ANSPDCP累计处罚超800万欧元。对比GDPR/PIPL/PDPA三方差异,解析CCTV监控、员工数据跨境、电商Cookie四大高风险场景。

一、引言:当"数据"成为中资企业进入欧盟的第一道门槛

罗马尼亚作为欧盟成员国,自2007年加入欧盟、2014年完成数据保护法律体系与欧盟法律框架的全面对接以来,已经成为中东欧地区数据保护执法最活跃的国家之一。对于在罗马尼亚投资兴业的中资企业而言,一个经常被低估的现实是:在欧洲,数据保护不是"IT部门的事",而是被视为基本权利(Fundamental Right)的宪法性议题,由《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条予以保障。

自2018年5月25日《通用数据保护条例》(General Data Protection Regulation, 以下简称GDPR)在欧盟全面适用以来,罗马尼亚国家个人数据处理监管局(Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, 以下简称ANSPDCP)已经开出了数百张罚款,处罚金额从数千欧元到数百万欧元不等。对于中资企业,常见的高风险场景包括:在罗马尼亚工厂和仓库中大量部署中国品牌的监控摄像头(CCTV)、将罗马尼亚员工数据传回中国总部处理、向罗马尼亚消费者提供电商服务时使用中国境内的数据存储和分析平台等。

本文系统梳理GDPR在罗马尼亚的适用实践、ANSPDCP的执法趋势、中资企业的典型合规风险,并结合我办理的跨境数据合规案件,提供具有实操性的合规方案建议。

二、法律框架:GDPR及其在罗马尼亚的国内实施

(一)GDPR的直接适用与国内补充立法

GDPR作为欧盟条例(Regulation),依据欧盟法律的基本原则,在罗马尼亚自2018年5月25日起直接适用,无需也不需要转化为国内法。但GDPR第2条、第6条和第9条等若干条款设置了"成员国国内法细化"的开放空间。

罗马尼亚于2018年7月颁布了第190/2018号法律(Legea nr. 190/2018,以下简称"GDPR实施法"),对GDPR中的成员国弹性条款进行了本土化补充,主要涉及:

(二)监管机构:ANSPDCP

ANSPDCP是根据2004年第102号法律设立的独立监管机构,负责监督GDPR和2002年第677号法律(GDPR适用前的罗马尼亚国内数据保护法)在罗马尼亚的执行。该机构由一名主席(President)和两名副主席(Vice-Presidents)领导,经罗马尼亚参议院批准任命,任期5年。

ANSPDCP的权力包括:调查权(包括进行现场数据保护审计)、纠正权(发出警告、谴责、限制处理、禁止处理、删除命令)、处罚权(行政罚款和附期限暂停跨境数据传输)。

值得注意的是,ANSPDCP在近年的执法实践中展现出了三个显著特征:一是对中小企业(包括在罗运营的外资中小企业)处罚力度远高于西欧同行;二是对监控摄像头的隐私合规审查极其严格;三是在数据跨境传输合规方面的执法呈明显上升趋势。

(三)与个人信息保护法(中国PIPL)和泰国PDPA的比较

为了帮助中资企业管理层快速理解罗马尼亚/欧盟数据保护体系与亚洲主要法域之间的异同,我做如下简要对比:

维度 欧盟GDPR 中国PIPL(2021) 泰国PDPA(2022)

------ ---------- ------------------ -------------------

域外效力 第3条:在欧盟境内设立机构的数据处理;向欧盟境内个人提供商品或服务;监控欧盟境内个人行为 第3条:境内处理;境外处理中国境内个人数据的 第5条:境内处理;境外处理但涉及泰国数据主体

法律基础 第6条:同意、合同、法定义务、切身利益、公共利益、正当利益六项 第13条:同意、合同、人力资源管理、法定职责、突发事件、新闻报道、公共利益、统计研究等 第24条:同意、合同、法定义务、切身利益、公共利益、正当利益——基本复制GDPR

