其他
欧盟非个人数据自由流动框架条例指南 | 北外法学202001
内容提要:非个人数据与个人数据的自由流动要遵循不同的规则,个人数据的自由流动侧重于个人数据的保护,非个人数据的自由流动侧重于数据的利用。《欧盟非个人数据自由流动框架条例(EU)2018/1807》着眼于二者的差异,为非个人数据制定了不同的流转规则体系,旨在减少欧洲数据驱动型竞争经济的壁垒,增强数据的可访问性和再利用性。《欧盟非个人数据自由流动框架条例指南》是欧盟委员会为《欧盟非个人数据自由流动框架条例(EU)2018/1807》的具体适用做出的详细解释,其明确了个人数据与非个人数据的概念,界定了混合数据集的概念,阐述了数据本地化要求和相关原则,要求数据控制者与处理者制定自我监管措施以确保数据在自由流动过程中的安全并提高人们对数据处理服务的信任。
关键词:非个人数据;自由流动;数据保护
该文件由欧盟委员会提供,仅供参考。它不包含对欧洲议会和欧洲理事会于2018年11月14日通过的《欧盟非个人数据自由流动框架条例(EU)2018/1807》的任何权威性解释,并且不构成欧盟委员会的决定或立场。它不影响欧盟委员关于此事项的任何决定或立场,也不影响欧盟法院根据欧盟条约解释该法规的权力。
一介绍
在日益由数据驱动的经济中,数据流是各种规模和各个领域的公司业务流程的核心。新的数字技术正在为欧盟的普通公众、企业和公共行政部门创造新的机遇。
为进一步加强跨境数据交换、促进数据经济发展,2018年11月,欧洲议会和欧洲理事会基于欧盟委员会(以下简称“委员会”)的提议,通过了《欧盟非个人数据自由流动框架条例(EU)2018/1807》(以下简称《非个人数据自由流动条例》)。该条例自2019年5月28日起实施。鉴于《关于在个人数据处理方面保护个人规则以及个人数据自由流动规则(EU)2016/679》(以下简称《一般数据保护条例》)已经规定了个人数据自由流动的原则,并废除了第95/46/EC指令;因此,现在有了一个为欧盟共同数据空间和欧盟境内所有数据的自由流动制定的全面框架。
《非个人数据自由流动条例》为企业在欧盟的任何地方处理数据提供了法律确定性,提高了人们对数据处理服务的信任,并为打击供应商封锁行为提供了法律依据。这将增加客户的选择,提高效率,并刺激云技术的应用,从而为欧盟的企业节省大量资金。一项研究表明,欧盟的企业可以通过迁移到云计算节省20%~50%的IT成本。
有了这两项规定,数据可以在成员国之间自由流动,数据处理服务的使用者可以使用在欧盟不同市场收集的数据,以提高生产率和竞争力。因此,用户可以充分利用欧盟巨大市场提供的规模经济,提高其全球竞争力,增强欧洲数据经济的互联互通。
《非个人数据自由流动条例》有三个显著特点:
(1)作为一项规则,它禁止成员国对数据的本地化要求作出规定,例外只能基于符合比例原则的公共安全理由;
(2)它建立了一个合作机制,以确保主管当局能够继续行使访问其他成员国正在处理的数据的权力;
(3)在委员会的支持下,它激励各行业在数据服务提供商的转换和数据传输方面制定自律行为准则。
指南制定目的
本指南符合《非个人数据自由流动条例》第8(3)条的规定,该条要求委员会发布有关该条例与《一般数据保护条例》之间相互联系的指南,尤其是关于由个人和非个人构成的数据集的指南。
本指南旨在帮助使用者,特别是中小型企业了解《非个人数据自由流动条例》与《一般数据保护条例》的相互联系。因此,本指南特别涉及:(1)非个人数据和个人数据的概念;(2)两部条例规定的数据自由流动原则和禁止数据本土化的要求;(3)《非个人数据自由流动条例》规定的数据可携性的概念。它还涵盖了两项条例中规定的自我监管要求。
