数据跨境流动 | 两张图解读EDBP“数据跨境转移补充措施的最终建议”
编者按:
2020年7月16日,欧盟法院("CJEU",或
"ECJ")对Schrems II案【即数据保护专员诉Facebook爱尔兰和Maximillian
Schrems案,C-311/18】作出裁决。Schrems
II的裁决否决了欧盟-美国隐私盾作为向美国转移欧盟个人数据的依据,因为法院认为美国国家安全法没有提供与欧盟同等的隐私保护。虽然欧盟法院支持欧盟委员会批准的标准合同条款("SCCs")作为向美国转移欧盟个人数据的基础,但法院对SCCs的使用设置了新的重大障碍。按照欧盟法院的逻辑,FACEBOOK需要在SCC之外,采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境(美国首当其中)中后,还能享有充分保护。 2021年6月4日,欧盟委员会公布了将个人数据从欧盟转移到第三国的新标准合同条款(新SCCs)的最终版本【全文翻译见:数据跨境流动 | 欧盟新版标准合同条款(最终版)全文翻译】,EDPB也更新了关于补充措施的指南【全文翻译见:数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”指南2.0版(全文翻译)】。今天这篇文章深度解读了EDPB关于补充措施的指南2.0版。本文作者为罗明。
2021年6月21日,欧盟数据保护委员会(“EDPB”)终于发布了万众期待的“关于数据跨境转移的补充措施最终建议”(简称“最终建议”)。为什么说“终于”发布了?先快速回顾一下时间线。
2020年7月16日,欧盟法院对SchrmesII案件的判决认定:欧盟标准合同条款(“SCC”)继续有效,但数据出口方和进口方都有义务:(1)评估接收国法律是否能够确保接收方履行SCC条款;且(2)接收方采取“补充措施”达到欧盟“实质同等”的保护水平。否则禁止数据跨境转移。【详见:数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】【详见:数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)】
判决一出,大家都很懵圈。第一,企业,尤其是微小企业可能都没有个公司法务,如何去评估一国法律?欧委会不是已经自己认定了“看的上”的13个国家(即“充分性”认定),那就应该推定其他国家都是不满足欧盟要求的,为何还要企业自己评估多次一举?另外,企业自己评估的结论欧盟监管机构不认怎么办?毕竟欧盟法院也两次推翻了欧委会对美国法律的认定。第二,什么是“补充措施”?【详见:数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输,以及数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输】【详见:数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”,以及数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略】。
2020年11月10日,EDPB就上述两个问题发布指南,并公开征求意见。对“补充措施建议”反对声音最大,尤其是其案例6和7,它意味着欧盟可能将不会允许欧盟的个人数据转移到美国、俄罗斯、印度等国,因为欧盟可能认为这些国家的政府数据访问可能会导致隐私水平达不到欧盟要求,是企业采用任何技术、组织、合同措施都无法消减的。这会导致一个结果,企业内部数据(如HR、商业客户联系方式)无法跨境流动;云服务提供商也无法在欧盟境外处理数据。【数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世】
关于“补充措施建议”的公开征求意见窗口期一再延长,期间有几百家企业/行业协会,包括荷兰、丹麦司法部也公开批评。
2021年6月21日,“补充措施最终建议”终于发布。
“最终建议”中明确了“六步法”的主线,如下图示意:
关于前文中提到的,跨国公司法务最关心案例6和7终于出现松动,也就是说如果企业能够证明有问题的法律不适用于该跨境场景,那么补充性措施仍然是有效的,数据仍然可以跨境转移。先见下图:
熟悉“补充措施征求意见稿”的同学们可能会发现,EDPB把之前断然否认的“主观因素”又加回去了【去年9月美国司法部和情报部门联合发布白皮书,声称大部分转去美国的欧盟数据没有情报价值,不感兴趣。EDPB也发文怼回去,你说没价值就没价值么?企业不能依据于此认定没有潜在风险。】很明显,EDPB就此向美国作出妥协——即使法律可能不满足EU标准,但只要出口方能够证明法律条文或者实践中不适用于跨境数据,那么甚至可以不采取“补充措施”。与之前EDPB坚持说采取所有补充措施在公权力面前都无济于事相比,这无疑是EU给美国公司的一条逃生通道,甚至还就美国备受诟病的FISA 702还作了一个手把手的示例。
但企业要证明“有问题的法律不适于该数据跨境场景”,EDPB规定了非常繁重的实质和形式义务,我梳理如下:
企业负有证明义务,整个评估要有个详细的报告,说明(1)与该数据跨境有关的法律和实践评估;(2)企业评估流程,卷入了哪些角色,比如律所、顾问、DPO等;(3)评估日期和后续定期检查的日期。以供日后欧盟监管机构要求提供。
企业要从法律解读上证明有问题的法律不适于该场景;
企业要从自身实践中证明有问题的法律不适用于该场景,比如是否收到过政府数据访问请求,是否被禁止披露收到过请求;
企业要从所在行业整体评估有问题的法律不适用于该场景,简言之,你说你没收到过政府访问请求,但是你的同行收到过,那么你的评估也有问题。
在评估标准上,对法律解读和实践的评估,EDPB提出了“相关、客观、可信、验证、公开”目的就是强调可被欧盟监管机构验证检查;并在附件3中列出了信息来源,大致几类:(1)来自欧盟的认定、判决、决议;(2)进口国判例法、司法决定、议会报告;(3)NGO、商会、民权组织的报告;(4)各企业的透明化报告,必须明确写明没有收到过政府数据访问请求:(5)进口方的内部声明和记录,明确说明在足够长的一段时间内没有收到过政府访问请求,并出具内审或DPO的证明。
最后归纳一下企业合规的行动清单,为了便于把数据从EU转移到中国,位于中国的数据进口方可以配合出口方做好几件事情:
提前做好一个中国法律框架整体性评估,个人信息保护法、民法典、刑诉等一系列涉及政府数据访问的法律都应囊括在内,建议也包括欧盟议会经常关注提及的几部法律,正好借此专业性地澄清;
要求出口方提供数据流场景,比如:转移和处理目的(营销、HR、存储、IT支持、医疗诊断);处理的实体(公有、私有);转移发生的领域(电信、广告、金融);转移的数据种类(儿童数据);物理转移还是远程访问;数据转移的格式(明文、匿名、加密)、是否可能被进一步转移。
结合具体场景,完成实践评估,既包括自身也包括行业,评估信息要注明来源,确保“相关、客观、可信、验证、公开”,可被欧盟监管机构日后验证检查;
形成报告后匹配数据流存档,并指定后续重新评估的责任人。
最后也是最重要的一点,无论法律评估结论如何,企业都应同步采取“补充措施”,比如数据加密、合同背靠背承诺等。(完)
公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
美国电信行业涉及外国参与的安全审查系列文
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
数据安全法系列文件:
中国个人信息保护立法系列文章:
网联汽车数据的系列文章:
关于健康医疗数据方面的文章有:
人工智能安全和监管的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
赴美上市的中国公司在网络、数据安全方面可能遇到的两国监管不同乃至于冲突方面问题的研究笔记: