概要:2018年5月生效的欧盟《通用数据保护条例》(“GDPR”),将个人数据保护提到前所未有的高度,为信息的收集、管理和利用划出明确红线。GDPR之下,违规企业最高可能面临全球营业额4%的重罚。除罚款之外,其管辖范围广及几乎任何一家与欧盟有相关贸易往来的数字经济企业。
中国新能源与智能网联汽车行业在不断做大国内市场的同时,部分具有全球战略的企业已经将视野放到海外。对于任何进军欧盟市场的企业而言,GDPR都是绕不过的合规门槛。在数据收集、使用、传输、出境、保存、删除等各个环节,企业应当如何制定面向用户的隐私政策、cookie政策;如何合法、合规的利用数据并发挥价值;如何安全的向第三方传输和向境外提供;如何制定妥善的保存与删除制度等等,均是中国造车新势力出海征途中,需要逐个“搞定”的问题。本文将结合法律与合规实践进行分析。
X汽车公司正在筹建出海事业部,将旗下产品销往欧洲,内部代号颇为雄心壮志——“成吉思汗计划”。作为中国造车新势力的第一梯队,X汽车目标在两年内,向欧洲销售过万辆主打新能源车型,并将X-auto智能车联网系统覆盖若干主要欧洲国家。在出口、销售车辆的同时,X汽车计划将第一家X-hub落地丹麦的哥本哈根,在欧洲配备包括售后无忧、一键加电、智慧导航等系列服务。
所谓厚积薄发,X汽车的资深合规经理李先生,全程参与出海事业部的战略制定与组建,深得管理层信任,即将上马该事业部的合规总监一职,直接向公司GC汇报。李先生近日忙碌于无数个ZOOM、Teams视频与电话会议,和当地的研发、销售、运营、IT等事业部创始团队忙得不亦乐乎。在一次合规系统的中高层会议中,公司GC和李先生提到了《通用数据保护条例》(GDPR)的合规工作,他们都认为要趁早谋划,以配合业务线的发展。
李先生对中国法下的数据保护问题,不可谓专家,却也是熟门熟路,但GDPR的合规经验尚比较有限。记得前日在朋友圈中,看到老友K律师团队的公众号又发了篇GDPR的文章,想到可以找他聊一聊……
周四晚上7点55,愚园路Stone Brewing精酿餐厅,一处安静的卡座……
一、“逃不开”的GDPR适用范围
李先生:老K,我们出海事业部已经在丹麦设立了公司实体,负责欧洲业务的实际运营,包括汽车进口、销售、客户服务等;但车联网这块业务,短期内还是主要由中国境内总部进行运维。因为车联网涉及大量的个人数据处理,那么是否境内总部与欧洲公司都要考虑GDPR的合规问题呢?
K律师:哈哈,看来你真的十分善于用“合规思维”考虑问题了!没错,对于出海的中国企业来说,判断境外法律在多大程度上适用于公司,是开展内部合规工作的重要起点。
首先,就X汽车在欧盟境内设立的实体,即X汽车的丹麦公司,GDPR第3(1)条明确规定,欧盟内部设立的实体的数据处理活动,应适用GDPR;并且,无论该数据处理行为是否实际发生在欧盟境内。这意味着,即使你们把各类数据传回中国进行处理,这家丹麦公司仍然“逃不开”GDPR的适用范围。
其次,也是更重要的一点:如果你们将数据传回中国处理、分析,这很有可能触发GDPR第3(2)条——即所谓的“长臂管辖”的适用,也即X汽车的中国总部很可能因构成“(a)为欧盟内的数据主体提供商品或服务”或“(b)对欧洲范围内的数据主体的活动进行监控”,而同样受到GDPR的规制。
李先生:等等,我想想……实际上我们确实也有在欧盟设立服务器与数据中心的计划,如果我们能做到不把数据传回中国处理,中国总部的GDPR风险可以被完全隔离吗?
