Home » Articles » 《欧盟数据保护条例》对中国企业的影响 —- 以阿里巴巴集团为例

《欧盟数据保护条例》对中国企业的影响 —- 以阿里巴巴集团为例

《欧盟数据保护条例》 (General Data Protection Regulation) 将于2018年5月25日生效。该条例将取代《欧盟数据保护指令》(Directive 95/46/EC),旨在统一各欧盟成员国的数据保护立法,加大欧盟数据保护力度以顺应大数据时代下对个人隐私和个人信息保护的需求。[1]《欧盟数据保护条例》的颁布对开拓欧盟市场的中国企业来说影响不容小觑。以阿里巴巴集团为例,阿里巴巴通过其旗下的全球速卖通在线交易平台(AliExpress)在欧盟市场上收集了大量的电子信息,并进一步将信息传输到其旗下其他业务平台以满足实现交易、进行市场营销等需求。如果对此类电子信息的收集、流转和使用触碰到了《欧盟数据保护条例》的红线,阿里巴巴集团将面临法律上、经济上和商誉上的挑战。

《欧盟数据保护条例》对欧盟居民个人信息的保护标准严、保护水平高,其特点包括:

  • 法律适用范围广

依《欧盟数据保护条例》第三条第一款规定, 只要数据控制人或数据使用人在欧盟境内设有办公地点,且对个人信息的收集和使用属于该机构的业务活动范围,无论收集和使用行为是否发生在欧盟境内,该数据控制人或数据使用人都应遵守《欧盟数据保护条例》。对办公地点应做广义理解,只要有效地、实际地收集和使用了个人信息,只有一个工作人员的中国驻欧办公室便足以构成办公地点。[2]

除此之外,该条第二款规定在两种特殊情形下,只要数据控制人或使用人收集或使用了欧盟境内数据主体的个人信息,即使其并未在欧盟境内设有办公地点也要遵守《欧盟数据保护条例》。这两种特殊情形包括:一、向欧盟境内数据主体提供商品或服务,无论有偿无偿;二、监控数据主体在欧盟境内的行为。该条规定是本次欧盟数据保护立法改革的亮点之一,对进军欧盟的中国企业,特别是互联网企业来说意义重大。以阿里巴巴集团全球速卖通为例,只需证明欧盟是其目标市场,或证明其通过Cookie(网站为辨别用户身份而储存在用户本地终端上的数据[3] )或其他方式记录、监控用户在欧盟境内的线上浏览活动,便足以适用《欧盟数据保护条例》。

  • 个人信息概念宽泛

《欧盟数据保护条例》第四条规定,已经或者能够通过直接或间接的方式识别自然人的信息为个人信息。该条例对个人信息进行了宽泛地解释。以全球速卖通为例,不仅用户提供的交易信息如银行账号、地址和联系方式等属于个人信息,某些网络数据也可以被认定为个人信息,例如IP地址和设备标识符。在判定某一数据是否能够识别自然人时,要将合理范围内所有可以采用的技术、非技术手段,以及该数据和数据控制人或使用人持有的其他信息之间的关系等因素都考虑进去。对于特殊类别的个人信息,比如遗传数据和生物特征数据,《欧盟数据保护条例》规定了更严格的保护措施。

  • 数据控制人(data controller)或数据使用人(data processor)法律义务重

《欧盟数据保护条例》为个人信息的收集和使用规定了合法、公平和透明原则、目的限制原则、数据最少化原则、准确性原则、存储限制原则、完整和保密原则以及责任原则。并赋予数据主体包括获取信息权、修正错误信息权、信息移动权、遗忘权、限制信息使用权、限制程序分析权等在内的多项权利。数据控制人或数据使用人有义务遵守各项原则并保证数据主体实现相应的权利。此外,数据控制人或数据使用人还要积极采取技术措施、进行隐私影响评估、指定数据保护联络人、遵守个人信息泄露后的通知义务,从技术上和管理上降低隐私侵权风险及隐私侵权给数据主体带来的损害。

  • 惩罚力度大

监管机构可自行决定或经由数据主体投诉决定对数据控制人或使用人进行调查,并依具体情况决定是否进行行政罚款及罚款数额。《欧盟数据保护条例》第八十三条对不同的违法行为设定了不同的罚款标准。例如,对未采取技术或管理措施来避免、降低隐私侵权损害的数据控制人或使用人,最高可处以10,000,000欧元或全球营业额的2%(以较高者为准)作为罚款。对违反个人信息收集和使用的基本原则以及没有保障数据主体权利的数据控制人或使用人,最高可处以20,000,000欧元或全球营业额的4%(以较高者为准)作为罚款。除监管机构外,数据主体还可寻求司法救济并有权获得赔偿。

为更好地开拓欧盟市场、赢得欧盟用户的信任,包括阿里巴巴集团在内的中国企业应及时审视现有商业操作,确定其是否落入《欧盟数据保护条例》的法律适用范围以及所处理的数据是否构成条例所界定的个人信息。对个人信息收集和使用原则的遵守、数据主体权利的保障以及自身义务的履行可以树立起中国企业尊重用户隐私的商业信誉,避免因违法行为带来的经济损失。

作者: 常冉 (Ran Chang ) 荷兰莱顿大学LLM,世赫律师事务所律师

 

[1] GDPR Portal, see http://www.eugdpr.org/

[2] Article 29 Data Protection Working Party, Opinion 8/2010 on applicable law, Adopted on 16 December 2010, at page 11.

[3] Cookie, 维基百科, https://zh.wikipedia.org/wiki/Cookie