欧盟作為(wèi)全球最大的经济體(tǐ)之一，拥有(yǒu)庞大的消费者群體(tǐ)和成熟的数字市场，对于许多(duō)开发者（以下简称“开发者"）来说，这是一个极具吸引力的目标市场，因此，越来越多(duō)的中國(guó)开发者选择出海欧盟。

一方面，為(wèi)了更好的用(yòng)户體(tǐ)验，开发者需要收集一定的用(yòng)户信息以提供服務(wù)、优化产品。另一方面，欧盟也在逐步完善其数字政策和法规，2016年颁布、2018年正式生效的《通用(yòng)数据保护条例》（General Data Protection Regulation，以下简称GDPR）对企业合规提出了更高的要求，在个人数据收集、利用(yòng)与保护方面為(wèi)开发者提供了更為(wèi)明确的指导。Amazon、Facebook、Whatsapp等知名应用(yòng)都曾因违反GDPR而被处以高额罚款。在此背景下，中企APP出海欧盟的合规建设显得尤為(wèi)重要和迫切。

本文(wén)旨在探讨GDPR下中企APP出海欧盟的合规问题，从GDPR的规定出发，介绍中國(guó)开发者出海欧盟时在处理(lǐ)个人数据方面需要注意的问题，以期能(néng)够為(wèi)企业出海欧盟提供有(yǒu)价值的合规建议。

一、APP特点

随着智能(néng)手机的普及与用(yòng)户需求的增加，市场上APP的种类更加丰富，功能(néng)也更加多(duō)样。為(wèi)了追求更好的用(yòng)户體(tǐ)验，APP无论是界面设计、功能(néng)设置还是内容推荐，都可(kě)以根据用(yòng)户的反馈和行為(wèi)数据进行调整，以满足用(yòng)户的个性化需求。

用(yòng)户的基础信息，如年龄、职业、性别，以及用(yòng)户处理(lǐ)APP的行為(wèi)数据，如处理(lǐ)时间、浏览内容时長(cháng)等，都為(wèi)开发者满足用(yòng)户个性化需求提供了分(fēn)析支持。开发者对收集到的上述数据进行用(yòng)户需求与偏好分(fēn)析，再根据每一位用(yòng)户的不同特点与分(fēn)析结果，将对应的信息精准推荐给目标用(yòng)户。以短视频APP的个性化推荐机制為(wèi)例，开发者会通过大数据分(fēn)析用(yòng)户的兴趣爱好和行為(wèi)习惯，采用(yòng)智能(néng)推荐算法向特定用(yòng)户推送符合其喜好的视频内容。

与传统的電(diàn)脑软件相比，手机APP对收集、利用(yòng)个人信息的需求更甚，也因此衍生出了更為(wèi)严重的数据合规问题。

二、GDPR概览

根据GDPR第四条的规定，“个人数据"是指与已识别的或可(kě)识别的自然人（数据主體(tǐ)）相关的数据，可(kě)识别的自然人尤其指是可(kě)以通过姓名、身份证号、定位数据、网络表示符号以及特定的身體(tǐ)、心理(lǐ)、基因、精神状态、经济、文(wén)化、社会身份等识别符能(néng)够被直接或间接识别到身份的自然人。APP在处理(lǐ)过程中收集到的用(yòng)户信息符合GDPR下“个人数据"的要求。

中企开发者将APP布局欧盟，其收集、处理(lǐ)、储存用(yòng)户信息的行為(wèi)应当受到GDPR的管辖。首先，从GDPR的适用(yòng)范围来看，开发者收集、处理(lǐ)和储存收集到的用(yòng)户数据的行為(wèi)属于GDPR第2条第1款[1]规定的适用(yòng)GDPR的数据处理(lǐ)行為(wèi)，开发者在收集或处理(lǐ)来自用(yòng)户的大批量数据时，可(kě)能(néng)会采取自动化手段，并且不属于第2款列举的例外情况。其次，从地域管辖范围[2]来看，部分(fēn)中企在欧盟上架APP时可(kě)能(néng)会选择在欧盟地區(qū)设立营业场所，此时当然落入GDPR的管辖范围。即使开发者在欧盟并未设立营业场所，也不影响根据GDPR第3条第2款、第3款的规定而受到GDPR的管辖。

根据GDPR第5条[3]的规定，开发者在处理(lǐ)个人数据时，必须遵守以下6项原则：第一，合法、公平和透明原则；第二，目的限制；第三，最小(xiǎo)范围原则；第四，准确性原则；第五，储存限制原则；第六，完整性和保密性原则。