K律师:好问题!这一点极其具有实践意义。不把数据传回中国,确实可以避免前述(b)项中的因监控(monitor)欧洲车主而引发的适用问题。但仍有两点需要考虑:
一是用户在使用车联网时,如果直接面向中国总部,例如用户协议(Terms and Conditions)的主体为中国公司,则境内总部可能构成向欧盟内的数据主体提供服务(即第3(2)条(a));
二是如果欧洲业务的数据处理决策(即基于何种目的、收集哪些数据)主要由总部作出,那么丹麦公司可能被认为是中国总部的“延伸”,从而导致并非位于欧盟境内的中国公司,被认为是“间接”地设立于欧盟境内,故仍可能触发前述第3(1)条的适用。这方面的合规风险极为隐蔽,常常不易为出海的中国企业所察觉。
二、合规起跑线:隐私政策
李先生:看来GDPR成为我们出海业务绕不开的一道“坎”了!那为了帮助业务尽快落地,有没有什么捷径或重点工作,需要我们prioritize的呢?我们没搞过系统的GDPR合规,但我隐约感到这将是个巨大的系统工程。
K律师:你的判断确实没错。GDPR的合规工作千头万绪,对于不同的行业、企业规模、商业模式,没有一套四海皆准的完美模板。对于造车新势力的出海场景,我建议可以将隐私政策与cookie政策等直面用户的文件,作为合规工作的起点。
在经过近两年轰轰烈烈的多轮App评审后,隐私政策对很多企业而言,早已不再陌生。但理解GDPR语境下的隐私政策,则需要转换一下思维。举以下三点中国企业法务在思路转换中常见的问题为例。
透明性义务:GDPR要求企业处理个人数据,应当满足充分的“透明性义务”(transparency),其实现途径就是通过隐私政策,以明白易懂的方式,向用户披露企业收集、使用数据的情况。这个“明白易懂”的要求看似简单,实则颇为不易。这要求企业充分了解内部的数据处理活动,进行归纳、总结,化繁为简地呈现在隐私政策中。在GDPR之下,内容过分复杂、长篇大论的隐私政策,则可能因不够“透明”而受到处罚,2019年初谷歌领受法国的5000万欧元罚单即是一例。
同意or知晓:在中国的合规实践中,隐私政策的主要功能之一,便是通过告知收集、使用数据的方式与目的,取得用户的同意,例如通过点击、勾选等操作。恰恰相反,GDPR赋予数据主体随时撤回同意的权利。这意味着如果企业通过用户点击取得了同意,用户一旦撤回同意,企业将陷入无法继续合法处理数据的困境。因此,普遍的GDPR合规实践是,企业仅公示隐私政策,或让用户确认“已阅读/知晓”(acknowledge),而避免要求用户作出同意(consent/agree)。
多元合法性基础:如果企业不依赖于同意而处理数据——这合法吗?与中国现行法律以同意作为主要的合法性基础不同,GDPR第6条还提供了其他基础,例如:为履行合同之必要;为履行法定义务所必需;为实现控制者或第三方的合法利益(legitimate interests),等等。对于出海车企,如果处理用户数据是为了履行汽车买卖、车联网服务等合同要求,则可以“履行合同之必要”作为合法性基础;如果处理数据为了提供售后客服、车辆安全监测等服务,企业亦可考虑以“实现自身的合法利益”作为基础——在此情况下,收集、使用这些数据便不再需要取得同意。
李先生:想不到GDPR下的规制方式,和国内的操作有如此大的不同,这真是相当不同的mindset。
K律师:是的。GDPR虽被称为“史上最严数据保护法”,但以合法性基础为例,实际上给企业合规留下的操作空间很灵活、多元。
三、Cookie政策与弹窗
李先生:除了隐私政策,你刚才还提到cookie政策,我们的网站和App如果希望尽快启动运营,这个cookie政策有什么注意事项吗?我倒确实有印象,每次上国外的网站,总能看到个cookie弹窗,我们想必也要做吧?