敏感数据 第9条:种族、政治观点、宗教、工会成员、基因数据、生物识别、健康、性取向 第28条:金融账户、行踪轨迹、不满十四周岁未成年人信息,独特扩展范围 第26条:与GDPR高度一致

数据跨境 第44-49条:充分性认定、SCC、BCR、例外情形 第38-43条:安全评估、标准合同、认证 第28-29条:充分性保护标准(需目的地有同等保护水平)

最高罚款 2,000万欧元或全球年营业额4% 5,000万元人民币或上年度营业额5% 500万泰铢或约100万人民币(相对较低)

员工数据 第88条:成员国国内法补充 第13(2)条:人力资源管理目的,无需同意 无特别豁免,须基于同意或合法利益

核心差异在于:GDPR强调数据主体的"控制权"(访问权、删除权、可携带权、反对权),PIPL更侧重"数据安全"(国家安全、社会公共利益),而PDPA整体框架接近GDPR但执法力度和公众意识显著较弱。对于在罗马尼亚经营的中资企业,必须按照GDPR标准建立合规体系,不能简单套用在中国或泰国的做法。

三、ANSPDCP执法趋势与经典案例

(一)罚款数据全景

根据ANSPDCP年度报告和EDPB(欧洲数据保护委员会)公开数据统计:

(二)典型案例一:CCTV系统违规案(2022年,约40万欧元)

一家在罗马尼亚拥有20余家门店的大型零售企业在所有门店和物流中心的公共区域、员工休息室、仓储区乃至卫生间的入口处布设了约1,200个摄像头。ANSPDCP在接到员工匿名举报后进行现场检查,发现以下问题:

第一,未进行数据保护影响评估(DPIA)——GDPR第35条要求,在采用可能对自然人的权利和自由构成高风险的新技术时(尤其是大规模监控),须事先进行DPIA。该企业未能提供任何DPIA文件。

第二,信息透明度不足——第13条和第14条要求在数据收集时向数据主体提供处理活动的详细信息,包括控制者身份、处理目的、处理法律基础、数据保留期限和数据主体权利。该企业的CCTV警示标识仅标注了"此处有监控",未提供任何额外信息。

第三,监控范围过度扩展——第5条"数据最小化原则"要求在实现目的所必需的范围内处理数据,且不得超出。按照ANSPDCP的标准,"监控卫生间入口"本身就是对员工隐私的过度侵犯。

ANSPDCP最终对该企业处以约40万欧元罚款,并责令在30日内重新调整CCTV系统布局,取消全部过度覆盖的摄像头。

(三)典型案例二:数据跨境传输违约案(2023年,约10万欧元)

一家在罗马尼亚设有客服中心的欧洲公司,使用其美国母公司的客户关系管理系统(CRM),所有罗马尼亚客户的个人信息被自动同步至位于美国的数据中心。ANSPDCP在调查中发现,该企业未与母公司签署GDPR第46条要求的"标准合同条款"(Standard Contractual Clauses, SCCs),也未对所涉及的数据传输进行转移影响评估(Transfer Impact Assessment, TIA)。

虽然该企业此前签署了隐私盾协议(Privacy Shield),但隐私盾于2020年7月被欧洲法院在Schrems II案(Case C-311/18)中裁定无效后,企业未及时更新数据传输保护机制。ANSPDCP因此认定该企业违反了第44条(数据传输的一般原则)和第45条(充分性决定的条件),处以约10万欧元罚款,并命令其在60日内暂停所有数据跨境传输,直至签署符合最新标准的SCCs。

(四)与中资企业相关的监管趋势

ANSPDCP近年来的执法重点对于中资企业具有明确的提示意义:监控设备数据合规、跨境数据传输、DPO任命和数据保护影响评估,已经成为执法局系统性审查的四大领域。

四、高风险场景中的中资企业合规要点

以下聚焦于中资企业在罗马尼亚最常见的四个高风险数据处理场景:

(一)场景一:工厂和仓库中的CCTV监控系统

罗马尼亚是中东欧地区中国制造业投资的重要目的地之一(尤其是汽车配件、家电组装和新能源电池领域)。中资企业在罗马尼亚的工厂、仓库和物流中心普遍部署了大量监控摄像头。结合上述ANSPDCP的执法实践,合规要求包括:

第一,DPIA是强制性而非建议性的。GDPR第35条规定,凡涉及"大规模系统性监控公共场所"的处理活动,须进行DPIA。中资工厂的CCTV系统几乎无一例外地落入这一范围。DPIA须包括:系统性地描述处理活动的性质和范围;评估处理的必要性和比例性;识别和评估对数据主体权利和自由的风险;以及计划采取的减损措施。

第二,须区分"公共区域"和"私密区域"。根据ANSPDCP的立场,更衣室、卫生间、员工休息区等属于"数据主体合理期待隐私的区域",禁止安装监控。

第三,数据保留期限不能无限制。GDPR一般原则要求在实现目的后立即删除数据。对于CCTV,ANSPDCP认为合理的保留期为14至30日(取决于安全事件频率和行业惯例),超出此期限须提供充分理由。

第四,信息通知义务。在监控区域以显著方式设置警示标志,内容须包括:数据处理控制者身份、处理目的、法律基础、数据主体权利以及联系方式。建议使用罗马尼亚语和英语双语标识。

(二)场景二:员工数据跨境传输至中国

这是中资企业在欧盟面临的最敏感和最复杂的合规事项之一。典型场景包括:罗马尼亚子公司的员工人事数据(姓名、护照号、工资、考勤记录、医疗记录)通过集团HR系统传输至中国总部处理;使用中国开发的OA系统、考勤App或员工管理系统,数据存储在中国境内的服务器上。

根据GDPR第44条至第49条,从欧盟向第三国(包括中国)传输个人数据须满足以下条件之一:

第一,充分性认定(第45条)。欧盟委员会认为目标国提供"充分程度的保护"。截至2024年,获得充分性认定的国家包括日本、韩国、英国(脱欧后)、加拿大(商业数据限定)、以色列、阿根廷等。中国未获得充分性认定。这意味着,从罗马尼亚向中国直接传输个人数据不能基于充分性认定。

第二,标准合同条款SCCs(第46条第2款c项)。这是实务中最常用的数据跨境传输依据。2021年6月,欧盟委员会发布了新版SCCs(Decision 2021/914),取代了2010年版SCCs。企业在数据传输前须:(a)签署新版SCCs(模块二:控制者向处理者传输);(b)进行转移影响评估(TIA),评估中国法律(尤其是《数据安全法》《个人信息保护法》和《网络安全法》)是否为中国政府访问传输的数据提供了与GDPR对等的保障,以及是否存在"超越合同约定的监管权力";(c)在TIA结果高风险的情况下,额外补充保护措施(如端到端加密、防止政府直接访问的合同条款)。

第三,有约束力的公司规则BCRs(第47条)。对于跨国企业集团,BCRs是较为高级的合规选项,但申请周期通常为18至24个月,成本较高。对于中国民营企业的海外子公司,实务中以SCCs+TIA模式为主。

第四,豁免情形(第49条)。特定情况下可基于数据主体的"明确同意"进行跨境传输,但第49条明确强调:同意不得作为"系统性"或"重复性"跨境传输的法律基础。换言之,员工数据的日常云端同步不能依赖同意豁免。

(三)场景三:面向罗马尼亚消费者的电商和在线服务

中资企业在罗马尼亚运营电商平台或面向消费者提供在线服务(如中国品牌的手机应用程序、智能家居设备),须格外关注以下问题:

