W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(二):欧盟-美国跨境数据传输机制
文/ 王捷 黄琼 梁佩盈 叶影
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
2023年7月10日,欧盟委员会投票通过了欧盟-美国数据隐私框架 (EU-U.S. Data Privacy Framework,以下简称“ DPF”) 的充分性决定。充分性决定得出的结论是,对于根据DPF从欧盟控制者或处理者传输到美国认证组织的个人数据,美国提供的保护水平基本上与欧盟相同。具体来说,充分性决定的效果是,个人数据可以从欧盟的控制者和处理者转移到美国的认证组织,而无需获得任何进一步的授权。
W&W国际法律团队将针对DPF进行系列的梳理、解读和分析,在上一篇解读W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(一):来龙去脉中,我们W&W国际法律团队已带大家了解了欧盟-美国隐私框架的发展过程;在本篇中将带大家进一步深入了解欧盟的跨境数据传输机制,DPF的适用流程以及相对其他传输路径的优势,以期各位可以通过本文即明晰DPF的具体适用关键。
欧盟数据跨境传输
有哪些路径?
A
充分性认定是欧洲《通用数据保护条例》(GDPR)中列明的,可作为将个人数据从欧盟成员国转移到第三国的方式之一。获得欧盟委员会充分性认定的国家,即代表该国经过欧盟委员会的评估,在个人数据的保护水平方面与欧盟相当,个人数据即可以自由、安全地从欧洲经济区 (EEA)(包括 27 个欧盟成员国以及挪威、冰岛和列支敦士登)传输到该国,而无需采取额外的数据保护措施。
欧盟以充分性认定机制作为数据跨境流动的基准,充分性认定规则被称为“欧洲个人数据跨境的签证”。这种方式主要适用于特定国家,欧盟-美国隐私框架(DPF)的充分性决定已获得欧盟委员会的批准。
B
对上述白名单以外的国家、地区或国际组织的商事主体,如需将欧盟数据向外传输,可通过采取保护措施对传输行为进行适当保障的传输路径,其中最主要的保障措施包括:
· 签订欧盟颁布的标准合同条款(Standard Contractual Clause,SCC);
· 约束性企业规则(Binding Corporate Rules, BCR),主要适用于跨国企业或组织在其组织体系内部进行数据跨境传输;
· 经批准的行为准则(codes of conduct)、
· 经批准的认证机制(certification mechanism)。
C
在充分性认定和适当保障措施均不能满足的情况下,数据传出方还可退而求其次,判断其数据跨境传输是否属于以下特定情形下的豁免,但数据传出方不应将此作为常规化数据跨境传输的合法依据。
1. 在得知由于缺乏充分性认定和适当的保障措施,数据主体可能面临此类传输的风险后,数据主体明确同意拟进行的传输;
2. 为履行数据主体和控制者之间的合同,或为实施应数据主体要求采取的合同前措施所必需的传输;
3. 控制者与另一自然人或法人为了数据主体的利益订立或履行合同所必需的传输;
4. 出于重大公共利益而必要的传输;
5. 为确立、行使或辩护法律主张而必要的传输;
6. 当数据主体在生理上或法律上无法给予同意时,为保护数据主体或其他人的重大利益而必要的传输;
7. 从公共登记册进行的传输;
8. 强制性合法权益。
欧盟-美国如何通过DPF
实现跨境数据传输?