K律师:Cookie政策和cookie弹窗是两回事,但通常都针对网站端;App端也有类似的第三方小插件,例如SDK(软件开发包)。Cookie是GDPR(以及其他电子隐私保护方面的欧盟法)的合规重点之一,就我对你们业务场景的了解,至少要注意两点……
区分必要与非必要cookie:作为智能汽车企业,你们的网站除了产品信息展示、试驾预约,可能还少不了配件订购、广告发布等功能。由于cookie能够记录网页用户的操作与偏好,提升用户体验,以及实现精准广告投放,业务同事必然希望能够部署此类cookie。
但从欧盟数据合规的角度,大部分这些cookie都是“非必要的”——即并非实现网页访问的基本功能所必需,因此需要取得用户的同意才能启用。相反,只有少数的严格必要的cookie,才可在无需用户同意的情况下启用。Cookie政策的功能,就是公示企业使用的各种不同类别的cookie,以及数据收集种类与目的。
通过cookie弹窗取得同意:类似于隐私政策,实践中一般不建议寻求用户对cookie政策本身的同意,而通过另一种弹窗(cookie banner)的方式来进行。基于cookie政策内对cookie的分类方式,弹窗内通常需就不同种类的非必要cookie进行逐一列举,并逐个提供同意的按钮(避免“打包”同意),从而取得用户的有效同意。此外,企业还可以考虑将弹窗链接至一个cookie偏好中心的单独页面,以供用户随时调整、更改所作出的同意。
四、数据使用:直接营销
李先生:一个小小的cookie工具,居然能搞出这么多文章,欧洲人真是够可以的(苦笑表情)。
K律师: 哈哈!这正体现出欧盟立法者对保障个人自由与权利的重视,他们认为cookie虽小,但对隐私的侵入和自由的威胁,却可能十分巨大。
李先生:那么在这些面向用户的政策、弹窗之外,GDPR还有哪些需要重点关注的合规点呢?
K律师:虽然你们是汽车制造业,但也是扎根于互联网的智能产业,营销与市场想必是业务部门十分关注的话题,那我们就来说说直接营销的问题。
电子营销需同意:GDPR第21条要求,个人数据主体对直接营销行为,应当拥有拒绝,即“选择退出”(opt-out)的权利;也就是说,企业可以无需取得同意,而依赖于其他合法性基础,如自身合法利益,进行直接营销。但是,对车联网运营者而言,大量的直接营销基于网络环境,即属于电子营销(e-marketing),因此还须符合欧盟《电子隐私指令》(ePrivacy Directive)的要求,即通过网络进行的直接营销,需要取得用户的同意。换言之,应当允许用户“选择加入”(opt-in)。
替代方案soft opt-in:在《电子隐私指令》下,基于同意进行的直接电子营销有一个特殊的例外情形,即“软性选择加入”(soft opt-in)。它是指,对已经是企业客户的个人,或在销售或洽谈过程中收集到其信息的个人,进行电子营销(例如通过电子邮件/短信等)无须征得其同意。但是,soft opt-in必须满足以下条件:
直接营销的对象是企业的既有客户,或在销售或销售谈判过程中获得其联系方式的个人(如已经预约试驾的潜在车主);个人在每一次收到营销通讯时,均有权选择退出营销;并且营销只涉及同类产品和服务(例如未经同意不得向车主发送奶粉的广告——奶粉与汽车显然不同类)。
李先生:听你这么说,我算是明白了,为什么我收到的很多广告邮件中,都有一个显著的“Unsubscribe”按钮了。
K律师:正是此理。
五、风险管理工具:DPIA
李先生:如果电子营销都需要取得同意,那么基于用户画像的营销或者分析,包括使用AI技术、自动化决策,是不是还有更加严格的法律要求?
K律师:是的。这就不得不提到GDPR合规工作的另一个重要工具——数据保护影响评估(Data Protection Impact Assessment, “DPIA”)了。
李先生:DPIA?
