【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程
(来源:http://europa.eu/rapid/press-release_IP-18-5433_en.htm)
【时事摘要】
背景:
2017年1月,全球化世界交流和保护个人数据沟通中,欧盟委员会发起了一次对话,目的是与日本达成充分性保护决定。
2018年7月17日,欧盟和日本成功结束了关于互惠充足的谈判。他们同意并认识到彼此的数据保护系统是足够的,允许个人数据在欧盟和日本之间安全转移。
欧盟的个人数据处理基于《通用数据保护条例》,该条例规定了将个人数据传输到第三国的不同方式,包括充分性决定。
进展:
欧盟委员会于2018年9月5日在布鲁塞尔启动了充分性决定的程序。
Jourová委员介绍了后续步骤,委员会正在公布充分性决定的草案和相关文件。这包括日本将适用转移到日本的欧盟个人数据的额外保障措施,以及日本公共当局为执法和国家安全目的获取个人数据的承诺,保证其数据保护水平与欧盟保持一致。日本也正在通过一个类似的流程来承认欧盟的数据保护框架。
司法、消费者和性别平等委员会委员VěraJourová说:“我们正在创造世界上最大的安全数据流动领域。个人数据将能够在欧盟和日本之间安全旅行,以造福我们的公民和经济。我们的合作伙伴关系将促进全球数据保护标准,并为这一关键领域的未来合作伙伴关系树立榜样。”
充分决定的关键要素:
为了保证基本上等同于欧洲标准的水平,日本承诺在委员会正式通过其充分决定之前,实施以下额外保障措施,以保护转移到日本的个人数据:
一套规则,为欧盟的个人提供个人数据转移到日本的保护,并附加保护措施,弥合两个数据保护系统之间的若干差异。这些额外的保障措施将加强个人有行使获取和纠正个人信息的权利,例如,保护敏感数据,欧盟数据可以进一步从日本转移到另一个第三国的条件。这些规则将对从日本流入欧盟数据并由日本独立数据保护机构(PPC)和法院强制执行的日本公司具有约束力。
日本政府还向委员会保证有关日本公共当局进入刑事执法和国家安全目的的保障措施,以确保任何此类个人数据的使用将限于必要和相称的范围,并受制于独立监督和有效的补救机制。
一套投诉处理机制,用以调查和解决欧洲人对日本公共机构访问其数据的投诉。这一新机制将由日本独立数据保护机构管理和监督。
当他们的数据传输到日本时,欧洲人将受益于对其个人数据的强有力保护,符合欧盟隐私标准。这一安排也将补充欧盟-日本经济合作协议,因为欧洲公司将受益于与这一重要商业合作伙伴的免费数据流,以及对1.27亿日本消费者的特权访问。欧盟和日本确认,在数字时代,促进隐私和个人数据保护的高标准以及促进国际贸易必须并且可以齐头并进。
下一步:
接下来,充分性决定草案将通过以下程序:
来自欧洲数据保护委员会(EDPB)的意见
由成员国代表组成的委员会磋商(欧盟委员会程序)
更新欧洲议会-公民自由、司法和内政委员会
欧盟委员会委员通过充分性决定
【M姐评论】
大前天欧盟委员会和日本结束了关于欧盟和日本提供充足保护的互惠结果的谈判,正式启动欧盟对日本的充分决定。根据时事所述,欧盟委员会通过启动《通用数据保护条例》下的充分性决定程序后,草案还将从欧洲数据保护委员会(EDPB)获得意见,该委员会汇集了所有国家数据保护机构(DPA),以及由欧盟成员国代表组成的委员会进行磋商。后续程序如果顺利预计将在2至3个月内完成,因此,欧盟委员会很可能会在2018年第四季度通过适当决定,并在通过后予以适用。再接下来,日本也将启动其相关的内部程序,以通过其对欧盟的充分性决定。
