中资企业在德国开展电子商务应该注意的法律问题,可以参考我们网站文章《德国电子商务行业的法律特点及信息告知义务》。德国个人数据保护适用的主要法律依据是欧盟《通用数据保护条例》(德语缩写DSGVO,英语缩写GDPR,以下简称《条例》)以及德国《联邦数据保护法》(BDSG)。此外,对欧盟《数字服务法案》(DSA)、《人工智能法案》(AI Act)等具有域外效力的欧盟法中涉及个人数据保护有关条款,中资电商企业也需要予以关注。
根据《条例》第3条规定的适用范围,无论是自建独立网站,还是通过电商平台售卖,也无论网站服务器架是架设在德国,还是德国境外,均受到该欧盟条例的直接调整,电商运营主体被认定为“数据控制人”,对数据保护承担全面的责任。根据《条例》第4条,个人数据指的是“任何已识别或可识别的自然人(“数据主体”)相关的信息“。据此,电商注册用户的姓名、住址、银行账户、IP地址等等信息,都属于法律所保护的客体。
一、网站对个人数据的收集、存储和使用
运营电商网站,只要是面向德国境内的用户,则收集、存储、使用个人信息的行为,都属于对德国个人信息进行处理(《条例》第4条),视为德国电商网站。其中,电商网站可能收集用户主动披露的信息,例如,网站使用者的姓名、住址、银行账户,也可能自动收集某些用户信息,例如IP地址。信息的存储既可能存在自建服务器上,也可能存在第三方的云服务器上。
德国电商网站使用个人信息的目的,一般主要是为了履行合同义务,即向消费者提供商品或服务,也可以出于安全保障或者保全证据等其他目的。根据《条例》第6条,处理个人数据必须具备合法性基础。网站运营者可以依据《条例》第6条第1款(a)、(b)或(f)项,对获得的数据进行处理:
– 根据(a)项规定,在获得数据主体同意的情况下,网站运营商可以使用其个人信息。例如向用户发送订阅的新闻(Newsletter)或者对客户进行追踪(Tracking),就必须获得用户的事先同意(Opt In);反之,国内电商网站通常未作明确的提示,便使用追踪代码存储用户的个人数据,或者把用户接受营销信息作为默认同意的设置(Opt Out),甚至不提供拒绝接收营销信息的功能,此类设置在德国原则上都是违法的。
– 根据(b)项规定,为了履行与数据主体订立的合同,必须处理数据时,电子网站运营商可以处理其个人信息,例如处理用户的姓名、住址、银行账户。
– 根据(f)项规定,如果处理对于网络运营商所追求的正当利益是必要的,那么它也可以对用户的数据进行处理,例如为了保证网站的安全运营而存储用户的IP地址。
二、个人数据保护声明的一般内容
德国电商网站收集数据主体信息时,对数据主体负有法定的告知义务。实践中,网站一般通过制定《个人数据保护声明》(Datenschutzerklärung)来履行这一义务。《条例》第13条规定了告知义务的具体内容,至少应当包括以下要素:
1、网站运营商的姓名及详细联系方式;
2、处理个人数据的目的以及法律依据;
3、以《条例》第6条(f)项为依据处理个人信息的,要说明网站运营商或第三方的正当利益;
4、网站运营商期望将数据转移到第三国的事实,欧盟委员会是否做出充分保护的决定,或者,在第46或47条或者第49条第1款第2段所规定的极个别例外的跨境数据转移情形中,应当告知适当或合理的保障措施,以及如何获得其副本或可在何处获得其副本的信息;
5、个人数据将被存储的期限;
6、数据主体的权利,如撤销同意的权利,向主管机关申诉的权利,等等。
根据德国电商网站运营的具体情况,告知义务还可能还必须包括其他必要的内容,需要结合网站的业务模式及工作流程具体分析。
三、第三方的数据处理与数据跨境
电商网站运营过程中,常常要与第三方合作。这些第三方包括云服务商、数据分析服务商、收款服务商,等等(“数据处理人”)。根据《条例》第28条,如果网站运营商需要将数据交给第三方处理,那么必须与第三方订立《委托处理合同》(Auftragsverarbeitungsvertrag),以确保第三方也会同样遵守《条例》中规定的相关义务。
如果德国电商网站收集到的个人数据,需要传送到中国进行处理,网站运营者要保证数据主体能够获得与欧盟同等水平的保护。通常情况下,数据出口者和进口者可以根据《条例》第46条第2款(c)的规定,签订欧盟委员会制定的《数据保护标准条款》,来保证数据的安全跨境。这里应该注意的是,网站编程人员往往可能调用欧盟境外第三方服务商提供的统计代码,嵌入网站分析用户访问数据,例如,百度或者谷歌等第三方访客统计代码,同样也可能触发个人数据跨境传输的适用条件。
四、个人数据的安全保障措施
根据《条例》第32条,网站运营商应当采取技术和组织措施(technische und organisatorische Maßnahmen),保护个人数据的安全。这些措施包括但不限于个人数据的匿名化和加密,例如,通过HTTPS通信协议进行加密。建议对这些保障措施做好日常的记录与管理,在发生数据泄露事故或者例行检查时,可以及时向主管部门提供,以避免对企业的进一步追责。
一旦发生信息泄露,网站运营者应当在72小时内通报个人数据保护的监管部门,在德国由各个联邦州设立的州级专属数据保护机构负责主管接收此类事故报告。如果不能及时履行通报义务,应当向主管部门说明延迟通报的理由(《条例》第33条)。如果数据泄露会给网站用户的权利和自由带来较高风险,还应当将损害及时告知其本人(《条例》第34条)。
对个人数据进行大规模、持续性监控的网站,或者大规模处理特殊类别数据的网站,必须设置个人数据保护官(Datenschutzbeauftragte)(《条例》第37条第1款(b)项和(c)项)。《条例》第39条详细规定了个人数据保护官的法定职责。
此外,还应该注意德国《联邦数据保护法》(BDSG)第38条对个人数据保护官的设置,还规定有单独的强制条件,即企业如有20人以上从事个人数据的自动化处理,应当设置个人数据保护官;即使没有达到这个人数条件,只要依《条例》第35条应当进行数据保护后果评估,或者以传输为目的商业化处理个人数据,或者匿名化传输,或以市场调查或民意调查为目的,均应设置个人数据保护官。根据实践经验,很多国内大中型的电商或者数据服务公司,实际上都有义务为其德国地区业务设置专门的数据保护官。
五、罚款
从事德国业务的电商企业如违反个人数据保护规定,应该适用《条例》关于罚则的通用规定,例如,违反《条例》第83条第4款中列举的条款,将会被处以最高1千万欧元或者上一年度全球总营业额2%金额的罚款,二者取其高。违反第5款中列举的条款,将会被处以最高2千万欧元或者上一年度全球总营业额4%金额的罚款,二者取其高。
综上所述,中资企业在德国开展电子商务,应当全面、深入地了解德国对个人数据保护的相关规定,检视电商运营的各个环节是否做到数据保护合规。如果达到法定强制条件下,或者为了更好满足个人数据保护问责制度的要求,我们建议在德国有业务运营的电商企业,最好任命符合资质要求的个人数据保护官,确保动态实时管理德国电商运营过程中的个人数据保护工作。
