查看原文
其他

律师视点 | 辛小天:英国数据转让风险评估(TRA)简介

辛小天 德和衡律师
2024-08-25

辛小天


北京德和衡(深圳)律师事务所

合伙人





目  录


•英国数据转移风险评估(TRA)制度概览


•TRA实施的场景及义务主体要求


•TRA实施过程中的评估重点及评估指引


•TRA评估所考虑的要素


•TRA、TIA与中国数据出境风险自评估和PIA的规则对比





一、英国数据转让风险评估(TRA)制度概览


2021年8月,英国信息专员办公室(ICO)发布了《跨境转移风险评估工具草案》(Draft International Transfer Risk Assessment and Tool),欲为英国独立运行自己的数据保护制度、为开展跨境传输风险评估提供指导。2022年11月17日,ICO修订了《数据国际传输协议》(International Data Transfer Agreement, IDTA)的指南,其中正式创建了转移风险评估(transfer risk assessment,TRA)的新章节,以及新的TRA工具。作为欧洲数据保护委员会(EDPB)发布的相关指南的替代方案,新指南为数据从英国传输到 欧盟以外的司法管辖区的个人提供了适当级别的保护。


TRA实质上是英国对欧盟TIA[1]的具体实施,是数据出口方在采取英国GDPR第46条转移机制中规定的保障措施实现数据从英国传输到第三国的一项前置性评估制度。具体来讲,英国GDPR包含有关向位于英国境外的接收方传输个人数据的规则,又称为“限制转让”(restricted transfers)。有三种情况可以符合限制转让规则,实现数据跨境传输:(1)数据接收国获得了英国的充分性认定;(2)该转让可能属于英国GDPR第49条规定的八项例外[2]情况之一;(3)建立第46条规定的转让机制,也就是采取“适当保障措施”,包括:ICO的国际数据传输协议(IDTA)、欧盟SCC的附录和具有约束力的公司规则(BCR)。如果相关主体想要在第三种情况,即采取第46条规定的转移机制来实现数据传输,则必须进行转移风险评估(transfer risk assessments)。该风险评估将帮助数据出口方及有关部门认定,在数据出口方所建立的转让机制下进行数据出境传输时,数据主体在英国数据保护制度下所获得的保护是否会受到损害。并且Schrems II的判决[3]进一步确认了风险评估在限制转让规则中的作用。





二、TRA实施的场景及义务主体要求


第一,在数据处理者进行限制性转移的情况下,只有数据处理者必须完成TRA。在这种情况下,数据控制者仍然必须对处理者的限制性转移是否符合英国GDPR进行合理和相称的检查,包括其执行TRA的情况。


第二,如果数据接收方将数据转移给第三方,数据出口方必须确保该转移行为符合所采取的IDTA、附录、BCR或其他第46条规定的转移机制。例如,如果使用的是IDTA,接收方可以与第三方签订一份协议,以保持IDTA的保护水平。由于采取了第46条的转移机制,因此需要进行数据接收方与第三方的TRA评估。评估义务的主体可以是数据出口方,也可以是数据接收方。


第三,如果进行一系列相关的、重复的或类似的限制性转让,数据出口方可以为每一次限制性转让进行TRA,或进行一次涵盖所有转让的TRA。


第四,如果数据出口方采取的第46条转让机制包含重复的限制性转让,或持续的限制性转让,必须定期重新评估保护水平。必须确保保护水平不会随着时间的推移而降低,并且需要定期考虑保护水平是否会受到以下因素的影响:(1)数据接收方对数据的处理是否有改变;(2)数据传输目的地国法律框架的变化;以及(3)是否有新的传输技术使得绕过安全安排变得更加容易。





三、TRA实施过程中的评估重点及评估指引


如前所述,TRA有助于数据出口方确保在采取了英国GDPR第46条转让机制中规定的 “适当保障措施”的情况下,能够为数据主体权益提供有效和充分的保护。在进行TRA时,有两大类风险作为评估的重点必须考虑:(1)在数据传输目的地国,第三方(特别是政府和公共机构)获取信息不受第46条转移机制约束,而对数据主体的权利产生风险。(2)因执行第46条转移机制的困难而对数据主体权利产生的风险。有两种方法可以进行对以上风险,尤其是风险一,进行一定程度的规避:


1、方法一:ICO的TRA工具(TRA Tool)


ICO提供了一套TRA工具来帮助有关主体评估并降低风险。TRA工具是一个带有问题和指导的模板文件,它列出了执行TRA的方法:评估比较数据留在英国与到达接收国后,数据主体权利所面临的风险状况。也就是说,与数据留在英国的风险相比,转移后是否会增加数据主体权益的风险。如果没有重大的额外风险,那么转让就可以继续进行。由于接收方有合同义务遵守第46条转移机制中的数据保护权利,该评估的主要重点是在目的地国家更普遍的人权保护现状。并且,任何有关第46条转移机制的可执行性的风险也都被考虑在内。


2、方法二:EDPB的建议措施


欧盟数据保护委员会(EDPB)为数据出口方提供了一系列需要遵循的步骤、潜在的信息来源,以及可以采取的补充措施的一些示例。[4]其中,其建议数据出口方将包括英国GDPR在内的英国法律和惯例与数据传输目的国的法律进行比较,以评估上述风险。这涉及到对第三方(尤其是政府)获取信息的保障措施,必须与英国政府所采取的保障措施充分类似。





四、TRA评估所考虑的要素


数据出口方在履行TRA义务时,可以使用ICO的TRA工具来进行,也可以通过EDPB发布的建议措施来进行,或者可以自行进行评估。根据ICO发布的指南,TRA实施过程中可以重点考虑如下要素[5]




要素1:限制转让的具体情况有哪些?

要素2:传输的个人信息对数据主体的风险水平有多高?

要素3:考虑到个人信息的总体风险水平和所在组织的性质,合理和相称的TRA评估能力水平?

要素4:数据的转移是否会显著增加数据传输目的国人民人权被侵犯的风险?

要素5:(a)是否确信数据出口方和所涉及的人员都能够在英国对数据接收方实施第46条的转让机制?(b)如果可能需要在英国境外采取执法行动,是否确信数据所涉及的人员能够在数据传输目的国(或其他地方)执行第46条的转移机制?

要素6:限制转让规则中规定的任何例外情况是否适用于“重大风险数据”?(“重大风险数据”是指,在要素4和5中确定的,根据第46条转移机制没有或无法提供所有适当的保障的数据。)




如果通过以上要素,数据出口方所采取的第46条转移机制不能为所有个人数据提供适当的保障和有效且可执行的数据主体权利,则不得进行限制性转移。相关主体可以设置额外的步骤和额外的保护,并再次使用TRA进行评估。同时,可以寻求专业的数据保护建议来审查评估。





五、TRA、TIA与中国数据出境风险自评估和PIA的规则对比


2022年9月1日,《数据出境安全评估办法》(以下简称“《办法》”)正式生效实施,《办法》第五条规定,数据处理者在申报数据出境安全评估前,需开展数据出境风险评估工作(以下简称“风险自评估”)。此外,《个人信息保护法》(以下简称“《个保法》”)第五十五条规定,个人信息处理者在向境外提供个人信息前应当进行个人信息保护影响评估(以下简称“PIA”)。可以看出,我国对数据出境的自评估进行了分类规范,一是符合《办法》第四条所规定的条件[6],面临的评估义务是风险自评估;二是,个人信息处理者向境外提供个人信息需要进行PIA。二者之间存在着一定的区别,并且与欧盟TIA和英国的TRA也有不同之处,四种评估制度的对比研究见下表:


对比项

TIA

TRA

数据出境自评估

PIA

法律依据

Schrems II、EDPB关于补充数据传输工具措施的建议、欧盟委员会新的标准合同条款

ICO国际数据传输协定和指南

《数据出境安全评估办法》第五条

《个人信息保护法》第五十五条、《个人信息保护认证实施规则》

适用范围

执行TIA是所有打算通过GDPR第46条中的传输工具进行数据限制传输的欧盟数据出口方的法律义务。例外:向欧盟充分性决定所涵盖的国家进行限制性传输,或者GDPR第49条中的例外情况之一适用,则无需进行TIA。

执行TRA是所有打算通过英国GDPR第46条中的传输工具进行数据限制传输的英国数据出口方的法律义务。例外同TIA。

数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估并进行风险自评估:

在中华人民共和国境内处理自然人个人信息的活动的个人信息处理者,有下列情形之一的,应提前进行个人信息保护影响评估:

(一)数据处理者向境外提供重要数据;

(一)处理敏感个人信息;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(二)利用个人信息进行自动化决策;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

(四)向境外提供个人信息;


(五)其他对个人权益有重大影响的个人信息处理活动。


出境适用标准合同以及认证机制均需要前置PIA。

官方指南

EDPB的建议措施

ICO的TRA工具、EDPB的建议措施

《数据出境安全评估申报指南(第一版)》

《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称《规范V2.0》)

评估目标

第三国的法律框架允许该第三国的政府或情报机构访问任何传输的数据。

数据出口方所采取的保障措施是否为数据主体提供了与英国“充分相似”的保护水平,或在发生限制性传输之前是否需要额外的保护。

评估数据出境过程中可能出现的风险(包括数据传输方式、境外接收方的情况等),保证数据出境过程中对国家利益、公共利益、个人或组织的安全。

通过对个人信息处理的措施以及对个人权益的影响评估,确保企业相关的产品、服务充分考虑个人信息的保护。确保个人信息主体了解其个人信息被如何处理、如何保护。

评估数据传输情况

A.处理活动的描述:数据主体的类别、个人数据的类别、处理目的、类别等信息,确保数据传输遵循合法性、正当性、必要性;

数据传输应符合数据最小化、安全性、合法性及透明性原则。

A.数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。

A.合法性基础、正当性、必要性;

B.了解详细且完整的数据链,所有可能的目的地及继续转移的情况。

评估时需记录的内容:

B.出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。

B.对个人权益的影响及安全风险;


A.数据输入方/数据输出方/后续处理者的身份、所在地;

C.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。

C.所采取的保护措施是否合法、有效并与风险程度相适应。


B.数据的数量、类别、处理方式、范围、目的、传输方式、主体类别;




C.数据输入方在法律之外受到的专业或其他规则的约束;




D.数据输入方的技术或组织等安全措施;




E.传输数据的格式;




F.数据输入方/其他接受者访问数据的时限;




G.数据转移的频率。



评估第三国数据安全环境

需分析具体数据传输情况、第三国政府干预的相称性,以及核验第三国法规必须评估的点为:

分为两步,A评估通过可进入B,否则应采取补充保护措施:

评估数据出境中、出境后遭到篡改、破坏泄露、丢失、转移或者被非法获取非法利用等的风险,个人信息权益维护的,道是否通畅等;评估境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况。

境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响,包括但不限于:

第三国政府是否可以通过立法、实践或报告的先例,在数据输入方知情或不知情的情况下寻求访问数据。

A:评估IDTA的合同保障措施在目的国是否具有可执行性

A.境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效的处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况;

第三国政府是否能够根据其可支配的立法、法律权力、技术、财政和人力资源以及报告的先例,通过电信提供商或通信渠道访问数据。

B:评估数据传输对数据主体的潜在影响、风险和危害,例如:目的地国家对第三方访问数据/监控的监管制度;第三方获得数据/监控的可能性;第三方访问引起的对数据主体造成的伤害的风险。