适用DPF进行欧盟-美国跨境数据传输,需要注意以下要点:
(一)向谁申请DPF认证
美国公司应向美国商务部国际贸易管理局(Department of Commerce’s International Trade Administration,以下简称“ITA”)申请认证。
(二)认证有哪些要求
在获得DPF认证前,美国公司需至少满足美国商务部发布的《补充原则》中自我认证的相关要求,包括但不限于:
1.同意接受美国联邦贸易委员会(FTC)、美国交通部(DoT)及其他经欧盟认可的美国机构的调查与执法;
2.公开承诺其将遵守DPF原则;
3.按照DPF原则修订其隐私政策并公开;
4. 建立独立的追索机制,以处理根据DPF原则提出的相关投诉。
(三)提供什么认证材料
美国公司需向ITA提供的自我认证材料至少应包括以下信息:
1.美国公司的主体名称;
2.美国公司将在DPF下从欧盟接收个人数据的项目内容;
3.美国公司对个人数据保护相关的隐私政策;
4.美国公司内部负责处理与DPF原则相关的投诉、访问请求和其他问题的联系人及联系方式;
5.有权审理美国公司可能存在的不公平或欺骗性行为、违反有关隐私的法律法规的任何索赔的法定机构;
6.美国公司参与的任何隐私计划的名称;
7.美国公司的自我核查方法(自我评估或外部合规审查);
8.用以调查DPF原则相关投诉的独立追索机制内容。
适用DPF进行跨境传输
相较于SCC有哪些优势?
在隐私盾决议被裁定无效后,DPF的充分性决定通过之前,由欧盟成员国向美国传输的个人数据主要是使用标准合同条款(SCC)进行传输。尽管目前DPF的充分性决定已获通过,但跨境数据传输者仍可以选择适用SCC进行跨境传输。
SCC适用流程
欧盟成员国的公司根据标准格式合同(SCC)与欧盟成员国以外的公司达成跨境数据传输协议,必须采用欧盟发布的标准格式合同SCC,且企业必须将这些条款传递给多层服务提供商。
一些欧盟成员国需要额外的手续,如监督机构对SCC的备案和批准。
DPF相对SCC的优势
· 对于存在复杂处理活动的公司,使用DPF将免于将这些复杂处理活动在合同文本中进行精细梳理的繁琐工作,而如果使用SCC则必须按要求进行大量梳理工作,且一旦存在疏漏则可能存在被处罚的风险。
· 对于大型集团公司而言,这些公司可能会有多个子公司,当这些子公司需要从欧盟接收数据时,可以采取子公司在美国商务部进行DPF认证的方式进行,对比于签署多个SCC,可能会更为便捷。
· 对于一些对SCC的适用规定了额外的手续的欧盟成员国,如监督机构对SCC的备案和批准,这使得实施SCC的过程既漫长又昂贵。
· 在依赖DPF路径的时候,不需要被要求强制进行传输影响评估(TIA),而采用SCC路径的话,则必须进行TIA。具体而言,如果公司在向进行了DPF认证的公司传输数据时,公司不是完全依赖DPF路径的话,则他们必须按照欧洲法院Schrems II裁决的要求继续执行TIA。但实务中,进行TIA会更有利于帮助企业证明传输的合规性,会更佳。
值得注意的是,DPF仅适用于向美国传输数据的情况的,而SCC可以适用于向包括美国在内的任何第三国传输数据的情况。
美国-欧盟数据传输是否
会受DPF的影响?
虽然DPF仅适用于欧盟成员国传输数据至美国,但DPF属于GDPR下规定的“充分性决定”跨境传输路径,“充分性决定”旨在确保美国的数据保护与欧盟达到同等充分的水平,因此充分性决定的通过必须基于对第三国数据保护相关法律的全面分析。
DPF在实行过程中也需要接受定期审查。在当前DPF之前,欧盟-美国间曾达成的两次隐私框架,其充分性决定均被欧盟法院裁决无效。故为保持目前DPF充分性决定的有效性,美国可能会调整、加强其数据隐私保护法律体系,其中亦包括美国对外进行数据跨境传输。
因此,针对业务涉及或将来可能涉及从美国传输数据到欧盟成员国的公司,W&W国际法律团队建议持续关注美国以及相关州的数据跨境传输相关政策和法规是否有调整,定期复核目前采用或拟采用的数据传输路径是否符合最新的政策和法规要求;如不符合,则需要尽快作出调整,针对最新要求补强已有传输路径的有效性,或者改用其他的传输路径。
推荐阅读:
以实务为基,有的放矢|《制造业出海合规实务指南50问》重磅发布
W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754