欧盟委员会先前已通过充分决定的国家和地区有:安道尔、阿根廷、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭。对加拿大和美国的决定是“部分”充分决定,因为关于加拿大的决定仅适用于属于《加拿大个人信息保护》和《电子文件法》适用范围内的私营实体;而美国由于没有通用数据保护法,只有承诺遵守《欧盟-美国隐私护盾框架》原则的公司才能从“更容易”的数据传输中受益。
与欧盟对上述国家做出的单方面充分性决定不同,这次欧盟和日本首次就“基本等同”的数据保护水平达成互惠一致,因此被业界称为创建了世界上最大的安全数据传输领域。
未来的充分性决定将涵盖为商业目的而交换的个人数据以及欧盟和日本当局之间为执法目的而交换的个人数据。特别是,欧盟的充分性决定将涉及根据日本《个人信息保护法》(APPI)提供的保护,因此将适用于向日本商业运营商提供的所有个人数据传输。为了符合欧洲标准,日本承诺在委员会正式通过其充分决定之前,实施额外保障措施以保护欧盟公民的个人数据,包括一套规则--为欧盟的个人提供个人数据转移到日本的保护,并附加一套保护措施,以及一套投诉处理机制。
这意味着,当欧盟宣布第三国提供足够的保护时,企业可以将数据传输到该第三国的另一家公司,而不要求数据出口商提供进一步的保障措施或受到其他条件的限制。欧盟《通用数据保护条例》第46条的要求要求采取额外措施,为数据转移提供法律依据和适当保障,例如使用数据传输协议,缔结具有约束力的公司规则或使用欧盟委员会的标准数据保护条款,这些将不再适用于欧盟和日本公司之间的数据传输。可见,此次充分性决定是根据GDPR的规定,采用了个人数据从欧盟转移到第三国的工具之一,之后,欧盟和日本之间的数据传输将与欧盟内部的数据传输相当。
给予这个充分性决定,首先欧洲数据保护机构通过已经建立的元素目录,对第三国数据保护框架进行全面评估,评估第三国的数据保护是否已经充分考虑到这些元素,包括适用于个人数据的保护以及可用的相关监督和补救机制,再由欧盟委员会决定通过其国内法或国际承诺,确定第三国提供与欧盟相当的个人数据保护水平。
其次,充分保护决定将使欧洲公民和企业受益。当他们的数据被转移到日本时,欧洲人将受益于符合欧盟高隐私标准的更高级别的保护,欧洲公司将受益于来往日本的无阻碍数据传输以及特权进入其市场。通过这种方式,这些充分的调查结果将补充并增强经济合作协议的好处。一系列额外保障措施将弥合两个数据保护系统之间的某些差异:例如,日本对敏感数据的定义将得到扩展,个人权利的行使将得到促进,欧洲人的数据从日本进一步转移到另一个第三国将受到更高级别的保护。日本还同意在日本数据保护机构(个人信息保护委员会)的监督下建立处理和解决投诉的制度,以确保欧洲人可能就日本执法部门和国家的数据访问提出投诉,由安全部门进行有效调查和解决。
最后,通过允许欧盟和日本之间安全地传输个人数据,相互适当性调查结果,也将进一步促进欧日商业交流,从而补充和扩大欧日“经济伙伴关系协定”的利益。
但需注意的是,此类充分性决定仅适用于欧盟与日本之间的数据转移,意味着全球公司可能仍需要实施集团间数据传输协议以涵盖转让数据发送给欧盟成员国和日本以外的国家。此外,它并没有消除公司与GDPR第28条规定的数据控制者与处理者达成数据处理协议的义务。
M姐认为,此次欧盟启动对日本充分性决定的程序对欧盟与日本的关系具有重要意义,但更为普遍的影响是,它将为将来的互惠的充分性决定制定标准,并为GDPR下的现有决策(包括隐私盾)的进一步审查产生积极影响。
我们国家的数据跨境流通机制,应该很难效仿日欧路径,但是我们仍然有必要好好研究一下这个决定本身和EDPB的咨询意见,特别是对日本所承诺的额外保障措施中的相关做法,取其精华,选择性参考。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点