企业合规︱从中欧信息保护监管差异看企业境外数据合规要点

一、欧盟的《一般数据保护条例》（GDPR）概览

（一） GDPR的监管要点

欧盟于2016年5月24日《一般数据保护条例》（the General Data Protection Regulation, GDPR）生效，并给予欧盟成员国2年的缓冲期将其转化为本国法律。2018年5月25日GDPR正式在欧盟所有成员国中适用。欧盟之所以制定GDPR，是为了确保个人数据在欧盟境内任何地方都享有同样高标准的保护，提供收集个人数据和处理数据的法律确定性，并为个人提供高度保护^[3]。同时也为欧盟实现数据保护的一揽子数据法案提供了基础框架和适用指针。

GDPR的立法基础延续自欧盟1995年制定的《数据保护指令》95/46/EC^[4]，其核心立法精神从未松动。具体体现在以下三个方面：首先，为保护自然人的个人数据处理和个人数据的合法自由流动而制定规则。其次，属人管辖原则。根据GDPR规定，只要是“在欧盟内部设立的数据控制者或者对个人数据的处理，不论其实际数据处理行为是否在欧盟境内进行。”这一规定的制定，使用范围的扩大使得欧盟具有“长臂管辖”的权利。其三，违法者将受到严厉制裁。一旦被调查发现有违反GDPR的情形，欧盟将对违规收集个人信息、没有保障数据安全的责任者，处以最高2000万欧元或全球营业额的4％（以较高者为准）的罚款。所以GDPR被冠以“史上最严数据法案”。

（二） GDPR对企业的影响

GDPR的严格监管要求，一度引发了在欧盟境内提供服务的企业产生合规恐慌性应激反应。曾有部分提供在线跨国服务的企业因害怕触发GDPR的监管处罚而屏蔽欧洲客户的访问。如GDPR在2018年5月正式实施后，发生过短期内欧盟境内客户无法在线阅读美国《纽约时报》的情况^[5]。

GDPR的强监管要求也导致了部分企业的合规成本无限提高，最终因无力承担合规成本而放弃欧洲市场。例如，2022年雅虎日本无法承受因遵守GDPR等欧盟监管要求产生的合规成本，宣布关闭欧洲市场的服务^[6]。但是欧盟目前并没有因为部分企业的退出而放松强监管态度。在2023年12月15日，欧洲数据保护委员会（the European Data Protection Board, EDPB）发布了应用报告阐述GDPR的贡献。报告中指出，短期内没有修订GDPR的必要，且呼吁尽快通过为跨境执行GDPR附加程序规则提供支持的新条例^[7]。

于此同时，继GDPR之后，欧盟又通过制定和发布数字服务法（Digital Services Act，DSA）以及数字市场法（Digital Market Act，DMA）等法案对数字服务商或数字服务平台的数据传输与保护提出要求。欧盟对数字保护和数字服务运营的强监管和保护其实是一把双刃剑，一方面帮助数据产业的安全发展并保护数据所有者的基本权利。通过出台一系列法案来保障数据获取和数据适用的安全性，同时通过强监管手段保护其境内的数据安全，并在一定程度上帮助其本土企业在全球大数据产业发展的背景下稳步发展；另一方面也会在一定程度上限制科技产业、数据移动产业在欧盟区域内的发展。由于近年来中国和美国的互联网科技公司业务形式更多元化，业务范围遍布全球。中美科技巨头公司的信息收集及跨境数据传输日益频繁。而在这个过程中，无论企业走出去的意愿程度如何，欧盟市场在中国企业或者跨国企业的运营和发展中都是绕不开的选择。但较高的合规成本和处罚风险又会给企业发展带去不同程度的限制。这是企业决策者不得不纳入企业发展影响的评估因素之一。

全球数据保护因为涉及不同法域的不同要求，且法律法规的出台具有一定的动态趋势和发展度，企业需要通过自身运营的需求、客户组成、产业特点等多维度考虑出海业务的目的国。同时企业内部需要搭建和完善自身的合规团队，在涉及海外经营或数据跨境业务时，同时在母国和投资国寻求外部数据合规的专业律师团队的介入等都可以帮助企业及时应对全球数据保护。

（一） 我国网络安全的“三架马车”

我国早在2017年6月就发布了《网络安全法》，并于2021年6月和8月先后发布《数据安全法》和《个人信息保护法》。这三部法律分别从网络运营者、数据安全管理和个人信息保护三个维度，为我国网络信息安全筑起一道防护网。中国信息通信研究院副院长魏亮认为，“三部法律标志着我国数据安全领域基础性法律框架体系构建的完成，共同构成了我国数据安全立法的‘三驾马车’^[9]”。

