欧盟数据合规之五：数据跨境流转及案例

欧盟数据合规之五：数据跨境流转及案例

IXCDC

一、 理论分析：GDPR对数据跨境流转的规定

数据的跨境流动对国际贸易的发展起着关键作用的同时，也是自然人数据保护的重要一环。《一般数据保护条例》以第五章专章，即第44条至50条，确立了在欧盟将个人数据转移到第三国或国际组织的相关规定。该章同样也为企业、机构及其他组织提供了不同的数据传输合规路径。

01

数据跨境流转的一般性原则

GDPR第44条首先确认了在欧盟数据跨境流转的概念，即“对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织”。控制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进行转移。为了保证本条例对于自然人的保护程度不会被削弱，本章的所有条款都应当被遵守。

02

合规路径一：欧盟委员会的的充分性认定

GDPR第45条确认了数据跨境传输规则体系的首选路径，即欧盟委员会的充分性认定。

该路径的具体规定是，当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护，可以将个人数据转移到第三国或国际组织，此类转移不需要特定的授权。截止2021年5月，正式获得欧盟委员会充分性认定的国家和地区仅有12个：安道尔、阿根廷、加拿大（限于商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭。

充分性认定的前提是综合评估第三国的数据保护水平。评估内容包括法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法，以及此类立法的实施、数据保护规则、职业规则和安全措施，包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济等内容。欧委会充分性认定不仅可以针对国家、地区，还可针对特定行业、国际组织而做出。

在评估了保护程度的充足性之后，欧盟委员会可以通过制定实施性法案，确定第45条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或一个国际组织是否具有充足的保护。实施性法案应当提供一种周期性审查，至少每四年对第三国或国际组织的所有相关发展进行审查。当有信息显示，第三国或第三国内的一个或多个特殊部门或国际组织不再提供第45条第2段所规定的充足的保护，欧盟委员会应当在必要限度内废止、修正或中止确认的决定。

03

合规路径二：提供适当的保障措施

鉴于欧盟委员会充分性认定机制下适用的国家和地区有限，“为数据主体提供适当的保障措施”，才是绝大多数主体的路径选择。

GDPR规定的适当的保障措施有：

1. 公共当局之间有法律约束力和可执行性的文书；

2. 有约束力的公司规则；

3. 欧委会通过或批准的标准合同条款；

4. 经批准的行为准则；

5. 经批准的认证机制。

在上述保障措施中，适用较多的是措施二和措施三。

关于措施二，有约束力的公司规则主要适用于跨国集团公司内部数据跨境传输的情形。若跨国集团公司具备经欧盟成员国数据保护机构批准的有约束力的公司规则，那么该公司无需得到另行批准，也可直接将欧盟境内的个人数据传输到同一集团内的其他公司。

至于措施三的标准合同条款，欧盟委员会于2020年11月12日发布了更新的标准合同条款和实施决定草案，目前正在征求公众意见，尚未正式通过。

04

合规路径三：特定情形下的豁免

在不满足合规路径一和路径二的情况下，GDPR确认将个人数据转移到第三国或国际机构的豁免情形需满足如下之一情况：

1. 数据主体被明确告知，不存在充足保护或适当的安全措施，预期的数据转移存在风险，但之后数据主体仍然明确表示同意预期的数据转移；

2. 转移对于履行数据主体与控制者之间的合同，或者履行数据主体在签订契约前所提出要求是必要的；

3. 控制者和另一自然人或法人之间签订或履行合同时，转移对于实现数据主体的利益是必要的；

4. 转移对于实现公共利益是必要的；

5. 转移对于确立、行使或辩护法律性主张是必要的；

6. 当数据主体基于身体性或法律性原因无法表达同意，为了保护数据主体或其他人的关键利益是必要的；

7. 转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。但是，只有满足欧盟法或成员国法对咨询所规定必要条件，此类个案中的转移才能进行克减。

05

法庭判决、仲裁裁决或第三国行政机构决定的转移情形

GDPR确认，任何法庭判决、仲裁裁决或第三国行政机构的决定，若要求控制者或处理者对个人数据进行转移或披露，同时满足以下条件时方能得到认可或执行：一是该判决、裁决或决定必须基于提出请求的第三国与欧盟或其成员国之间订立的法律互助协议等国际条约，二是该判决、裁决或决定不会对本章规定的其他转移形式产生消极影响。

二、实务探讨：在欧盟实现数据跨境流转的建议

欧盟数据保护委员会（EDPB）于2020年11月11日发布了两份建议草案以征求公众意见，分别是《关于补充传输机制以确保符合欧盟个人数据保护标准的建议》和《针对监控措施的关于欧盟重要保障的建议》。这两份建议为企业自行逐案评估第三国是否提供了实质等同的保护水平和应采取何种额外的保障措施以获欧盟认可提供了更明确的指导。

01

 详解《关于补充传输机制以确保符合欧盟个人数据保护标准的建议》

在《关于补充传输机制以确保符合欧盟个人数据保护标准的建议》中，EDPB确认了六个步骤以助企业明确跨境的合法。

第一步，了解向第三国转移个人数据的情况，即数据映射（Data mapping），数据输出者应定位数据流，以确保无论在何处都对个人数据提供实质等同的保护水平。

第二步，核实进行数据跨境转移的依据，数据输出者需要判断其数据跨境传输依赖的是GDPR第五章规定的何种法律途径。

第三步，评估第三国的法律和实践是否可能会影响某一具体转移的有效性，评估应特别关注与某一具体数据跨境转移相关的，与GDPR第46条适当的保障措施相关的，或者是可能破坏其数据保护水平的第三国国内立法。此外，该文件的附件三还为数据输出者提供了一份非常简短的清单，列出了评估第三国数据保护水平的部分信息来源，如欧盟法院和欧洲人权法院的判例法、政府间组织和区域机构的决议和报告等。

