胡峰 上海邦信阳中建中汇 律师事务所 律师助理
自欧盟《通用数据保护条例》(GDPR)于2018年5月25日施行后,国内多家企业可能经历着不同程度的“焦虑”,一些律所(尤其是有全球网络的大型律所)的律师(包括本人在内)本着自己的专业知识,也向这些企业“广播”这种“焦虑”,认为企业应当加强个人数据保护,很多时候应当聘用专业的数据保护官(DPO,GDPR创设的一种职位),以更好应对GDPR的合规挑战。但企业有可能会反问:贵所是国际化律所,也有欧洲业务,是否也需要聘用DPO呢?聪明的问题,就像理发师悖论一样:当一家律所宣称它能向所有有需要的企业提供DPO时,这家律所自己是不是也属于这类“有需要的企业”呢?
本篇文章即是回答这类问题,但答案仅供参考,不代表本人任何正式的法律意见。
律所是否处理个人数据?
这个问题的答案是肯定的,律所处理个人数据。当律师与客户签订服务协议,收到法院或对方当事人各种函件,进行竞职调查,回复各种函件时,都会收集、使用相关数据主体的个人数据,比如自然人客户、法官、检察官、对方及对方律师、目标公司负责人等各种个人数据。因此,律所处理各种个人数据,是个人数据的控制者。
2
欧盟境内有分所的中国律所受GDPR管辖吗?
依照GDPR第3条第1款的规定,在欧盟境内有分支机构的组织受GDPR管辖,那么中国律所的欧盟分所是否属于GDPR第3条第1款所称的机构(establishment)。虽然GDPR的正文没有对“机构”作出解释,但在其序言第22条中明确指明“机构意味着通过稳定安排(stable arrangements)存在有效且真实的经营活动。这种安排的法律形式,是否通过具有法人资格的分支机构或子公司并不是决定因素。”
以一家国内领先的律所(命名为A律所)为例,其在德国的分所组织形式是有限责任公司(Rechtsanwaltsgesellschaft mbH),有数名执行董事,有固定的办公地点与办公人员,有提供服务的经营行为。虽然它的股东可能不是A律所,但是该德国分所的简称与A律所的英文简称一致;在自我介绍中明确写明属于A所全球网络,能实现无缝合作;其网站显示是在中国备案的。以GDPR序言第22条所确定的标准判断,该德国分所很可能被认定为A律所在欧盟境内的机构(establishment)。该德国分所在欧盟境内营业,即肯定有个人数据的处理行为,因此,A律所就很可能受GDPR的管辖。
此外,以笔者考察的A律所为例,其德国分所网站是在中国境内备案的,该分所网站也是总部网站的一部分,可以选择德语显示,并且使用了cookies类技术;换言之,任何德国人访问此网站,其个人数据能被跟踪,因而因而A律所依照GDPR第3条第2款b项的规定很可能也需要聘用DPO。
3
欧盟境内有分所的中国律所必须聘用数据保护官吗?
依GDPR第37条第1款b、c项的规定,如果(1)律所的核心活动需要广泛地常规性和系统性地监控数据主体,或者(2)律所的核心活动包含了广泛地处理个人敏感数据或与定罪、违法相关的个人数据时,其有义务聘用DPO。
对于律所来讲,其核心活动自然是提供法律咨询服务。一些类别的法律服务,比如向公司客户提供法律意见书时,收集个人数据可能只能纯粹的辅助行为,并非核心活动。但对于诉讼(尤其是刑事诉讼)、破产程序、合规类等法律服务,处理个人数据可能包含在核心活动范围之内。虽然律所很难称上常规性、系统性地监控数据主体,但其业务活动经常会涉及到数据主体的个人敏感数据,而综合性的律所自然也做刑事相关服务,因此很有可能符合GDPR第37条第1款c项的要求,进而有义务聘用DPO。
此外,GDPR第37条第4款还规定了,欧盟成员国可以自行设置其他必须聘用DPO的情形,这些情形很可能比GDPR的规定更为宽松,使更多机构有义务聘用DPO。
笔者仍以A律所为例,由于A律所的德国分所提供医疗、电子商务、隐私与数据保护类的法律服务,很可能涉及处理相关数据主体的个人敏感数据,所以依GDPR第37条第1款c项规定,A律所很可能需要聘用DPO。同时,依德国的《数据保护法》第38条第1款,当企业有10名以上的人员常规定性负责自动处理个人数据时,企业有义务聘用DPO;对律所来讲,这里的“人员”不仅指律师,还包括律师处理、实习生、秘书等。而A律所的德国分所律师成员不止10名,进而依德国的《数据保护法》,A律所也很可能有义务聘用DPO。
综上所述,如果一家中国律所,其在欧盟境内有分所,分所规模越大,与总所合作越紧密,该中国律所越有可能有聘用DPO的义务。而一旦确定中国律所有聘用DPO的义务,基于DPO职位的独立性,该律所不应当聘用本所的律师做DPO,“理发师毕竟不能为自己理发”。
4
其他国际合作模式
除了在境外开设分所外,很多中国律所也选择成立联营办公室,加入全球某个律所联盟(比如IR Global)的方式,开展国际律师业务合作。对选择这些合作模式的中国律所来讲,其没有法定义务设定DPO,但是要注意在进行跨国法律服务时产生的个人数据跨境传输问题。
5
律所是否处理个人数据?
我国现有的法律、法规并没有关于企业创设DPO的规定,因此,没有欧盟分所的中国律所没有聘用DPO的义务,但其可自愿设立DPO职位。
依照我国国家推荐标准GB/T 35273-2017《信息安全技术 个人信息安全规范》第10.1条c项的规定,如果一个组织(1)的主要业务涉及个人信息处理,且从业人员规范大于200人,(2)处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息,应设立专职的个人信息保护负责人。
虽然《个人信息安全规范》没有强制力,但仍然是判断一家组织对个人信息保护程度的推荐标准,因此,对一家规模大(超过200名专业人员)、业务量大(处理超过50万人的个人信息)的内资所而言,国家推荐该律所设立专职的个人信息保护负责人;该负责人不是DPO,没有职位独立性的要求,因而可由本所律师担任。
【本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。】
作者介绍:
胡峰 律师助理
专注领域:复杂民商事争议解决、跨境投资和并购、数据保护和反垄断法(经济分析)
毕业于中南财经政法大学、山东大学和德国柏林洪堡大学,获得德国法学博士学位。曾在德国一家律所兼职从事法律咨询工作,为中国企业或个人在德国成立公司、股权收购和投资不动产提供法律服务,现为本所国际业务团队律师助理。工作语言为中文、德文和英文。
上海邦信阳中建中汇律师事务所国际业务团队
上海邦信阳中建中汇国际业务团队由法学博士徐国建律师、袁颖律师领衔,团队成员均毕业于海内外知名法律院校,多数律师拥有海外国际知名院校的法律硕士、博士学位,此外部分律师拥有美国、澳大利亚等国家的法律执业资格。本团队从上世纪90年代伊始便专注于涉外法律服务,团队的传统优势领域为国际商事仲裁、跨境投资和并购、数据与隐私保护、国际知识产权保护、企业合规与反不正当竞争。在数据与隐私保护领域,本团队拥有专门的数据保护项目组,能根据中国企业的组织结构、行业和技术特性,为中国企业定制合适的数据保护方案,提供优质的数据保护法律服务。
