详情

　　正在针对中国企业出海热点地域的系列指南中，笔者已接踵分解了英国、美国、越南、印度及马来西亚这五大出海热点法域的数据保律，旨正在为出海企业供给精准的合规。欧盟做为全球规模最大的经济体之一，不只具有复杂的消费市场和高度成熟的贸易系统，还界经济款式中饰演着举脚轻沉的脚色。对中国企业来说，欧盟既是主要的出口目标地，也是具有计谋意义的环节投资市场，储藏着丰硕的贸易机缘取资本潜力。取此同时，欧盟也以其严酷的数据保律轨制著称，被普遍认为是全球对现私取数据平安要求最为严酷的监管地域之一。欧盟数据系统以全面保障小我数据为焦点旨，贯穿数据生成、存储、处置以致的全过程，强调性、平安性和合规性的同一。此中，《通用数据条例》（General Data Protection Regulation，下称“PR”）做为欧盟数据监管的焦点，不只开创了全球数据管理的范式，也为很多国度和地域的数据立法供给了主要参考，对国际数据合规框架的演进发生了深远影响。1。 PR：PR是欧盟针对小我数据的焦点律例，它对欧盟境内的数据处置行为进行严酷规范，要求数据节制者取数据处置者正在收集、存储、处置小我数据时，必需获得数据从体的明白同意，并确保数据的通明性和平安性。PR为数据从体供给分歧且高程度的，保障数据从体的根基取，例如拜候、批改、删除、处置取可移植权等，并对违反数据的数据节制者和数据处置者实施沉罚。PR具有间接合用性，是欧盟境内现行小我数据的同一法则，无需列国的国内立法即可生效，对所有欧友邦合用。PR于2016年通过，并于2018年5月25日生效。2。 《法律指令》（Law Enforcement Directive，下称“LED”）：LED是取PR并行的特地性法令，特地合用于刑事犯罪防止、查询拜访、侦查、告状及执罚过程中的小我数据处置，次要针对、司法机构等法律部分。LED取PR的准绳类似，但LED针对法律范畴的特殊性和需要性设置了特定的法则和破例。LED于2016年通过并生效，取“间接合用”的PR分歧，它需要颠末欧友邦立法后才能正在内具体合用。3。 《欧洲议会取理事会第2018/1725号条例》：第2018/1725号条例了合用于欧盟机构、集体、办公室和其他机构处置小我数据的法则。该条例于2018年12月11日生效，并取PR及LED连结协调分歧。4。 《电子现私指令》（ePrivacy Directive）：电子现私指令特地规范电子通信范畴的现私，包罗通信内容保密、流量数据处置、垃圾邮件节制、Cookies利用等。该指令于2002年公布，后于2009年修订。2017年，欧盟委员会提出将指令升级为《电子现私条例》（ePrivacy Regulation），以更好地取PR协调，但正在2025年2月，欧盟委员会撤回该条例提案，来由是：条例的内容已无法适该当前的手艺成长和法令需求，而且，正在当前的和法令布景下，各好处相关方难以正在短期内告竣共识。5。 《数据管理法案》（Data Governance Act，下称“DGA”）：DGA努力于加强数据共享的可托度，完美数据畅通机制，提拔数据可用性，并消弭数据再操纵过程中面对的手艺妨碍。DGA既合用于小我数据，也合用于非小我数据。若涉及小我数据处置，则同时遵照PR的相关。此外，DGA还支撑正在健康、、能源、农业、交通、金融、制制业、公共办理及技术培训等沉点范畴，鞭策成立由私营公司取公共部分配合参取的欧盟配合数据空间。该法案于2022年6月23日正式生效，并颠末15个月过渡期后，于2023年9月起起头实施。6。 