据参考消息网报道，近期法国将拆除在密集区域的华为设备。此前，英国已全面禁止华为进入英国通讯网络。德国的做法与英国、法国截然相反，即便面对美国和国内鹰派的压力，默克尔仍然表示德国通讯行业不会禁止华为公司。

走出去智库（CGGT）观察到，欧盟通用数据保护条例（GDPR）堪称史上最严格的数据保护法案,它的实施代表着欧盟对个人信息保护及其监管达到了前所未有的高度。与欧盟有跨境数据业务往来的中国通讯设备供应商和互联网平台，无疑面临着更加严格的数据安全和保护问题。而关键数据的跨境流动，甚至可能威胁国家安全。

如何应对欧洲的数据监管？今天，走出去智库（CGGT）获授权刊发德国领先律所——泰乐信律师事务所（Taylor Wessing)应对德国数据保护监管的文章，供关注欧洲数据保护的企业管理者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、建议企业配合数据保护机构并提供信息，否则，该机构可能会自行采取措施，例如在企业的经营场所进行现场调查。

2、企业对辩护策略的选择取决于具体涉嫌的违法行为。企业可以采取不同的诉讼策略，包括拒绝提供信息或者事先与数据保护机构协商好最高罚款额度后的完全坦白（所谓的和解程序）。

3、波恩地区法院在1&1电信公司案件中的裁定表明，如此严苛的罚款通知未必经得起司法审查。该案中，数据保护机构最初作出的955万欧元的罚款被法院减少至90万欧元。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

Axel Frhr. von dem Bussche博士

泰乐信汉堡办公室合伙人

信息技术法律专业的执业律师，泰乐信TMC德国团队的负责人，同时负责与泰乐信美国团队协调德国的本土法律服务。此外，Axel律师还是是一位经验丰富的数据保护专家，尤其擅长《通用数据保护条例》相关的法律咨询。他擅长为集团企业客户向数字和全球业务的模式转变提供咨询，并与负责的监管机构进行谈判。

Carolin Monsees博士

泰乐信汉堡办公室高级律师

泰乐信汉堡办公室科技、媒体及通讯法律专业的执业律师。擅长为客户就信息技术合同及数据保护法的相关事项提供法律服务。此外，Carolin律师还常为客户就复杂的数字化项目合同、以及欧洲和国际数据保护要求的相关事项提供法律服务。

Paul Voigt律师

泰乐信柏林办公室合伙人

泰乐信律师事务所科技、媒体和通讯德国业务团队的成员，特别是在IT合同、数据保护、IT安全及电子商务方面积累了丰富的实践经验。为客户提供针对其业务类型且具有实操性的法律意见，客户多为初创公司、中型企业及大型跨国企业。

企业在德国开展经营时，可能会面临如下情形：

· 收到有关数据处理的行政调查问卷；

· 收到行政罚款听证会程序的通知；

· 被数据保护机构罚款等。

在面临上述这些情形时，企业需要制定有效的应对计划。企业可以参考以下处理建议。

一、应对行政程序中的调查问卷

当数据保护机构发现企业（涉嫌）违反数据保护的行为，作为第一步，将要求相关企业做出声明。这一步通常会采取行政调查问卷的形式。企业应当注意以下事项：

第一步：要求数据保护机构提供案件档案

建议企业要求数据保护机构（根据行政法条款的规定）提供案件档案。案件档案中可能有数据保护机构草拟的内部笔记，而这通常对企业了解该行政程序的背景信息很有帮助。

第二步：制定出具企业声明的方案和策略

通常建议企业配合数据保护机构并提供信息，否则，该机构可能会自行采取措施，例如在企业的经营场所进行现场调查。

请注意：任何提交的企业声明都有可能被数据保护机构用于（额外的）罚款程序中。因此，在出具声明前，企业必须在内部充分明确涉嫌的违反数据保护的行为，包括采取的所有措施。

第三步：应对数据保护机构在程序终止时的处罚措施

在澄清所谓的违反数据保护的行为之后，数据保护机构通常会以所谓的纠正措施来结束程序。纠正措施可以采用警告、训诫乃至禁止进一步处理数据等形式。公司可以采取法律诉讼应对上述的所有措施。

