《解读通用数据保护条例》Part Ⅳ:跨境数据传输
2019-09-27 16:28
《通用数据保护条例》(GDPR)终于颁布——这意味着,对于任何与欧盟或欧盟经济区(EEA)开展商业活动的企业而言,许多的问题、担忧和挑战亦随之而来。
甫瀚咨询很高兴与大家分享,我们与全球专业人力资源公司罗致恒富(Robert Half)和跨国律师事务所贝克·麦坚时(Baker McKenzie)联合推出的《解读通用数据保护条例》资源指南,以帮助企业解读、准备和应对此项新条例。我们的指南涵盖了GDPR的基本常识,并重点关注第三方风险、数据隐私权、同意条款管理和隐私声明等关键领域。
GDPR代表着20年来数据条例方面最重大的改变。因由GDPR不合规产生的罚款高达企业全球收入的4%,因此如何应对并遵守这项新规对企业来说至关重要。我们的《解读通用数据保护条例》资源指南作为从董事会成员到IT部门职员的实用资源,旨在帮助企业了解并确保他们遵守GDPR的各项复杂规定。
于本文,我们围绕《解读通用数据保护条例》的第四部分:跨境数据传输(六个问题),与您展开探讨。
55. 跨境数据传输的基本规则是什么?
GDPR大体保留了《指令》所建立的跨境传输条款。作为一般性规则,个人数据只能从欧盟/欧洲经济区输出至被认为能够提供充分数据保护的国家(“充分性决议”)。如果传输者符合特定情形下的豁免,或能够提供确保充分数据保护的额外保障,那么数据也能被传输至其他非欧盟/欧洲经济区国家。
56. 跨境数据传输的充分性决议是什么?(第45条)
欧盟委员会有权通过签发充分性决议,认定任何欧盟/欧洲经济区以外的指定国家,或该第三国的某一区域或一个或多个特定行业,或某国际组织,能够确保充分的数据保护。而向这些已被赋予充分条件的国家、区域、行业或组织传输数据,如若是监管机构所允许的,则无须进一步获得特别授权。
于本文着笔时,该等“充分”辖区包括安道尔、阿根廷、加拿大(受《个人信息保护及电子文件法案》(PIPEDA)约束的商业企业)、法罗群岛、根西、马恩岛、以色列、泽西、新西兰、瑞士和乌拉圭。日本正争取与欧盟委员会就相互充分性结果达成一致意见。
对于美国,欧盟委员会于2016年7月对《隐私盾》框架签发了充分性决议。根据《隐私盾》的规定,美国企业可以向美国商务部做出自我核证,并公开承诺遵守该框架下经欧盟委员会认可的在本质上等同于欧盟隐私标准的隐私标准。因此,《隐私盾》能够实现用于商业目的的数据从欧盟向参与《隐私盾》的美国企业的传输。自我核证虽属自愿性质,但企业一旦公开承诺遵守该框架条款,根据美国法律,有关承诺就将变为强制执行。
尽管GDPR所保留的充分性概念承袭自《指令》,但GDPR也带来了一些值得注意的变化,包括:
充分性决议不仅可以针对一个国家,也可以针对区域、行业和国际组织。
充分性决议将接受定期审核,并且可由欧盟委员会废除、修订或暂停。
充分性决议的条件更加严苛。例如,要想获得充分条件,第三国需要确保其数据保护程度在本质上等同于欧盟的保障水准,尤其是必须确保有效的、独立的数据保护监管到位,并且数据主体能够获得有效的、可强制执行的权利,以及有效的行政和司法救济。
对充分性决议更严苛的附加要求源于声名狼藉的Schrems决定,该决定直接导致《安全港协议》的失效和《隐私盾》的实施。
57. GDPR规定的适当保障是什么?(第46条)
只有传输者能够提供适当的保障措施,确保充分的数据保护,并且在数据主体可获得其权利可强制执行和有效法律救济的条件下,数据方可从欧盟向不具备充分条件的第三国传输。
GDPR所规定的适当保障措施包括无须监管机构特别授权的保障和须经有关授权的保障。
