欧盟《关于控制者约束性公司规则的建议》简析

Original 数治君数据信任与治理 2023-01-13

收录于合集 #全球数据跨境流动治理 22个

背景

2022年11月14日，欧洲数据保护委员会（以下简称“EDPB”）通过了《关于批准控制者约束性公司规则申请以及控制者约束性公司规则中的要素和原则（GDPR第47条）的第1/2022号建议》（公共咨询版）（以下简称“《建议》”）。《建议》更新了现有的控制者约束性公司规则（Controller Binding Corporate Rules，以下简称“BCR-C”）的参考资料，一方面为BCR申请者提供额外的资料和公平的竞争环境，另一方面使得现有指南符合欧盟法院Schrems II裁决中的要求。根据EDPB，本《建议》将在2023年1月10日之前接受公众咨询。

数治君此前还全文翻译了《关于对控制者具有约束力的公司规则的工作文件》与《关于对处理者具有约束力的公司规则的工作文件》，请点击查看。

什么是BCR-C？

根据GDPR，BCR是个人信息跨境传输的工具之一，企业集团可以使用该工具将来源于欧洲经济区的个人信息传输到欧洲经济区以外、同一集团之内的控制者或处理者。BCR内容不得与GDPR相冲突，且必须包括所有一般数据保护原则和可强制执行的权利，以确保为数据传输提供适当的保障。此外，BCR必须具有法律约束力，约束签署该BCR的成员。

BCR分为控制者约束性公司规则（BCR-C）与处理者约束性公司规则（Processor Binding Corporate Rules，以下简称“BCR-P”）。BCR-C适用于在一个企业集团内既有数据控制者又有内部处理者的情况。BCR-P适用于从非集团成员的控制者接收数据，然后由相关集团成员作为处理者和/或次级处理者进行处理。

在采用BCR工具跨境传输个人信息之前，BCR必须获得BCR Lead监管机构（BCR Lead supervisory authority，以下简称“BCR Lead”）批准。BCR获得批准后，数据出口方在每次传输时都需要满足处理的合法性（GDPR第6条）和传输给处理者（GDPR第28条）规定的所有要求。同时，数据出口方还需逐案评估是否需要采取额外措施以保证出境数据获得GDPR同等保护水平。数据出口方的监管机构（supervisory authorities，以下简称“SA”）会审查数据出口方的跨境传输行为是否符合GDPR与BCR。

BCR Lead与SA有所区别。BCR Lead在BCR审批中发挥作用；SA在BCR审批后发挥作用。BCR Lead职责是审批BCR，而SA是监督数据出口方依赖BCR跨境传输数据的行为是否符合GDPR与BCR。在递交BCR申请的实体与出口数据的实体为同一家实体的情况下，承担上述两项职责的是同一个数据保护机构；如果不是，则可能由不同的数据保护机构承担上述职责。

《建议》主要内容

《建议》主要由“BCR-C申请表”及“BCR-C 中的要素和原则”两部分组成，旨在：

（1）提供新一版的BCR-C申请表；

（2）明确BCR-C必须包含的内容并提供进一步解释；

（3）区分必须包含在BCR-C中的内容和必须在BCR申请中向BCR Lead数据保护监管机构提交的内容。

2.1 BCR-C申请表

根据《建议》的内容，BCR申请实体需要填写以下内容：

组成部分	具体内容
第一部分申请人信息	1. 企业集团的结构和联系方式
2.处理与数据流动的简短描述
3.确定BCR LEAD
4.承诺
第二部分背景文件	5. BCR-C的约束力（分别描述在集团实体内具有约束力、对员工具有约束力、适当安排）
6.有效性（培训与提高意识、数据保护官或者适当职员体系、）
附件	附件一 BCR-C 副本
附件二填写的表格“BCR-C中的要素和原则”副本

其中，企业集团需要在第一部分第3项“确定BCR LEAD”中解释其是如何确定BCR申请需要递交的监管机关的。《建议》给出了5条标准，按优先级降序排列，标准如下：

（1）集团欧洲经济区总部所在地；

（2）如果集团总部不在欧洲经济区，则为具有数据保护责任的欧洲经济区集团实体所在地；

（3）（在管理职能、行政负担等方面）最适合处理申请并在集团内执行BCR-C的公司所在地；

（4）在数据处理的目的和方法方面作出大多数决定的国家/地区；

（5）大部分向欧洲经济区以外的传输将从该国进行的欧洲经济区成员国。

根据上述5项标准的表述，我们理解，其也是BCR申请人确定的标准。

我国《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》（以下简称“《安全认证规范V2.0》”）落实的个人信息出境工具认证与欧盟的BCR具有相似性。但是根据《安全认证规范V2.0》，我国申请认证的主体为“境内一方”或者“在境内设置的专门机构或指定代表”。两者相比，我国的标准在这方面的规定更具灵活性。

