某中国企业在欧洲设立有分支机构，向欧洲用户提供服务，需要处理欧洲用户的个人数据，该分支机构被诉违反《...

根据《欧盟通用数据保护条例》（GDPR），对于在欧洲设有分支机构的非欧盟公司，如果该机构在其活动范围内涉及对欧洲用户个人数据的处理，即便公司总部设在欧盟以外（如中国），也仍受GDPR的域外适用原则约束。

⚖️ GDPR罚款上限规定

GDPR设定了两档罚款上限：

第一档（较轻）

• 上限为 1,000万欧元 或该公司全球年度营业额的 2%（以较高者为准）；
• 适用于违反：
  • 数据保护设计与默认原则（第25条）、
  • 数据处理者职责（第28条）、
  • 数据泄露通报等义务（第33条、第34条）等。

第二档（最严重）

• 上限为 2,000万欧元 或该公司全球年度营业额的 4%（以较高者为准）；
• 适用于违反：
  • 数据主体权利（如访问、更正、删除、限制处理权）、
  • 数据处理的合法性（第6条）、
  • 同意的取得与证明（第7条）、
  • 数据跨境传输的要求（第44条起）等核心条款。

📌 具体到中国企业分支机构情境

若欧洲分支机构：

• 是处理行为的主要实施者，
• 且违反的是GDPR中诸如无合法依据处理数据、未履行透明度义务或非法跨境传输数据至中国等严重义务，

那么该中国母公司也可能会因其全球营收被纳入考量，而面临第二档罚款，即：

✅ 最高罚款：2,000万欧元或全球年度营业额的4%，以较高者为准

🧭 补充说明：谁被罚？

GDPR第4条第7款规定，若分支机构在欧盟境内是“实际决定数据处理目的与方式”的实体，它将被视为数据控制者。即使中国总部未直接处理数据，只要它控制了处理方式或目的，监管机构也可追责母公司。

📘 典型案例参考

• TikTok被爱尔兰数据保护委员会罚款3.45亿欧元（2023年），因其未合理保护未成年人隐私；
• British Airways 和 Marriott 分别因数据泄露事件被罚超2亿欧元和1.1亿欧元（虽然后因申诉而减额）。

---

如你需要结合具体的违规行为条款或罚款计算细节，我可以进一步帮你解析具体法条或案例。需要我帮忙吗？

2025年，中国将由以下四个部委联合开展个人信息保护系列专项行动：

1. 中央网信办（国家互联网信息办公室）
2. 工业和信息化部
3. 公安部
4. 市场监管总局

这项行动旨在深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息的典型问题，切实维护人民群众在网络空间的合法权益，提升公众的满意度和获得感。

专项行动将重点关注以下六个方面的问题：

1. App（含小程序、公众号、快应用）违法违规收集使用个人信息
2. SDK违法违规收集使用个人信息
3. 智能终端违法违规收集使用个人信息
4. 公共场所违法违规收集使用人脸识别信息
5. 线下消费场景违法违规收集使用个人信息
6. 个人信息相关违法犯罪案件

四部门将有序推进各项任务，集中治理各类典型违法违规问题，对拒不整改的行为依法从严处理。

在开源合规扫描中，通常需要特别关注和处理以下中高风险许可证：

• A. GPLv2.0/GPLv3.0：这些是 强制性开源许可证，具有较高的合规风险。特别是GPL许可证要求在分发源代码或修改后的代码时，必须公开源代码并且对修改做出相应的说明。如果与其他许可证的代码结合，可能会引起许可证兼容性问题，需要特别小心。

• B. SSPL（Server Side Public License）：SSPL是一个较新的许可证，通常认为它是一种高风险许可证，因为它与GPL具有相似的要求，但它要求提供对通过服务器提供的服务的源代码。这使得SSPL在一些开源项目和企业间引起了较大争议，并且其与其他开源许可证的兼容性较差，可能会给企业带来额外的合规负担。

• D. CC BY-NC 4.0：这是一种 Creative Commons许可证，常用于内容创作。它对非商业用途有严格限制，因此可能会对企业使用造成法律风险，特别是在进行商业化操作时。如果项目或代码包含了CC BY-NC 4.0许可证的内容，企业需要特别注意是否符合“非商业用途”的要求。

需要注意的是：

• C. MIT：MIT许可证通常被认为是较为宽松的开源许可证，因为它只要求在分发代码时附带许可证声明，不要求公开源代码，因此其合规风险相对较低。一般来说，MIT许可证不被视为中高风险许可证。

总结：

开源合规扫描中需要特别关注的 中高风险许可证 是：

• A. GPLv2.0/GPLv3.0
• B. SSPL
• D. CC BY-NC 4.0