数据跨境传输新动态 | 英国ICO发布英国BCR附录指南
文/ 王捷律师团队
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
本期聚焦英国ICO发布英国BCR附录指南,梳理英国-欧盟数据跨境传输新动态。
01
背景
01
2023年12月19日,英国信息专员办公室(Information Commissioner's Office,以下简称ICO)更新了其关于英国约束性公司规则(BCR)的指南,引入了关于英国BCR附录(UK BCR Addendum)的新指南,该附录旨在简化组织管理英国和欧盟之间数据传输的流程。
02
谁可以使用附录?
02
根据该指南,拥有现有欧盟BCR的组织可以通过将附录添加到其现有的欧盟BCR中来申请英国BCR,从而创建一个新的英国BCR,扩展批准的欧盟BCR范围以涵盖涉及英国的数据转移。
03
组织如何申请?
03
指南解释了申请英国BCR使用附件的流程,组织需要向ICO提交完成的附录,连同完整的欧盟BCR、欧盟BCR的批准以及一份英国BCR摘要文件。指南澄清了每个数据处理者和数据控制者的BCR都需要单独申请。值得注意的是,指南强调组织使用附录的方式包括:1.作为标准形式(不进行修改);2.作为模板,允许进行修改和添加替代条款以满足特定的业务需求。
该指南还包括有关组织如何填写附录的分步指南。此外,该指南概述了ICO的批准流程将根据申请与附录的标准或定制形式的吻合程度而有所不同。该指南建议使用附录作为模板的组织突出显示修订内容并作出合理解释。最后,该指南强调,根据附录的条款,组织的欧盟BCR变更将直接影响其英国BCR,在欧盟BCR暂停或撤销的情况下,英国BCR也将受到类似的影响。
04
企业需要注意什么?
04
英国脱欧后,企业如果选择BCR机制进行欧盟与英国间数据传输,则需要创建并维护(英国和欧盟)两个单独版本的BCR。该流程较为繁琐、起草工作量大、批准时间长,因此英国ICO设计了一种新机制来简化审批,允许拥有现有欧盟BCR的企业通过将英国BCR附录添加到其现有的欧盟BCR中来申请英国BCR,减少不必要的重复给企业带来的负担。需要强调的是,适用英国BCR附录来申请英国BCR需要以拥有经批准的欧盟BCR为前提(任何欧盟监管机构都可以根据欧盟指令95/46/EC或GDPR批准欧盟BCR),但英国ICO并不审查已经批准的欧盟BCR的内容。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州联合创始人、执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
颠覆性影响?欧盟法院将“评分”视为 GDPR 第 22 条规定的“自动个人决策”
儿童在线隐私保护 | 美国FTC就COPPA规则拟议修正案征求公众意见
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布