《非个人数据自由流动条例》只包括《一般数据保护条例》所界定的“个人数据以外的数据”。《一般数据保护条例》规制个人数据的处理,这是欧盟数据保护框架的重要组成部分。该条例于2018年5月25日生效,规定了协调一致的规则,以保障欧盟/欧洲经济区的人们在个人数据处理及其自由流动方面的权益。《一般数据保护条例》指明了什么数据构成个人数据,为数据的处理提供了法律依据,规定了处理这些数据时应遵守的权利和义务等。关于个人数据自由流动的原则,《一般数据保护条例》第1(3)条规定,“出于保护个人在个人数据处理方面的权益,不得限制或禁止联盟内部个人数据的自由流动”。
在大多数情况下,数据集很可能由个人数据和非个人数据组成。这通常被称为“混合数据集”。下文“混合数据集”一节将进一步解释《非个人数据自由流动条例》与《一般数据保护条例》在混合数据集方面的联系。
为明确起见,《一般数据保护条例》和《非个人数据自由流动条例》规定的义务并不矛盾。
二《非个人数据自由流动条例》与《一般数据保护条例》之间的相互联系——混合数据集
(一)《非个人数据自由流动条例》中的非个人数据概念
《非个人数据自由流动条例》旨在确保个人数据以外的数据的自由流动。尽管该条例全文使用“数据”一词,此数据应理解为“《一般数据保护条例》第4(1)条所界定的个人数据以外的数据”。此数据(在本文件中亦称“非个人数据”)是根据《一般数据保护条例》的规定对个人数据作出的相对(相反)的定义。
个人数据
《一般数据保护条例》规定:“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接识别的人,尤其是通过姓名、身份证号码、位置数据、在线标识等识别符号或者通过该自然人的身体、生理、基因、心理、经济、文化或社会特征的特定的一个或多个因素而识别的个体。
个人数据的宽泛定义是有意的,与以往的立法相比,《一般数据保护条例》对个人数据的定义本质上没有改变。2007年6月20日,第29条工作组在其《关于个人数据概念的意见》中,已就个人数据的定义的诸多方面(如“任何信息”“与……相关”“已识别的或可识别的”)作出处理。
在研究等领域,通常会假名化个人信息以掩饰个人身份。假名化是个人数据的处理过程,假名化之后不使用额外的信息就不可能将数据指向特定的个人。这些额外信息是分开保存的并通过组织或技术措施(例如加密)保护。尽管如此,如果可以通过使用其他信息将假名化的数据指向某个人,那么这些数据仍然被认为是可识别之人的信息。根据《一般数据保护条例》,这些数据构成个人数据。
非个人数据
如数据并非《一般数据保护条例》所界定的“个人数据”,则属非个人数据。非个人数据可按来源分类如下。
首先,最初与已识别的或可识别的自然人无关的数据,例如由安装在风力发电机上的传感器产生的天气状况数据或有关工业机械维护需求的数据。
其次,起初被认为是个人数据,但之后被匿名化的数据。匿名化的个人数据与假名化不同(见上),因为适当匿名化的数据不能被归因于特定的个人,即使附加数据也是如此,因此其是非个人数据。
个人数据是否被适当匿名化的评估,取决于每一个案精确的、独一无二的情况。被认为已经匿名化的数据被重新识别的几个案例表明,这样的评估可能要求很高。为了确认个体是否可能被识别,必须研究所有合理的、可能被控制者或者他人使用的、直接或者间接识别个人的手段。
非个人数据示例
当个人事件(如个人出国旅行或可能构成个人数据的旅行模式)无法被识别时,可以将其归类为匿名数据。匿名数据可以被用于例如统计或者销售报告(比如评估产品的畅销度及其功能)。
金融部门的高频交易数据,或有助于监测和优化农药、营养和水使用的精准农业数据是非个人数据。
但是,如果非个人数据可以任何方式与个体相连,导致他们直接或间接地被识别,则此类数据必须被视为个人数据。
例如,如果生产线上的产品质量控制报告能够将数据与某个特定的工厂工人(例如设置生产参数的工人)相联系,则这些数据将被视为个人数据且《一般数据保护条例》将会被适用。当技术和数据分析的发展使匿名数据转为个人数据成为可能时,应当适用相同的规则。