《数据法案》（Data Act）：该法案沉点关心联网产物生成的数据，明白付与用户拜候、利用和共享本身数据的，并制定了一系列保障数据共享公允性取平安性的办法，包罗贸易奥秘、防止合同、成立合理弥补取争议处理机制，以及鞭策数据处置办事供给商切换，提拔数据互操做性的效率。该法案于2023年12月发布，2024年1月生效，并于2025年9月12日起起头实施。7。 《人工智能法案》（EU AI Act）：人工智能法案是全球首个全面监管AI系统的律例，通过为人工智能开辟者和摆设者针对特定使用场景制定一套清晰的法则系统，管控AI模子的风险，推进欧盟开辟和使用平安可托的AI系统，保障根基、平安取伦理准绳的恪守。该法案于2024年7月12日正式公布，2024年8月1日生效，随后逐渐实施。以上法令和政策东西配合形成了欧盟严酷且系统的小我数据框架，既沉视根基保障，也兼顾数字经济和立异成长的需求。正在这一系统中，PR无疑是最具根本性和普遍影响力的法则，它不只是欧盟内部数据的焦点根据，更因其跨境合用条目而成为影响全球企业行为的环节法令。下文将沉点阐发PR对中国企业合规运营所提出的要求取挑和。正在欧盟层面，EDPB是PR的焦点监管机构，阐扬着环节感化。EDPB根据PR设立，其次要职责是协调数据机构（Data Protection Authority，下称“DPA”）的工做、发布通用指南、供给立法，以确保PR和LED正在整个欧盟范畴内获得分歧使用。EDPS是欧盟的监视机构，特地担任监视欧盟机构、机关和处事处正在处置小我数据时的合规环境，并担任查询拜访赞扬。EDPS通过供给合规指点来支撑其履行义务，并确保法则准确实施，具体监管办法包罗：查询拜访赞扬、答复欧盟机构征询以及开展数据审计。EDPS既担任对欧盟机构内部的数据处置行为进行监管，也正在立法和政策制定过程中供给征询看法。各个欧友邦都设有的DPA，担任本国范畴内的PR实施和监管。例如法国的国度消息取委员会（CNIL）、的数据委员会（DPC）等。PR付与DPA查询拜访、矫正、授权和等，其本能机能涵盖审查数据处置勾当、受理赞扬、进行案件查询拜访及实施惩罚。DPA通过一坐式合做机制，正在国度层面和跨境层面配合担任数据保的法律工做。对于无法告竣共识的跨境案件，EDPB可做出具有束缚力的决定。（1）数据节制者或处置者正在欧盟内设立机构所进行的小我数据处置勾当，无论该处置行为能否发生正在欧盟境内；（2）为欧盟内的数据从体供给商品或办事（非论能否要求数据从体领取对价）；或对数据从体正在联盟内发生的行为进行的小我数据处置行为（即便数据节制者或处置者未设立于欧盟内）；以及因而，PR不只合用于欧盟境内的所无数据节制者或处置者，还笼盖全球所有处置欧盟居平易近小我数据的数据节制者或处置者。例如，若中国企业正在中国境内处置欧盟的数据，只需其方针市场包罗欧盟，该企业也需恪守PR。PR域外合用的“方针指向”尺度注释空间大，几乎将所有取欧盟有任何联系的线上营业纳入管辖范畴，这种跨境效力确立了欧盟正在全球范畴内的“数据长臂管辖”，显著扩大了其正在全球范畴内的影响力。正在跨境案件的施行层面，PR通过一坐式机制和EDPB协调，提拔了跨境案件处置的效率，也确保了欧盟法令系统正在跨境场景下的同一合用。PR的合用对象涵盖所有处置小我数据的相关从体，此中，“数据节制者”是指能零丁或配合决定小我数据处置目标取体例的组织或小我；“数据处置者”则指代表节制者现实处置数据的组织或小我；“数据从体”则为可以或许通过姓名、识别码、正在线标识等特定标识符或其心理、遗传、经济、文化等一项或多类社会身份要素被间接或间接识此外天然人。PR的是“小我数据”，即任何已识别或可识此外数据从体相关的消息。