第一,Cookie合规。依据《电子通信隐私指令》(ePrivacy Directive,2002/58/EC)第5条第3款和罗马尼亚国内实施法(第506/2004号法律),在用户的终端设备上存储或访问信息须获得用户的事先知情同意(不包括"严格必要"的Cookie)。ANSPDCP在2021年对一家在线旅游平台处以约2万欧元罚款,原因就在于其Cookie横幅违反了"预先勾选同意"(pre-ticked consent)并非有效同意的基本原则——GDPR第7条第2款和第4条第11款要求同意须为明确、具体、知情且不含糊的意思表示。

第二,未成年人数据保护。如果在线服务可能为18岁以下用户访问,须按照第8条(信息社会服务中的儿童同意)和第190/2018号法律第6条实施更为严格的验证措施和父母同意机制。

第三,数据主体的权利响应。第12条至第23条规定了数据主体的访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携带权和反对权。企业须在收到数据主体请求后1个月内免费响应。ANSPDCP对超时未回应删除请求(被遗忘权)的处罚通常在1万欧元至3万欧元之间。

(四)场景四:供应链中的数据共享

中资制造企业往往与欧洲本地供应商和物流服务商共享客户订单数据、发货信息和财务信息。第28条的"处理者"(Processor)条款要求企业(作为数据控制者)须与每一个外部数据处理方签署数据处理协议(Data Processing Agreement, DPA),且DPA的内容须涵盖第28条第3款规定的全部要项,包括处理的具体内容和期限、处理的性质和目的、个人数据类型和数据主体类别、以及控制者和处理者的各自权利义务。

五、数据保护官(DPO)的强制任命

根据GDPR第37条和罗马尼亚第190/2018号法律第15条至第17条,以下实体须强制任命数据保护官:公共机构或公共团体;核心活动涉及大规模、系统性地监控数据主体的实体;以及核心活动涉及大规模处理特殊类别数据(第9条)或刑事定罪和犯罪相关数据(第10条)的实体。

对于中资企业而言,以下情形下在罗马尼亚的子公司应当考虑任命DPO:雇佣员工超过250人(通常涉及系统性的人事数据处理);经营CCTV系统覆盖超过20个布控点;处理客户数据规模超过10,000人(如电商或会员制业务)。

DPO须具备数据保护法律和实践的专业知识,可直接向最高管理层汇报,且不得因履行职责而被解雇或处罚。根据ANSPDCP的实践,DPO的任命须通过ANSPDCP的在线系统进行备案。DPO可以为企业内部员工,也可以通过服务协议外聘(外部DPO在中小企业中更为常见)。

中资企业常见的一个错误是由IT部门负责人兼任DPO。ANSPDCP在2024年的一份执法决定中明确指出:DPO必须独立于数据处理的实际操作部门,如果DPO同时负责企业IT系统的运维(即其"决定处理的目的和方式"),则存在利益冲突,不符合GDPR第38条第6款的要求。

六、数据泄露通知义务

GDPR第33条规定,数据控制者在发现个人数据泄露后,须在72小时内通知ANSPDCP,除非该泄露不可能对自然人的权利和自由造成风险。第34条进一步规定,如果泄露可能对自然人造成高风险,还须无不当延迟地通知受影响的数据主体。

在罗马尼亚,ANSPDCP要求企业通过其官方在线系统(SINSP)提交数据泄露通报。通报须包括以下内容(第33条第3款):数据泄露的性质描述;数据保护官或其他联系人的姓名和联系方式;泄露的可能后果;以及已经采取或拟采取的应对措施(包括减轻潜在不利影响的措施)。

截至2024年,ANSPDCP已累计接收超过3,000件数据泄露通报(绝大多数来自医疗、金融和电信行业)。未及时通报的罚款通常为2,000欧元至15,000欧元。

需要特别提示的是,许多中资企业在罗马尼亚工厂使用中国总部的IT基础设施,但罗马尼亚子公司的IT管理员可能并不掌握数据泄露的检测和响应能力。建议在集团层面建立覆盖罗马尼亚的数据泄露应急响应机制,明确何种情况触发内部上报、由谁向ANSPDCP通报、以何种语言和格式进行通报。