由于个人数据的定义是指“自然人”,因此包含法人姓名和联系方式的数据原则上被认为是非个人数据。然而,在某种条件下,它们也可能是个人数据。例如,如果法人的姓名与拥有该法人的自然人的姓名相同或者该信息与已识别或者可识别的自然人相关,则是这种情况。
(二)混合数据集
《非个人数据自由流动条例》与《一般数据保护条例》从两个不同的角度规定了数据在欧盟境内的自由流动。
《非个人数据自由流动条例》规定了一个普遍的禁令,即反对非个人数据的本地化要求。该条例的第4(1)条禁止数据本地化要求,除非基于公共安全并且在符合比例原则的情况下才可提出此种要求。
《一般数据保护条例》除了确保个人数据的高水平保护之外,也强调了个人数据的自由流动。根据该条例的第1(3)条,个人数据的自由流动不得因为保护自然人而被限制和禁止。这两部条例共同规定了欧盟境内“所有”数据的自由流通。具体规定将在“非个人数据自由流动”和“个人数据自由流动”部分进一步讨论。
混合数据集包括个人数据与非个人数据。混合数据集代表了数据经济中使用的大多数数据集,并且由于物联网(即数字链接对象)、人工智能、支持大数据分析的技术等的发展而变得常见。
混合数据集示例
(1)公司的纳税记录,其中提到了公司常务董事的姓名和电话号码;
(2)银行中的数据集,尤其是那些具有客户信息和交易明细的数据集,例如支付服务(信用卡和借记卡)、合作伙伴关系管理运用程序(PRM)和贷款协议、混合了有关自然人和法人数据的文件;
(3)研究机构的匿名统计数据和最初收集的原始数据,如个别受访者对统计调查问题的答复;
(4)公司基于单个IT事件报告的IT问题及其解决方案的知识数据库;
(5)与物联网有关的数据,其中一些数据允许对可识别的个人进行假设(assumptions)(例如,在特定地址的存在和使用模式);
(6)制造业生产设备运行日志的数据分析
示例:客户关系管理服务
一些银行使用第三方提供的客户关系管理(CRM)服务,要求在客户管理服务中可以使用客户的数据。客户关系管理服务中保存的数据将包括有效管理与客户互动所需的任何信息,例如他们的邮政地址和电子邮件、电话号码、购买的产品和服务以及销售报告,包括集合数据。因此,这些数据可能包括个人和非个人客户数据。
关于混合数据集,《非个人数据自由流动条例》规定:“对于包含个人和非个人数据的数据集,本条例适用于数据集的非个人数据部分。如果数据集中的个人和非个人数据有着千丝万缕的联系,则本条例不应违背《一般数据保护条例》。”
这意味着,在由个人和非个人数据组成的数据集的情况下:
·《非个人数据自由流动条例》适用于数据集的非个人数据部分;
·《一般数据保护条例》关于自由流动的条款适用于数据集中的个人数据部分;并且
·如果非个人数据部分和个人数据部分“紧密地联系”,则根据《一般数据保护条例》产生的数据保护权利和义务将完全适用于整个混合数据集,并且当个人数据仅占该数据集的一小部分时也应当完全适用。
示例
在欧盟境内运营的公司通过平台提供服务。企业(客户)上传其文档,其中包含了平台上的混合数据集。作为“控制者”,上传文档的企业需要确保处理过程符合《一般数据保护条例》。代表控制者的来处理数据集,提供服务的公司(“处理者”)需要按照《一般数据保护条例》来存储和处理数据。例如,确保相关的安全级别来保证数据的安全,包括通过加密的方式。
此解释与《欧盟基本权利宪章》所保障的个人数据保护的权利以及《非个人数据自由流动条例》序言第8条一致。其中《非个人数据自由流动条例》序言第8条规定:“关于在处理个人数据方面保护个人的法律框架……特别是《一般数据保护条例》……和《关于主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚而处理个人数据方面保护个人规则以及个人数据自由流动规则(EU)2016/680》和《关于电子通信领域个人数据处理和隐私保护的指令2002/58/EC》……不受本条例的影响。”