三、企业合规的要点

（一）数据处理(lǐ)的合法性

在企业进行GDPR合规工作时，首先需要注意其处理(lǐ)数据行為(wèi)的合法性基础。根据GDPR第6条[4]的规定，只有(yǒu)在符合“数据主體(tǐ)同意"“履行合同"“法定义務(wù)"“数据主體(tǐ)重大利益"“公共利益"或“合法利益目的"这六项要求之一时，个人数据处理(lǐ)行為(wèi)才是合法的。在中企APP出海欧盟时，开发者处理(lǐ)个人信息的合法性大多(duō)数是来源于数据主體(tǐ)的同意、履行合同或履行法定义務(wù)，剩余三种情况出现的概率较小(xiǎo)。

在常见的三种合法处理(lǐ)个人数据的情况中，又(yòu)以“数据主體(tǐ)的同意"最為(wèi)常见和基础，实践中，开发者普遍通过隐私政策、用(yòng)户协议等方式约定个人数据处理(lǐ)相关事宜，再由用(yòng)户勾选同意由此获得数据主體(tǐ)对于数据处理(lǐ)行為(wèi)的同意。根据GDPR的规定[5]，数据主體(tǐ)同意的条件包括：第一，当数据处理(lǐ)必须基于数据主體(tǐ)的同意时，数据控制者应当证明数据主體(tǐ)已经对处理(lǐ)其个人数据的行為(wèi)予以同意；第二，若数据主體(tǐ)的同意是以书面声明的方式做出的，且该声明还涉及到其他(tā)事项，则同意需要满足特定的形式要求；第三，数据主體(tǐ)有(yǒu)权在任何时候撤销其同意；第四，数据主體(tǐ)的同意应当是基于其自由意志(zhì)做出的。

在判断数据主體(tǐ)的同意的条件时，信息社会服務(wù)中儿童的同意条件又(yòu)有(yǒu)所不同。对于小(xiǎo)于16周岁的儿童，处理(lǐ)行為(wèi)只有(yǒu)或至少在获取了该儿童的监护人的同意或授权时才是合法的。

（二）数据收集

数据主體(tǐ)对于数据处理(lǐ)行為(wèi)具有(yǒu)知情权，这也是GDPR规定的数据处理(lǐ)行為(wèi)原则中“合法、公平和透明原则"的具體(tǐ)體(tǐ)现。根据GDPR第13条的规定，从数据主體(tǐ)处收集与之相关的个人数据时，数据控制者应当在获取数据的同时向数据主體(tǐ)提供以下信息：

若开发者自关联方处获取数据主體(tǐ)的个人数据或将收集到的数据共享给关联方，此时出现了个人数据并非自数据主體(tǐ)处获得的情况，根据GDPR第14条，当个人数据并非自数据主體(tǐ)处获得时，数据控制者应当向数据主體(tǐ)提供的信息包括：

不过，这种披露行為(wèi)并非在任何情况下都适用(yòng)，当出现以下情形时，第14条第1-4款的规定不再适用(yòng)：

在向数据主體(tǐ)披露上述信息时，应当注意要“通过清晰移动的语言以一种简洁明了、透明以及易获得的形式提供给数据主體(tǐ)，尤其是专门针对儿童的信息，使用(yòng)清楚的语言"。

（三）数据存储

根据GDPR规定的“存储限制原则"，“以可(kě)识别数据主體(tǐ)身份的形式存储的数据的存储时间不能(néng)長(cháng)于实现个人数据处理(lǐ)目的所必须的时间"，也即开发者不能(néng)永久存储个人数据，应当根据合理(lǐ)的标准确定数据存储时長(cháng)。同时，根据GDPR第13条、第14条的规定，开发者在获取数据时应当向数据主體(tǐ)披露数据的存储期限，若无法披露存储期限，则应提供决定存储期限的标准。

从数据主體(tǐ)的角度来看，数据主體(tǐ)具有(yǒu)访问权[6]，当其个人数据被处理(lǐ)时，其有(yǒu)权访问个人数据将被存储的预设期限或决定期限的通常标准。

（四）数据处理(lǐ)

开发者作為(wèi)数据控制者，其可(kě)以自行处理(lǐ)数据，也可(kě)以委托他(tā)人作為(wèi)数据处理(lǐ)者对收集到的用(yòng)户个人数据进行处理(lǐ)。数据控制者和处理(lǐ)者应当实施适当的技术和组织措施以确保处理(lǐ)活动的安全水平与风险程度相一致。在处理(lǐ)数据时，每一个数据控制者及其代表人（如有(yǒu)），应当保存一份由其负责的数据处理(lǐ)活动的记录，如果发生个人数据泄露的情形，数据控制者应当自发现之时起72小(xiǎo)时内，按照第55条的规定将个人数据泄露的情况报告监管机构。

根据GDPR第35条的规定，当数据处理(lǐ)行為(wèi)特别是用(yòng)到了新(xīn)技术时，考虑到处理(lǐ)行為(wèi)的性质、范围、内容和目的可(kě)能(néng)会对自然人的权利和自由产生高风险时，数据控制者应当在处理(lǐ)前完成一份设想的数据处理(lǐ)对个人数据保护影响的评估。

