对于香港企业——从灵活的初创公司到有意开拓欧洲市场的成熟企业——欧盟《通用数据保护条例》构成了一道关键合规边界。该法规的域外适用效力与严格执法机制意味着，非欧盟企业常被纳入其管辖范围，且所需履行的义务往往远超香港《个人资料（隐私）条例》的规定。

主动遵守GDPR不仅是法律要求，更是企业赢得信任、规避重大财务与声誉风险、顺利进入欧洲经济区市场的战略优势。

GDPR广泛的管辖范围解析

GDPR的核心原则在于其域外直接适用性。若符合法规第3条规定的以下任一条件，香港企业即须遵守：

1. 设立机构标准： 企业在欧盟设有分支机构、办事处或其他稳定机构，且数据处理行为与该机构活动相关——无论数据处理行为实际发生在何地。

2. 目标指向标准: 企业虽在欧盟无实体存在，但向欧盟境内个人提供商品/服务，或对其在欧盟境内发生的行为进行监控。

欧洲数据保护委员会（EDPB）强调该评估需按数据处理活动逐项判定，这意味着企业的部分业务可能需适用GDPR。

核心合规义务：超越香港《个人资料（隐私）条例》的范式

GDPR建立了全面的问责框架，直接赋予数据控制者（决定处理目的与方式者）与处理者（依控制者指令行事者）法定责任：

国际数据传输合规路径

从欧洲经济区（EEA）向香港等第三国传输个人数据，除非基于确保「实质上等效」保护水平的核准机制（GDPR第五章），否则将被禁止：

1. 充分性认定： 欧盟委员会可认定第三国法律体系提供充分保护。香港目前未获认定，但向已获认定司法管辖区（如欧盟-美国数据隐私框架DPF）可自由传输。

2. 适当保障措施： （无充分性认定时主要工具）：

   • 标准合同条款（SCCs） 欧盟委员会2021年新版SCCs为不同传输关系（控制者至控制者、控制者至处理者等）提供模块化合同框架

   • 有约束力的公司规则（BCRs）： 跨国企业经欧盟监管机构批准的集团内部全球合规政策。

3. 施雷姆斯II案要求：根据欧盟法院里程碑判决，仅依赖SCCs（或BCRs）不足以保证合规。数据输出方必须开展传输影响评估（TIA），研判目的地国家法律（如政府监控法律）是否削弱SCCs效力。若存在风险，须实施加密技术等补充性技术与组织措施。

香港企业常见问答

1. 我司是否必然适用GDPR？
若处理欧洲经济区居民个人数据，且满足（a）在欧盟设有机构，或（b）向其提供商品/服务或监控其行为，即须合规。EDPB《管辖范围指南》明确，单笔欧元交易或使用欧盟特定语言均可构成目标指向证据。

2.违规经济风险实际多大？
GDPR采用分层级巨额罚金机制，处罚对象涵盖整个「企业集团」：

• 上限层级： 违反核心原则或数据主体权利，最高处2000万欧元或全球年营业额4%（取较高者）。

• 标准层级： 其他违规（如管理失职），最高处1000万欧元或全球年营业额2%（取较高者）

3. GDPR与香港条例对敏感数据的处理差异？
GDPR明确定义「特殊类别个人数据」（如健康、生物识别、基因、种族来源、性取向数据），原则上禁止处理（除有限例外情形）。该制度较香港《个人资料（隐私）条例》的「敏感个人资料」概念更为严格精准。

4. 是否必须在欧盟设立代表？
是。根据第27条，若企业无欧盟机构但受目标指向标准管辖，必须在数据主体所在成员国指定书面授权代表（极少数例外）。该代表将作为监管机构与数据主体的联络点。

5. 合规建设首要步骤？

• 开展数据映射： 建立完整处理活动记录（ROPA），掌握数据资产全貌。

• 实施差距分析： 对照GDPR要求全面审查现行处理活动与政策。

• 确立合法依据： 为每项处理目的书面记录法律基础。

• 修订隐私声明： 履行第13-14条告知义务，确保透明性

• 强化安全措施： 采用与技术发展水平及处理风险匹配的技术与组织措施。

我们的专业支持

我们（联合欧盟律所）为香港企业提供GDPR全流程解决方案，包括：适用性评估、差距分析、合规体系搭建（处理协议起草、数据主体请求管理）等专业服务。如需咨询具体合规义务及定制实施路径，欢迎与我们联系。  

如需咨询具体合规义务及定制专属实施方案，敬请与我们联系。

梁延达，合伙人

alfredleung@hkytl.com | +852 3468 7202