欧盟数据合规之四：数据本地化义务及案例

欧盟数据合规之四：数据本地化义务及案例

IXCDC

一、 理论分析：欧盟的数据本地化制度

随着跨境数据流动需求扩大和保护本国产业利益需要增强的冲突加剧，数据本地化制度近年来在各国密集出台、趋势明显。根据欧盟《非个人数据自由流动框架条例》（Regulation on the Free Flow of Non-personal Data），数据本地化是指成员国法律、法规或行政规定中规定的义务、禁止、条件、限制或其他要求，而这些要求对数据存储或数据的其他处理行为做出了特定领域的限制或阻碍。理论上来说，数据本地化制度即要求数据本身以及相关的服务、设施本地化，是不同于限制数据流动的一项制度，但实践中这一制度在维护本国产业利益的同时也往往会对数据跨境流动形成较大的限制。可以说，数据本地化制度实质上是政府对于跨境数据流动的一种较为严格的监管举措，反映了一种对跨境数据流动严格管控的监管态度。

01

整体模式

比较法各国的数据本地化制度有所不同，按不同的划分标准可分为不同的模式。依据管辖依据可将各国本地化制度大致分为美国为首的国籍管辖模式和以欧盟为首的领土管辖模式。欧盟的领土管辖模式即以领土为边界，将域内所有数据控制人收集、处理的个人数据纳入保护范围。而依据限制标准的不同，则可将各国本地化制度大致分为美国为首的“隐私盾”模式和以欧盟为首的“充分性认定”模式。欧盟的“充分性认定”模式要求只有在获得欧盟委员会的“充分性决定”，即认定该第三国能提供符合欧盟标准的数据保护水平时，才能向该第三国移转个人数据。考虑到欧盟的实际国情需要，欧盟的数据本地化制度基本思路为“内松外紧”：在内部，欧盟主张粉碎数据流动壁垒，努力形成联盟内的“单一数字市场”；而对外方面，欧盟则是强调对数据的跨境流转加强管控和限制流通，希望通过增加数据出境限制而提高本地化程度。

02

规制构成

具体而言，欧盟的数据本地化制度的形成主要依赖于以下三份文件：首先，1995 年欧洲议会和欧盟理事会通过了 《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95 /46/EC号指令》 ( Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data) ，其中第 25 条明确规定，“只有在第三国确保提供适当保护水平时，才能将个人数据向第三国转移”。由此，欧盟数据本地化制度的基础规则和“充分性决定”（Adequacy Decision）的基础模式得以形成。

其次，通过欧盟《通用数据保护条例》初步建立了专属于欧盟的数据本地化制度。一方面，《通用数据保护条例》第45条和第46条再次强调和进一步明确了“充分性决定”模式的具体内容：第45条要求数据控制者必须得到欧盟关于确定接收数据的第三国、地区或部门能提供与欧盟相同程度的保护的认定的基础上才可进行跨境数据转移。在满足“充分性决定”模式的基础上，向满足标准的国家或地区传输个人数据且无需经过欧盟委员会特别授权；而第46条则提出了在满足“充分”水平但未经欧盟委员会官方认定的情况下，可以通过采取“转移所需要的适当安全保障和提供有效法律救济措施”而使数据跨境转移活动合规化。另一方面，欧盟也通过《通用数据保护条例》第28条、第47条和第63条为向不能提供充分保护水平的第三国或国际组织转移数据这一情形建立了其他可适用的机制：例如，欧盟委员会通过第28条确定的 “标准合同条款” （Standards Contractual Clauses，简称 “SCCs”)） [1]和通过《通用数据保护条例》第47条确定的 “约束性公司规则”（Binding Corporate Rules, 简称 “BCRs”）。

最后一份文件是欧洲议会于2018 年10 月4 日通过的《非个人数据自由流动框架条例》，它要求在保障公共安全的前提下禁止对非个人数据的数据实施数据本地化要求，明确了提出了个人数据与非个人数据的本地化义务具有差别，与欧盟《通用数据保护条例》相互补充共同构成了欧盟本地化制度的重要法律基础。

此外，在国际协议上，欧盟法院于2020年7月16日宣布欧盟与美国间被称为“隐私盾”（The EU-US Privacy Shield）的数据传输协议无效，导致依赖于“隐私盾”协议向美国传输个人数据的的公司被迫停止将欧盟境内的个人数据传输至美国，在美国的服务器上存贮欧盟个人数据的行为也由此被禁止。这一举措和此前宣布对欧盟的数据本地化制度进行了进一步补充。

二、细节探讨：欧盟的数据本地化义务分析

01

主体：跨境数据处理者

欧盟的数据本地化义务的主体是跨境数据处理者，这一主体包含了3层含义：第一，欧盟的数据本地化义务的主体必须是数据处理者。根据《通用数据保护条例》第4条第8款， “处理者”（processor）是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。可以看到，在主体类型上，数据本地化义务的主体包含了自然人、法人、公共机构、行政机关和其他非法人组织几种类型。

02

客体：跨境数据转移活动

欧盟的数据本地化义务的客体是跨境数据转移活动，根据《通用数据保护条例》第44条，跨境数据转移是指将正在处理或计划进行处理的个人数据转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织。而根据《通用数据保护条例》第4条第23款， “跨境处理”（cross-border）是指以下情形之一：(a) 个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。(b) 个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中，但是这种处理严重影响或可能会严重影响多个成员国的数据主体。可以看到，在地域上，数据本地化义务的规制范围既包括了将有关数据从欧盟转移到第三国或国际组织，也包括了将有关数据从第三国或国际组织转移到另一第三国或另一国际组织。

