本文来自微信公众号：志象网（ID：passagegroup），原文标题：《谷歌在欧洲被开天价罚单，中国律师教你如何“避险”》，作者：王新锐，题图来自：视觉中国

近两年，中国企业出海遇到不少挑战。全球对于个人信息保护方面都越来越敏感，去年印度封禁中国App，美国跟进，都对出海企业发出了警示。如何保障用户个人数据的收集、使用合规，成为出海企业绕不过的一道坎。

日前，在“GDPR‘镣铐’当前，出海合规如何不‘踩雷’”线上主题讲座中，志象网邀请到了北京安理律师事务所高级合伙人王新锐。作为长期为中国出海企业进行法律咨询的资深法律人士，王律师就有关话题分享了他的经验，以下是他的分享实录：

去年，印度新规政策和执法的动向让在当地开展经营活动的企业面临着很大的压力。从整体结果来看，中国公司承担了很多损失。在之后，美国又开展了很多和印度类似的行动， 很多在印度名单上的企业最后都被美国通过行政令的方式施加制裁。

其实，包括印度、俄罗斯、澳洲在内的许多国家都会有各自对于数据保护与治理的规则，除此之外，包括未成年人保护法律在内的其他法律和规范所涵盖的要求，都对中国企业形成了较为严峻的挑战。

其中，文化上的挑战也是很重要的一部分。之所以需要中国律师来帮助中国公司，主要的原因在于沟通成本的问题。比如中国公司跟德国、西班牙律师沟通，语言本身并不是主要的障碍，许多律师的英语都很好，但他们对于中国公司的产品、设计思路以及受到的约束等问题了解得较为有限，所以在工作效率和可操作性层面上可能存在一定问题。

一、“没有律师的情况下，你可以去研究一家大公司的欧洲条款”

当我们在讨论GDPR合规时，主要说的是什么？

一方面，公司隐私政策要根据欧盟的规则进行修改和调整，不能一看起来就和欧盟的语言和框架大不相同，要用一种抽屉式的、一层一层不断展开的、且相对简洁的语言告诉用户：你拿了哪些信息、怎么去使用。

比如，很多跨国大公司在隐私政策中，会为来自不同地区（如欧盟、加州等）的用户专设一章，告诉他们相关的权利和利益。

其实对于国内出海的企业来说，在没有律师的情况下，你可以去研究一家大公司的 Eu chapter，比如小米、华为、腾讯等在全球许多国家开展业务的公司，这些文件的写法具备一定的借鉴性。我们可以看其隐私政策中专门针对不同地区用户权利的表述，比如会问用户来自哪一个地区，公司作为平台会给用户哪些权利。这其中就保证了知情权、访问权、纠正权、删除权、限制处理权。

如果没有将这些权利充分授予用户就会收到投诉，有很多出海企业每周都会收到大量投诉信。欧盟有一些专门的机构、权益组织会帮助人们去投诉，起诉书写得非常专业，基本上像律师函一样。他们会表明自己是欧盟的一个数据保护律师，要求公司把该用户相关的数据删除，这就要求企业在数据合规问题上，应建立一个类似客服的机制。

所以GDPR就要求出海企业重点做到下列事情：对整体隐私政策进行调整修改，至少在大体上不能太离谱，如果很离谱的话，被执法机构和竞争对手关注到的可能性就很大，也很容易被投诉。第二，要有客服的机制，及时响应用户对这些权利的要求，否则很可能会受到客户的投诉，投诉以后数据保护机构可能就会采取一些行动，那成本就很高了。

大家可以看到，欧盟授予个人的权利非常多，包括自动化决策（类似用户画像）这些精准的方式都对应一些具体的权利。

二、“Google被罚款，但其实它在数据保护方面还是达到了业内较高的水准”

在参与项目的过程中，我们在和德国、西班牙等欧盟国家的当地律师进行密切的沟通和咨询后获得了许多经验。

我们是较早参与到数据保护工作中的团队，大部分情况下都将企业的需求作为主要考虑的因素。我们看到，以前在一个细分的领域里，世界排名前几名的公司都在其中，但是许多人都不知道这些公司是中国公司。

