电商出海的GDPR数据合规要点

A：GDPR具有一定的域外效力。根据相关条款，即使是在欧盟境内没有设立任何机构的企业，只要在向欧盟的数据主体提供商品或服务的过程中涉及欧盟数据主体个人数据的处理，就要受到GDPR的管辖。因此，中国电商出海欧洲，通过app、网站或其它渠道收集欧盟用户的个人数据并进行处理，应当受到GDPR管辖。

对于在欧盟境内无实体但要受到GDPR管辖的企业，GDPR要求企业在其销售产品/提供服务的欧盟国家书面指派一名欧盟代表（EU Representative），授权其与监管机关建立联系、应对监管机关的问询和检查、回复数据主体的权利请求，并在隐私声明中写明该代表的联系方式。欧盟代表可委派在欧盟的个人或在欧盟设立的各种商业或非商业实体担任，包括但不限于律师、律师事务所、咨询公司、私人企业等²。

A：数据控制者（controller）在GDPR的定义下是决定数据处理的目的和方式的自然人或组织，数据处理者（processor）则是代表controller处理个人数据的自然人或组织。简单来说，controller的责任更大，因为其需要对数据处理活动的合法性以及数据主体行使权利负责；processor则是相当于受controller的委托进行具体的数据处理活动。processor在GDPR下最主要的义务是按与controller之间的数据处理协议（data processing agreement）进行个人数据处理活动，协助controller履行其各项GDPR合规义务，并以适当技术和组织措施确保受委托进行的处理活动的安全。

如何判定企业的主体身份，要根据实务中不同的数据处理场景来做具体判定。有时，在同一个大的业务场景下，就不同的处理行为而言，一个企业也可能存在不同的主体身份。例如，某中国电商为其欧洲企业客户提供SaaS服务，就企业客户终端用户的个人数据处理而言，该电商的数据合规身份是processor，而就该SaaS系统管理后台涉及的个人信息收集和处理，该电商的数据合规身份是controller。

A：GDPR并不禁止企业外采不同类型的云计算服务（IaaS, PaaS, SaaS）进行个人数据的处理。简单来说，出海电商若本身主体身份为controller，那么云计算服务提供者相当于其委任的processor，企业需要和云服务商签订数据处理协议（data processing agreement）并指示和监督云服务商按照协议约定进行相关个人数据处理；若出海电商本身成立processor，那么云服务商相当于出海电商委任的sub-processor，则出海电商需要在自身与controller签订的数据处理协议（data processing agreement）里明确sub-processing的相关事项，且出海电商要对自身委任的sub-processor的个人数据处理行为负责³。

A：GDPR并无个人数据本地化存储或本地化处理的强制性要求，但作为处理行为的一种，受到GDPR管辖的controller和processor需要为自身的数据跨境（international data transfer）行为找到合法性依据，controller还应在面向数据主体的隐私声明中告知个人数据跨境的相关事宜。GDPR规定了三大类数据跨境的合法性依据：一为充分性认定（adequate protection），二为适当的保障措施（appropriate safeguards），三为特定情况下的克减（derogation）。目前实务中适用于大部分中国出海电商的跨境依据是第二大类适当保障措施下的经欧委会通过或批准的标准合同条款（Standard Contractual Clauses, 后文简称“SCC”），以及同一大类下的经欧盟成员国数据保护机构批准的有约束力的公司规则（Binding Corporate Rules, BCRs）。

A：可行，不过上述模式相当于欧盟的个人数据可以被欧盟境外所访问，也属于数据跨境（international data transfer）的一种，因此无论出海电商自身属于controller还是processor，均需要为上述跨境行为找到合法性依据。具体来看，就出海电商作为controller而言，一般需要和当地云服务提供商签订跨境SCC作为跨境依据；就出海电商作为processor而言，相当于就处理事项委任了sub-processor提供基础的数据存储服务，因此首先需要和controller在数据处理协议（data processing agreement）中约定好sub-processing事项，此外还需要与云服务商签订SCC作为跨境依据⁴。

A：理解企业担心员工有此种行为可能构成个人数据从欧盟出境，从而产生合规风险。安全技术层面，应有相应的物理环境监控、日志审计以及系统权限设置等措施来保证；组织管理层面，应建立或完善相应的行为制度规范、员工合规培训并且在员工入职时要求签署遵守数据保护相关法律的承诺。企业应留存好相应行为记录、制度文件作为证明。

A：出海电商应当有相应的信息安全管理制度、工作流程及操作规范来保障数据处理过程中的安全合规。实现GDPR合规，要求任何运维活动应当不影响个人数据的安全处理（Confidentiality），比如数据库访问权限产生不符合最小必要授权或其它影响处理安全的变动，或直接造成数据泄露；另外应当保证个人数据的完整性（Integrity）和准确性（Accuracy），也就是“动”到数据不应使个人数据的内容有减损，或导致个人数据与数据主体之间的对应关系产生偏差等影响个人数据完整性和准确性的情况。

A：公司注册地在德国，但在法国开展业务，属于GDPR规定的在欧盟境内跨境处理（cross-border processing）的情形，此时应由牵头的监管机构（lead authority）采取一站式的管辖，牵头机构为公司主要机构或者唯一机构所在地的数据保护监管机构⁵。因此上述情形中看公司主要机构在哪里，就向哪个国家的监管机构报告。

此外企业应当注意，只有在自身主体身份为controller的场景下，才有向主管机关通报的义务。如果自身在欧盟数据处理场景下被认定为processor，那么根据GDPR相关规定，企业无需向主管机关通报数据泄露，而是应无不当延迟地（without undue delay）向controller报告个人数据泄露的相关情况。

GDPR已经对中国出海电商提出了较为清晰的合规要求。对于出海电商而言，首先是要确保企业法务、信息安全及相关业务部门人员意识到GDPR合规的重要性并对GDPR的框架及重点合规要求具备初步了解；其次是需要结合实际业务状况进行个人数据全生命周期处理的GDPR合规差距分析及整改，根据落地场景调整产品设计、部署额外安全措施、进行部分系统改造或升级、健全数据主体权利响应机制等等；此外，应当将GDPR合规要求融入到企业的日常组织管理当中，通过调整组织架构、建立及完善数据安全与隐私保护相关的企业制度、流程、规范等方式，努力实现持续性的GDPR合规。