欧盟数据保护(GDPR)及并购动态���:
欧盟法院将脸书(Facebook)“保护盾”一案发回重审
2020-10-09
2020年7月16日���,欧盟法院在数据保护委员会(Data Protection Commission)诉脸书爱尔兰有限公司(Facebook Ireland Ltd.)一案中���,就欧盟居民个人数据被传输至欧盟以外国家问题,做出了一项重要的初步裁决。
近日���,该案被送回数据保护委员会重新审查���,由其对Facebook的标准数据保护条款是否符合上述标准做出最终决定。
8月底���,数据保护委员会向Facebook送达了一个初步命令���,要求其停止所有欧盟至美国的个人数据传输活动。Facebook高级主管尼克·克莱格(Nick Clegg)也曾在其博客中暗示���,Facebook不能再使用标准数据保护条款来抗辩其欧盟至美国数据传输的合规性。
目前尚不清楚数据保护委员会给予Facebook多长时间来关闭其欧盟至美国的数据传输。但是Facebook方面却发出警告���:如果数据保护委员会撤销该命令���,Facebook将关闭在其欧盟范围内的所有业务。然而���,Facebook的此番威胁恰恰表明了这些数据传输有着极其重要的商业意义。鉴于欧盟市场对Facebook的商业重要性���,该威胁似乎显得有些空洞乏力。此外���,如果Facebook不遵守该命令���,可能会招致价值高达其集团全球营业额4%的巨额罚款。
“史上最严隐私保护法案”的《通用数据保护条例》(GDPR)已经走过了两年历程���,期间对谷歌���、Facebook等美国科技巨头进行了不同程度的打击。
总体来说���,GDPR为欧盟至第三国的数据传输立下了“原则+例外”的保护标准。原则上���,接收欧盟个人数据的第三国应当事先获得欧盟委员会(European Commission)(“欧委会”)的充分保护认定(adequacy decision)���,否则数据进出口商应确保其标准数据保护条款”或其他数据保护措施符合GDPR的要求���,以确保欧盟个人数据在进口数据的国家/地区得到充分保护。同时���,GDPR也规定一些例外豁免情形���,比如该数据传输已获得欧盟数据主体/消费者的“明示同意”。
此外���,欧洲法院在本案的裁定中对GDPR规则的适用做出了进一步解释。
首先���,欧洲法院有权对欧委会的充分保护认定进行司法审查���,如果发现该第三国的数据保护不能达到与欧盟的数据保护相当的水平���,则可以裁定该充分保护认定无效���,进而适用标准数据保护条款等数据保护措施。其次���,欧洲法院为解释和适用标准数据保护条款确立了标准���,即如果该第三国的数据保护立法超出了一个民主社会的必要安全需求(比如为了保护国家和公共安全)���,那么其标准数据保护条款则属无效。最后���,欧洲法院在其裁决中指出���,例外豁免的“知情同意”是指已经向欧盟数据主体明确说明其个人数据将在何种情况下���、以何种方式被共享给数据进口国政府和其他实体。
欧洲法院对Facebook“保护盾”一案的裁决确立了GDPR规则下数据传输合规监管的新风向标���,中国企业应当加以关注。对于在欧盟范围内收集个人数据的中国企业而言���,可以采取以下几种方式来规避Facebook遇到的数据保护合规风险���:
第一���、在欧盟建立数据中心���,将数据本地化而非传输至国内;
第二���、数据传输至获得欧委会充分性认定的第三国���,例如日本或新西兰;
第三���、取得数据主体的明示同意���,但必须充分告知其数据传输至中国的潜在风险。
欧盟拟对小额并购交易进行安全审查
2004年5月1日生效的《欧盟并购条例》(EU Merger Regulation)在欧盟委员会与成员国之间建立双向简捷���、灵活的案件管辖分配制度。
《欧盟并购条例》第22条规定���,呈请欧盟审查的小额并购交易必须属于不太可能对成员国之间的贸易产生重大影响的交易。此外���,欧盟委员会的一贯政策是���,该国家竞争主管部门只有在有权自行审理该案件的情况下���,才能依据《欧盟并购条例》第22条呈请欧盟审查。
然而���,负责欧盟竞争政策的欧盟专员Vestager在9月11日举行的IBA会议上宣布���,对于国家竞争主管部门呈请审查的并购案���,欧盟将受理所有需要在欧盟层面审理的案件���,无论该主管部门是否有权自行审查该案。该项并购审查权将于2021年中旬生效���,届时将需要对《欧盟并购条例》第22条进行修改。
欧盟专员Vestager的该项计划旨在应对Facebook���、微软和谷歌等“商业巨头”发起的“杀手级收购”。近年来���,这类“商业巨头”收购了许多极具战略重要性的高新小企业。这些收购使上述科技巨头极大地增强了其经济影响力���、技术影响力以及并购防御能力���,甚至能使其抵御国家级并购。
但是���,要使得Vestager的这项计划发挥实效���,以下几个问题亟待厘清。
第一如果目标并购交易未达到启动国家审查的门槛要求���,目前并无要求交易当事方提供目标交易基本信息的规定���,故而该国家竞争主管部门将无从得知该交易的发生;
第二目前欧盟并未对交易当事方申报并完成目标交易的时间点做出规定。因此���,该呈请审查机制是否适用于已经完成的交易���,尚不得而知。
值得注意的是这种事后“溯及权”的存在早于《欧盟并购条例》的并购申报审查机制。因此���,欧洲法院(European Court of Justice)将来不太可能会挑战这一“溯及权”。换言之���,该项新并购审查权有可能会溯及已经完成的并购交易。
在当前欧盟收紧并购安全审查政策的局势下���,可以预见欧盟这项小额并购审查新规也将适用于中国企业发起的小规模并购交易���,尤其是“敏感”并购。因此���,中国企业在决定并购欧盟企业或者与欧盟企业合营前���,更需做好全面的反垄断和国家安全方面的合规风险防控。
本文作者���:
Dr. Frank Fine
k8凯发天生赢家·一触即发布鲁塞尔办公室
国际反垄断业务主管
Frank Fine,中国国际反垄断和投资研究中心担任执行主任���,中国政法大学法学院国际反垄断与投资研究所访问教授。(拥有英格兰���、威尔士���、加利福尼亚和哥伦比亚地区执业资格。)
邮箱���:frank.fine@cqhaolun.com
本文编译者���:
王一楠���,k8凯发天生赢家·一触即发北京办公室合伙人���,主要执业领域为数据保护���、金融科技���、电子商务���、跨境投资和争议解决。受聘为网络安全应急技术国家工程实验室数据安全咨询专家。入选《亚洲法律杂志》(ALB)“2020中国15佳TMT律师”���、2020年度LEGALBAND客户首选���:合规多面手15强。
邮箱���:wangyinan@cqhaolun.com
(实习生杨艳妮对本文亦有贡献)
声明���:
本文由k8凯发天生赢家·一触即发律师事务所律师原创���,仅代表作者本人观点���,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容���,请注明出处。
