W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(四):数据继续传输的合规指南
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
文/ 王捷 黄琼 梁佩盈 邱世贸 常孝雯
引言
在欧盟-美国隐私框架(DPF)系列解读文章的前三篇中,W&W国际法律团队已经从欧盟-美国隐私框架的发展过程、欧盟-美国间的数据跨境传输机制、欧盟-美国隐私框架的核心原则三个方面进行了解读。
本文作为DPF解读系列的第四篇,将代入出海企业在实务过程中可能遇到的复杂数据跨境传输情形进行分析,为企业在出海过程中的疑难要点进行解答,提供一份切实可行的实务指南。
在实践中,数据跨境传输不仅涉及将数据从一个国家传输到另一个国家,还可能涉及数据继续传输(onward transfer)的情形,数据继续传输是指在数据跨境传输过程中,数据可能经过多个中转节点或经过多个国家的传输。
特殊路径指南 1 :
欧盟-美国-美国/第三国
图1
如图1所示,出海企业可能存在这样的数据跨境传输情形:
第一步:将数据从欧盟的数据控制者/处理者跨境传输到经DPF认证的美国公司A;
第二步:该美国公司A再将数据传输至第三国(非欧盟国家)的数据控制者或处理者,或者美国境内另一未经DPF认证的美国公司B。
此时,该美国公司A将数据继续传输时需要采取哪些合规措施?
在上一篇DPF原则解读中,我们有提到继续传输责任的原则,“继续传输”需要适用特殊规则,无论继续传输中的接收方是位于美国还是美国(或者欧盟)外的第三方。
任何的继续传输都需要同时满足以下三个条件:
1. 出于有限和特定的目的;
2. 基于已进行DPF认证的组织和第三方之间的合同或公司集团内的类似安排(但存在无需合同或类似安排的例外情形);
3. 该合同要求第三方提供与DPF中的原则同等水平的保护。
另外,除了责任原则之外,该美国公司还需要遵循DPF中的“数据完整性和目的限制原则”(Data Integrity and Purpose Limitation Principle)、“告知原则”(Notice Principle),若传输给第三方的控制者,还需要遵循“选择原则”(Choice Principle)等DPF原则。
继续传输原则
以上提及的传输情形的依据,均为DPF下的“继续传输”原则,该原则适用于所有从欧盟-美国DPF组织传输个人数据到第三方控制者或者处理者的情形,具体适用的规则根据数据接收方作为控制者或作为处理者进一步区分。
• 当一组织将个人信息传输至作为控制者的第三方(“数据接收方”)时,该组织(“数据传输方”)应当与第三方控制者达成协议,约定数据将用于有限、特定目的的处理,该目的应当与数据主体提供的同意一致,且数据接收方应当提供与DPF原则(The Principles)同等的保护水平;若数据接收方确定其无法再提供与DPF原则同等水平的保护,应当通知数据传输方。同时,数据传输方与数据接收方之间的合同应规定,在数据接收方无法再提供与DPF原则同等水平的保护后,其应停止处理或采取其他合理且适当的措施进行补救。
• 当一组织将个人信息传输至作为处理者的第三方(“数据接收方”),该组织(“数据传输方”):
a. 仅为有限、特定目的转移数据;
b. 确定数据接收方有义务提供至少与DPF原则同等水平的隐私保护;
c. 采取合理、适当的措施,确保数据接收方以符合DPF原则下数据传输方义务的方式有效处理所传输的个人信息;
d. 要求数据接收方在确定其无法再履行提供与DPF原则同等水平保护的义务时,通知数据传输方;
e. 在收到通知(包括上述情形的通知)后,采取合理且适当的措施以停止和补救未经授权的处理;
f. 根据要求向监管部门提供其与该数据接收方签订的合同中相关隐私条款的摘要或代表性副本。
特殊路径指南 2 :
欧盟-第三国-美国
除了欧盟-美国-美国/第三国的数据传输外,出海企业还可能遇到数据从欧盟传输到A国,再继续传输到美国的情形,在实务中可能存在以下两种细分情形:
1. A国的数据接收者/传输者对个人数据经过实质处理;
2. A国的数据接收者/传输者仅作为数据中转方,未对数据进行实质处理。
图2
如图2所示,该情形下的数据跨境传输包括以下两步:
第一步:将数据从欧盟的数据控制者/处理者跨境传输到A国的公司;
第二步:将数据从A国的公司继续传输至美国的处理者/控制者。
在第一步中,根据GDPR以及欧盟数据保护委员会Guidelines 05/2021的相关规定,无论A国的公司是否对数据进行实质的处理,均属于数据跨境传输,需要在符合GDPR的规定下进行。
由于本系列文章主要为探讨DPF,故我们将第一步场景均设定为欧盟的数据控制者/处理者将数据合规地传输到A国公司,并以此为基础探讨第二步。此时,该美国公司是否需要遵守GDPR针对跨境传输的要求,以及是否可以使用DPF认证作为跨境传输的路径呢?
如上述,根据GDPR的规定,数据跨境传输以及数据继续传输均需要遵守GDPR针对跨境传输的要求,即在该种情形下,将数据从A国继续传输至美国,需要依据GDPR有关数据跨境传输的规定进行,即需要满足以下条件:
1. 前提条件:明确告知数据主体有关数据跨境传输的情形,并获得同意。
2. 选择适合的传输路径:
a. 充分性认定
b. 安全保障措施:
i. SCCs
ii. BCRs
iii. 行为准则
iv. 认证机制
c. 减损
有关上述GDPR项下数据跨境传输的相关规定,详见本系列的解读文章(二)。
有关DPF的充分性决定已获得欧盟委员会的批准,因此将数据从A国继续传输至美国公司,可以使用DPF认证作为向美国公司进行数据传输的路径。
但需要提醒的是,将来自欧盟的数据从A国继续传输至美国公司,除了需要符合GDPR的要求外,还需要充分调研A国对于此类情形下的数据传输是否有额外要求。
结语
欧盟-美国数据隐私框架DPF已正式生效,完善了欧盟-美国间的跨大西洋数据传输效率和数据安全保护。在这个数字化世界中,物理边界不再那么重要,对个人数据的严格保护是我们在无形的、相互关联的数字世界中守卫个人权利的盾牌。
W&W国际法律团队已成功为多家出海美国的企业提供法律服务,为他们提供了广泛的法律支持和指导,我们的服务范围包括但不限于出海合规、数据合规等方面,W&W国际法律团队根据每个出海美国企业的独特需求,量身定制合规解决方案,如有任何需求,请随时联系我们。
推荐阅读:
六大维度对比:十国/地区数据保护规则要点 |(附出境实务100问)
纯干货!十国/地区数据保护主要维度横纵对比(下)(附出境100问)
W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
亚太观察 | 印度:印度总统批准通过《2023年数字个人数据保护法案》
漫谈《印度2019个人数据保护法案》之一:新法案的“小前传”
漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述
漫谈《印度2019个人数据保护法案》之三:新旧法案对比知多D——主要新增变化概述
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754