根据GDPR第37条的规定，以下情形中，数据控制者和处理(lǐ)者应当指定一名数据保护专员（Data Protection Officer）。

（五）数据跨境转移

GDPR并未对“向第三國(guó)或國(guó)际组织转移个人数据"进行具體(tǐ)定义，為(wèi)了确定何种行為(wèi)属于第五章的管辖范围，欧盟数据保护委员会（European Data Protection Board，以下简称EDPB）发布了指南对适用(yòng)GDPR第五章的场景进行了厘清，它确定了以下三个累积标准，将处理(lǐ)操作视為(wèi)转移：（1）控制者或处理(lǐ)者（“出口者"）对于数据的处理(lǐ)受GDPR的约束；（2）出口商(shāng)通过传输或其他(tā)方式向其他(tā)控制者、联合控制者或处理(lǐ)者（“进口商(shāng)"）提供经过个人数据；（3）进口商(shāng)位于第三國(guó)或者是國(guó)际组织，无论该进口商(shāng)是否根据第3条的规定受GDPR的约束。[7]根据该指南，若开发者直接收集位于欧盟的数据主體(tǐ)的信息，且并自行内部处理(lǐ)，此时该处理(lǐ)行為(wèi)符合GDPR第3条第2款规定的情况，受到GDPR的管辖，但并不构成数据跨境传输，因此不适用(yòng)第五章的规定。但若开发者在收集数据主體(tǐ)的信息后，又(yòu)将该数据传输给第三國(guó)数据处理(lǐ)者进行数据处理(lǐ)，这一传输行為(wèi)构成了“向第三國(guó)或國(guó)际组织转移个人数据"，适用(yòng)第五章的规定。[8]

在GDPR下数据跨境传输的路径和要求主要有(yǒu)三种：充分(fēn)保护标准、适当的保障措施、例外情况。这三种方式并非并列关系，不可(kě)以由开发者自主选择何种路径传输，只有(yǒu)在不满足充分(fēn)保护标准时，才可(kě)以通过适当的保障措施这一路径跨境转移个人数据，而当前两种路径和要求均无法达成时，才可(kě)以在符合GDPR第49条规定的特殊情形的情况下跨境传输个人数据。

充分(fēn)保护标准规定在GDPR第45条，当欧盟委员会决定第三國(guó)、第三國(guó)的某一地區(qū)、某个或多(duō)个特定的部门或某國(guó)际组织已经确定达到充分(fēn)的保护标准时，数据便可(kě)以不经任何特别授权向第三國(guó)或國(guó)际组织转移。欧盟委员会目前确定了15个國(guó)家和地區(qū)达到了充分(fēn)保护标准，目前中國(guó)尚不在此名单内。[9]因此，若开发者希望将数据传输至中國(guó)境内进行存储或处理(lǐ)，可(kě)以采取第二种路径，即遵守适当的保障措施，根据GDPR第46条，数据控制者或处理(lǐ)者只有(yǒu)在提供了适当的保障措施并且满足数据主體(tǐ)能(néng)行使权利、能(néng)获得有(yǒu)效的法律救济的条件时才能(néng)将个人数据向第三國(guó)或國(guó)际组织转移。该规定中的“适当的保障措施"可(kě)以由以下方式提供：

当然，即使充分(fēn)保护标准和适当的保障措施的要求都无法满足，也并不意味着开发者完全无法跨境转移数据，当符合GDPR第49条规定的条件时，数据也可(kě)以被转移到第三國(guó)或國(guó)际组织。

（六）响应机制

GDPR不仅要求数据处理(lǐ)者在处理(lǐ)个人数据时必须遵守数据主體(tǐ)的意愿，还规定了在数据泄露或其他(tā)安全事件发生时，数据处理(lǐ)者必须采取的响应机制。

根据第三章的规定，数据主體(tǐ)享有(yǒu)访问权、更正权、被遗忘权、拒绝权等权利，数据主體(tǐ)行使GDPR赋予的合法权利，需要开发者进行配合。此时，开发者可(kě)以通过构建处理(lǐ)流程、建立自动化系统等方式构建具有(yǒu)可(kě)操作性、能(néng)够应对绝大多(duō)数常规请求的响应机制。

根据GDPR的规定，除了对数据主體(tǐ)行使权利的响应外，在发生数据泄露时，数据控制者应当向监管机构报告，并告知数据主體(tǐ)。[10]

当发生安全事件时，开发者应当首先采取行动控制事件，避免事态的扩大，并对事件进行评估，以确定该事件是否达到了“数据泄露"的标准，只有(yǒu)在“该个人数据的泄露不太可(kě)能(néng)会对自然人的权利和自由造成风险"的情况下，开发者可(kě)以不向监管机构进行报告。根据第33条的规定，开发者向监管机构的报告至少应当包含如下内容：