七、中资企业GDPR合规实操建议

基于我在协助多家在罗中资企业处理GDPR合规事务中的实操经验,提出以下十条可执行建议:

  1. 数据映射(Data Mapping):建立公司整体数据处理活动的全景图。以罗马尼亚子公司为单位,逐部门(HR、运营、销售、物流、财务)识别处理的数据类型、处理目的、法律基础、存储位置、保留期限及是否涉及跨境传输。这是一切合规工作的基础。
  1. DPIA优先排序:对于CCTV系统、HR系统和客户CRM系统这三个已知高风险领域,优先完成数据保护影响评估。DPIA须形成书面报告,作为合规证据存档。
  1. SCCs签署与TIA完成:如果存在任何将数据传输至中国境内的情形,立即与接收方签署欧盟2021年新版标准合同条款(SCCs),同时完成转移影响评估(TIA)。两者缺一不可。
  1. DPO任命与备案:评估贵公司在罗马尼亚的实体是否需要强制任命DPO。即使法律上并非强制要求,考虑到ANSPDCP的执法积极性和员工规模,主动任命DPO往往是更安全的选择。
  1. Cookie横幅升级:如果贵公司经营面向罗马尼亚消费者的网站或App,请确认Cookie横幅符合"主动选择"(opt-in)而非"默认同意"(opt-out)的标准。
  1. DPA签署:与所有涉及数据处理的外部供应商(云服务商、IT运维公司、薪酬计算外包公司、物流承运商、安保公司等)签署符合GDPR第28条的数据处理协议。
  1. 员工隐私政策更新:确保员工手册中的数据处理章节(或独立的员工隐私政策)包含GDPR要求的所有信息:处理目的、法律基础、数据主体权利、数据保留期限、跨境传输情况及保护措施。
  1. 数据泄露响应机制:制定书面的事件响应计划(Incident Response Plan),指定应急响应团队和发言人,明确72小时通报ANSPDCP的执行流程,并每年进行至少一次桌面演练。
  1. 隐私政策公示:在公司网站和营业场所公示完整的隐私政策,涵盖客户数据处理、Cookie使用和网站访客数据处理。
  1. 定期合规审计:建议每年委托独立的外部法律顾问或数据保护顾问进行一次GDPR合规审计,评估整改措施的有效性。

八、结语

罗马尼亚GDPR合规的核心逻辑可以归纳为一句话:在欧盟,数据保护不是一项操作层面的合规要求,而是一项宪法性权利保障。中资企业在罗马尼亚和更广泛的欧盟市场经营,必须从根本上理解并接受这一法律价值观的转变。

从实际执法的角度来看,ANSPDCP虽然在罚款金额上不及法国CNIL、德国DSK或意大利GPDP等大国监管机构(后者曾开出上亿欧元的罚款),但其在系统性合规审查和中小企业现场检查方面的力度不容低估。一个被忽视的DPO任命问题或一个未经DPIA审核的CCTV系统,都可能引发耗时数月的监管调查和高额罚款。

更重要的是,数据合规问题往往不是孤立存在的。一旦ANSPDCP启动现场检查,往往会发现企业的用工合规、税务申报、劳动安全等领域存在的问题,并触发多个监管部门的联合调查。因此,数据合规应当被纳入企业进入罗马尼亚市场前的全维度法律尽职调查和合规体系搭建中。

欧盟的数据合规体系固然复杂,但它同样提供了清晰的路线图——从数据处理活动登记到DPIA、从SCCs到TIA、从DPO任命到事件响应机制。那些愿意在法律合规上投入资源和精力的中资企业,终将发现,GDPR合规不只是成本,更是赢得欧洲客户信任和市场竞争优势的战略基石。

我是余驰宇,中国执业律师,牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。请关注我,私信交流。