《非个人数据自由流动条例》和《一般数据保护条例》均未定义“紧密地联系”的概念。出于实践目的,它可以指这样一种情况,数据集既包含个人数据也包含非个人数据,并且将两者分开是不可能的,或者控制者认为其在经济上效率低下或在技术上是不可行的。例如,在购买客户关系管理服务和销售报告系统时,企业将不得不购买单独的客户关系管理服务(个人数据)和基于客户关系管理服务数据的销售报告系统(集合/非个人数据),这导致企业的软件成本重复增加。
分离数据集也可能会大大降低数据集的价值。此外,数据性质的变化(见“《非个人数据自由流动条例》中的非个人数据概念”小节)使得更难清楚地区分不同类别的数据,从而将它们分开。
重要的是,这两个条例都没有要求企业分离他们正在控制或处理的数据集。
因此,混合数据集通常应符合数据控制者和处理者的义务,并尊重《一般数据保护条例》确立的数据主体的权利。
健康数据的处理
健康数据可以是混合数据集的一部分。如包括电子健康记录、临床试验或由各种移动健康和福祉应用程序(例如用于测量我们的健康状况,提醒我们服药或跟踪健康状况的应用程序)收集的数据集。随着技术的发展,这些数据集中的个人数据和非个人数据之间的精确划分正变得越来越模糊。因此,其处理必须遵守《一般数据保护条例》,尤其是该条例第9条(健康数据是特殊类别的数据),其中规定了关于特殊类别数据处理的一般禁令以及例外。
包含健康数据的混合数据集中的数据可能是有价值的信息来源。例如,用于进一步的医学研究,测量处方药的副作用,用于疾病统计或用于开发新的医疗保健服务或疗法。但是,在执行初始处理操作以及进行进一步的数据处理操作时,必须遵守《一般数据保护条例》。因此,对健康数据的任何处理都必须有有效的法律依据并且有适当的理由,对健康数据予以保护并提供足够的保障。
最后,对于个人和公司来说,在数据处理过程中拥有法律上的确定性和信任是至关重要的,这对数据经济也很重要。这两部条例确保了这一点,并且都追求数据自由流动的目的。
三数据的自由流动以及数据本地化要求的移除
本节解释了《非个人数据自由流动条例》下数据本地化要求的概念以及更详细地解释了《一般数据保护条例》规定的数据自由流动原则的概念。尽管这些条款仅对成员国有约束力,但是其可以帮助企业更精确地理解这两个条例是如何促进欧盟境内所有数据的自由流动的。
(一)非个人数据自由流动
《非个人数据自由流动条例》规定应予以禁止数据本地化要求,除非是在符合比例原则下并以公共安全为理由。
“数据本地化要求”是指成员国的法律、法规或行政规定中规定的,或由成员国和公法管辖机构(译者按:公共权力机关)的一贯行政做法(译者按:行政惯例)中所产生的,包括在公共采购领域产生的任何义务、禁令、条件、限制或其他要求,但不影响《关于公共采购的指令2014/24/EU》。该指令规定在特定成员国境内进行的数据处理及在其他成员国处理数据的限制。
该定义说明,可以采取多种形式限制欧盟内部数据的自由流动,可以通过法律、法规和行政规定,或者公法管辖机构的行政管理来限制。此外,禁止的数据本地化要求包括旨在限制非个人数据的自由流动的直接措施及间接措施。
直接数据本地化要求可能包括在特定地理位置存储数据的义务(例如,服务器必须位于特定的成员国)或遵守特殊的国家技术要求的义务(例如,数据必须使用特定的国家格式)。
间接数据本地化要求可能会以多种形式出现,这将使在任何其他成员国处理非个人数据受到阻碍。这些要求可能包括使用在特定成员国内获得认证或批准的技术设施的要求,或使处理欧盟特定地理区域或领土以外的数据更为困难的其他要求。