K律师:是的,我简要解释一下它的好处和必要性。
为什么要做DPIA:DPIA是一个旨在帮助企业系统地分析、识别和最小化数据保护风险的过程;同时是在GDPR下履行问责(accountability)义务的关键部分,如果实施恰当,有助于证明企业的合规性。企业进行DPIA并不意味着能消除所有风险,却可以在一定程度上帮助企业最小化风险,以及确定特定情况下的风险是否可接受,同时可兼顾到企业希望实现的商业目的。
什么时候要做DPIA:根据GDPR第35(3)条的规定,数据处理涉及以下情况需要企业进行DPIA:
基于自动化处理(包括画像)对个人信息进行系统且广泛的评估,并且这种评估会对个人产生重大影响或具有法律效力;
大规模使用特殊类别的数据或刑事定罪数据;或
大规模系统性地监视公共区域。
对具有辅助驾驶、外部监控、娱乐互动等功能的网联汽车而言,不仅可能涉及用户画像/自动化处理,还可能存在大规模地使用特殊类别的数据(例如健康数据、生物识别数据等个人敏感数据),乃至监控公共区域(例如外部车载监视系统)的情况,因此有必要进行DPIA。此外,即使处理的信息不涉及以上任何内容,企业也可以在其认为必要的情况下,自愿实施DPIA。
六、数据主体权利保障
李先生:我可不可以理解为,对于可能给个人权利造成重大影响的处理活动,都要考虑做DPIA?
K律师:没错!你的这个理解,几乎是GDPR的原文了:运用新技术进行数据处理……可能对自然人的权利和自由产生较高风险。你看,保障个人的权利和自由这一目的,再一次被强调。
李先生:既然说到个人权利,我记得GDPR似乎对个人权利有极其细化的规定,我们应该注意什么呢?
K律师:那要先从个人有哪些权利说起。
个人有哪些权利:GDPR赋予个人对其数据的八大权利,包括知情、访问、更正、删除、限制处理、携带、反对和关于自动化决策(包括画像)的权利。行使权利的主体,不仅包括车主/用户,还有雇员、承包商、合作伙伴等各类数据主体。对于权利意识较高的欧洲人,个人权利还可以成为“武器”,即利用权利来对抗企业的处理活动,支持相关的客户投诉或诉讼;对出海的中国企业来说,需要特别警惕。
如何应对个人行权:企业应制定处理个人权利请求的内部规则和政策,避免因数据主体行权和索赔引起的风险,这意味着要迅速对行权请求作出反应,即通常应在1个月内答复数据主体;在请求事项较为复杂或同一主体提出的请求数量较多时,答复期限可以延长2个月。
勿以事小而不为:出海的中国企业,通常不乏宏大的战略智慧,而GDPR的合规工作则需要更多关注细节和“小事”。在保障用户行权的问题上,无论用户通过邮件、电话或书面方式提出请求,也不论其用的是正式的法律表述,还是“请删掉我的信息”这样的简单要求,有关部门和员工都应当能识别出,这具有个人权利请求的本质,进而应根据内部规则提请DPO/合规部处理,并在法定期限内答复。
七、数据流动与跨境传输
李先生:看来我们出海业务,面临的挑战还多得很,落实行权保障机制这方面,恐怕我们内部还有好多制度性工作要做了。不过讲到内部制度,我们丹麦的欧洲区公司,和欧盟境内外的业务伙伴、中国总部之间,有大量的数据流动。要解决这方面的合规性问题,仅仅依靠内部制度就足够了吗?