颠末去识别化、加密或化名化后但可用于从头识别小我身份的数据仍属于“小我数据”，仍然属于欧盟PR束缚的范畴。已匿名化处置、无法识别小我身份的数据不被视为“小我数据”。同时，要实正实现匿名化，匿名化过程必需是不成逆的。数据处置是指对小我数据施行的任何操做。它包罗小我数据的收集、记实、组织、布局化、存储、调整或点窜、检索、查阅、利用，以及通过传输、或其他形式的公开、对齐或组合、、删除或。无论采用何种手艺处置数据，PR均对小我数据供给。（5）从管为防止、查询拜访、侦查或告状刑事犯罪或执事惩罚之目标进行的处置，包罗防备和防止公共平安。为确保正在收集或利用数据从体的小我数据时遭到，PR第二章了数据节制者或处置者正在处置小我数据时必需恪守的七项环节准绳：（2）目标准绳：为特定、明白、的目标而收集，且不得以取该等目标不相符的体例进一步处置；但为公共好处、科学或汗青研究目标或统计目标而进行的归档处置，不视为取初始目标不相符；（4）精确性准绳：小我数据该当是精确的且正在需要时连结更新；必需采纳一符合理办法，确保就处置目标而言不精确的小我数据得以及时删除或更正；（5）存储准绳：小我数据以可识别数据从体形式保留的时间不得跨越实现处置目标所必需的刻日；小我数据可耽误保留期的环境仅限于：为公共好处、科学或汗青研究目标或统计目标进行归档处置，且已采用PR要求的恰当手艺取组织办法以保障数据从体取；（6）完整性取保密性准绳：需采用恰当手艺或组织办法进行处置，确保小我数据的平安性，包罗防止未经授权或不法的处置以及不测丢失、或损坏；（1）知情权：数据从体有权正在其数据被收集或利用时，获得清晰、易懂且充实的消息，包罗数据节制者身份、数据处置目标、根本、保留刻日、布施路子等；（2）拜候权：数据从体有权向数据节制者申请确认其小我数据能否正正在被处置，并获得一份数据副本，以及相关处置环境申明（目标、类别、领受者、保留刻日、跨境传输环境等）；（4）删除权：正在以下景象下，数据从体可要求删除小我数据——处置目标已不复存正在、数据处置不法、数据从体撤回同意、或数据不再具备根本；（5）处置权：正在数据精确性存疑、处置违法但不单愿删除、或从意期间，数据从体可要求数据节制者暂停处置，仅限存储；（6）数据可移植权：数据从体有权以布局化、常用、机械可读的格局领受其供给给数据节制者的小我数据，并可要求间接转移给另一数据节制者；（7）否决权：数据从体有权随时否决基于“公共好处”或“合理好处”进行的数据处置，对其发生沉律或雷同影响的束缚。以下类别小我数据被PR认定为“数据”并享有特殊：种族或平易近族身世、概念、教或哲学、工会身份的数据，以及基因数据、用于独一识别天然人的生物识别数据、健康数据、涉及小我道糊口或性取向的数据。这些数据因涉及天然人焦点现私取根基，遭到较一般小我数据更为严酷的处置和要求。此外，PR将“取刑事及犯罪相关的数据”零丁列出，要求额外，仅正在机构或法令授权的前提下处置。PR的根基立场是处置该类别数据，除非满脚明白的破例景象。这种轨制设想表现了风险防控思，即对数据设定“更高的门槛”。按照PR第8条，儿童不满16周岁的，必需获得其具有父母监护义务的从体同意或授权，相关数据处置行为方为。针对儿童春秋的界定，PR第8条第2款对于年满13周岁的，国的法令能够降低春秋要求。《中华人平易近国小我消息保》（下称“PIPL”）是中国小我消息范畴的焦点立法。PR取PIPL正在立法取焦点轨制设想方面存正在诸多相通之处，但正在细化、同意尺度、跨境传输、合规轨制以及惩罚机制等方面仍存正在差别。PR对数据从体的也表现了其严酷性。PR明白付与小我拜候、删除、更正和数据可移植等（见上文4。