评估特定措施是否属于间接数据本地化要求,需要考虑每个案例的具体情况。
《非个人数据自由流动条例》及欧盟法院判例法所概括的公共安全概念,涵盖成员国的内部和外部安全以及公共安全问题,特别是刑事犯罪调查、侦查和起诉活动等,它预先假定存在影响社会根本利益的真正和足够严重的威胁,例如威胁机构和基本公共服务的运作、人的生存以及严重扰乱外交关系或民族和平共处,或损害军事利益。
此外,任何基于公共安全理由的数据本地化要求都必须是符合比例原则的。根据欧盟法院的判例法,比例原则要求所采取的措施应当适合于实现所追求的目标,并且不应该超出实现该目标所必需的范围。
为明确起见,禁止数据本地化要求并不损害欧盟法律中已经存在的限制。
此外,《非个人数据自由流动条例》并不会对企业科以任何责任,亦不会限制它们在合约上决定在何处处理数据的自由。
成员国应通过国家在线单一信息点(a national online single information point),将适用于其领土的一般性质的法律、法规或行政规定中的任何数据本地化要求的详细信息公布在网上,并持续更新信息,或向另一欧盟法案建立的中央信息点提供有关此类本地化要求的最新详细信息。为方便商界人士查阅欧盟各地的有关信息,委员会将在欧洲门户网站上公布这些信息的链接。
(二)个人数据自由流动
《一般数据保护条例》规定欧盟内的个人数据流动不因个人数据处理方面的个人保护而受到限制或禁止。
如果成员国非因保护个人数据而推行个人数据本地化要求,必须根据《欧盟运作条约》以及有关欧盟立法(如服务指令和电子商务指令)中关于基本自由的规定和允许的理由对其进行评估。
示例
一项国家法律规定,由于国家税务机关实施管制等原因,薪金账户必须设在某一会员国,这一规定不属于《一般数据保护条例》第1(3)条的范围,因为其理由不是为了保护个人数据。相反,这一要求必须根据《欧盟运作条约》中关于基本自由和许可理由的规定来评估。
《一般数据保护条例》允许会员国可对遗传数据、生物特征数据或健康数据的处理附加条件,包括施加限制。然而,正如该条例序言第53条所述,当这些条件适用于跨境处理此类数据时,此类国家限制不应妨碍个人数据在欧盟内部的自由流动。这符合《欧盟运作条约》第16条的规定,并为制定有关保障个人数据权利以及个人数据自由流动的规则提供法律依据。
(三)《非个人数据自由流动条例》的适用范围
如前所述,《非个人数据自由流动条例》旨在确保非个人数据在欧盟境内的自由流动。因此,它不适用于在欧盟以外进行的处理操作,也不适用于与此类处理有关的数据本地化要求。
根据《非个人数据自由流动条例》第2(1)条的规定,该条例只适用于欧盟境内个人数据之外的电子数据,即:(1)向在欧盟境内居住或者有住所的用户提供服务,不管该服务提供者是否在欧盟境内成立;(2)在欧盟境内居住或者有住所的自然人或者法人为了自身需要而实施的行为。
示例
《非个人数据自由流动条例》第2(1)(a)条:
· 在美国建立的云服务提供商向在欧盟境内居住或者有住所的用户提供处理服务,云服务提供商通过位于欧盟境内的服务器管理其活动,在这些服务器上存储或以其他方式处理欧洲客户的数据。云服务提供商不必拥有位于欧盟的基础设施,也可以在欧盟租用服务器空间。《非个人数据自由流动条例》适用于此等数据的处理。
· 一家在日本成立的云服务提供商向欧洲客户提供服务。供应商的处理机构位于日本,所有的处理活动都在日本进行,如果所有处理活动均不在欧盟境内进行,则《非个人数据自由流动条例》并不适用于此案。
《非个人数据自由流动条例》第2(1)(b)条:
· A成员国的一家小型欧洲新兴企业决定在B成员国建立一家机构,以扩大其业务。为将成本降到最低,该新兴企业选择在位于A成员国的服务器上新建立数据存储和集中处理数据,成员国不得禁止这种信息技术集中的行为,除非是在符合比例原则下并以公共安全为理由。
