浅谈欧盟个人数据保护制度及合规建议 家事金言（一百六十三）

　　随着科技快速的提升，智能家居让生活更智能、更便捷，将这些遥远的未来科幻场景变成了许多人的日常生活。然而，正如硬币有正反面，智能家居既是我们日常生活的守护者，也同时是我们的密切监视者。我们的每一个动作都暴露在设备的监控之下。为保护个人隐私和数据，目前各国立法机构纷纷出台了相应法规予以规制，其中尤以欧盟的《通用数据保护条例》（General Data Protection Regulation, 下称GDPR）最为完善，被世界各国竞相模仿。而作为世界工厂，中国智能家居厂商在满足国内需求的同时，也积极占领海外市场，尤其是中国第二大贸易伙伴欧盟。本文拟从智能家居发展现状的角度，浅谈欧盟个人数据保护制度及数据合规建议。

　　智能家居是以住宅为核心，借助综合布线技术、网络通信技术、安全防范技术、自动控制技术和音视频技术，将与家居生活相关的设备整合在一起，构建高效的住宅设施和家庭日程事务的管理系统，以提升家居安全性、便利性、舒适性和艺术性，实现环保节能的居住环境[1]。据报道，截至2023年2月，中国智能家居APP的月活用户规模达到2.65亿[2]。智能家居领域的领先厂商包括小米、华为等依托手机端客户和互联生态攻占市场的科技公司，以及美的、海尔等老牌家用电器厂商，还有凭借智能音箱迅速进入智能家居市场的百度、阿里等互联网巨头。产品范围广泛，包括智能家电、智能安防监控、智能影音娱乐、智能照明、智能连接控制和智能家庭能源管理，覆盖了居家生活的主要场景。这些厂商在满足中国市场需求的同时，积极拓展海外市场，尤其是欧盟地区。根据商务部统计，2022年，中国是欧盟最大的进口来源地，中国产品占欧盟进口产品的20.8%[3]。因此，在对欧贸易中，如果确保遵守欧盟数据保护相关法律是众多出口厂商需要面对的重大难题。

　　2018年，为因应数字化的经济全球化对个人数据保护带来的挑战，欧盟制定了《通用数据保护条例》（GDPR）[4]，以解决欧盟成员国在个人数据保护立法及实施过程中法律不统一的问题。

　　a.个人数据定义：关于个人数据的定义，不同国家和地区采用不一样的术语，如“个人数据”、“个人隐私信息”、“隐私”等。欧盟成员国主要使用“个人数据”一词，而美国、加拿大使用“隐私”，日本、韩国、俄罗斯等国使用“个人隐私信息”。在中国大陆，《民法典》采用了“个人隐私信息”这一法律定义。[5

　　在欧盟地区，“个人数据”指与一个已识别或可识别的自然人（即数据主体）相关联的所有信息。可识别的自然人通过标识符，如姓名、识别号码、位置数据、网上标识符，或者通过生理、心理、基因、经济、文化或社会特征等因素，可被直接或间接识别。包括但不限于姓名、家庭地址、电子邮件地址、各种身份识别号码、位置信息、IP地址、cookie ID、移动电话的广告应用标识符等。

　　此外，GDPR 还特别规定了敏感个人数据，称为“特殊类别的个人数据”，包括揭示种族或民族信息、政治观点、宗教、哲学信仰、工会成员信息、健康、自然人性生活或性取向的个人数据。对这些敏感数据的保护和处理要求更为严格。

　　b.数据处理：是指对个人数据执行的任何操作，无论是不是通过计算机自动处理的方式还是通过传统的人工处理，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播等；

　　欧盟的《通用数据保护条例》（GDPR）强调了个人对其个人数据的掌控权，要求企业在处理数据时保持透明，并获取用户的明示同意（consent）。此外，GDPR还规定了对于敏感个人隐私信息更为严格的处理要求，以进一步保护用户的隐私权益。

　　欧盟作为超国家组织，（supranational organization），其法律既不属于具有直接对内效力的国内法，也不属于平等国家之间缔结的普通国际法，而是自成一派的超国家法。按照法律位阶，欧盟法律最重要的包含为欧盟条约（EU Treaties），法规（Regulations），指令（Directives），决定（Decisions）等，法律上的约束力逐级降低[5]。其中欧盟条约及法规具有直接效力，可直接在各成员国实施；而指令，决定等法律需要经过成员国国内立法转换（harmonization）后方可适用。对照可知，GDPR属于欧盟法规，效力仅次于欧盟条约，具有直接实施效力，各成员国都应当遵照执行。

　　GDPR的适合使用的范围广泛，不仅包括在欧盟内处理个人数据的组织，还适用于那些虽不设立在欧盟内但处理活动牵涉到欧盟境内数据主体、提供商品或服务、以及监视数据主体的组织。只要商品或服务销售给欧盟境内的个人，并涉及个人数据处理，都可能会受到GDPR的监管。简而言之，GDPR的保护对象为欧盟境内的数据主体，其适合使用的范围随着欧盟境内个人数据的流动而延伸。

　　作为监管法（Regulatory law），GDPR的主要立法目是对相关领域的两个特定主体的行为进行监管，以此确保个人数据在处理过程中得到一定效果保护。他们分别是数据控制者（data controller）和数据处理者（data processor）。

　　a.数据控制者是指单独或联合决定个人数据处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。具体而言，如果一个组织有权决定处理个人数据的目的和方式，那么它可以被称为数据控制者。当需要两个或两个以上的控制者共同决定个人数据的解决方法和目的时，它们被称为联合控制者。根据GDPR的要求，它们应以明确的方式确定在监管规定下各自的责任与义务。

　　b.数据处理者是指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。数据处理者代表数据控制者处理个人数据，为数据控制者的利益服务。作为数据处理者，应在数据控制者指定的范围内进行数据处理活动，不得超出范围、目的、约定时间等。如果处理行为发生变更，则需要在使用前得到数据控制者的授权。

　　例如，智能家居的制造商搜集了相应数据后，成为了数据控制者，能自己或委托第三方即数据处理者对数据来进行处理，从而为客户提供后续服务。

　　GDPR第5条规定了数据处理的6项原则，分别是合法公平透明原则、目的限定原则、数据最小范围原则、准确性原则、存储期限限制原则、安全性和保护的方法原则：

　　a.合法性、公平性、透明度：数据处理必须以合法、公平、透明的方式来进行。处理者需要明确数据处理的合法基础，如用户同意、合同履行、法律义务等，并在透明度方面提供清晰的信息。

　　b.目的限制：数据只能遵守明确定义的合法目的被收集和处理，不得与原始收集目的不一致的地方使用。任何超出这一范围的处理都需要新的用户同意或其他合法基础。

　　c.数据最小范围：数据处理应限制在实现目的所需的最小范围内。处理者应当仅收集和处理对于实现特定目的所必需的数据，避免不必要或过度的数据收集。

　　d.准确性：数据处理者负有确保个人数据的准确性的责任。一定要采取合理的步骤来纠正不准确或过时的数据，并在需要的情况下更新数据。

　　e存储期限：个人数据应仅在达到目的所需的时间内保留，并在此后删除或匿名处理。处理者需要明确规定数据的存储期限，并在超过期限时采取适当的措施。

　　f.安全性和保护的方法：处理者有责任采取适当的技术和组织措施，确保个人数据的安全。这包括防止没有经过授权的访问、避免数据泄露，并在有必要时通知监督管理的机构和数据主体。

　　GDPR第6条规定了个人数据处理的6项合法情形，可归纳为数据主体同意(Consent)以及其他5项合法情形（履行合同、履行法定义务、保护个人权益、维护公共权益、追求正当利益）。只有符合其中一项或者多项情形，方可有权处理个人数据，。

　　b.履行合同：为了履行数据当事人参与的合同之必要，或者处理是为了在签订合同之前应数据主体的要求而采取的措施；

　　e.维护公共权益：为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；

　　f.追求正当利益：为了控制者或第三方追求的合法利益之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利和自由覆盖的除外，特别是数据主体是儿童的情况下。该项不适用于公共当局在执行其任务时所进行的处理。

　　如前所述，GDPR将个人对其个人数据的掌控权作为数据保护法最基本的立法宗旨。通过促进透明、合法、尊重隐私权的数据处理，实现权责平衡与个体选择权。数据主体的同意行为对于数据处理行为是不是合乎法律起到决定性的作用。基于此，众多数据控制者绞尽脑汁采取各种手段，诸如不断弹窗请求，或者不同意没办法使用产品功能等以获取用户的同意。但通过此类行为获得的用户同意有很大的可能性被欧盟执法机关认定为无效。

　　GDPR的上述原则和以及其赋予数据主体的各项权利共同构成了数据保护框架。除上述外，GDPR还规定了一系列的其他措施，确保个人数据保护能够顺利实施。

　　数据保护执法机构 DPA 是独立的公共机构，负责监督每个欧盟成员国内的 GDPR 合规性和执行情况。通常，每个欧盟成员国都有自己的 DPA，负责执行 GDPR 和其他当地或区域隐私法。DPA 有权调查 GDPR 违反相关规定的行为、处以罚款并命令组织采取纠正措施。

　　在处理大量个人数据或处理大量敏感个人数据时，或公权力机构处理数据时，数据控制者或者数据处理者需要设立DPO。DPO可以是公司的内部人员担任，也可委托外部人员担任，负责监督数据保护合规性，并与监督管理的机构合作。

　　因不同司法制度对个人数据保护的严格程度存在一定的差异，如果数据控制者（处理者）在进行个人数据跨境传输时，不仅需要仔细考虑所在国家地区的法规要求，也要考虑到所在接收国家地区的法规要求，因此受到执法机关的严格管控。

　　DPIA即个人数据影响评估。根据GDPPR有关要求，当处理可能对自然人权利和自由造成高风险时，控制者应在启动个人数据处理之前就个人数据保护所设想的解决方法的影响进行评估。

　　根据 GDPR 第 83 条规定，DPO对于违背法律规定的行为可处以下列行政惩罚措施：

　　a.如果企业违反第8条、第11条、第25条至第39条、第41条至第43条的义务规定，则处以最高 1000 万欧元或上一财政年度全球年营业额 2% 的罚款，以较高者为准；

　　b.如果企业违反第 5、6、7 和 9 条，第 12 条至第 22 条，第 44 至 49 条，第九章通过的成员国法律规定的任何义务，第58条之规定，则处以最高 2000 万欧元的罚款或上一财政年度全球年营业额的 4% 的罚款，以较高者为准。

　　通过上述对于GDPR重要条款的分析可知，作为欧盟法律，GDPR具有直接的强制执行效力。若违反相应法律规定，将面临最高达上一财政年度全球年营业额的 4% 的罚款。处罚力度不可谓不大。因此，如果确保出海的智能家居产品符合GPDR的要求是所有企业应当面对的问题。本节就智能家居产品出海提出三点数据合规建议，仅供参考：

　　用户同意是处理个人数据最重要的合法依据。而一个有效的用户同意应当是由用户在充分知情基础上，针对具体行为而主动作出的，并且可随时通过简单的方式撤回的明确意思表示。[7]

　　此外，必须要求用户选择主动加入(opt-in)，而 不可以使用预先勾选的框、选择退出框或其他默认设置。只要有可能，提供单独的精细的选项以同意不同的目的和不一样的处理。并且应当保存记录以证明同意——谁同意、何时、如何以及被告知的内容。[8]

　　出于成本考虑，中国的智能家居设备厂商可能将所搜集的用户个人数据传送至中国服务器内。这就涉及数据跨境传输，受到欧盟管控。根据GDPR第46条规定，原则上有两种主要方式可将个人数据传输至非欧洲经济区国家或国际组织。第一种是传输至欧盟委员会确定的达到欧盟数据保护标准的国家（如美国，加拿大，英国等国，但不包含中国）；第二种则是在适当的保障措施的基础上进行数据传输，包括：

　　设立DPO的目的是提供按照法律和法规和个人目的使用个人数据的能力。成功的 DPO 可以在管理风险的同时，在合规性和业务创新之间取得平衡。如前所述，处理大量个人数据或处理大量敏感个人数据的智能家居公司一定要设立DPO。

　　DPO 的工作可以由内部职能部门或服务合同下的外部咨询机构来履行。该职务不一定是全职的，但需要组织遵守 GDPR 以及数据保护官员有足够的时间和资源来很好地执行其任务。作为基础条件，DPO 一定要具有“欧盟及其成员国数据保护法方面的专业相关知识”。此外，DPO履行其职责不受相关约束，并且不存在利益冲突。

　　a.通过提供相关建议并向数据处理机构通报适用的欧盟和国家法律、法规和标准，监控 GDPR 的遵守情况；

　　在万物互联的信息时代，个人数据早慢慢的变成了了一项珍贵的经济资源。全世界内数据保护立法及执法日趋严格，这对数据处理机构提出了更为具体的、严苛的合规要求。而智能家居产品的使用主要建立在处理用户个人数据的基础上，提供个性化产品服务。因此，企业应当将个人数据保护作为重点工作内容，使数据合规成为产品走向世界的标准配置。

　　[1] 阮星, 蔡闯华 《一个基于ZigBee协议的智能照明应用实例的实现》 赤峰学院学报：自然科学版, 2011(8)

　　[2] 界面新闻，《2023智能家居洞察：爆发前夜，行业月活用户已达2.65亿，六大细分赛道并驾齐驱》

　　[5] 胡智俊，《浅析我国个人隐私信息定义与欧盟个人数据定义的不同》,2020年第10期

　　本篇所涉内容均取自公开信息，全文内容、观点仅供参考，不应当被视为出具任何形式的法律意见或建议。

　　琚律师系泽大律师事务所律师，擅长知识产权、企业财税、涉外民商事纠纷、合同纠纷等业务领域，可用中、英、德、韩四国语言工作，有着非常丰富的知识产权诉讼与非诉代理，涉外民商事纠纷的处理经验。

　　以婚姻、继承业务为切入点，致力于提供婚前婚后财产规划、家业企业风险隔离、家庭财富的筹划与安排（传承）等业务、继承安排及监督与执行、婚姻危机辅导与处理、婚姻家事争端解决等法律服务。服务范围从解决婚姻家事个人间的争议纠纷扩展到了与其相关的领域，包括对私人财产安全保障的策划建议；家族财富管理与保障；家族企业治理结构完善；代际传承规划及监督与执行，私人法律顾问等。