机构为公司主要机构或者唯一机构所在地的数据保护监管机构5。因此上述情形中看公司主要机构在哪里,就向哪个国家的监管机构报告。


此外企业应当注意,只有在自身主体身份为controller的场景下,才有向主管机关通报的义务。如果自身在欧盟数据处理场景下被认定为processor,那么根据GDPR相关规定,企业无需向主管机关通报数据泄露,而是应无不当延迟地(without undue delay)向controller报告个人数据泄露的相关情况。


结语

GDPR已经对中国出海电商提出了较为清晰的合规要求。对于出海电商而言,首先是要确保企业法务、信息安全及相关业务部门人员意识到GDPR合规的重要性并对GDPR的框架及重点合规要求具备初步了解;其次是需要结合实际业务状况进行个人数据全生命周期处理的GDPR合规差距分析及整改,根据落地场景调整产品设计、部署额外安全措施、进行部分系统改造或升级、健全数据主体权利响应机制等等;此外,应当将GDPR合规要求融入到企业的日常组织管理当中,通过调整组织架构、建立及完善数据安全与隐私保护相关的企业制度、流程、规范等方式,努力实现持续性的GDPR合规。





注解: 

  1.  See https://www.enforcementtracker.com/?insights, last accessed on Nov 1st, 2022

  2.  See EDPB, “Guidelines 3/2018 on the territorial scope of the GDPR”, V.2, 12. November 2019, P.23f.

  3.  See GDPR Article 28.4

  4.  不过,根据欧委会相关指引,目前其发布的SCC版本并不适用于根据GDPR的域外效力直接受到GDPR管辖的controller和processor,因为当前的SCC的目的是为欧盟个人数据的出境确保GDPR及相关欧洲数据保护立法的同等保护水平,而此类controller和processor本身就要受到GDPR的规制,因此SCC中对其作为欧盟个人数据进口方的要求与其本身就应在GDPR下遵守的义务大部分是重合的。欧委会说明正在为此种情形下的数据跨境指定一套额外的SCCs。See https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en 

  5.  See GDPR Article 4.23, Article 4.18, and Article 56