如果非个人数据的处理活动均非在欧盟境内进行,不适用《非个人数据保护条例》,但当个人数据是数据集的一部分时,必须遵守《一般数据保护条例》。特别要注意的是,在任何情况下,必须遵守《一般数据保护条例》所规定的向第三国或国际组织转移个人数据的规则。
(四)成员国内部组织相关活动
《非个人数据自由流动条例》并不强制成员国将其希望自行提供的或以公共合约以外的方式组织的、与非个人数据有关的服务外包。
《非个人数据自由流动条例》第2(3)条第2项规定:条例不影响与成员国内部组织相关的法律、法规和行政规定,以及《关于公共采购的指令2014/24/EU》第2(1)条第(4)项界定的公共当局和公共机构之间分配处理数据的权力和责任,而不产生私人主体间合同报酬的以及成员国执行这些权力和责任的法律、法规和行政规定。
可能有合法的理由选择自行提供数据处理服务,例如内包或公共行政部门之间的相互安排,典型的例子包括使用政府云或政府聘用中央资讯科技机构为公共机构及团体提供数据处理服务。
但是,《非个人数据自由流动条例》鼓励成员国使用外部服务提供者提供的经济和其他好处。一旦国家当局开始以私人合同报酬的形式外包数据处理,并且该处理是在欧盟境内进行的,这种处理就受到《非个人数据自由流动条例》的监管,这意味着非个人数据自由流动原则适用于国家当局的一般和行政做法。值得注意的是,国家当局必须避免对数据进行本地化限制,例如公共采购招标中的数据本地化限制。
四支撑数据自由流动的自我监管途径
自我监管有助于市场主体之间的创新和信任,并能够对市场的变化作出更积极的反应,本节概述了处理个人及非个人数据的自我监管途径。
(一)云服务提供商之间的数据传输和交换
《非个人数据自由流动条例》的目的之一是避免供应商的封锁行为,当用户无法在服务提供者之间切换时,这种现象就会出现,因为他们的数据被锁定在提供者的系统中。例如,由于特定的数据格式或合同安排,不能在提供者的IT系统之外进行传输。不受阻碍地传输数据对于用户自由选择数据处理服务的提供者从而确保市场的有效竞争很重要。
企业之间的数据可携性在包括云服务在内的广泛的数字行业中变得越来越重要。
根据《非个人数据自由流动条例》第6条,委员会应鼓励和促进欧盟层面的自我监管行为守则的制定,以促进竞争性数据经济。其为业界就服务提供者的转换及在不同IT系统之间传送数据制定自我监管行为守则提供了依据。
在制定有关数据传输的行为守则时,应考虑到若干方面,尤其是:
(1)促进服务提供者以结构化、通用和机器可读的格式转换和传输数据的最佳做法;
(2)如果专业用户希望切换到另一个服务提供商或将数据传输回自己的IT系统,确保专业用户在签订合同之前,能够获得足够详细和明确的信息,以了解过程、技术要求、时间框架和收费等最低信息要求;
(3)提供认证方案的方法,以更好地比较云服务;
(4)提供沟通线路图(communication roadmaps),以便提升对行为守则的认识。
在云服务市场,委员会已经开始推动数据单一市场(DSM)云利益相关者工作组的工作,该工作组汇集了云专家和专业用户,包括中小型企业。在现阶段,云交换和数据传输工作组小组正在制定关于数据传输和切换云服务提供商的自我监管行为守则,欧洲云服务提供商认证小组正在开发云安全的认证。
云交换和数据传输工作组正在制定涵盖云服务的整个频谱的行为守则:如基础架构服务(IaaS)、平台服务(PaaS)和软件服务(SaaS)。
委员会期望不同的行为守则能得到示范合同条款(model contractual clauses)的补充,这将使行为守则在实际执行和实施方面体现足够的技术和法律特殊性,这对中小型企业特别重要。示范合同条款的起草计划在行为守则制定之后进行(应在2019年11月29日之前完成)。
