GDPR适用的注意要点-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

（一）基础框架

2016年4月27日获得欧盟议会与欧盟理事会的通过，并于2018年5月25日执行。GDPR堪称史上最严格的数据保护法案，任何违反GDPR的行为，将会遭致1000万到2000万欧元的罚款，或企业全球年营业额的2%到4%的罚款，以两者中数额最大的为准。此外，GDPR属地兼属人的管辖机制使很多出海车企都被纳入管辖范围之中。

（二）组织架构（DPO）

任命数据保护官的法律义务的决定性因素不是公司的规模，而是数据处理，特别是有关于个人敏感信息是否达到了三个关键词：大规模，经常性，系统性。数字化转型网www.szhzxw.cn

具体来说，“大规模”的判断标准有：有关的数据主体的数量（具体数量或比例）；数据量和/或正在处理的不同数据；数据处理活动的持续时间；处理活动的地理范围。“经常性”的判断标准有：持续的或在特定时期内以特定间隔发生的，反复出现或在固定时间内重复出现，或不断地或定期地发生。“系统性”的判断标准有：根据一个系统发生的；预先安排的、有组织的或有方法的；作为数据收集总体计划的一部分而进行的；作为战略的一部分进行的。对于智能汽车，业内公认其属于“系统性”和“经常性”的涵盖范围，所以DPO建设和车企关联度较高。除了关注欧盟GDPR的规定，还应关注欧盟成员国的法律要求，其往往起到加成作用。车企在出海过程中，应充分了解目标国家市场有无特殊规定。

（三）人脸识别信息收集

我国和欧盟均对人脸识别信息收集要求进行了相应规定。

1.国内规定

我国建立了人脸识别信息收集处理的精度范围适用原则要求。《汽车数据安全管理若干规定（试行）》第六条规定“汽车数据处理者在开展汽车数据处理活动时需根据所提供服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。”《信息安全技术网联汽车采集数据的安全要求（草案）》对“精度范围适用原则”提出了细化规定，提出除清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据外的数据，未经被收集者的单独同意，不得通过网络、物理接口向车外传输。

在技术处理要求方面：《汽车数据安全管理若干规定（试行）》第八条允许个人信息处理者为保证行车安全的需要，在缺少个人明示同意的情况下采集车外人脸信息，但是要求个人信息处理者应以“删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理”等方式对信息进行匿名化处理。《智能网联汽车数据通用要求（征求意见稿）》第5.6.2条也在人脸匿名化对象、匿名化处理性能等方面对匿名化处理的要求进行了细化规定。数字化转型网www.szhzxw.cn

2.欧盟规定

GDPR第9条规定，生物特征数据属于个人数据的“特殊类别”，除非涉及公共利益等重要事件，不得处理该等数据。人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”，而且同意须“自愿作出的、具体的、知情的以及明确的”。

《人工智能法案》将人脸识别等远距离生物识别系统认定为“高风险”级别。

《关于个人数据自动处理过程中的个人保护公约》（The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）咨询委员会在2021年发布了一份《关于人脸识别的指南》，要求使用人脸识别技术前必须进行DPIA，针对立法者与决策者、人脸识别技术的开发商、制造商及服务提供商、使用人脸识别技术的实体等角度分别提供了相应的合规措施参考建议。

（四）数据处理要求的应用

1.合法基础的适用：正当利益原则

该条规定专指商业机构追求其商业利益的情形。例如“对于客户或雇员数据的使用”、“推广营销”、“欺诈防护”、“集团内部数据转移”、“IT安全”等。在适用过程中，需要谨慎分析，平衡考量。如果商业利益的追求侵犯了数据主体更值得保护的权利（例如：处理敏感个人数据或数据主体是儿童时），商业机构就应作出让步。数字化转型网www.szhzxw.cn

案例：Google Spain一案中，Google认为其收集和处理个人数据用于搜索引擎业务，属于追求正当利益所必需。法院在考虑运营商的正当利益与使用者的权利平衡时认为，虽然未经告知同意收集这些数据，侵犯了被收集人的隐私权，运营商的商业利益不应凌驾于被收集人隐私权之上，但公众使用搜索引擎获取信息也是一种正当利益。公众与运营商的正当利益之和应高于被收集人一般的隐私权。但是，对于个人敏感数据的处理，这一平衡就会被打破，需要经过数据主体的知情同意。

2.匿名化处理的要求

我国的匿名化侧重于“不能恢复的不可识别”，而欧盟的匿名化侧重于“合理可能的不可识别”。相比较而言欧盟的合理可能（reasonably likely）原则考量要更加复杂一些，除技术要素外，还要要综合考虑成本、时间等因素，意即数据控制者或其他人采用了所有合理可能的方法，仍无法直接或间接识别数据主体。

3.数据跨境

案例：Schrems II案的判决反射，即使使用SCC等适当的保护措施，组织也应始终评估第三国的数据接收者是否能够遵守GDPR的所有要求，包括对于技术补充措施的充分保护评价。这种补充性认定可能影响对于中国总部影响的延伸判断，包括决策机制和面向的用户主体。数字化转型网www.szhzxw.cn

4.透明度原则

透明度原则意味着告知同意规则的合理设置。需要注意同意机制的适用上要关注欧盟的全面规定。例如，欧盟委员会《电子隐私指令》中规定，在用户终端设备中存储信息、访问已经存储的信息必须取得个人数据主体的事先同意，即意味着用户授权对于终端设备的全面覆盖要求。

案例：2021年7月，中国企业字节跳动海外短视频平台TikTok，因违反GDPR第12条被荷兰数据保护局以侵犯儿童隐私为由罚款75万欧元。这也是GDPR实施三年以来，中国企业首次因违反GDPR而受到处罚。

在TikTok处罚案中，荷兰数据保护局就是以没有用“可以理解的语言”告知儿童关于个人数据的处理，从而违反了GDPR第12（1）条的规定对TikTok进行处罚。数字化转型网www.szhzxw.cn

5.数据删除

在欧盟地区，关于“数据存储超期限”“数据未及时删除”主题的案件近年也已逐渐受到相关执法部门重视。《车联网个人数据保护指南》规定，更换车主（例如车辆过户）或驾驶人（例如租赁到期）的，应当永久删除该主体相关的个人信息，除非法律另有规定。

案例：德国某住房公司因缺少完备的信息删除机制和流程，导致某租户个人信息在租期结束后数年内还长期保存在公司数据库里，因这些信息的收集使用目的早已不复存在，无任何理由再继续存储，且该公司在监管部门两次检查间的一年半期间内，一直未采取有效措施改正违规操作，故被认定为非法存储个人信息，并处罚金1450万欧元。数字化转型网www.szhzxw.cn

丹麦数据保护机构第一份GDPR处罚即是对出租车公司“Taxa 4×35”的处罚通知。据悉，丹麦数据保护机构发出此份处罚通知的原因是Taxa过度保留了大量客户数据。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn