作者:孟洁 | 刘成伟 | 谭德芳 | 张淑怡
一、概述
对于通常会涉及数据资产或相关业务运营的TMT行业,通常会考虑搭建VIE红筹架构进行海外融资或上市。在这些VIE架构中,通常会在开曼群岛设立公司作为海外融资或上市主体。另外,在一些中国企业“走出去”进行境外投资时,有时也会在开曼群岛设立一层SPV持股主体。然而由于海外市场的国情、法律惯例、文化背景等方面存在差异,进入不熟悉的境外经营环境与投资环境必然伴随着一定的法律风险。大数据时代的来临给企业的海外投资带来了新的挑战,企业不仅要关注境外公司法、税法等方面的规则,还有必要了解当地数据保护方面的法律,增强数据合规和数据安全意识。
鉴于《开曼群岛数据保护法(2017)》(以下简称“DPL”)将于2019年9月30日生效,对于在开曼群岛注册海外融资或上市主体或在开曼设立SPV持股公司的中国企业而言,也有必要认真审视DPL这一开曼新规所可能带来的影响。因为GDPR已经实施一年多了,很多规则已经被大众较为熟悉。因此,在各国新出台数据保护法时,基本都会先拿它来作为衡量尺子,以评判新法的保护力度与处罚重轻。本文也不出例外,通过欧盟《通用数据保护条例》(以下简称“GDPR”)与DPL进行对比,介绍DPL数据保护法的内容和特性,尤其是为中国公司通过VIE的方式去开曼群岛注册公司时应当遵守的数据保护法律规则提供合规指引。
二、《开曼群岛数据保护法》与欧盟《通用数据保护条例》对比分析
(一)域外效力
DPL与GDPR两者均具有域外效力。
具体而言,DPL适用于:
- 在开曼群岛内设立的“数据控制者”处理个人数据;或
- 在开曼群岛以外设立的,且在开曼群岛内处理个人数据的“数据控制者”,但以通过开曼群岛传输个人数据为目的的除外。
如果设立于开曼群岛以外的数据控制者,在开曼群岛内处理数据,则需要指定一名位于群岛的当地代表作为数据控制者,以遵守DPL。
相似的,GDPR第3、27条规定GDPR适用于:
- 设立在欧盟内的组织;或
- 设立在欧盟外,但为欧盟内的数据主体提供商品或服务或对数据主体的活动进行监控的组织,在此种情况下数据控制者或处理者应当在欧盟内委任一名代表。
(二)重要定义与概念
DPL与GDPR均对“同意”、“数据控制者”、“数据处理者”、“个人数据”、“处理”、“个人敏感数据/特殊类型的数据”进行了定义。具体对比如下:
(1) “同意”
|
对比项目DPL |
|
“同意 2. 数据控制者负有证明同意的举证责任。同意可在任何时间被撤回;
|
“同意 2. 当处理是建立在同意基础上的,控制者需要能证明,数据主体已经同意对其个人数据进行处理。
4. 数据主体应当有权随时撤回其同意。在撤回之前,对于基于同意的处理,其合法性不受影响。在数据主体表达同意之前,数据主体应当被告知这点。撤回同意应当和表达同意一样简单。 ——包括履行条款所规定的服务 |
通过对比DPL和GDPR的“同意”定义和相关规则可以发现,DPL的同意规则在GDPR中均可以找到,且GDPR针对撤回同意的难易程度、如何判定同意是自由作出之两部分进行了额外规定。
(2) “数据控制者”
|
对比项目DPL |
|
控制者是指单独或与他人共同决定任何个人数据的处理目的、条件和方式的主体。包括当数据控制者建立在开曼群岛以外,但数据处理在开曼群岛以内,需要指定一位当地代表作为数据控制者的情形。—不论是单独决定还是共同决定
|
DPL和GDPR 关于“数据控制者”的定义和相关规则具有一致性,均为单独或与他人共同决定数据处理目的的主体;且设立在境外的受规制实体均需在法域内委任一名代表。
(3) “数据处理者”
|
对比项目DPL |
|
”任何代表数据控制者处理个人数据的人(或实体),但不包括数据控制者的员工。“处理者 |
DPL和GDPR关于 “数据处理者”的定义和范围基本一致,但DPL明确说明数据控制者的员工不构成“数据处理者”。
(4) “数据主体”
|
对比项目DPL |
|
任何已被识别的自然人,或任何可能被数据控制者或任何其他人通过合理方式直接或间接识别的自然人,且该自然人并未死亡。 |
针对“数据主体”的定义,DPL和GDPR均强调了自然人身份的可识别性,包括“已被识别”和“可被识别”两个方面。有趣的是,DPL还明确规定数据主体必须处于未死亡状态,相对而言,保护范围有所限缩。
(5) “个人数据”
|
对比项目DPL |
|
与可识别的存活个体有关的数据,例如: ; 2. 对存活个体的任何意见 3. 表明数据控制者或与该存活个体相关的任何其他人的意图。 “个人数据“数据主体 |
相较于GDPR,DPL中“个人数据”的范围要更广,DPL明确规定“对存活个体的意见”以及“表明数据控制者或与该存活个体相关的任何其他人的意图”亦属于“个人数据”,这在GDPR中是较难以被认定为“个人数据”的。
(6) “个人敏感数据”
|
对比项目DPL |
数据1. 数据主体的种族或族裔出身 ; 3. 数据主体的宗教信仰或其他类似性质的信仰 ; 5. 数据主体的遗传资料 ; 7. 医疗数据 ; 9. 该数据主体的罪行,或被指控的罪行 就该数据主体所犯的任何罪行或被指控已犯的任何罪行提起的任何法律程序,处理该等法律程序或该群岛或其他地方法院的任何判决。1. 特殊类型个人数据是指 对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
|
DPL和GDPR关于“个人敏感数据”的措辞不一致,前者采用了“sensitive personal data”,后者采用了“special categories of personal data”,但二者在保护对象上基本是一致的,只是GDPR将“与刑事定罪和犯罪或保安处分相关的个人数据”另外做出了专条规定。
(7) “处理”
|
对比项目DPL |
|
”是指获取、记录或保存数据,或对个人数据进行的任何操作或一系列操作,包括: ; 2. 检索、查阅或使用个人数据 ;或
|
”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 |
GDPR |
|
合法性原则——公平合法处理 在此原则下要求公平处理个人数据。 DPL附表1-6段中的条件之一):
2. 对于个人敏感信息,至少满足3中的条件之一:
3. 在确定个人数据是否得到公平处理时,应考虑个人数据的取得方式,以及数据主体在数据处理的目的方面是否被欺骗或误导。此外,除非已向数据主体提供数据控制者的身份及数据处理的目的,否则将视为个人数据未获得公平处理。…方式来进行处理。
(a) 数据主体已经同意基于一项或多项目的而对其个人数据进行处理;
(c) 处理是控制商履行其法定义务所必需的;
(e) 处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;
1段( 2. 对于特殊类型数据的处理,则必须满足至少如下一项条件:
(b) 处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的;
(d) 基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施;或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关,并且个人数据在未经数据主体同意前不对实体外的人公开;
(f) 当处理对于提起、行使或辩护法律性主张必要时,或者法院在其所有的司法活动中所进行的处理;
(h) 处理对于预防性医学或临床医学目的是必要的,或者对于评估雇员的工作能力、医疗诊断、提供3段所规定的情形与保障措施 (i) 在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者 89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。 |
GDPR |
|||
|
目的限制原则——为一个或多个具体的合法目的而被获取,且个人数据的后续处理不得违反以上目的。89条第 |
DPL的数据保护第二原则基本上和GDPR的“目的限制”原则内容趋同,都强调了必须基于合法和特定目的收集数据,以及不得初始目的以外的其他目的处理数据,但GDPR另外规定了例外情形。
|
对比项目DPL |
|
数据保护第三原则 |
个人数据的处理应充分、相关并且应限制于为实现个人数据处理目的所需的最小限度内。 |
GDPR |
|
准确性原则——个人数据应当是准确的,如有必要,必须及时更新。 |
DPL的数据保护第三原则对应于GDPR的“准确性”原则,内容基本一致。但是DPL对“不准确”的个人数据做出了明确定义,即指具有误导性、不完整或过时的数据。鉴于根据DPL,数据主体的意见也属于个人数据,而意见具有主观性,因此,意见的记录并不一定因为数据主体的不同意见或者意见被证明是错误的而成为不准确的个人数据。
|
对比项目DPL |
原则——个人数据的保存时间不得超过实现特定目的所需时间。89( |
DPL和GDPR均对个人数据的保存时间做出了规定。同时,DPL第23条第7款明确规定“为了实现历史、统计或科学目的而处理的个人数据”也属于数据存储限制的例外情形。总体而言,数据控制者均应制定数据保存时间的策略,定期检查数据,并在不再需要时对该数据进行删除或匿名化处理。DPL和GDPR都没有为各类数据规定特定的时间限制,因为它取决于为了实现特定目的而需要保存数据的时间。
|
对比项目DPL |
|
数据保护原则第六原则 |
|
GDPR |
|
数据完整性与保密性——对个人数据采取适当的技术和组织措施。 |
DPL第七项原则和GDPR的“完整性和保密性”原则的内容是一致的。在具体内容方面,DPL做出了更为细致的规定。DPL区分了物理安全和网络安全, 就物理安全而言,相关因素包括对商业设施的保护(如通过门锁、警报、安全警示灯、闭路电视监控等方式)、对商业设施设置访问权限和对访客的监控、信息技术设备(特别是移动设备)的安全性,就网络安全而言,需考虑的因素包括系统、数据、在线服务和设备的安全性。此外,数据控制者的全体工作人员都要理解保护个人数据的重要性,也要熟悉安全政策和程序。
|
对比项目DPL |
|
数据保护第八项原则 |
<span style="line-height: 200%; font-family:; font-size: 10pt;" "="">/ |
DPL将数据跨境的“充分性保护”作为数据保护的原则之一,突出了数据出境场景下个人数据保护的重要性。另外,值得注意的是,监察专员(Ombudsman)认为,下列国家和地区的保护措施是充分的:适用欧盟GDPR的欧洲经济区成员国,以及欧盟委员会根据GDPR第45(3)条作出认可决定的国家,或认可决定根据GDPR第45(9)条仍处于有效状态的国家
(四)罚则
DPL规定,违反DPL(如未能根据数据主体的请求向其提供特定详细信息、在数据泄露时未能通知数据主体和行政监管部门、非法获取、披露、出售或获得个人数据、扣留、更改、隐瞒或销毁行政监管部门要求的信息、故意或过失披露信息、妨碍令状或做出虚假陈述、未能遵守执法或金钱性的强制执行令等行为)可能导致每次违规单处或并处高达CI$100,000 / US$122,000的罚款以及最长5年的监禁。在严重违反DPL并可能对数据主体造成重大损害或严重影响的情况下,也可能产生高达CI$250,000 / US$305,000 的其他罚款。
GDPR则根据违反的条款不同,设置了不同情形下的最高额罚金:
- 如存在以下行为,则应当施加最高一千万欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的罚款,两者取其高的一项进行罚款:
(a) 未准守儿童的同意的规定、未履行隐私保护设计以及默认隐私保护(PBD)、对于数据处理者的使用不合规;
(b) 违反数据泄露报告、处理安全、处理活动的记录义务;
(c) 违反数据保护影响评估和事前咨询义务/任命DPO;
(d) 违反行为准则或认证要求。
- 如存在以下行为,则应当施加最高二千万欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额4%的金额的罚款,两者取其高的一项进行罚款:
(a) 未符合个人数据保护原则规定、没有法定事由处理数据、未取得有效数据主体的同意、违反使用个人敏感信息的禁止性规定、不遵守数据主体权利请求或者剥夺数据主体权利、违反跨境传输的规定;
(b) 未遵照监管机构调查权/违反成员国法律;
(c) 违反数据流动暂停或终止监管要求/矫正指令。
比较DPL和GDPR的规定,就罚则类型而言,DPL相较于GDPR,额外规定了最长5年的监禁刑;就罚金额度而言,GDPR的最高额远高于DPL。
根据DPL,除了罚款以外,对于有行政执法权的监管部门来说,相关部门还有权采取如下行动:
(a) 对申诉进行听证、调查和裁决;
(b) 对数据控制者的合规性进行监督、调查和报告;
(c) 对处理相关的业务进行干预、提供意见并发布指令;
(d) 命令更正、限制、删除或销毁数据;
(e) 对处理行为施加临时或永久禁令;
(f) 对一般性和针对特定数据控制者的改革提出建议;
(g) 参与违反DPL条款的诉讼程序,或将违反行为提交给相关监管部门;
(h) 与国际数据保护监管机构合作;
(i) 公布和宣传DPL的要求以及该法项下数据主体的权利;
(j) 其他看似偶然或有助于履行DPL所规定职能的事项。
三、DPL生效对拟在开曼设立公司搭建VIE架构的企业的影响与意义简析
根据中国法律,部分行业具有严格的准入门槛,仅允许内资企业或中国籍居民从事,或者出于公司海外上市的需要,部分公司会选择通过采用VIE的模式,在开曼设立公司,从而实现其商业目的。
通常而言,在实践中,红筹架构的基本操作模式如下图所示:
鉴于采用VIE模式的公司通常会在开曼设立实体,并且在公司设立和年审过程中,在特定情形下会涉及到个人信息的收集和处理,因此,很有可能需要适用DPL的规定。比如说,在公司注册阶段,需要提交董事、股东的相关资料,如董事、股东为自然人的,则涉及到该主体的身份证/护照信息、个人住址、联系电话等信息。公司注册以后,为办理年审,也需要提交或更新自然人董事或股东的个人信息。因此,基于上述场景,通过VIE形式到开曼群岛设立公司搭建红筹架构进行海外融资或返程投资的企业有可能会被认定为是“数据控制者”,并且受到这样一部法律的约束。
此外,为了满足商业运营的需求,还有可能会涉及将开曼公司的相关数据(包括个人数据)传输至公司在第三方国家的运营实体的情形,在该场景下,公司还应当特别关注DPL关于数据出境的相关规定。根据DPL第八项数据保护原则,基于充分性保护传输个人数据应当考虑的因素包括:
(a) 个人数据的性质
(b) 数据的来源国
(c) 传输的目的国
(d) 拟处理个人数据的目的与时间
(e) 传输目的国现有的法律
(f) 传输目的国现有的国际义务
(g) 传输目的国现行的行为规范或标准
(h) 传输目的国针对数据的其他安全措施。
因此,建议该类企业在DPL生效之前了解这部数据保护法的基本要求、对数据的保护类型、保护原则、个人数据的权利的实现机制、以及可能受到处罚规则(高额罚款+高达5年的监禁)。根据不同企业在开曼处理数据的实际情况,制定并实施个人数据保护合规计划,建立有效的内部培训和治理机制,以应对DPL政策实现相关机构的批准、监督、实施和审查,也将成为必不可少的一环,从而避免相应的法律责任。
请点击左下方“阅读原文”查阅《开曼群岛数据保护法(2017)》原文。