根据《非个人数据自由流动条例》第8条,委员会将在2022年11月29日之前对该条例的执行情况进行评估。评估的内容有:(1)对欧洲数据自由流动的影响;(2)条例的适用情况,特别是对混合数据集(mixed datasets)的影响;(3)会员国废除现有不合理的数据本地化要求的有效程度;(4)与数据传输和云服务提供商转换相关的行为守则的市场有效性(market effectiveness)。
可携权的概念以及与《一般数据保护条例》的联系
该两项条例都提到了数据的可携权,目的是使数据更容易地从一个IT环境移植到另一个IT环境,即转移到另一个提供商的系统或当地系统(onsite systems)。这防止了供应商的锁定,并促进了服务提供商之间的竞争。然而,当涉及目标利益集团之间的关系和这些规定的法律性质时,两个条例在规定可携权的方法上有所不同。
根据《一般数据保护条例》第20条,个人数据的可携权侧重于数据主体和控制者之间的关系。它指数据主体以结构化、通用和机器可读的格式接收他或她提供给控制者个人数据的权利,并将这些数据无障碍地传送给另一个控制者或其自身的存储容量中的权利。通常,这种关系中的数据主体是希望在这些服务提供者之间切换各种在线服务的消费者。
《非个人数据自由流动条例》第6条并没有规定专业用户有权移植数据,但有自我监管的方法,并有业界的自我行为守则。同时,它针对的情况是,专业用户将其数据处理外包给提供数据处理服务的第三方的情况。根据《非个人数据自由流动条例》第3(8)条规定,“专业用户(professional user)”指为与贸易、业务、工艺、专业或任务有关的目的使用或请求数据处理服务的自然人和法人,包括公共当局或受公法管辖的机构。
在实践中,《非个人数据自由流动条例》第6条规定的可携权涉及专业用户(根据《一般数据保护条例》的规定,在处理个人数据的情况下可能会被视为“控制者”)与服务提供者(在类似的某些情况下被称为“处理者”)之间业务对业务的交互。
尽管存在差异,但仍可能出现这样的情况,即在有混合数据集的情况下,《非个人数据自由流动条例》和《一般数据保护条例》都将涵盖数据的移植。
示例
使用云服务的企业决定切换其云服务提供商,并将所有的数据移植到新的提供商。客户和云服务提供商之间的合同涵盖了服务提供者的切换和数据的移植。如果旧的云服务提供商遵循根据《非个人数据自由流动条例》制定的行为守则,则数据的移植必须符合其中规定的要求。
如果个人数据也是移植数据集的一部分,则移植需要遵守《一般数据保护条例》的所有相关规定,特别是确保新的云服务提供商符合安全等要求的规定。
示例
在银行决定改变客户关系管理服务提供者的情况下,一些(个人和非个人)数据必须从旧的提供者迁移到新的提供者。然后,这些数据将受到不同的法规的约束,其中部分源于《一般数据保护条例》,部分源于《非个人数据自由流动条例》。
(二)关于个人数据保护的行为准则和认证方式
行为守则和认证计划是遵守《一般数据保护条例》规定的义务[见第24(3)条和第28(5)条]的体现。
根据《一般数据保护条例》第40(1)条和第42(1)条,成员国、监管当局、欧洲数据保护委员会和委员会应鼓励业界制定行为守则,并建立数据保护认证机制。
代表某一特定类别的控制者或处理者的协会或其他机构可为特定部门编制行为守则。行为守则草案需提交有关主管监督机关批准。如果行为守则草案涉及若干成员国的处理活动,监管当局必须在核准该草案之前将其提交欧洲数据保护委员会。委员会就行为守则草案是否符合《一般数据保护条例》发表意见。
欧洲数据保护委员会于2019年1月1日,根据《一般数据保护条例》公布了《关于〈一般数据保护条例〉下的行为准则和监督机构的指南1/2019》。指南包括起草行为守则的信息、核准准则和其他有用的信息。同样,欧洲数据保护委员会《关于〈一般数据保护条例〉第42条和第43条的认证和识别认证标准指南1/2018》提供了本条例下的认证信息以及认证标准制定和批准的信息。
