数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”

编者按：

按照欧盟法院的Schrems II判决，如果一个组织希望依靠标准合同条款(SCCs)或具约束力的公司规则(BCRs)将个人数据转移到欧洲经济区(EEA)以外，则其必须评估个人数据目的地国家的法律，是否能确保所接收的个人数据得到充分的保护。一旦评估的结果是目的地国家的保护水平不充分，该组织和数据接收者还需要采取额外的保障措施，以确保为个人数据提供基本同等程度的保护。【详情见：数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】

欧盟法院在Schrems II案中特别关注公共当局为国家安全目的调取个人数据的权力，以及相关的个人权利和补救措施。

欧盟法院指出，如果目的地国的法律制度阻碍了对SCC条款的遵守，或影响到SCC条款所提供的保护水平，则不应使用标准合同条款。

如果一个组织在进行评估后得出结论，认为个人数据没有得到充分的保护，但仍打算继续跨境传输数据的，欧洲数据保护委员会(EDPB)的Schrems II FAQ建议该组织应事先通知其相关的监管机构。然后，监督机构有义务禁止它们认为不能确保充分保护的任何数据跨境流动。【详情见：数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）】

进展一：欧盟官员的表态

2020年9月3日，欧洲议会公民自由、司法和内政委员会（以下简称 "LIBE委员会"）召开会议，讨论欧盟法院判决后，欧盟与美国数据流动的未来。除了欧洲议会成员（"MEPs"）外，与会者还包括欧盟司法专员Didier Reynders、欧洲数据保护委员会（"EDPB"）主席Andrea Jelinek和Maximilian Schrems本人。在会上，欧盟司法专员Didier Reynders直言，关于再建一个允许欧洲经济区和美国之间转移个人数据的新的强化框架的可能性，非常复杂，目前不会有快速的解决办法，而且新的数据跨境流动框架可能需要在美国层面进行立法改革，而目前的政治背景，包括即将到来的美国大选，可能会推迟这一进程。也正是在这个背景下，近日，爱尔兰DPA即“建议”FACEBOOK不应再依靠使用SCC来支撑将欧盟的个人数据传输至美国。

按照欧盟法院的逻辑，FACEBOOK需要在SCC之外，采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境（美国首当其中）中后，还能享有充分保护。现在问题的核心在于，什么是欧盟法院提出的“额外的保障措施”？

在9月3日的会议上，EDPB主席Andrea Jelinek确认，EDPB正在编制指南和建议，以协助数据控制者和处理者在使用标准合同条款或具有约束力的公司规则向法律制度不能充分保护个人数据的第三国出口个人数据时，识别、确定和实施适当的额外保障措施。

进展二：德国巴登一符腾堡州数据保护局("DPA")的指引

2020年8月24日，德国联邦巴登-符腾堡州数据保护局率先发布了遵循欧盟法院判决的数据跨境传输指南（全文截图后附）。总结起来，该指南提出了其辖区内的公司：

第一：识别所有向第三国转移欧盟个人数据的情况，包括远程访问数据的情况。

第二，评估并记录数据跨境传输的必要性。

第三，将欧盟法院判决后欧盟有关数据转移的法律发展情况，告知第三国的服务提供商。

第四，评估第三国的法律状况，特别是欧盟委员会是否认为第三国提供了适当水平的数据保护；对于向其他非欧洲经济区(EEA)国家和地区的数据跨境传输来说，数据控制者应评估目的地国家或地区有关"情报或安全部门获取欧盟个人数据"的法律环境，以及该国家或地区"赋予数据主体的权利和提供的法律救济"。

第五，在可以依靠特别合同条款进行转移的情况下，评估是否需要额外的保障措施。对于向美国转移个人数据，该州数据保护局提出，数据控制者应设法提供额外的保障措施，以减少风险，特别是对数据采取加密，且加密的方式应当满足一下两个条件：只有数据输出者持有密钥，以及加密强度必须足够，以使得美国情报部门无法破解。此外，数据输出者还可以采取数据匿名化措施，或对数据进行假名化，确保"只有数据输出者可以重新识别数据"。

此外，巴登-符腾堡州数据保护局还建议对控制者对处理者的SCC进行修订，具体来说：

(1) 增加一项义务，即数据接收者不仅要告知数据出口者，而且要告知数据主体，其所收到的公权力机关提出的任何具有法律约束力的披露个人数据的请求；

(2) 如果这种通知是被法律所禁止的，则数据出口者应与巴登-符腾堡州数据保护局联系，以商定下一步可采取的措施和步骤；

(3) 双方应商定，数据主体所援引的任何第三方受益人条款中的权利行使，应通过数据出口者所在的欧盟成员国的法院，取消目前在SCC条款中将此类争端提交调解的选择。

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

6. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

人脸识别系列文章：

1. 盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）

2. 国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）

3. 售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）

4. 脸识别技术的规制框架（PPT+讲稿）

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 人脸识别技术的法律规制研究初探（DPO社群成员观点）
   

7. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

8. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

9. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

10. 解读世界首例警方使用人脸识别技术合法性判决二审判决（DPO社群成员观点）

11. 人脸识别技术研究综述（一）：应用场景

12. 人脸识别技术研究综述（二）：技术缺陷和潜在的偏见

13. 美国人脸识别技术的法律规范研究综述 | 拼凑式（Patchwork）的范式