浅析GDPR对中国企业海外运营的影响及应对-通力律师事务所.PDFVIP

公司及并购法律评述 20 18 年5 月 浅析GDPR 对中国企业海外运营的影响及应对 作者: 潘永建 |李天航 欧盟《通用数据保护条例》(General Data Protection Regulation, 以下 称“GDPR ”) 已于2016 年4 月由欧洲议会和欧盟理事会通过, 2018 年5 月25 日起正式实施。GDPR 不仅对欧盟的自然人、法人、非法 人组织产生重大影响, 效力也将覆盖至欧盟以外。这将对中国企业 走出去, 尤其是向欧洲发展带来重大影响。本文将从中国企业的视 角分析GDPR 对企业的影响, 并提出相应对策。 上 GDPR 概述 自欧洲议会和欧盟理事会1995 年10 月24 日颁布《关于涉及个人数 据处理的个人保护以及此类数据自由流动的指令》( 以下简称“95 如您需要了解我们的出版物, 请与下列人员联系: 指令”) 以来, 欧盟出台了一系列规章、指令、公约、条约等对个人 数据保护的规定。但95 指令作为保护个人数据的最低标准, 仍需欧 郭建良: (86 21) 3135 8756 Publication@ 盟成员国通过国内立法予以实现。同时, 随着互联网技术的发展, 云 通力律师事务所 计算、大数据、移动互联、智能终端等新形态、新业态的出现, 使 1 浅析GDPR 对中国企业海外运营的影响及应对 得95 指令难以应对当前社会对个人数据保护的需求。2012 年 1 月25 日欧盟委员会通过更新后的数据保 护法规的初步建议, 启动了GDPR 的立法程序; 2014 年3 月12 日欧洲议会通过了GDPR 的首次审读; 2015 年6 月15 日欧盟理事会通过首次审读的版本。至此, GDPR 进入最后立法阶段, 即欧洲议会、部长理事会 和欧盟委员会之间的“三方会谈” 。经过多轮三方会谈, GDPR 最终于2016 年4 月8 日和4 月16 日由欧盟 理事会和欧洲议会通过。 GDPR 作为欧盟的条例, 将直接约束欧盟境内的自然人、法人、非法人组织, 无需通过欧盟成员国的立法 予以转化。限于篇幅的原因, 本文仅就与自然人、法人、非法人组织的权利义务相关的内容作简要介绍。 一. 宗旨及保护对象 1. 宗旨: 个人数据的保护与自由流动的平衡 GDPR 开宗明义, 旨在保护自然人的权利和自由, 尤其是自然人的个人数据保护权, 但又明确不 得以保护个人数据为由限制个人数据在欧盟内部的自由流动。由此可见, GDPR 试图在个人数据 的保护与在欧盟区域内自由流动之间寻找平衡点。 2. 保护对象: 个人数据 GDPR 对个人数据的定义为: 指任何指向一个已识别或可识别的自然人(“数据主体”) 的信息。该 可识别的自然人能够被直接或间接地识别, 尤其是通过参照诸如姓名、身份证号码、定位数据、 在线身份识别这类标识, 或者是通过参照针对该自然人一个或多个, 如物理、生理、遗传、心理、 经济、文化或社会身份的要素。 “可识别性”是前述受保护个人数