歐盟隱私保護新政策解讀

Allowing national watchdogs to issue fines, potentially totaling the equivalent of hundreds of millions of dollars, if companies misuse people』s online data, including obtaining information without people』s consent.

許可全國性國家機關對公司濫用用戶數據或未經許可獲得用戶數據的行為進行罰金處罰，金額可能上億。

Enshrining the so-called right to be forgotten into European law, giving people in the region the right to ask that companies remove data about them that is either no longer relevant or out of date.

在歐盟法律中加入所謂遺忘權，即許可用戶在歐盟地區要求響應公司移除與自身不相關或過失的數據。

Requiring companies to inform national regulators within three days of any reported data breach。

要求互聯網公司必須數據違規行為的3日內通知國家相關機構。

Obliging anyone under 16 to obtain parental consent before using popular services like Facebook, Snapchat and Instagram, unless any national government lowers the age limit to 13.

16歲以下的用戶註冊社交媒體需要取得父母同意，除非所在國家降低用戶年齡到13歲。

Extending the new rules to any company that has customers in the region, even if the company is based outside the European Union.

新規則延伸到所有在歐盟地區有用戶的公司，即使公司在歐盟之外的地區。

Personal data shall not be transferred to a country or territory outside the EEA unless that country or territory ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data.

用戶數據不能轉移到歐盟之外的地區，除非當地可保證為用戶數據提供足夠的隱私保護。違反此條，可按照公司收入（營業額）的4%向歐盟繳納罰金。

中國出海公司的合規風險

根據GDPR要求，企業隱私數據離境至少需滿足以下其中一個條件，方可視為合規：

1. 離境至歐盟認為能提供充分隱私保護的國家或地區，或被歐美隱私保護盾（歐盟-美國合作制定隱私法規）覆蓋的國家
2. 隱私數據輸出方與接收方簽訂歐盟認可的標準合同 （model contract)
3. Binding Corporate Rules (隱私保護寫入公司經營協議或公司章程）

中國互聯網企業數據問題

中國不是受GDPR認可的「安全國家」，因此必須執行有關「備案」才能合法合規地執行隱私數據離境存儲。

中國應用和遊戲開放商，如果需要進行數據轉移，可轉移至歐美髮到國家，如果需要轉移到中國，應該向歐美申請批准之後才可以轉移。

推薦閱讀：