数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世
编者按:
2020年7月16日,欧盟法院("CJEU",或 "ECJ")对Schrems II案【即数据保护专员诉Facebook爱尔兰和Maximillian Schrems案,C-311/18】作出裁决。
Schrems II的裁决否决了欧盟-美国隐私盾作为向美国转移欧盟个人数据的依据,因为法院认为美国国家安全法没有提供与欧盟同等的隐私保护。【详见:数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】虽然欧盟法院支持欧盟委员会批准的标准合同条款("SCCs")作为向美国转移欧盟个人数据的基础,但法院对SCCs的使用设置了新的重大障碍。【详见:数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)】
因此,美国公司现在面临一个难题,即他们是否可以合法地继续向美国转移欧盟个人数据。【详见:数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输,以及数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输】
9月28日,美国政府发布了一份 "白皮书",论述了Schrems
II案后,公司如何证明其继续向美国跨境传输欧盟居民个人数据的合理性。【详见:数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决】美国政府的白皮书旨在通过提供论据和引用法律权威,帮助公司应对这一跨大西洋数据传输的难题,供美国公司在进行新要求的美国国家安全法如何保护欧盟个人数据的法律评估时考虑。【详见:数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”,以及数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略】。
再把视线转回欧洲,按照欧盟法院的逻辑,FACEBOOK需要在SCC之外,采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境(美国首当其中)中后,还能享有充分保护。现在问题的核心在于,什么是欧盟法院提出的“额外的保障措施”?在9月3日的会议上,EDPB主席Andrea Jelinek确认,EDPB正在编制指南和建议,以协助数据控制者和处理者在使用标准合同条款或具有约束力的公司规则向法律制度不能充分保护个人数据的第三国出口个人数据时,识别、确定和实施适当的额外保障措施。
终于,11月11日,EDPB拿出了关于“补充措施的建议”,即
Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data(关于为确保遵守欧盟个人数据保护水平而采用的对数据跨境转移工具补充措施的建议01/2020)。
公号君第一时间对全文进行了翻译,供大家参考。相信这份文件对我国数据跨境制度的设计和实施,将产生重要影响。
剧透:从此文本的逻辑来看,并按照外国对中国的认识,EDPB几乎肯定认为不存在有效的补充措施,能够支撑从欧盟向中国的数据跨境转移。
公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
人脸识别系列文章:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
供应链安全:
美国方面的个人信息保护立法:
数据跨境流动,本公号曾发表的文章如下:
中国个人信息保护立法系列文章
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章: