Loading
2018-09-29 16:16:05
引言:
經(jīng)濟全球化的趨勢下,新技術(shù)的迅猛發(fā)展及其帶來的資源整合需要正在改變企業(yè)的運營方式。在不同地點處理、交換、儲存數(shù)據(jù)已經(jīng)成為了一種便利且具有成本效益的商業(yè)選擇。然而,進行跨境傳輸?shù)臄?shù)據(jù)具有明顯的規(guī)模性與連續(xù)性特征,相應(yīng)的數(shù)據(jù)保護法律風(fēng)險也是不容忽視的。
GDPR第五章針對此問題做出了專門規(guī)定,并針對不同的情況為企業(yè)、機構(gòu)及其他組織提供了多樣化的合規(guī)路徑。
一、官方認可——充分保障“白名單”與政府協(xié)議
一般而言,GDPR對數(shù)據(jù)跨境傳輸?shù)南拗浦饕槍W盟外國家(英國脫歐后將面臨此問題),而對內(nèi)部的數(shù)據(jù)傳輸并未提出特別的限制。整體上看,GDPR以特定國家、地區(qū)、國際組織是否對個人數(shù)據(jù)提供了“充分保護”為標(biāo)準(zhǔn),通過對宏觀法治現(xiàn)狀、所參加的數(shù)據(jù)保護相關(guān)的國際條約或所做出的國際承諾、相關(guān)獨立監(jiān)管機構(gòu)設(shè)立情況等因素,對上訴主體進行評估,并將滿足條件的主體予以公示。對于此類主體,相關(guān)的數(shù)據(jù)傳輸則不需要特別的授權(quán)。可惜的是,我國并未在提供充分保護的“白名單”之內(nèi)。
另一種“官方”處理模式是由特定的國家、地區(qū)直接與歐盟相關(guān)機構(gòu)進行磋商并訂立具有法律約束力與可執(zhí)行性的隱私保護協(xié)議,最為典型的便是歐盟-美國隱私盾協(xié)議(The EU-US Privacy Shield),此協(xié)議由政府直接達成合意,直接為跨大西洋數(shù)據(jù)傳輸建立起了合法框架。與之相對,我國政府與歐盟之間亦不存在類似的官方協(xié)議。因此對于我國的企業(yè)、機構(gòu)來說,完成跨境傳輸過程中的數(shù)據(jù)合規(guī)工作只能“自力更生”,具體表現(xiàn)為下列措施。
二、范本指引——標(biāo)準(zhǔn)合同條款
高效合法的數(shù)據(jù)傳輸離不開一份全面而可執(zhí)行的傳輸協(xié)議。為保障傳輸協(xié)議實現(xiàn)“足夠的保護水平”,歐盟委員會(European Commission)提供了兩種類型的合規(guī)范本---標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses簡稱SCC)。根據(jù)傳輸主體類型的不同分為C2C(Controller to Controller即數(shù)據(jù)控制者之間)與C2P(Controller to Processors即控制者與處理者之間)兩份文本。
在具體適用中,傳輸主體可確認的協(xié)議內(nèi)容不局限于其選用的范本內(nèi)容,在不與文本內(nèi)容矛盾的情況下,傳輸主體可以增加其他條款,或?qū)⒎侗緱l款附于內(nèi)容更寬泛的合同之中,歐盟委員會對此也持鼓勵態(tài)度。
同時,標(biāo)準(zhǔn)合同范本的采用并不代表著傳輸主體就能在處理合規(guī)問題上“一勞永逸”,SCC的文本內(nèi)容并未完全覆蓋GDPR的要求,例如GDPR第28(3)(f)對處理者協(xié)助義務(wù)的規(guī)定便未在SCC中體現(xiàn)。因而,對于SCC既不可完全忽視,亦不可盲目崇拜。
三、內(nèi)部準(zhǔn)則——約束性公司規(guī)則