K律师:那恐怕不行,数据流动与跨境的问题,对于进军欧洲的中国企业,通常是一项巨大的挑战。不过我得解释两个概念……
共享与委托处理:GDPR下有数据“控制者”(controller)与“处理者”(processor)之分,其中控制者承担着主要的数据保护义务;当然,风险与收益总成正比,控制者对数据有更广泛的使用权,而不必像处理者一样,仅能够在控制者委托的范围内使用数据。因此,基于控制者向控制者、控制者向处理者这两类传输场景,作为控制者的企业应当与对方分别签署数据共享协议(data sharing agreement)或数据处理协议(data processing agreement)。
在数据共享协议中,双方应当就共享目的、各方角色、共同控制(如有)、数据泄露通知、安全措施、权利请求处理、违约责任、争议解决等事项进行约定;在数据处理协议中,双方应就数据处理目的、范围限制、安全措施、控制者的审计权、通知与协助义务、限制出境等事项作出约定。
如果共享与委托处理的相对方,是集团外的第三方企业,我们还建议在签署协议前对其进行数据保护尽职调查(due diligence),以了解其安全能力,降低合作风险。
跨境传输:在欧盟境内,个人数据的跨成员国流动不受限制。但将数据传出欧盟,则需要分情况讨论。首先,如果接收方为欧盟“充分性保护”认定名单中的12个国家/地区,则被视为得到与欧盟法律同等的数据保护水平,即不需要采取额外措施,不过中国并不在其中;如果并非该名单内的国家/地区,企业可以选择前述标准合同条款(standard contractual clauses, SCCs)、约束性公司准则(binding corporate rules, BCRs)或数据保护认证(certification)等方式。
出于合规成本的考虑,大多中国出海企业采取的是签署SCCs的方式。基于欧委会发布的SCCs模板,企业可以选择单独与境外接收方进行签署,或作为多方跨境共享数据主协议的参与方,具体的落地方式有多种选择。
八、储存期限与删除
李先生:这么说来,如果中国能进入“充分性保护”认定名单,那我们搞出海业务的,岂不就乘风破浪了?
K律师:哈哈,那是肯定!促进数据流通有利于经济发展,是很多国家的共识,希望你说的这一天早日到来吧。
李先生:我现在感觉,数据资产虽有价值,但用好这些资产,也要pay a price。
K律师:是的,而且数据资产的利用还有个特殊点,就是它并非存的越多、越久越好。至少从风险控制的角度,储存时间不仅受到法律的规制,长期储存还会增加数据泄露的可能。
李先生:你具体说说看?
储存期限的限制:GDPR第5(e)条明确了数据储存期限不得超过实现收集目的之必要的时间,即储存期限最短必要原则(storage limitation),结合GDPR第17条下的删除权(被遗忘权),构成了对数据生命周期中、后阶段的规制基础。
但GDPR本身并未对不同类别或目的的数据保存期限,作出具体规定。合规实践中,这是一个需要考虑诸多因素的复杂问题,例如:如何基于处理目的确定合理的保存期限,其他法律对保存期限是否有特殊要求(例如税收、公共安全等),不同主体的数据(如车主、求职者/员工、合作伙伴等)是否应适用不同期限,如何处理欧盟成员国之间的法律冲突,等等。
删除与匿名化:GDPR语境下的“删除”,是通过不可逆的方式删除、清理或编辑数据,使其中包含的个人数据无法使用,或完全匿名化(anonymization)。这一点看似简单,却对很多出海的中国企业来说尤为不易。一方面,中国公司倾向于尽可能多、尽可能长久地保存数据,以充分发挥和挖掘数据价值;另一方面,部分企业的信息安全工作存在疏漏,仅将数据做“冷冻”处理、设置较高权限或“删除+备份”,即认为实现了删除效果。但实际上,这种可逆、不彻底的方式,无法达到GDPR的删除要求。
李先生:明白了!说到这里,我怎么感觉你已经把数据收集、使用、传输、保存、删除这整个流程,都帮我过了一遍?
K律师:要不怎么说优秀的客户让律师成长呢,我的整个思路都被你看穿了。
李先生:哈哈!非常感谢,虽然这GDPR合规还没开始搞,但我感觉已经有了个蓝图,多亏了你这全面又生动的解释。诶?你是不是搞过很多类似的项目啊?
K律师:这个嘛……要不我们续杯啤酒再接着聊?
李先生:我都没注意到早就空杯了,好的——服务员!
……