2部门），并要求数据节制者正在数据从体提出请求后1个月内做出回应或者通知，保障数据从体可以或许切实控制其数据的利用环境。对数据节制者而言，这意味着必需成立完美的数据办理机制、手艺流程和处理方案，以满够数据从体的请求，不然将面对监管问责。PR通过“问责制准绳”将义务压实到数据节制者身上，数据节制者不只需要履行权利，还必需可以或许证明其合规行为。或缺乏脚够的合规记实，就可能触发数据机构的查询拜访取惩罚。比拟之下，PIPL同样付与小我拜候、更正、删除、复制和撤回同意等，但正在施行层面的细化不脚，例如对“数据可移植权”和“从动化决策否决权”并未提出具体的要求，也没有明白小我消息处置者的回应时限，仅要求其“及时处置”，正在实现的保障机制方面仍有完美空间。此外，PR其不间接合用于已故人员小我消息，但PIPL第49条明白：“天然人灭亡的，其近亲属为了本身的、合理好处，能够对死者的相关小我消息行使本章的查阅、复制、更正、删除等；死者生前还有放置的除外。” PIPL明白将死者小我消息纳入范畴，并供给了根基的行权径，表现了立法的前瞻性取中国特色。正在数据处置的根本中，PR对“同意”的认定尤为严酷。数据从体的“同意”指通过声明或明白确信的步履做出的、志愿的、具体的、知情的且明白的志愿暗示，数据从体通过该暗示同意取其相关的小我数据处置。数据节制者必需可以或许证明数据从体已赐与同意，不克不及通过事后勾选、默认设置或强制来获取。同时小我还具有随时撤回同意的，且撤回取赐与同意一样便利。这一同意机制大幅提拔了数据节制者的数据处置门槛，要求其正在通明奉告和现实选择权上做到充实保障，防止形式化授权或“同意”减弱数据从体的自从权。取PR雷同，PIPL同样强调“知情同意”准绳，并付与数据从体“撤回同意”的。但正在同意尺度的细化程度上，PIPL取PR存正在差别。例如PIPL没有明白预勾选或强制的条目，也未对撤回同意的便利性提出具体要求。这意味着正在实践中，小我消息处置者有更大的矫捷性和自从注释空间。PR的一大焦点特征正在于其对欧盟以外的数据传输实施严酷。第五章明白，小我数据只要正在“确保划一程度”的前提下才能被传输至第三国或国际组织。这一机制的方针是防止数据一旦流向第三国，就得到取欧盟境内不异程度的。欧盟委员会能够评估某一第三国或地域的法令框架和法律实践，若其被认定为供给了“根基等同”的数据程度，则答应小我数据流动。充实性决定无需额外合同或核准，换句话说，向相关国度的传输将被视为欧盟内部的数据传输。目前，阿根廷、日本、韩国、、英国等国已获得此认定。若是目标国尚未获得充实性认定，数据传输仍可进行，但数据节制者或处置者需通过额外的法令东西确保数据程度，例如：（a）尺度合同条目（Standard Contractual Clauses，下称“SCCs”）：由欧盟委员会制定的合同模板，为受PR束缚的数据节制者或处置者向不受PR束缚的数据节制者或处置者传输数据供给保障。2021年6月4日，欧盟委员会发布最新版本SCCs，后又制定《问答指南》，通过具体场景阐释条目合用要件，为采用SCCs供给实务。（b）具有束缚力的公司法则（Binding Corporate Rules，下称“BCRs”）：BCRs是正在欧盟成立的企业集团为向欧盟境输小我数据而制定并遵照的数据政策系统。此类法则须全面涵盖PR确立的通用数据准绳及可施行性，以确保跨境数据传输具备充实保障机制。企业必需向国DPA提交具有束缚力的BCRs，经核准后生效。（c）公共机构之间的和谈或行政放置：正在确保数据从体的不被减弱，而且可以或许获律布施的前提下，欧友邦及第三国的或公共机关之间签定的具有法令束缚力和可施行性的合做和谈，也可做为数据跨境传输的径之一。