約束性公司規(guī)則(Binding Corporate Rules簡稱BCRs)是在跨境數(shù)據(jù)傳輸情形下為適用數(shù)據(jù)保護國際政策而在一組企業(yè)或國際機構(gòu)間適用進行規(guī)定的一種內(nèi)部公司規(guī)則。由于BCRs對我國企業(yè)數(shù)據(jù)合規(guī)的重要指導(dǎo)意義,筆者將對此進行詳細的介紹。
(1)BCRS的特征
與“白名單”所帶來的廣泛性自由傳輸不同的,BCRs是一種內(nèi)部的數(shù)據(jù)傳輸規(guī)則,即只有在特定的企業(yè)集團、國際組織范圍內(nèi)是自由、安全的。同時,有效的BCRs建立在有權(quán)機關(guān)的批準(zhǔn)基礎(chǔ)上,歐盟委員會以及各成員國的數(shù)據(jù)保護機構(gòu)會將已授權(quán)BCRs的企業(yè)進行公示,花旗銀行、GE、愛馬仕等跨國公司都在此公示名單上。
(2)BCRS的要求
BCRs具有使數(shù)據(jù)跨境傳輸合法化的功能,同時GDPR對BCRs施加了較為嚴格的要求,在實體上體現(xiàn)在:
①BCRs必須具有法律約束力與可執(zhí)行性,其對企業(yè)集團以及每個成員都得到有效適用;
②整體上看,應(yīng)當(dāng)明確要求主體采取了足夠安全措施,保障數(shù)據(jù)主體處理個人數(shù)據(jù)權(quán)利的執(zhí)行;
③在具體內(nèi)容上看,BCRs必須包括:
同時,BCRs必須遵循以下程序:
①選定主管部門,該主管部門必須是與其他歐洲數(shù)據(jù)保護機構(gòu)DPAS合作處理的機構(gòu);
②起草BCRs,并提交主管部門審核。后者對文件內(nèi)容提出建議以確保文件符合WP153(工作組第153號,內(nèi)容見下圖)文件規(guī)定的要求;
③主管部門將確認后的BCRS發(fā)給相關(guān)的DPA啟動合作程序(具體的DPA由集團總部所在地/大多數(shù)決策地等因素決定);
④在相互承認的國家收到BCRS后,歐盟合作程序終止。若主管當(dāng)局認為所提交的BCRS符合要求,則相應(yīng)DPA接受此意見并為其提供本國許可(或授權(quán)的充分證據(jù)),或為提供授權(quán)的機構(gòu)提供建議。
(WP153部分截圖)
(3)BCRs的優(yōu)勢
歐盟委員會十分鼓勵跨國集團采用BCRs的方式完成合規(guī)要求。在我國的特定環(huán)境下,BCRs的適用將為國內(nèi)企業(yè)帶來極大的機遇。
首先,BCRs本身的內(nèi)容就與GDPR的規(guī)制要求存在一定的重合性,對BCRs規(guī)則的確認,可以間接為集團內(nèi)部的數(shù)據(jù)合規(guī)提供框架指導(dǎo),有助于企業(yè)對自身合規(guī)系統(tǒng)的完整,提升內(nèi)部的數(shù)據(jù)保護意識。
其次,與SCC不同的,企業(yè)集團在訂立有效BCRs后便可較為高效地進行內(nèi)部的數(shù)據(jù)傳輸,而不是再根據(jù)特定活動單獨地訂立傳輸協(xié)議,從而減輕數(shù)據(jù)跨境傳輸?shù)墓芾韷毫Α_@對企業(yè)效率的改善,尤其是對于結(jié)構(gòu)復(fù)雜的跨國公司而言將顯得尤為重要。
最后,BCRs中的證明要求有助于完善企業(yè)的記錄反饋機制。GDPR給世界范圍內(nèi)的企業(yè)提出了嚴格的合規(guī)要求,而記錄與反饋是應(yīng)對此要求必要的技術(shù)手段。BCRs便能較好的順應(yīng)此要求,促進企業(yè)合規(guī)工作的完滿完成。
點擊題目查看往期《GDPR重要制度詳解》:
《天衡研究 | GDPR重要重要制度詳解(一)》
《天衡研究 | GDPR重要重要制度詳解(二)——DPO那些事》
注:感謝實習(xí)生黃宇哲為這篇文章做的支持工作。