下列适当保障措施无须监管机构特别授权:
约束性企业规则(参见问题58)
欧盟委员会采用的标准数据保护条款(参见问题59)
获批准的行为准则或获批准的认证机制,并且两种情况下都需要第三国的数据控制者/处理者就其采取的适当保障措施做出具有约束力及可强制执行的承诺,包括有关数据主体权利的承诺(参见问题51-54)
公共机关或机构之间具有法律约束力及可强制执行的工具
须经监管机构特别授权的适当保障措施有:
控制者或处理者与第三国或国际组织的控制者、处理者或个人数据接收者之间的合同条款
在公共机关或机构之间的行政安排中间插入的,包括可强制执行的、有效的数据主体权利在内的规定
58. 什么是约束性企业规则?(第47条)
跨国企业为获得集团内部跨境数据传输的合法资格,可以选择拟定和实施一套具有约束力的规则或行为准则,即约束性企业规则(BCRs)。约束性企业规则强制企业设立于欧盟以外的附属企业实施欧盟隐私标准,从而使得这些附属企业能够处理源自欧盟的数据。约束性企业规则无法用于实现向供应商、客户、分销商或服务提供商等非附属机构传输数据的合法化。约束性企业规则的实施相当繁琐,但GDPR竭力减轻企业的合规负担。约束性企业规则须获得主管监管机构的批准。
59. 什么是标准数据保护条款?(第46条)
标准数据保护条款(亦被称为“示范条款”)是另一种数据保护措施,以实现数据从欧盟向不具备充分条件的第三国安全地传输。示范条款将义务加诸于数据传输者和接收者,以确保传输安排能够保护数据主体的权利和自由。如果数据控制者或数据处理者能够原封不动照搬全部示范条款,他们便可为相关数据传输提供适当保障。
在GDPR之前,欧盟委员会就欧盟数据控制者分别向非欧盟数据控制者及非欧盟数据处理者的数据传输发布了标准合同条款。根据GDPR,这些条款在被正式废除、修订或取代前将继续有效。根据GDPR,标准数据保护条款可由欧盟委员会采纳或者由监管机构采纳后再获得欧盟委员会的批准。
重要的是,根据GDPR,数据控制者或数据处理者可以采用其他条款或保障措施来补充经批准的标准合同条款,只要这些条款或保障措施不与经批准的标准合同条款相抵触或损害数据主体的基本权利和自由。标准数据保护条款作为跨境数据传输合法化的手段正受到欧盟法院的质疑。
60. 什么是GDPR项下可以依赖的跨境数据传输可豁免情形?(第49条)
如果传输者能够依赖特定豁免情形,即便不具备充分条件,数据传输亦可合法。根据GDPR,豁免情形有:
在被告知因缺乏充分性决议和适当保障措施,有关传输可能会带给数据主体风险之后,数据主体已明确同意所提议的传输。
有关传输对于履行数据主体和控制者之间的合同是必要的;或对数据主体于签订合同之前所要求的实施措施是必要的。
有关传输对于控制者与另一自然人或法人之间签订或履行符合数据主体利益的合同是必要的。
有关传输出于重要的公众利益原因是必要的。
有关传输对于提出、行使或捍卫法律诉求是必要的。
在数据主体因为身体或法律原因无法给予同意的情况下,有关传输对于保护数据主体或他人的重大利益是必要的。
有关传输源自公众登记册,且已满足特定条件。
有关传输不重复,仅涉及有限的数据主体,且对于控制者追求并未超越数据主体权益和自由的重大合法利益是必要的;以及对于有关传输,控制者能够提供保护个人数据的适当保障措施,并将相关传输通知监管机构和数据主体的。
最后一项是GDPR新引入的豁免情形,应被视为豁免情形的“最后选择”,适用于只涉及少量数据主体、偶尔进行的数据传输的合法化。
若欲了解更多讯息或有业务咨询/合作需求,返回搜狐,查看更多