在向数据主體(tǐ)告知数据泄露事实时，开发者应当用(yòng)明确和清楚的语言，而在符合如下条件时，开发者无需履行向数据主體(tǐ)的告知义務(wù)：

四、企业合规动作

（一）隐私保护影响分(fēn)析（Data protection impact assessment，以下简称DPIA）

DPIA流程旨在确保数据控制者充分(fēn)解决“风险"的处理(lǐ)操作的隐私和数据保护风险。根据GDPR第35条的规定，当一种处理(lǐ)行為(wèi)特别是用(yòng)到了新(xīn)技术时，考虑到处理(lǐ)行為(wèi)的性质、范围、内容和目的可(kě)能(néng)会对自然人的权利和自由产生高风险时，数据控制者应当在处理(lǐ)前完成一份DPIA报告，[11]以下情况尤其需要DPIA：

根据第35条第7款，一次完整的DPIA应当至少包括如下方面：

為(wèi)帮助企业确定是否需要进行DPIA，欧盟数据保护监管机构（European Data Protection Supervisor，以下简称EDPS）制定了一份标准清单。[12]在开发者进行出海合规工作时，可(kě)以参照EDPS提供的清单对自身的数据处理(lǐ)行為(wèi)进行评估，以确定是否需要出具DPIA报告。

（二）数据保护专员（Data Protection Officer，以下简称DPO）

DPO是数据保护专家，负责就组织内的数据保护合规性提供建议。当开发者处理(lǐ)个人数据的情况符合GDPR第37条第1款规定的三种情况时，需要设立一名DPO。

DPO的任務(wù)包括：

在DPO履行职责时，应当从处理(lǐ)行為(wèi)的性质、范围、环境以及处理(lǐ)目的的角度合理(lǐ)关注数据处理(lǐ)行為(wèi)中伴随的风险。

（三）隐私政策的撰写与修改

根据GDPR的规定，开发者需要向用(yòng)户提供一份完整的隐私政策，在隐私政策中，开发者应当根据GDPR第13条的规定披露相应的信息。同时，需要注意的是当披露的信息发生变化或开发者意图基于其他(tā)目的处理(lǐ)收集的个人数据时，要及时更新(xīn)隐私政策。

以搜索引擎Google的隐私政策為(wèi)例，Google在其Privacy Policy中主要对以下信息进行了披露：Introduction; Information Google collects; Why Google collects data; Why Google collects data; Your privacy controls; Sharing your information; Keeping your information; Exporting & deleting your information; Retaining your information; Compliance & cooperation with regulators; European requirements; About this policy; Related privacy practices。在“Related privacy practices"部分(fēn)，Google通过链接网页的方式提供了适用(yòng)于青少年儿童的相关政策。

五、结语

GDPR合规对中國(guó)APP出海欧盟具有(yǒu)重要的意义，也给开发者带来了不小(xiǎo)的挑战。GDPR合规不仅涉及到公司内部各部门的配合，也需要来自熟悉GDPR合规的法律团队的支持。完成GDPR合规工作不仅有(yǒu)利于為(wèi)企业避免法律风险，更有(yǒu)利于企业信誉的提升，促进企业的長(cháng)遠(yuǎn)发展。

[注] 

[1] Art.2 para.1 This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

[2] Art.4 para.2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a)the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b)the monitoring of their behaviour as far as their behaviour takes place within the Union.

Para.3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

[3] Art.5 para.1.Personal data shall be:

(a)processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

(b)collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);

(c)adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

(d)accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

(e)kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

(f)processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

[4] Art.4. para.1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a)the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(b)processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(c)processing is necessary for compliance with a legal obligation to which the controller is subject;

(d)processing is necessary in order to protect the vital interests of the data subject or of another natural person;

(e)processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f)processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

[5] Art.7 para.1.Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Para.2.If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Para.3.The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

Para.4.When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

[6] GArt.15 para.1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

...

(d)where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

...

[7] 具體(tǐ)可(kě)见Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR .

[8] Ibid.

[9] 欧盟委员会已根据GDPR和LED认可(kě)安道尔、阿根廷、加拿(ná)大（商(shāng)业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新(xīn)西兰、韩國(guó)、瑞士、英國(guó)、美國(guó)（参与欧盟-美國(guó)数据隐私框架的商(shāng)业组织）和乌拉圭提供了充分(fēn)的保护。详见https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en，最后访问时间2024年5月8日。

[10] Art.33. para.1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. 2Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

Art.34 para.1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

[11] Art.35 para.1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

[12] DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR OF 16 JULY 2019ON DPIA LISTS ISSUED UNDER ARTICLES 39(4) AND (5) OF REGULATION (EU)2018/1725.