云行业制定的行为准则示例
由欧盟委员会推动,并偕同云选择产业集团(C?SIG)根据《数据保护指令》和《一般数据保护条例》合作起草了《欧盟云行为守则》。《欧盟云行为守则》涵盖了云服务的全部范围——软件服务(SaaS)、平台服务(PaaS)和基础架构服务(IaaS)。
欧洲云计算服务供应商联盟(CISPE)的行为守则侧重于基础架构服务提供商。欧洲云计算服务供应商联盟行为守则,包括在《一般数据保护条例》下充当数据处理者的IaaS提供商的要求。它还规定了关于守则的执行和适用的治理结构的规定。
云安全联盟的《GDPR合规行为守则》针对云计算和欧洲个人数据立法中所有利益攸关方,如云服务提供商、云客户和潜在客户、云审计员和云经纪人,涵盖了云服务提供商的所有方面。
(三)加强跨境数据处理的信任——安全认证
正如《非个人数据自由流动条例》序言第33条所述,加强对跨境数据处理安全的信任,应减少市场参与者和公共部门使用数据本地化作为数据安全代理的倾向。除了委员会在2017年提出的“网络安全——揽子计划”外,欧洲云服务提供商认证小组正在制定一个提交给委员会的欧洲云认证制度。该方案有可能促进数据的自由流动,使云服务具有更好的可比性,并促进云服务的利用。委员会可要求欧盟网络安全机构根据《欧盟网络安全法》的有关规定制定一项候选方案。该方案涉及个人和非个人数据的处理。除了《欧盟网络安全法》(如“关于个人数据保护的行为准则和认证方式”一节所述)外,《一般数据保护条例》也可以用来证明存在适当的数据安全保障措施。
五结语
拥有法律上的确定性和对数据处理的信任,对于欧盟充分利用数据的能力而言至关重要,因为在此过程中,价值链可以跨部门和跨边界延伸。《非个人数据自由流动条例》和《一般数据保护条例》确保了这一点,它们都追求数据自由流动的目标,并且为欧盟内部所有数据的自由流动和高度竞争的欧洲数据经济的建立奠定了基础。
《北外法学》2020年第1期要目
【刑事法研究】
1.应受刑罚处罚性及其指导下的罪刑规范评价
崔志伟(3)
2.诈称履行受领人取财行为的刑法学分析
——兼谈“偷换二维码案”
姚培培(21)
3.死刑控制的第三条道路
——关于《死刑证据控制的理论与实践》的评论
李元端(46)
【司法改革与司法裁判研究】
4.难办案件中的“司法”与“民意”
——兼论法官裁量权的规范
郭烁;任禹行(61)
5.污染环境罪的司法适用研究
胡公枢(77)
6.正当防卫的司法异化与纠偏思路
——以Z省168份刑事判决为样本的实证分析
张驰(96)
7.司法改革视角下的法官助理与助理法官
卢迪(112)
【国际法与域外法研究】
8.共建“一带一路”国家法律研究评析
米良(129)
9.欧盟非个人数据自由流动框架条例指南
胡苗苗;胡代芳;崔若雨;覃圆;陆添蛟(译);张建文;钱春雁(校)(147)
10.全球治理法治视野下的国际引渡制度发展考察
刘雷(170)
11.GDPR下企业数据合规问题及对策分析
卓丽(182)
【行政法与社会法研究】
12.我国地方政府性债务的法律规制研究
于萍(199)
13.劳动关系转型与劳务派遣规制
——兼论中国《劳动合同法》修正案及未来可能之再修正
王桦宇(216)
14.航天保险合同条款研究
何婧(233)
《北外法学》(BFSU Legal Science)创刊于2019年,是由北京外国语大学法学院主办、中国社科文献出版社定期出版的学术集刊,每年两期,上半年和下半年各出一期。本刊强调原创、重视学术规范,主张以国际化的视角研究中国问题,致力于为中国法治事业和中外法学交流提供智力支持。
-END-
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能
点击「在看」,就是鼓励