第四步，确定并采取必要的补充措施，以达到实质等同的保护水平，该文件的附件二提供了一系列补充措施，主要包括技术、合同、组织三方面。

技术措施

符合额外保障措施要求的技术措施

加密技术（注意:EDPB对加密措施的要求较高）

传输假名化的数据（pseudonymised data）

仅在第三国过境的加密数据

传输受第三国法律特别保护的数据

不符合额外保障措施要求的技术措施

数据输出者借助云服务提供商或其他处理者在第三国处理个人数据

为业务目的远程访问数据

合同措施

考虑到合同措施通常不能约束第三国的公共当局，故应将这些合同措施与其他技术和组织措施相结合，以提供所需的数据保护水平。

规定使用具体技术措施的合同义务

增强透明度义务：提供第三国公共当局获取数据的情况，包括在情报领域的情况

采取具体行动的义务：以审查第三国公共当局要求披露数据的命令是否合法

赋予数据主体行使权利的合同义务

组织措施

从组织角度提供的保障通常也必须与合同措施和技术措施相配合使用，以提供实质等同的保护，并且还要取决于具体传输的逐案评估。

通过适当的有关数据转移治理的内部政策，明确分配数据转移的责任、报告渠道以及公共当局的秘密或正式要求获取数据的标准操作程序，企业集团之间的转移政策应尤为注意这一点

定期公布政府要求获取数据的透明度报告   

尽量减少不必要的数据操作，以限制个人数据在未经授权的情况下被访问

根据欧盟认证或国际标准制定严格的数据安全和数据隐私政策

第五步，根据采取的补充措施完成相应的可能需要的任何正式程序步骤。

第六步，适当定期重新评估第三国的数据保护水平，并监测是否有或者将有任何可能影响到数据保护水平的情况发生。

02

详解《针对监控措施的关于欧盟重要保障的建议》

该文件就第一份文件的保障措施进行了延伸，更进一步地总结了四点：

1. 处理应基于清晰、准确和便于理解的规则；

2. 必须证明与所追求的合法目标的必要性和相称性；

3. 应该存在一个独立的监督机制；

4. 向个人提供有效的救济措施。

三、案例延伸：Schrems案对欧盟数据跨境传输规则的影响

01

案件背景

2020年7月6日，欧盟法院发布“Schrems II”案判决，认定作为欧盟间数据传输通道的“隐私盾”协议（EU-U.S.Privacy Shield Framework）无效。这意味着大量企业无法再依靠“隐私盾”协议实现合法的数据跨境传输。该判决指出，美国国内法对公权力访问数据的限制不能满足欧盟法的要求，不符合比例性和严格必要等原则。在美国的监视行为中，欧盟数据主体也缺乏可诉诸的司法补救措施。这是欧盟法院继2015年判决“安全港”协议（EU-U.S. Safe Harbor Framework）无效后，再一次对欧美间跨境传输机制作出的否定性判决。

欧盟法院的Schrems II裁决对欧盟和美国之间的个人数据传输有重大影响。虽然该决定没有对这些司法管辖区之间的所有转移关闭大门，但它确实大大缩小了转移可能发生的方式。例如，公司仍然可以使用标准合同条款(SCCs)——由欧盟批准的将公司绑定到特定数据保护标准的合同条款——作为隐私盾框架的替代方案。但Schrems II认为，使用SCCs的出口商必须评估接受方管辖权的法律环境，并采取任何必要的“补充措施”，以确保数据在欧盟法律要求的水平上受到保护。

02

探讨评析

欧盟法院在Schrems II案中判决隐私盾无效，但又对GDPR第46条数据跨境传输的常规路径（公共当局之间有法律约束力和可执行性的文书、有约束力的公司规则、欧委会通过或批准的标准合同条款、经批准的行为准则、经批准的认证机制提出了更高的适用要求。欧盟法院强调任何使用上述路径的数据输出者必须逐案评估其数据的每一次跨境传输是否都提供了与欧盟“实质等同”的数据保护水平，若第三国不能提供实质等同的保护水平，那么数据输出者应根据具体情形提供“额外的保障措施”。

具体而言：

首先，欧盟法院的判决否定了欧盟与美国之间的隐私盾框架的合法性，美国企业将无法再依赖隐私盾框架来合法地将数据传输至美国。

其次，对于其他数据跨境传输法律路径而言，欧盟法院的判决也使得包括GDPR在内的法律进一步充满不确定性。企业对于能否使用标准合同条款进行数据跨境传输的自行逐案评估可能随时会受到质疑；尽管企业可以采取额外的保障措施，但仍不能完全保证其依据标准合同条款跨境转移数据的合法性。欧盟法院的判决实际上要求各当事方自主进行与欧委会做出的充分性认定相类似的评估。但欧委会之前对于安全港和隐私盾这两种机制的评估现都被欧盟法院推翻，尚不清楚企业如何才能做得更好。

此外，欧盟法院也未明确实践中可能采取的额外的保障措施具体是指什么，而只是反复强调需要根据具体情况具体判定。