欧盟投资贸易中的数据风险防控

2021年7月22日，字节跳动旗下短视频社交平台TikTok（“抖音”国际版）收到来自荷兰数据保护局（Autoriteit Persoonsgegevens）的处罚公告，该局援引GDPR，以侵犯儿童隐私为由，对其处以75万欧元的罚款。此事件是在GDPR实施三年以来，这是中国企业（包括海外平台）第一次因违反GDPR相关条款而遭受处罚的标志性事件。

尽管TiTok提出因其主营机构在爱尔兰，不在欧盟管辖范围内，不应适用GDPR，但异议被驳回。为什么被驳回呢？

根据这两个管辖原则，只要是经营业务发生在欧盟的企业都会受到GDPR的规制。

所以，就TikTok案而言,无论其主营机构在哪里，是否建立于欧盟境内，只要是向欧盟境内的个人提供商品或服务，在欧盟市场上收集采集了数据，就会受到GDPR的规则约束。相信这种严格的管制模式下，中国的跨境电商企业、云服务企业或智能手机行业企业当然落于GDPR的管控之内。

需更进一步说明的是，GDPR中受管辖的企业的“监控行为”是什么意思？这里所谓的“监控”已不再是限于传统意义上的摄像头摄录或gps跟踪等行为，而类似cookie等互联网技术亦被视为对欧盟境内的个人实施了监控行为，除此之外，还有精准广告投放、用户画像、各类穿戴式智能设备/智能家居等产品使用监测技术的，都会被认为是监控行为。

综上我们可以说，网路时代，在欧盟存在业务经营的大多数中国企业都会受到GDPR管制，都应该关注GDPR，否则就容易受到处罚。

那么对于TikTok的75万欧元的处罚高吗？接下来我们来看下GDPR的处罚规则。

相较于以往欧盟当局做出的数据处罚案例，无论是FACEBOOK因泄露个人隐私所遭受的超1000万美元的处罚，还是英国航空所遭受的超1.8亿英镑的处罚，对TiTok的处罚不算大数目，但这些大大小小的处罚都无不警告着所有欲进入欧盟市场的企业，应当时刻保持对企业的数据合规管理，重视数据保护。

GDPR具体处罚规则如下：

什么是严重的违法呢？GDPR给出了几种考虑的因素，比如，违反数据处理的基本原则如未经同意；未保障数据主体的权利；违规跨境转移；违反成员国法律对GDPR开放性条款的具体要求，即GDPR允许各成员国就某些非常具体的标准进行定制，比如儿童的年龄分界线；需要强调的是，GDPR项下的处罚规则具有明显的惩罚性与警告性，欧盟对最重要的罚款额度直接进行了限制，强调对数据保护的决心；当然，欧盟当局也给予各成员国一定权限，因此对具体成员国的规则也要充分了解。

GDPR对其处罚的考虑因素包括但不限于数据泄露的严重性、受影响的数据主体的人数、出现数据泄露时数据控制者或者处理者的减损行为、是否先前有相关的违反GDPR的行为、对监管机构的调查的配合程度等，执法部门需全盘考虑违规企业的各种情节，结果成员国国内规则，综合决定最终处罚金额。中国企业应尤为小心，因为有企业会采取鸵鸟政策，对于监管当局逃避或回应不及时，这样容易被认为违法情形加重。