正在无充实性认定或恰当保障办法的环境下，PR答应正在特定破例环境下进行跨境传输，例如数据从体明白同意、履行合同所必需、出于严沉公共好处、法令请求或数据从体生命健康等。这些破例被视为“最初手段”，只能正在特殊且无限的环境下利用。欧盟数据跨境传输的径仅限于上述景象，对未能满脚这些要求的数据流动，监管机构能够间接裁定违规并实施高额惩罚。跨境传输机制不只要求数据节制者具备法令合规放置，还必需辅以手艺取组织办法（如匿名化和加密等），不然很容易成为高风险合规环节。取之比拟，PIPL也正在第38条中确立了跨境数据传输机制，包罗国度网信办组织的平安评估、尺度合同以及认证机制。PIPL的严酷性次要表现正在事前核准或存案的行政把关上，强调取数据从权。然而，因为PIPL的实践过程相对较短，其监管框架正在现阶段呈现出以行政审批为次要抓手的特点，目前中国正在跨境数据流动范畴尚未成立起成熟的国际互认机制，司法系统也尚需时间通过具体案例对法则合用性进行持续验证取调适。因而，PR的合规挑和不只源于其法则本身的复杂性，更正在于其基于大量判例而动态演进、要求企业持续应对的合规承担。PR正在特定环境下数据节制者必需录用DPO，特别当其焦点营业涉及大规模或数据处置时。DPO既可为内部人员，也可为外部参谋，其职责包罗监视合规、供给数据、培训员工以及做为企业取监管机构的次要沟通窗口。DPO应具备数据专业学问，并间接向高层报告请示，履职，不因履行使命受赏罚。PIPL第52条也了雷同要求！“处置小我消息达到国度网信部分数量的小我消息处置者”应指定小我消息担任人。其本能机能取PR中的DPO雷同，但触发前提恍惚，且职责及性要求不如PR明白。PR，当数据处置勾当可能对个利和形成高风险时，数据节制者必需事先开展DPIA。典型景象包罗：大规模、从动化画像、数据或刑事数据的普遍处置等。DPIA演讲需申明处置目标取需要性、评估风险，并提出缓解办法。若DPIA表白，数据处置勾当会带来高风险，则数据节制者必需事先征询和DPA。PIPL第55条同样要求正在特定场景下进行小我消息影响评估，例如处置小我消息、操纵小我消息进行从动化决策、向境外供给小我消息等。PIPL的要求取PR正在内容上类似，但区别正在于：PR将DPIA取DPA的监管互动慎密连系，而PIPL更强调小我消息处置者内部评估和书面记实，未设定“必需报批”的前置机制。这表白PR的DPIA正在外部监管联动方面更严酷，而PIPL正在自从办理上更矫捷。PR，“小我数据泄露”指点外或不法、丢失、、未经授权披露或拜候传输、存储或以其他体例处置的小我数据的平安缝隙。一旦发生小我数据泄露，数据节制者必需正在72小时内向DPA演讲，并正在需要时通知受影响的小我。演讲需包含泄露的性质、可能后果、联系人以及采纳的解救办法。若数据处置者发觉泄露，必需当即奉告数据节制者，由数据节制者决定能否。PIPL第57条，发生小我消息泄露、、丢失等景象时，应当即采纳解救办法，并向相关部分和数据从体演讲，但PIPL并未设定明白的时限，更多需要依赖于过后行政审查和小我消息处置者的束缚。PR第83条了行政惩罚机制，DPA可按照违规性质、严沉程度和持续时间等要素，决定罚款额度：（a）较轻惩罚（最高1000万欧元或企业全球年停业额2%）：例如未履行内部记实权利、未满脚儿童同意的前提、未演讲数据泄露等。（b）严沉惩罚（最高2000万欧元或企业全球年停业额4%）：例如违反数据处置根基准绳、缺乏处置根本、数据从体、不法跨境传输等。PR通过极具力的罚款轨制强化施行力。