2.2 BCR-C中的要素和原则

《建议》给出了BCR-C需要具备的要素和原则，这既给集团制定符合GDPR要求的BCR-C提供了参考，也为BCR LEAD审批收到的BCR-C申请提供了参考。

此外，《建议》对BCR-C需要具备的要素和原则进行了解释（具体内容不在下表展示），以便BCR-C申请人更容易理解其要求。根据《安全认证规范V2.0》，开展个人信息跨境处理活动的个人信息处理者和境外接收方也需签订具有法律约束力和可执行的文件。《安全认证规范V2.0》对文件必须包含的内容进行了明确，但是尚未进行进一步的解释。由于《安全认证规范V2.0》规定的认证与欧盟BCR之间的相似性，以及认证主体（个人信息处理者相当于欧盟GDPR下的数据控制者）与本《建议》适用范围的相似性，《安全认证规范V2.0》相关申请人可以借鉴BCR-C建议的内容去理解《安全认证规范V2.0》对有法律约束力和可执行的文件的要求。

根据《建议》的内容，BCR-C需要具备的要素和原则包括以下内容：

组成部分	具体内容
第一部分约束性质	遵守BCR-C的义务
创建可由数据主体强制执行的第三方受益人权利
数据主体获得司法补救、补救和赔偿的权利
欧洲经济区中一个或多个具有数据保护授权责任的BCR成员承担向数据主体支付赔偿和纠正违反BCR-C行为的责任（以下简称“责任BCR成员”）
责任BCR成员承担举证责任
数据主体轻松获取BCR-C
第二部分 BCR的范围	BCR-C实质范围说明
-	BCR成员名单，以及BCR-C的地理范围说明
第三部分效力	合适的（员工）培训计划
BCR-C投诉处理流程
涵盖BCR-C的审计计划
建立一个数据保护官员（DPO）或适当员工体系，以监控BCR-C的遵守情况
第四部分合作义务	与主管监管机关合作的义务
第五部分数据保护保障	数据保护原则说明
处理的合法性
安全和个人数据泄露通知
再传输限制
数据主体权利
问责制和其他工具
影响遵守BCR-C的当地法律和惯例
政府请求访问时数据进口方的义务
第六部分终止	终止
第七部分不合规	不合规
第八部分报告和记录变更的机制	更新BCR-C的过程
第九部分定义	定义列表

欧盟法院Schrems II裁决提出了对外国政府访问欧洲公民个人信息的担忧，可以看出，为了使得BCR-C符合Schrems II裁决，本《建议》要求评估可能影响遵守 BCR-C中所载承诺的第三国法律和惯例，并且要求BCR-C载明政府请求访问时数据进口方的义务。

结语

2022年11月，《个人信息保护认证实施规则》颁布，个人信息跨境传输的工具之一认证有了更高层次的法律执行依据。目前《安全认证规范V2.0》正处于征求意见阶段，企业申报认证的流程与企业申报所需的材料尚不清晰。鉴于我国认证与欧盟BCR的相似性，我国认证申请者可以将其作为申报认证的国际参考资料。

参考文献

[1] 欧洲数据保护委员会：https://edpb.europa.eu/system/files/2022-11/edpb_recommendations_20221_bcr-c_referentialapplicationform_en.pdf，2022年11月29日访问。

[2] 欧洲数据保护委员会：https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/recommendations-12022-application-approval-and_en，2022年11月29日访问。

[3] 欧洲数据保护委员会：https://edpb.europa.eu/news/news/2022/edpb-adopts-recommendations-application-approval-and-elements-and-principles-be_en，2022年11月29日访问。

（完）

往期文章

1、全球数据跨境流动治理

德国：拼写检查功能可能将数据非法跨境传输给第三方

双边自由贸易协定——印度数据跨境流动的突破口？

G20轮值主席国印度尼西亚的数据跨境流动主张简析

EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本

印度拟发布新的数据保护法草案，或放宽数据本地化要求

欧盟与日本拟将数据跨境流动规则纳入经济伙伴关系协议

美英就跨境数据充分性保障方面的进展发表联合声明

美国发布欧美数据跨境传输行政命令简析