摘要
我國《個人信息保護法》(“PIPL”)自2021年11月1日正式實施以後,個人數據跨境流動保護的配套規定相繼出台,今年6月,國家互聯網信息辦公室(“CAC”)發布了《個人信息出境標準合約》(徵求意見稿)與《個人信息出境標準合約規定》一起向社會徵求意見,今年9月1日,《數據出境安全評估辦法》正式實施。世界上許多國家和地區都有自己的數據跨境風險評估方法和標準合約條款Standard Contractual Clause(“SCC”)。
其中,SCC作為監管部門製定的官方合約模版,通用於數據出口方和數據進口方之間,旨在使個人信息出境後其保護水平不得低於本國數據保護標準要求。本文將參照英國信息專員辦公室(“ICO”)發布的個人數據跨境傳輸指南,從實踐角度出發,介紹我國數據出境風險評估和標準合約適用問題,以期幫助企業明晰個人數據跨境傳輸中相關的規定,確保企業合規性經營。
2021年8月,英國信息專員辦公室(ICO)發布了一份由三部分組成的個人數據跨境傳輸指南,就個人數據從英國向第三國的跨境轉移進行公開諮詢,這份指南中關於英國數據跨境傳輸的指導意見結構分為三個部分:
(1) 國際數據傳輸協議International Data Transfer Agreement(“IDTA”)=英國版SCC
(2) 歐盟新SCCs的英國附錄Addendum to new SCCs(“SCCs附錄”);
(3) 風險評估transfer risk assessment(“TRA”)。
指導意見中除了前兩個標準合約及附錄外,TRA風險評估的應用場景為何?進行風險評估的考慮因素為何?另外,英國IDTA、歐盟新SCC英國附錄、2018版歐盟舊SCC之間的關係為何?
受英國管轄的企業個人數據跨境傳輸如何與數據進口方簽訂IDTA、歐盟SCC附件?是否既要簽訂IDTA又要簽訂歐盟SCC附件?筆者將圍繞上述問題,結合多種應用場景展開討論。
1、 企業將受英國管轄的個人數據跨境傳輸時,如何完成風險評估,風險評估工具為何?
企業做TRA的本質是為了在簽署IDTA之前,需要做一個詳細的限制性轉移的檢查評估,考慮所有限制性轉移的情形,以此來判斷IDTA的簽署是否真正能使個人數據傳輸到數據進口方後仍然能獲得其在英國時獲得的相關保護措施足夠相似的保護。那麼TRA需要考慮的首先是數據轉移的事實情況,具體包括轉移的數據類型、轉移的目的、數據的格式、轉移的方法、存儲地點、繼續轉移的可能等;其次,主要考慮數據接收者的基本情況和轉移數據後對數據主體的潛在影響。
風險評估工具為企業常規的數據轉移提供幫助,實踐中,當企業在有數據跨境轉移需求時,跑完風險評估工具後得出的結果顯示企業不能繼續進行數據跨境傳輸行為,此時,轉移行為超過常規數據轉移,就需要引入額外的數據保護影響評估Data Protection Impact Assessment(DPIA)。
企業進行風險評估時應重點關注幾個方面,第一,對傳輸本身的評估。如前文所述,企業在數據轉移時必須滿足安全保障、數據最小化等事項,如果需轉移的數據複雜龐大或高風險,僅用TRA工具無法評估時,需進行DPIA。第二,國際傳輸協議(“IDTA”)在數據進口國是否具有可執行性。 IDTA合約簽署的目的是否能夠實現且合約簽署後保障措施的實施是否能達到英國本身對個人數據保護的安全程度,這兩個問題將成為重要的考慮因素。若IDTA的可執行性不高或者數據轉移的風險程度大,此時企業轉移個人數據時就需要補充考慮IDTA中第二部分規定的,需要增加額外保護條款的情形。第三,如果涉及第三方訪問,是否有適當措施來保護或避免。此時,需要評估數據進口方國家管理第三方數據訪問的政策法律制度是否與英國法的原則足夠相似,或者雖政策法律制度不足夠相似,但第三方訪問可能性小或第三方訪問對數據主體造成的風險足夠低。
綜上,企業的跨國個人數據傳輸並不必然會帶來額外的風險,但是一旦風險評估結果顯示高風險,將會導致企業簽署或準備的數據轉移安排無法實現,此時,除了通過匿名化、最小化等方式降低風險外,在風險評估工具評估後,調整改變企業數據傳輸安排和計劃能為其他數據的跨境傳輸帶來可能。
2、 英國IDTA、歐盟新SCC英國附錄、2018版歐盟舊SCC三者之間的關係為何?