B.该国家或地区现行的个人信息保护法律法规、普遍适用的标准情况,及与我国个人信息保护相关法律法规、标准情况的差异;



C.该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺;



D.该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。

重新评估

需监测数据在第三国的流转与发展情况,建立健全的机制,确保在数据输入已违背或无法履行GDPR第46条转移工具中的承诺或补充措施在该第三国失效时,能够及时暂停或终止数据转移。

英国的SCC模板中对重新评估审查的频率给予了一定选择,例如,当数据为一次性转移,数据接收方不保留任何转移的数据时,可以选择不审查;双方亦可以自行选择重新评估审查的频率。

通过数据出境安全评估的结果有效期为2年,从自评估结果出具之日计算,在有效期届满60个工作日前重新申报评估。在有效期内出现特定情形之一,数据处理着应当重新申报评估:

风险处置和持续改进:根据评估结果、组织可选取并实施相应的安全控制措施进行风险处置。通常情况下,可根据风险等级,采取立即处置、限期处置、权衡影响和成本后处置,接受风险等处置方式。

A.向境外提供数据发生实质性变化;

组织需持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,还可将评估结果用于下一次个人信息安全影响评估工作。

B.境外数据安全保护政策认规和网络安全环境发生变化、数据处理者/境外接收方实质控制权变化、法律文件变更、发生其他不可抗力情形等影响数据出境安全;


C.发生其他影响出境数据安全的情形。



注释:

[1] 欧盟对于与欧盟/欧洲经济区以外接受国法律法规隐私保护的评估

[2]根据英国GDPR第49条第一款规定,八种例外包括: 

(1) 在被告知由于缺乏适当的决定和适当的保障措施,这种转移对数据主体可能产生的风险后,数据主体明确同意拟议的转移。

(2) 转移对于履行数据主体与控制者之间的合同或执行应数据主体要求采取的合同前措施是必要的。

(3) 转移是为了控制者与另一自然人或法人之间为了数据主体的利益而缔结或履行的合同所必需。

(4) 转移是出于公共利益的重要原因而必须的。

(5) 转移是建立、行使或捍卫法律要求所必需的。

(6) 转移是为了保护数据主体或其他人的重要利益,而数据主体在身体上或法律上没有能力给予同意。

(7) 转移来自于一个登记册,根据国内法律,该登记册旨在向公众提供信息,并向公众或任何能够证明其合法利益的人开放咨询,但仅限于国内法律规定的咨询条件在特定情况下得到满足的情况。

(8) 如果转移不能基于第45条或46条的规定,包括有约束力的公司规则的规定,并且前七项例外都不适用,那么只有在转移不是重复性的,并只涉及有限数量的数据主体的情况下,才能向第三国或国际组织转移。

[3] Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, C-311/18, 16 July 2020. 法院认为,在数据出口方依靠第46条的转移机制进行限制性转移之前,必须进行风险评估。

 [4]Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0, EDPB, 18 June 2021.

 [5]Transfer risk assessments, International data transfer agreement and guidance, ICO, 下载于https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/,最后访问时间:2022年12月20日。

[6]《办法》第四条规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。



或许您还想看

辛小天、史蕾、郑茂锋:速递 | 《数据出境安全评估办法(征求意见稿)》对比版

周杨、辛小天、史蕾:《数据安全法》正式稿的概览和粗议—— 全球数据保护政策下的中国处方

辛小天、周杨、史蕾:实务视野 |《个人信息保护法》正式稿之重点条款导览

辛小天、郑茂锋:碳交易文章系列之五 | 碳中和债券发行标准探析


作者简介

辛小天

北京德和衡(深圳)律师事务所合伙人

数字经济与人工智能业务中心总监,网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。


曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。


手机:13911159437

邮箱:xinxiaotian@deheheng.com



质控人简介

娄  鹤

高级联席合伙人

数字经济与人工智能业务中心执行总监

louhe@deheheng.comm

END

继续滑动看下一个
德和衡律师
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存