一旦违反，可能面对高达2000万欧元或其全球年度停业额4%的罚款，以更高者为准。例如，中国某企业海外子公司因违反欧盟数据传输，未能证明其向中国传输的欧盟用户数据能获得取欧盟划一的，且正在现私政策中未充实披露数据传输环境，于2025年被DPA罚款约5。3亿欧元，被责令阃在六个月内整改。这种取企业规模间接挂钩的赏罚体例使无论中小企业仍是跨国巨头，都无法通过“罚款成本化”来轻忽合规权利。同时，DPA还可发布整改令、暂停或数据处置勾当，使违规企业正在经济和营业层面均面对沉沉压力。PIPL第66条同样了峻厉的惩罚尺度，情节严沉的违法行为，不只违法所得，还处人平易近币五万万元以下或者上一年度停业额百分之五以下罚款，即最高5000万人平易近币或上一年度停业额的5%。从比例上看，PR取PIPL正在罚款上限都具有脚够威慑力。PIPL的上限以至更高，但鉴于PIPL仍处于实践的晚期阶段，相较于PR，具有国际影响力的超大额惩罚案例尚未普遍呈现。此外，除小我消息处置者外，PIPL出格强调对间接担任的从管人员和其他间接义务人员的小我义务，可对其进行人平易近币10万-100万元罚款，以至可能其正在必然刻日内担任董事、监事、高管和小我消息担任人。中国企业正在进入欧盟市场前，该当将数据合规纳入计谋焦点，而不只仅视做法令风险办理的一环。起首，应全面梳理识别数据收集、存储取传输径，并确认每一环节的根本。其次，应针对跨境传输问题优先选择SCCs或其他欧盟承认的机制，避免依赖已被废止或否认的机制。再次，正在组织架构层面，设立欧盟实体以合用一坐式监管机制，并正在需要时录用及格的数据官，构成内部监视取外部沟通的桥梁。最初，企业应通过通明现私政策、完美的请求响应机制以及供应链合规审计，提拔全体合规成熟度。唯有如斯，企业才能无效降低因违规而发生的高额罚款、市场准入妨碍取声誉风险。PR做为欧盟数据系统的焦点，不只塑制了欧盟内部的同一尺度，也通过域外合用取跨境监管机制影响了全球数据管理的款式。对于中国企业而言，恪守PR不该仅被视为消沉的合规权利，而应被理解为博得市场信赖取塑制持久合作劣势的积极计谋。跟着全球数字经济的加快演进，企业可否正在合规取立异之间实现动态均衡，将正在很大程度上决定其正在国际市场的可持续地位取话语权。正在这一过程中，经验丰硕的律师团队可以或许帮帮企业精确解读监管要求、设想切实可行的合规方案，并正在风险防控取贸易方针之间实现最佳均衡，从而让合规成为企业全球化计谋的焦点合作力之一。大成律师事务所严酷恪守对客户的消息权利，本篇所涉客户项目内容均取自息或取得客户同意。全文内容、概念仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法令看法或。如需转载或援用该文章的任何内容，请私信沟通授权事宜，并于转载时正在文章开首处说明来历。未经授权，不得转载或利用该等文章中的任何内容。郭玉兰：企业并购过程中的数据平安考量 - 走正在“合规”之前（三）并采办卖文件草拟中的数据平安规划郭玉兰：企业并购过程中的数据平安考量 - 走正在“合规”之前（二）并采办卖中数据合规尽职查询拜访的环节问题郭玉兰等：“健康医疗数据合规”那些事儿系列之四 - 互联网医疗企业若何合规地对小我健康医疗数据进行跨境传输郭玉兰等：“健康医疗数据合规”那些事儿系列之二 - 互联网医疗企业若何合规存储和境内共享小我健康医疗数据郭玉兰等：“健康医疗数据合规”那些事儿：疫情当前，企业若何合规收集并处置员工防疫相关的小我数据郭玉兰等：“健康医疗数据合规”那些事儿 - 系列之一：互联网医疗企业若何合规收集健康医疗数据。