二、应对罚款程序中的听证会

除了上述的纠正措施外，监管机构还有权（！）出具罚单。企业违反数据保护最高可被处以全球年度营业总额4%的罚款。

罚款程序是一个正式的程序，由规制行政违法行为的法律和《刑事诉讼法典》的条款规定。因此，罚款程序适用有利于涉案企业的特殊程序原则，包括无罪推定和不得强迫自证其罪的原则。在出具罚款通知之前，必须给予被罚款人听证的权利。因此罚款程序是从监管机构的听证通知开始。而以下的事项则十分重要：

第一步：始终要求数据保护机构提供案件档案

收到听证通知后，企业即应当始终要求数据保护机构提供案件档案（这由《刑事诉讼法典》规定）。数据保护机构有义务允许企业查阅完整的调查档案，也包括第三方就企业涉嫌违反数据保护的行为提出的申诉内容，而数据保护机构最初正是基于该申诉开始调查。

第二步：辩护策略

企业对辩护策略的选择取决于具体涉嫌的违法行为。企业可以采取不同的诉讼策略，包括拒绝提供信息或者事先与数据保护机构协商好最高罚款额度后的完全坦白（所谓的和解程序）。

企业应当重视数据保护机构出具的罚款可能会给公司带来的负面报道， 即：企业一旦被第一次罚款，公司形象的损害将很难恢复。

三、应对行政措施的法律程序

附：相关行政诉讼程序简介

针对行政措施和命令的诉讼

企业可以提起诉讼以应对行政措施或命令。诉讼程序的大致流程如下：

· 一审：由行政法院管辖

一般而言，行政措施（例如：禁止处理某些数据）就是所谓的行政行为。对行政行为不服的，可自公告之日起一个月内向行政法庭提起诉讼。此时无需由相应机构对行政措施合法性进行复议这样的前置程序。法院届时必须正式审查案件全部事实。原则上，法院会在一次口头听证会后作出决定。

时限：大约12个月。

· 二审：由上级行政法院管辖

时限：大约12至24个月。

针对行政罚款的诉讼

就行政罚款提起诉讼时，企业不能期待有立竿见影的结果。重大（数据保护）法律问题通常只有在二审才能得以澄清：

· 一审：由地方或地区法院管辖

与地方法院通常的一审管辖权不同，地区法院对罚款10万欧元及以上的数据保护案件有管辖权。这种特殊的管辖权意味着（地区法院）法官必须熟悉新的案件标的，但到目前为止他们在数据保护和行政违法法律方面的实践经验很少。因此，如果判处罚款涉及重大的法律问题，企业就应当做好进入二审的计划和准备。

中间程序和一审的时限：大约6至12个月对罚款通知有异议的，必须首先向监管机构提出。这类反对意见应当列出证明罚款通知不合法的法律依据。根据该等反对意见，监管机构得以再次对罚款通知本身进行审查，并在必要时撤回该通知（所谓的中间程序）。如果监管机构不撤回罚款通知，则其将通过公共检察官办公室将档案转交给相关法院。

随后是地方或地区法院的实际庭审程序。书面陈述必须在法院规定的时限内（约4周）提交。在大多数情况下，法院会在口头听证会后作出决定。

· 二审：由上级地区法院管辖

上级地区法院是二审法院，设有专门的刑事庭，只处理罚款案件。

二审时限：大约6至18个月：

● 必须在一周内就一审判决提出法律申诉，并在提起申诉之后的一个月内完成举证。

● 大多数情况下，法院在口头听证会后作出判决。

来源：泰乐信律师事务所

延展阅读：

欧盟投资观察 | 德国即将通过外商投资审查新修正案，审查力度更强、范围更广

欧盟投资观察 | 疫情后，中企在德国面临的投资环境及建议

欧盟投资观察 | 法国扩大对外商直接投资的审查范围

欧盟投资观察 | 在欧盟投资将面临新障碍?欧盟委员会发布针对外国补贴的白皮书

欧盟投资实务 | 疫情后收购德国技术型企业：德国外商投资审查机制的新改革

走出去智库全球领先的法律、投行、税收筹划、项目估值、银行保险、人力资源、风险管理、公共关系专家可以为中国企业境外投资并购提供相关咨询服务，如有需要，可给我们（cggthinktank）留言“公司 姓名 职位 手机号码 企业邮箱 需求”，获得专家帮助。

走出去智库（CGGT）

不谈大道理，只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台，企业跨境投资并购智囊团。

更多信息请访问：www.cggthinktank.com

版权声明：走出去智库（CGGT）欢迎转载，请注明来源：走出去智库（CGGT）。如不署名来源，CGGT将追究其相关法律责任。