三、案例延伸：Schrems II案视角下的欧盟数据跨境流通机制

01

简要背景

2020年7月16日，欧盟法院（The Court of Justice of the European Union ，简称"CJEU"）就Schrems II案（Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/1) ）作出判决，认定美国作为数据接收国一方给被转移至其境内的数据提供和欧盟相同程度的充分保护水平，由此正式宣布美欧之间的数据跨境转移机制“隐私盾协议”无效。此外，在本案判决中，欧盟法院虽未否决“标准合同条款”的效力，但提出了在适用“标准合同条款”进行数据跨境转移时，应当对数据接收方的第三国、地区或国际组织的规定进行实质审核，确保其能够为欧盟个人数据提供充分的保护。

02

探讨评析:如何选择适用欧盟的跨境转移数据机制

关于在欧盟进行数据出境活动的依据有两类。第一类是欧盟有关规定所确立的《通用数据保护条例》分别通过其第45条和第46条、第28条、第47条和第63条为有数据跨境转移需求的个人和单位提供了三种依据不同的跨境转移数据机制，包括数据保护“充分性决定”模式、“标准合同条款”和“约束性公司规则”。第二类是欧盟与其他国家或国际组织之间的跨境数据传输协议。这类的典型即为欧盟与美国之间历史上用于个人数据跨境转移的“安全港”协议（Safe Harbor）和“隐私盾”协议，但以上两份协议已分别于2015年9月和2020年7月由欧盟法院宣布无效。可以看到，此类根据国际协议而建立的跨境数据传输机制相对而言具有不稳定性，在此暂不讨论。

1.选择适用“充分性决定”模式

在“充分性决定”模式下，如若欧盟委员会（European Commission）认定了特定第三国、地区或国际组织、或该第三国、地区或国际组织内的特定领域、部门或国际机构能够确保被传输的数据得到和欧盟相当的充分保护水平，则企业向这些数据接收方传输个人数据无需再经过欧盟委员会的特别审批。根据《通用数据保护条例》第45条第3款，评估数据接收方是否达到充分保护水平主要考虑以下因素：1）法治、对人权与基本自由的尊重（包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法）以及相关立法的实施情况、数据保护规则、职业规则和安全措施；2）在国际组织是主体的情形中，接收方是否存在一个或多个有效运作的独立监管机构可以保证数据保护规则的实施；3）接收方是否存在国际性承诺，或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任，以及是否参加多边或地区性的体系，特别是和数据保护相关的体系所引起的其它责任。

满足以上因素条件的数据接收方在经过欧盟的认定后，可以在无需欧盟委员会特殊审批和授权的情况下接收来自欧盟的数据转移。简而言之，“充分性决定”模式适用于事前经过欧盟委员会关于“充分性”认定的接收方。而且，根据《通用数据保护条例》第45条第8款，欧盟委员会会将其认定已经具备充足保护水平的接受方名单列明欧盟的官方杂志及其网站上。目前，通过上述充分性认定的接收方包括新西兰、安道尔、阿根廷、以色列、瑞士和日本等国家与地区。

此外，《通用数据保护条例》第46条还提出了数据跨境转移活动在满足第45条相关条款所确定的“充分”水平、但未经欧盟委员会官方认定的情况下，可以通过采取“转移所需要的适当安全保障以及为数据主体提供可执行的权利与有效的法律救济措施”而合规化。第46条还分别列举了以上 “转移所需要的适当安全保障”在不需要和需要监管机构授权的情况下的典型方式。

2. 选择适用“标准合同条款”

“标准合同条款”存在多个历史版本；初代版本由欧盟委员会于[2]001年通过；二代版本则由欧盟委员会于2003年通过；而最新版本的两组 “标准合同条款”则由欧盟委员会于2021年6月4日通过，将于2021年6月27日生效。简单来说，目前最新的“标准合同条款”机制具有统一的标准合同范本，适用于集团内部之间的个人数据传输，且其是否可适用须经监管机构根据个案情况进行实质审批。

3. 选择适用“约束性公司规则”

《通用数据保护条例》通过其第47条和第63条确定的“约束性公司规则”则是一种适用于企业和组织内部之间的，规则内容要素有明确具体规定，且其是否可适用须经监管机构批准的数据传输的机制。根据《通用数据保护条例》第47条第1款，监管机构对于满足以下条件的有约束力的公司规则应当批准：1）具有法律约束力，适用于进行联合经济活动的企业集团或一系列经济主体的所有相关成员；2）在处理个人数据方面明确赋予数据主体以可执行的权利；3）第47条第2款中的其他要求。而第47条第2款则提出以上规则还必须明确主体及其成员、数据转移活动的内容、具有明确的法律约束效力、明确适用一般数据保护原则、赋予了数据主体相关数据权利等具体要求。

以上三类主要的可适用于欧盟数据跨境转移的机制分别适用于不同情形，在实践中只要满足其中一类机制的适用条件，即可合规地展开数据跨境转移的活动；需要进行数据出境转移的自然人、法人、公共机构、行政机关或其他非法人组织可根据其实际情况选择适用不同的机制实现数据出境的需要。

标注：

[1] “标准合同条款”有多个历史版本，欧盟委员会于2021年6月4日通过了两组最新版本的 “标准合同条款”，该两组“标准合同条款”2021年6月27日生效。

[2]“标准合同条款”有多个历史版本