一个较为重要的原因是前一阶段许多出海公司主要开发和推出的是工具类产品，这类公司的所属国并不会成为主要的关注点，但后来的公司出海后开始涉足社交、游戏、电商等领域，这其中包含了很强的人的属性，用户是谁、用户的行为、用户的画像都很重要，这也是现在出海企业为什么越来越多地遇到个人信息、数据保护的问题。

很多年前，我曾服务过一个经营电池管理的客户。这里面有没有个人信息？当然也有，但这种工具类的产品所收集到的个人信息的类型相对较少，使用方式也并不复杂，因为对于管理电池的服务供应商来说，他不需要知道服务的对象是谁，这个问题对他来说并没有很大的意义。但现在像电商、游戏等一类的经营活动都会涉及到运营，这就会存在精准营销的需求，社交就更不用说了。

我最近有几个社交类产品的海外合规业务正在开展，其中会涉及到未成年人保护的问题。社交类产品普遍低龄化，大家都知道，得年轻人者得天下。这一代产品的用户很多都是未成年人，当他们使用App时，其实就涉及个人信息保护和未成年人保护的交叉领域。

从文化方面来看，GDPR的前身是数据保护指令，其根基来自于对历史的反思。我们可以看到下图中被烧黑了的雕像（图片来自洪延青博士），它位于荷兰乌特勒支大学学术大厅走廊。1942年12月12日深夜，5位荷兰学生潜入这座雕像背后的学生管理部，将大学当时保存的学生档案一把火全部烧毁，避免了当时占领荷兰的纳粹通过详尽的学生档案锁定并杀害犹太学生。

这个故事背后体现的是，个人数据一旦被一个巨大数据库、公司或者机构收集和滥用之后可能造成的损害。欧洲在二战期间经历了很多次教训，使得个人信息权利在欧洲成为不可动摇的人权之一。GDPR底层的精神气质就来源于这段历史。

所以，从GDPR的前世今生来看，企业要相信,不同国家历史走向能够在很大程度上影响它立法的变化。

首先想跟各位分享的是，GDPR生效两年多，从执法的金额上看GDPR带来的影响还处在一个快速上升的阶段。当然目前主要针对的还是欧美的大公司，比如英国航空公司数据泄露案，原来判罚金额达到2亿多，后来因为疫情把罚金降低到2000多万英镑；还有，Google因为定向广告推送案也被罚了5000万欧元，大公司的罚款金额还是非常高。

由此引出下一个问题：如此高额的罚款，跟我们这些规模相对小一点的中国出海公司有什么关系？这是相关新闻发出后，大家非常关注的话题。

我们可以了解一下趋势。2019年7月之前，欧盟成员国罚款总金额其实相对较少，从案件数量上看也一样。在这之后，数据上升得非常猛烈，2020年3月之后受疫情影响出现了一些新变化。但是整体上来说，处罚案例还是不断地增加。

从国家来看，国家和金额并不完全对应。其中西班牙处罚的力度比较大，金额甚至比德国多好几倍。这里可以看出，在GDPR的问题上，各国的执法看起来是统一的，但其实主要是受到主要营业地所在国家DPA（国家数据保护机构）管辖。

我们之前跟德国、意大利律师进行咨询，他们会问你公司的主营业地在哪儿。主营业地不同，同样一个问题会得出完全不同的结论。因为从根本上说，欧洲各国的经济结构不一样，有的国家大公司比较多，有的国家主要是以中小型公司、甚至是小微企业为主，比如像意大利等南欧国家中小企业可能偏多，因此在处罚上可能数量较多，但金额会相对较低，监管机构的态度也没有那么严厉。

但在北欧国家，比如瑞典、挪威在罚款以及对法律解释的严厉程度上，要远胜于南欧。

另一个例子是法国，法国的监管机构在执法过程中，对欧美大公司以及外来的公司不是特别友好，法国的数据保护机构在部分问题的解释上会表现得很严格。如果按照他们的解释，Google都做不到合规的话，其他公司更是难以做到。虽然Google被罚款，但其实它在数据保护方面还是达到了业内较高的水准。

