资讯洞见

欧盟《通用数据保护条例》对香港公司的影响

欧盟的General Data Protection Regulation《通用数据保护条例(2016)》(简称“GDPR”)于2018525日起生效。但是,许多香港企业并未意识到该条例会对其业务带来重大变化。

GDPR是什么?

GDPR是一部新的隐私保护法律,旨在协调整个欧洲数据保护规则。其一方面赋予个人更大的权利,另一方面对组织机构违规行为定下更高罚则,加大惩处力度。GDPR是最近20年来欧洲数据隐私保护法方面出现的最大变化。

GDPR如何影响香港公司?

GDPR主要影响在欧盟运营的组织机构。但是,GDPR并非局限于此,任何与欧盟开展业务或涉及欧盟境内个人信息的组织机构也可能需要遵守GDPR。

违反GDPR将面临严重处罚,罚款会按照违规公司上一财政年度的年营业总额进行计算,罚款金额最高可达4%或2000万欧元(以较高者为准),对情节较轻者,也可达2%或1000万欧元(以较高者为准)。

在什么情况下GDPR适用于欧盟之外?

如属以下情况,GDPR适用于位于欧盟以外的组织机构:

  • 向欧盟境内的数据主体提供货物或服务;或者
  • 监控欧盟境内的数据主体的行为。

数据收集方的所在地并非重要考虑因素,只要在个人信息收集和处理时,数据主体身处欧盟成员国境内,GDPR便适用。不仅是欧盟公民,该数据主体可以是任何人。同样,GDPR不适用于数据收集和处理时不在欧盟境内的欧盟公民。

您的业务涉及“提供货物或服务”吗?

已经拥有欧盟客户群或打算向欧盟主体提供货物和服务的企业,即使企业不在欧盟境内,也会受GDPR规管。

其他企业组织,如果明显地计划向欧盟境内的个人提供货物或服务或将欧盟境内的个人视为目标,也有可能受到GDPR的规管。这种情况将按照事实进行个案判断。以互联网为例,由于绝大多数网站均可在全球范围内进行访问,即便欧盟境内的个人亦可访问非欧盟公司的网站,仅凭这一事实并不构成向欧盟境内的数据主体提供货物或服务。具体情况还要看网站是否:使用某种欧盟语言或以欧元作为交易货币、是否提及欧盟用户或客户、是否存在针对欧盟用户的营销行为、使用欧盟电话号码或使用欧盟顶级域名等因素。

实践中,如果非欧盟企业在其网站允许欧盟客户下单并将产品发往欧盟境内,这家企业就有可能落入GDPR管辖范围,除非该企业表明其并没有向欧盟数据主体提供货物或服务的意图。企业应该在其网站明确指出其货物/服务并不向欧盟地区供应,又或者主动排除/禁止来自欧盟的订单。

值得注意的是,即使货物和服务是免费的,也同样可能适用GDPR。

您在“监控”欧盟的数据主体吗?

GDPR明确指出,对欧盟数据主体行为进行监控”包括在互联网上对某人进行追踪,以及潜在利用收集到的信息对其进行识别,以分析或预测他们的喜好、行为和态度等。

换言之,利用cookies或其他技术实行网络用户跟踪(包括用户网络行为分析)来支持电子商务或在线广告等行为,将受GDPR的管辖。此外,非欧盟社交网络提供商允许欧盟个人成为用户,或者非欧盟的应用软件开发商通过身处欧盟的个人所使用的智能手机收集其位置数据也可能被要求遵守GDPR。

您在“处理数据”吗?

如果处理和获取个人信息的组织机构在欧盟设有办事处,不论处理过程是否在欧盟境内进行,均适用GDPR。

“办事处”的定义非常广泛,只要在欧盟境内通过稳妥安排进行“任何真实有效的活动”均有可能被视为在欧盟境内设立办事处。“安排”的法律形式并非决定性因素。出于向欧盟居民推广或提供服务目的而在欧盟境内设立营业处或指定代理人均有可能被视设立办事处。

对香港企业意味着什么?

落入GDPR规管范畴的香港企业所承担的数据保护义务可能会远远大于目前香港《个人资料(私隐)条例》的要求。知情同意和重度惩罚仅仅是GDPR的两个方面。我们把GDPR的八个要点概括如下:-

  • 同意 – GDPR要求各组织机构收集个人信息之前应先取得数据主体的同意,该同意必需是自愿给出的、具体的、知情的和明确的。沉默、无行动或不取消预先勾选的选框均不视为同意。GDPR亦禁止“捆绑”同意或以同意处理作为先决条件提供服务。收集敏感信息需要获得“明示同意”。如果没有获得同意,收集个人信息必须有另一种在GDPR下有效的法律依据所支持。在香港,除非出于市场营销目的,企业在收集数据时一般都不需要获取同意,而仅需告知收集数据的目的即可(但企业确有必要告知数据主体该数据提供行为属强制或自愿,因而数据主体可在某些情况下拒绝提供数据。如果一家公司随后决定将收集到的数据用于所告知以外的其他目的,则也需要获得同意)。
  • 责任与治理 – GDPR要求数据控制人主动采取数据保密技术措施,并进行强制影响评估等。香港没有相应的强制规定。
  • 强制性数据外泄告知 – GDPR要求,除个别例外情况外,如出现数据外泄事件,有关数据控制人应在发现问题后的72小时内通知有关成员国的“数据保护机关”,所述数据外泄事件“不太可能给个人造成权利和自由风险”的除外。如果所述外泄事件“极有可能使个人权利和自由面临高风险”,数据控制人应在“没有不当延误”的条件下尽快告知数据主体。香港则没有强制性数据外泄告知要求。
  • 新增及强化的个人权利 – GDPR赋予数据主体更多权利,例如,请求消除其在线发布的个人信息的权利(“被遗忘权”),数据可转移权(将个人信息在各服务提供商之间进行切换的权利)以及反对处理权(包括分析)。香港一般没有消除权(但数据保存时间不得超过必要的保存时间),也没有数据可转移权。此外,香港也没有限制或反对处理权,但是数据控制人必须满足数据存取和修改请求以及退出直接促销的请求。
  • 数据处理人 – GDPR要求数据处理人保存处理活动的记录,确保数据处理的安全并报告数据外泄事故。这就意味着,数据处理人可能因数据外泄事故而受到惩处。在香港,数据处理人并不直接受到规管。条例要求数据用户采用合约或其他方式,确保数据处理人遵守法律。
  • 指定代表 – 除非获得豁免,受GDPR规则管辖的非欧盟企业必须指定一位于欧盟境内的自然人或设立于欧盟的法人作为代表,以应对并传达监管机构和数据主体的查询。

GDPR将对欧盟境内外的企业带来影响。虽然GDPR于2018年5月25日已生效,但近期一些研究表明,许多公司在2018年底之前也未必能合规。即使不是在欧盟境内,如果您涉及欧盟业务并处理欧盟境内个人的信息,您应该及时评估您本身或您的数据收集和处理活动是否落入GDPR的管辖范畴。

相关业务及行业:

知识产权

Portfolio Builder

Select the 本所服务 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
职务 Type CV 电邮

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)