《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)
经过DPO社群中热心同学的努力,欧洲议会日前投票通过的《非个人数据在欧盟境内自由流动框架条例》的中文翻译终于出炉了。在此,把译者前言贴出来。
译者前言
在欧洲人看来,数字经济大潮中,自己没理由缺位。28个成员国、5亿人市场,如果适用同一套法律框架和规则,使得数字经济基本要素——人才、技术、资金、物资、数据等能够自由地流动、配置,那欧盟市场的活力和潜力将得以完全释放。据欧盟委员会自己测算:“如果有利的政策和立法就位,欧洲数字经济将增长18倍,在2020年占欧盟GDP的4%”。同时,欧盟将借此取得在数字经济的全球领导地位。
因此,数据(包括个人数据和非个人数据)在欧盟境内的自由流动,一直是欧盟建立单一数字市场战略(digital single market strategy)最核心的内容之一。
在个人数据方面,《通用数据保护条例》(GDPR)第一条第一款就明确:“本条例提出了在个人数据处理领域对自然人保护的规则,以及个人数据自由流动的规则”。对于后者,GDPR第一条第三款再次强调:“个人数据在欧盟境内的自由流动,不应出于在个人数据处理领域对自然人的保护而被限制或禁止”。如果用大白话来说,就是两句:一是,在欧盟境内个人数据应在高保护水平下自由流动;二是GDPR设立了个人数据保护的基准线,欧盟各成员国、各组织不得再以保护个人数据为由,阻碍个人数据在欧盟境内的自由流动。
在非个人数据方面,欧盟委员会于2017年9月13日提出“促进非个人数据在欧盟境内自由流动”的立法建议。本公号于14日就对立法建议做了详细介绍。【见网安寻路人:欧盟委员会公布“促进非个人信息在欧盟境内自由流动”的立法建议,2017年9月14日】。2018年10月4日,欧洲议会投票通过《非个人数据在欧盟境内自由流动框架条例》(Regulation “on a framework for the free flow of non-personaldata in the European Union”,以下简称《框架条例》)。
虽然理论上该《框架条例》还需要欧盟理事会于今年11月投票通过,才算正式走完欧盟的立法程序,但由于今年6月针对该《框架条例》的Trilogue(即欧洲议会、欧盟理事会和委员会的三方会谈)业已完成,因此可以预计11月时《框架条例》将顺利通过且文本不会有实质性修改。数据保护官(DPO)沙龙决定对目前欧洲议会通过的《框架条例》版本进行翻译,供大家研究参考之用。[1]背景介绍完毕,接下来看《框架条例》如何促进非个人数据的自由流动。
简单来说,《框架条例》解决了三件事:消除各成员国的数据本地化要求、确保成员国有权机关能够及时获取数据、保障专业用户能够自由地迁移数据。
首先来看消除各成员国的数据本地化要求。《框架条例》确立:任何成员国不得限制组织选择存储或处理其数据的地理位置,除非是基于公共安全事由。如果成员国在设立新的数据本地化要求前,需要明确证明该要求的合理性,并根据欧盟“单一市场透明度指令”【Directive (EU) 2015/1535】中的程序事先与欧盟委员会沟通。在欧盟看来,消除不具有正当性、或者比例性显著失当的数据本地化要求是首要目标。2017年1月,欧盟委员曾发布一项研究表明,过去10年间欧盟境内的数据本地化要求增长了100%。行业分布如下。
在《框架条例》生效以后,上述数据本地化要求都需要在24个月内经过严格的审核。不符合公共安全事由的,都将被废止。
其次看确保成员国的有权机关能够及时获取数据。上表所示的数据本地化要求,很多都是为了满足有权机关在行使其法定职权时,能够及时获取数据。为了确保数据自由流动的同时,监管需求依然能得到满足,《框架条例》规定:当有权机关要求获取数据时,组织不得因数据存储在欧盟其他成员国境内而拒绝。如果有权机关获取数据的需求没能得到满足,可以通过各成员国按照《框架条例》建立的“单一联络点”网络来获得监管方面的协助。同时《框架条例》规定各成员国可对未遵守数据提供义务的行为,施加有效、适当和惩戒性的处罚。
最后看保障专业用户能够自由地迁移数据。本质上该要求就是确保专业用户的数据可携带权。但对此,《框架条例》没有直接规定携带权该如何实现,而是将自由度留给了业界:在《框架条例》正式通过后的12个月内,云服务行业就应该拿出“行为准则”。且《框架条例》要求:该“行为准则”应当是全面的并且至少应当涵盖数据传输过程中的重要方面,例如数据迁移的最佳实践、签订合同前云服务商就数据迁移方面的信息披露、数据备份的进程(processes)和位置;可用的数据格式和支持;所需的IT配置和最小的网络带宽;在数据移植前所需的时间和数据可用于移植的时间;以及在服务提供商破产的情况下可访问数据的保证。
行为准则还应当明确供应商锁定不是可接受的商业惯例,应当提供增加信任的技术,并且应当定期更新以保持与科技同步发展的步伐。同时,《框架条例》要求欧盟委员会应当保证在整个“行为准则”的形成过程中,包括中小企业协会、初创企业、用户和云服务提供商等在内的所有利益相关者均有参与机会。而且《框架条例》要求欧盟委员会应当对“行为准则”的发展和实施的有效性进行评估,以决定是否继续给予行业这样的自由度,或者何时自己就该出手。
随着《框架条例》在不久的未来生效之后,其将同GDPR一道,完成了对全类型数据(个人和非个人数据)在欧盟境内自由流动方面的法律框架建立工作。欧盟针对数字经济宏大的法律框架构建工作达到了一个重要的里程碑,后续欧盟还将针对数据提出一系列的设想。密切跟踪欧盟的现在和未来的尝试,可以为中国提供非常有意义的借鉴和参考。
最后,在此衷心感谢参与此次翻译工作的译者(姓氏音序排名):XXXXXXX,以及进行审校的XXXXXXX。他们在脚踏实地从事个人数据保护工作的同时,还放眼全球思考最新的动态、进展、趋势。“DPO沙龙”正是为像他们这样的一线工作者提供了互动交流的平台。
在我看来,他们是中国数据保护水平的“晴雨表”,他们在实践中碰到的问题、提出的解决方案、所做的思考,无疑应当为各界所重视。目前,“DPO沙龙”已经齐聚了超过100位有志于从事数据保护工作的同仁,也已经举办了数期线上、线下的深度讨论。欢迎更多的人加入这个社群。(洪延青)
[1] 在本《框架条例》中英文版本中,加黑斜体字部分代表欧洲议会对欧盟委员会所提出的的版本,进行的修改或新增。
下载《非个人数据在欧盟境内自由流动框架条例》中英文全文,请点击文末左下角的“阅读原文”。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点