所以大家也会感到困惑：如果Google都做不到，我们怎么办？

从罚款金额来讲，情况就大不相同了。西班牙在这方面排名较靠后，英国因为几个大案子罚款金额排第一并且遥遥领先，接下来是法国，法国在对Google的执法中发起了5000万欧元的罚款，而意大利、德国的案例相对较少。德国数据保护机构的能力非常强，并且在欧洲，大多公司都会考虑把德国作为主要营业地，因为如果在德国通过了数据保护的考验，就能得到欧洲的信任。

此外我们当然还要考虑未成年人保护、内容管理等层面的问题，比如中东的内容管理机制可能跟很多国家都不一样，它会受到文化、宗教的影响。因此GDPR也是一把双刃剑，虽然从大体趋势看，它的处罚、执法会越来越严厉，但是从总体上说，如果在欧洲经受住了考验，在全世界其他国家遇到问题的可能性就相对较小。

在数据的问题上，GDPR是全世界公认水平最高的，比美国更高。如果在数据保护的问题上得到了欧盟的认可，在其他国家就有能力更多地处理个性化的规定，比如说数据本地化、特定类型敏感的数据等等，这也能解释为什么有些公司在出海第一站会先前往欧洲市场。像一些智能硬件或电商类的网站，这类公司在承受合规成本的同时也能够达成一定的收益。

三、为什么会被罚

欧洲处罚比例占比最多的还是数据处理的法律依据不当，或者叫“legal basis”，如果选错了legal basis或者没有legal basis，意味着该企业在处理个人信息的时候正当性不足。

第二，是未采取充分的技术和管理措施确保信息安全，这就说明可能出现了一些数据泄露的情况，或者是未能采取应有的基本措施，如果收到投诉和检查将很容易受到处罚。

第三，是违反一般数据处理原则，因为欧盟的数据处理原则非常克制，强调最小化、透明度等原则，这些原则其实在我国的《个人信息保护法（草案）》中大多都有体现。

所以，如果觉得遵守GDPR的难度很大，建议大家可以看看去年底出台的《个人信息保护法（草案）》，里面的70项条款中，大约有40个条款跟GDPR较为接近，看完后也能对GDPR有新的认识。实际上，在全世界，包括巴西、俄罗斯、印度在内的国家都在进行新的个人信息保护立法，还有美国的《加州消费者权益保护法案》（CCPA），其实都和GDPR较为接近。

以上三项，加上第4项——充未充分实现数据主体权利，基本囊括了大部分处罚理由。另外还存在未与监管机构充分合作这项理由，主要是从接受调查时是否及时配合、是否及时履行数据泄露通知等方面考察，这也是一个中国公司比较容易出问题的地方。

谈及GDPR核心，第一是适用范围，第二是数据处理原则，第三就是基本的权利。我们从最开始看，GDPR的地域适用问题比较复杂，基本上如果一家公司出海到欧洲经营，只要收集了欧洲公民的个人信息，肯定会落入到GDPR的监管范围中。

那么接下来看consent，即同意的问题，看数据的查询权、更正权、删除权、可携带权一系列的权利要求，通知要求、DPA的要求、罚款等等，这几个条款基本上能在下图中体现。

在谈论基本权利之前，我们首先梳理legal basis（法律依据），在这一问题上主要存在两个大的方面。

第一是处理数据是否具备法律依据，处理行为的基础必须是法律所规定的其中一个法律依据。这在我们的个人信息保护法中也较为类似，GDPR共有6种法律依据，也就意味着如果没有符合其中一种，就不能处理个人信息。这6种分别是同意（consent）、合同（contract，合同履行、合同签署、合同磋商）、法律义务（legal obligation），重大利益（vital interests）、公共任务（public task）、合法权益（legitimate interests）。

法律义务主要是处理数据一定要依据欧盟成员国的法定要求，比如说反洗钱、反恐怖类似行为等，在符合法律要求的基础上，必须要收集个人信息就不需要“同意”，基于合同可以不用“同意”，基于法律义务也不需要“同意”。

重大利益往往涉及到的是和公共利益相关的较为紧急的事项，这类情况往往对信息主体和对整个的社会来说都很重要。同时公共任务涉及的内容跟我们的个人信息保护法提到的新闻报道、舆论监督等相似，都属于公共属性比较强的依据。