其中《个人信息保护法》的立法背后蕴含着探索创新的中国特色和博采众长的国际理念^[10]。我国的《个人信息保护法》于2021年11月1日施行，全文共八章七十四条。 从总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务及法律责任等多方面制定个人信息保护的监管规则。

（二） 由于欧盟和中国分属不同法域，在针对个人信息的保护上，两地司法辖区的监管侧重各有不同。主要体现在如下几个方面：

1、 管辖的范围不同。

欧盟的GDPR依据属人原则设立了“长臂管辖”。我国的《个人信息保护法》以属地原则为主，属人原则为辅的管辖原则。

2、 个人信息定义不同。

欧盟GDPR在第4条明确定义“个人数据是指与已识别或可识别的自然人（数据主体）有关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，特别是通过诸如姓名、识别号码、位置数据、在线标识符等标识符，或者与该自然人的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个因素进行识别”。相比GDPR对“个人数据”列举式定义的宽泛，我国《个人信息保护法》保护的个人信息特指“电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息”。

3、 责任主体不同。

欧盟不仅对数据控制者（controller）规定了法律责任和义务，也严格监管数据处理者（processor）。而中国《个人信息保护法》主要规定了个人信息处理者的法律责任和义务。

4、 未成年人信息保护要求不同。

欧盟GDPR对于未成年人的网络同意年龄划定的区间为“13-16岁”，具体年龄的规定是由欧盟各成员国自行决定的。我国《个人信息保护法》第二十八条明确规定敏感个人信息“包括不满十四周岁未成年人的个人信息”；第三十一条规定“处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意”。

5、 处罚力度不同。

欧盟对违法者的处罚如前文所述，以高额罚款为主。我国对违反《个人信息保护法》的违法行为制定了更为细致的处罚规定，不仅可能处以“上一年度营业额百分之五以下罚款”，还可能处以“停业整顿、吊销营业执照”，及对“直接负责的主管人员和其它直接责任人员处以罚款”等额外处罚。

（三） 虽然两地监管侧重各不相同，但对于保护个人隐私和敏感信息的监管要求也十分相似。主要体现在以下几个方面：

1、 均明确规定信息不得过度收集，处理目的限于最小范围；

2、 明确处理信息必需取得个人自愿、明确的同意；

3、 将数据区分为个人信息和敏感个人信息；

4、 均明确匿名化处理或脱敏后的信息不视为受监管的个人信息；

5、 均明确规定数据处理者的法律责任；和

6、 均认可标准化合同条款的数据合规管理成果。

在安永2023年11月首次发布的《中国第三方IDC行业财务数据回顾及未来展望》报告中指出，2022年我国数据中心市场规模约1900亿元，近五年年均复合增长率高达30.0%^[11]。可见，在我国的数据信息监管要求下，不仅关注个人信息和隐私的保护，也侧重挖掘数据要素的价值。由于没有强制限定信息数据的所有权，这对于脱敏后的个人信息有序流动和数据价值挖掘提供了基础，也更有利于发挥数据场景的应用创新和数据价值的二次赋能。

三、 中国企业在境外数据保护的合规要点

由于中国目前没有和欧盟建立数据流动互认协议，也没有在欧盟GDPR监管白名单内。所以，中国企业在海外开展数据信息相关的业务时，尤其是涉及欧盟境内个人信息数据业务的时候，必需加强合规管理并谨慎开展业务。

基于欧盟GDPR的严格监管要求，中国企业可以考虑从以下几个方面开展合规管理工作并自查。首先，应当建立和完善符合东道国数据信息保护监管要求的合规体系；其次，制定和修改符合东道国监管要求的标准合同文本；其三，设置明确的信息收集、存储、传输、处理和删除等标准化合规流程；其四，制定信息泄露风险处置流程和应对方案；其五，加强数据合规培训；最后，持续关注和更新东道国对于数据信息保护监管法律政策的变动，并及时作出相应调整。

结语：

法律是社会生活的浓缩和国家秩序需求的成果。通过比较我国与欧盟对于个人信息的监管立法可以看到，在数字经济高速发展的时代潮流之下，如何保护个人信息和数据自由流动的前提下，是全球各国监管机构共同关心的问题。对于企业而言，如何确保在合法合规的前提下，持续降本且充分挖掘数据价值和潜力，则是企业经营者面前的难题。可以预见未来对于不同司法辖区的数据合规监管，还会根据国情、经济发展情况以及地缘政治等继续动态变化。九泽合规团队也将持续密切关注相关动态，以协助企业客户更好的应对监管变化。

企业如有需要，可联系九泽合规提供合规体系建设的专项法律服务。