首先,在釐清英國IDTA和歐盟SCC之間關係前,需要引入一個背景知識,即英國在2020年1月31日正式脫歐以前,對於數據保護合約及製度沿用的是2018版歐盟舊SCC以及歐盟《通用數據保護條例》General Data Protection Regulation(“歐盟GDPR”)。脫歐以後,英國在歐盟SCC基礎上,結合英國製度法律推出了本國的IDTA,也就是說,英國IDTA在某種程度上就是英國的SCC。
那麼,英國IDTA簽署目的及主要內容包括哪些呢?歸納起來,IDTA作為一份英國的特殊模版合約,目的在於為企業,特別是中小型企業在進行個人數據限制性跨境傳輸時提供協議模版的簽訂,以保護數據跨境傳輸的安全性。其主要內容分為四個部分:第一部分羅列了四張表格,主要包含各方的基本信息、數據轉移的細節問題,例如適用於各方的法律、需要轉移的數據、安全性要求等;第二部分規定了需要增加的額外的保護條款;第三部分允許各方引入商業條款,值得注意的是,各方引入的商業條款不能降低IDTA所提供的整體保護水平,若該商業條款無意中降低IDTA保護水平,則企業跨境數據傳輸可能會違反英國GDPR);第四部分包括強制性條款,強制性條款對各方均有約束力,目的在於為轉移的個人數據提供統一的保護標準條款。
另外,歐盟SCC英國附錄的產生是因為英國和歐盟之間的貿易往來比較緊密,且歐盟GDPR影響力大於英國GDPR,在英國脫歐前曾長時間使用歐盟GDPR,脫歐後發展出的英國GDPR對於歐盟GDPR沒有做實質性修改,因此英國ICO特別允許來自英國的個人數據出境活動依然可以使用歐盟SCC,但是需要在歐盟SCC後附上UK Addendum to the EU SCCs(歐盟SCC的英國附件)。
3、 受英國管轄的企業進行個人數據跨境傳輸時,如何選擇簽署英國IDTA,或簽署歐盟新SCC及歐盟SCC英國附錄?
在回答這個問題之前,首先需要弄清英國IDTA和歐盟SCC適用範圍上的差別,進而判斷究竟是簽署英國IDTA還是歐盟SCC及歐盟SCC英國附錄。
(1)英國IDTA和歐盟SCC中個人數據的流動模式
英國IDTA中數據的流動模式:數據出口者(the exporter)指受英國《一般數據保護條例》(英國GDPR)約束的組織和個人,其將轉移的英國個人數據轉移至不在英國的獨立法律實體,即數據進口者(the importer)。
歐盟SCC中數據的流動模式:數據出口者(the exporter)指受歐盟《一般數據保護條例》(歐盟GDPR)約束的組織和個人,其將轉移的英國個人數據轉移至不受歐盟GDPR管轄的數據進口者(the importer)。
(2)英國IDTA和歐盟SCC適用區分
a) 英國IDTA注重法律管轄的變化,也注重物理國界的變化
當英國的個人數據被英國GDPR不適用的數據接收者或者位於英國以外的國家的接收者接受或訪問轉移時,就需要用到限制性轉移協議。也就是說,數據出口方即使在英國境外,只要受到英國GDPR的域外管轄,其向任何不位於英國境內或者不適用英國GDPR的數據接收者傳輸時,就滿足簽署英國IDTA的條件。
同時,數據接收者無論是否收到英國GDPR的域外管轄,只要數據接收者位於英國境外,就可以通過簽署英國IDTA來進行個人數據跨境。例如,假設企業本身是一個數據處理者,其數據處理行為受到GDPR的約束,但是企業的控制者不受到GDPR的約束,這就不是限制性轉移協議,不包括IDTA。除非企業將數據打包發送給GDPR不適用的子處理者時,將符合限制性轉移協議,由IDTA涵蓋。
b) 歐盟SCC更注重法律管轄的變化
相較於英國IDTA關注數據向英國國境之外的數據進口方轉移數據,歐盟SCC則更重視數據的接受方是否不受歐盟GDPR管轄。
根據歐盟GDPR第3.1條:數據控制者、數據處理者在歐盟有營業場所的,不論數據處理行為發生在歐盟還是境外;第3.2條:1.本法適用於設立在歐盟內的控制者或處理者對個人數據的處理,無論其處理行為是否發生在歐盟內。 2. 本法適用於對歐盟內的數據主體的個人數據處理,即使控制者和處理者沒有設立在歐盟內,其處理行為:(a) 發生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付對價;或(b) 是對數據主體發生在歐盟內的行為進行的控的。 3. 本法適用於設立在歐盟之外,但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。可以明確該數據接受方是否屬於歐盟GDPR管轄,若符合不受歐盟GDPR管轄的條件,則歐盟SCC將需要被簽署。
資訊來源:由0x資訊編譯自8BTC。版權歸作者所有,未經許可,不得轉載