最后一项合法权益是我们个保法中没有采纳的，因为这一项较容易被滥用。合法权益说的是什么？是指为了个体自身的利益去使用其个人信息，这种情况下的数据处理是被允许的，但这是通过限缩解释得到的结论。

可以看到欧盟的六项法律依据和国内的个保法存在一定区别，因为它的每一项都经过了限缩解释。比如，就“同意”来说，在很多情况下，在我们的语境中被认为是“同意”的行为，放在欧盟的语境下就不能被称作“同意”。比如学校要装摄像头，学生对老师、对学校表示的同意，在欧盟其实并不被认可，因为他们认为这其中存在人身控制关系，这里的“同意”不构成一个有效的“同意”。

对“同意”的误解，是我们出海企业普遍存在的一个问题。现在中国公司能采用的主要是consent和contract两项，即“履行合同”和“同意”，这需要重点去关注。

接下来再看基本的权利，如果公司能够做到保障了GDPR所规定的基本权利，基本上就能保障安全，但很多公司可能在国内都做不到，更何况出海合规。

实际上可以把GDPR大体上拆解为两项：合法性基础以及个人信息和权利。其中的透明度原则、最小化原则等，基本上都会反映在这些权利中，因为这些权利本身都体现了欧盟对个人信息保护的基本原则。

四、“公司必须先选好法律依据，并且在选好以后不能随意变更”

在GDPR下，当适用的法律依据不同，处理个人信息的过程中对应的权利是不一样的，比如说可携带权（right to portability），在以法定义务或者重大利益作为法律依据的情况下，就可能不适用可携带权了。

在不同的权利选项下，不同路径中，有些权利在欧盟具有克减情形，即符合特定条件就不再有该种权利。

所以大家也要意识到，不是在任何情况下都能享有所有的权利，因此，基于什么样的路径去处理个人信息非常重要。每次业务的沟通上，我们无论是就智能硬件、电商还是游戏的问题跟欧洲律师交流的时候，欧洲律师第一件事就会问这个处理行为的法律依据是什么。

公司必须先选好法律依据，并且在选好以后不能随意变更。如处理个人信息的法律依据是基于合同，就有可能不用选用“同意”路径，公司给用户提供服务的场景可以不需要用户同意，但是选定以后就不能变。这跟中国的个人信息保护法草案里主要的权利其实是类似的。

如果以上这些欧盟的相关权利不那么易于理解，可以先看看中国《个人信息保护法（草案）》对相关权利的规定，两者之间有较多可对应起来的部分。此外，公司也会在中国开展经营活动，公司的隐私政策和整体的合规体系也要考虑这些权利的授予如何去响应用户需求的问题。

在民法典生效以后，上述权利不仅会出现在个人信息保护法草案里，也会在民法典中有所体现。如下图所示，只有投诉权、要求解释权是仅存在于个保法草案中的。

五、“中国公司是躺平的状态，觉得国外的标准很高，所以就放弃了达到合规线的要求”

下面要讨论几个典型的误区，第一是数据跨境传输。

从跟德国律师的交流来看，德国律师认为，在中国境内直接通过网页、通过服务收集个人信息的情况已经可以直接适用GDPR，必须达到充分保护的水平。它不是数据先收集以后再传往第三国的概念，而是一个直接收集的概念。所以在他们看来，这类情况并不属于将数据进行跨境传输这种思路，也不属于适用SCC这种标准合同或企业约束规则的情形。

这是我们的客户花了很多钱，咨询德国最顶尖的律所之一所获得的经验。在他们看来，我们企业的操作是没有拟定标准化合同而直接收集个人信息，但是在达到同样的数据保护要求这一问题上，GDPR所强调的是数据要在全网都能够达到保护要求，这是直接适用的概念。

第二是用户同意和隐私政策，在个保法草案公布之前，大家一直都强调“同意”是整个数据处理的唯一基础，《网络安全法》是这样，其他的法律也是这样，这种情况下，很多企业就会把隐私政策作为获取用户“同意”的主要手段。

但在欧洲看来，隐私政策就是个通知，是一个notice，它的更新或者是一些小的改动是不用获得用户同意的，要在这一方面进行区分。

所以，在欧洲很难仅仅通过隐私政策，就能够实现“同意”。在很多情况下“同意”需要更明确，比如需要通过弹窗或者其他设计的方式，让用户真正知道这个事情。而不是简单地在隐私政策里写得很全面，就算是“同意”了。因为其本身的路径是可选的，一些情况下，也不是对所有数据的处理行为都需要同意。这就涉及实现“同意”的路径了，即公司是要获得用户同意，还是说通过其他的方式、其他的路径。

而用户的撤回同意和删除权，其实也容易引发误解。在谈论“删除权”时，一些站在用户的角度看似是无条件的行为，在欧盟的规定下可能不是无条件的，里面还有很多精细的权利义务设计，使得用户的权利可能会受到一定的限制。

我知道很多中国公司是躺平的状态，觉得国外的标准很高，所以就放弃了达到合规线的要求，会觉得如果在中国都达不到，出海后也可以达不到。结果真正在出海后，在没有客服机制和响应机制的情况下一旦被投诉，就一定会受到处罚。针对这类情况，可能甚至连欧洲律师都不敢提供服务，因为觉得没有什么希望。

所以，我们可以先把容易摘的果实摘下来，比如隐私政策调整、设立客服响应机制，首先把一些大方面上的问题解决，再通过相应的路径进行数据传输和个人信息收集。

接下来简单地讨论几个场景。

第一个是直接营销，在电商的场景中会涉及到这类问题。在营销的场景下还是要让用户事先同意。以Opt-in为原则，就是说和用户进行推销的时候要采用Opt-in，需要专门设计一个机制让用户确认同意。除了特定的情况，比如之前已经获得用户同意，后续再推送的东西都是和之前的行为直接相关的、类似的东西，就不需要再重新Opt-in。

所以理顺了欧洲产品的流程后，你会发现它可能比中国看起来更繁琐，但这种模式实际上已经成为了一种共识。因此公司不要在这个层面做减法，不要在这里提高用户体验，因为这样做会使以后的合规成本非常高。在这种场景下，必须征得用户同意。

定向推送是中国公司的强项，精准化的推送可以非常精确地刻画用户、然后触达用户。而GDPR的要求是，不能一揽子授权，公司要针对不同的处理行为去获得同意，只要产品中有这类定向化、精确化的推送，就要考虑这种精确推送是基于什么样的法律依据（不一定都是“同意”，有可能其他的法律依据）去处理，处理是否需要用户同意？还是说不要超过用户的预期？

数据泄露方面，Twitter因为数据泄露事件受到了罚款类的处罚。虽然现在个保法里面有和报告相关的规定，但是在中国，大家都默认出现数据泄露不主动报告监管机构，但需要注意的是，欧盟对报告机制有所要求，如果没有报告又被发现可能就会遭到处罚。这个问题在欧洲，不管游戏公司还是电商公司，都发生过很多次。

针对数据泄露问题，一定要建立事前机制，防止发生数据泄露；发生数据泄露的过程中要强调记录，欧盟GDPR还有个原则叫accountability，这个词翻译过来就失去了原意。它首先强调要能够追溯，能够完整记录，能够找到责任人，或者说“抓手”，该报告的时候必须要报告。

所以在欧盟，数据泄露这个问题是无法回避的。我很欣赏亚洲的一个数据保护专员讲的一句话：“Data  is driving innovation. Data protection & privacy is driving trust.”即数据驱动了创新，同时个人信息保护、数据保护这件事情之所以重要，一方面是法律严格的要求，另外一方面，数据保护是跟用户之间建立长久信任的基础。

在合规问题上，我个人认为不要完全从成本的角度考虑，而是要把它理解成产品体验，理解成跟用户建立信任基础的价值。这个价值至少在欧洲已经成为了某种核心价值，出海企业不要不相信这种价值的重要性，否则，在欧洲很多可能面临更多法律风险。

所以，在欧洲，至少在GDPR下，出海企业首先要理解其核心价值观，然后再有选择性、有针对性地去做合规工作。

本文来自微信公众号：志象网（ID：passagegroup），作者：王新锐