Loading
2018-09-29 16:16:05
引言:
經濟全球化的趨勢下,新技術的迅猛發展及其帶來的資源整合需要正在改變企業的運營方式。在不同地點處理、交換、儲存數據已經成為了一種便利且具有成本效益的商業選擇。然而,進行跨境傳輸的數據具有明顯的規模性與連續性特征,相應的數據保護法律風險也是不容忽視的。
GDPR第五章針對此問題做出了專門規定,并針對不同的情況為企業、機構及其他組織提供了多樣化的合規路徑。
一、官方認可——充分保障“白名單”與政府協議
一般而言,GDPR對數據跨境傳輸的限制主要針對歐盟外國家(英國脫歐后將面臨此問題),而對內部的數據傳輸并未提出特別的限制。整體上看,GDPR以特定國家、地區、國際組織是否對個人數據提供了“充分保護”為標準,通過對宏觀法治現狀、所參加的數據保護相關的國際條約或所做出的國際承諾、相關獨立監管機構設立情況等因素,對上訴主體進行評估,并將滿足條件的主體予以公示。對于此類主體,相關的數據傳輸則不需要特別的授權。可惜的是,我國并未在提供充分保護的“白名單”之內。
另一種“官方”處理模式是由特定的國家、地區直接與歐盟相關機構進行磋商并訂立具有法律約束力與可執行性的隱私保護協議,最為典型的便是歐盟-美國隱私盾協議(The EU-US Privacy Shield),此協議由政府直接達成合意,直接為跨大西洋數據傳輸建立起了合法框架。與之相對,我國政府與歐盟之間亦不存在類似的官方協議。因此對于我國的企業、機構來說,完成跨境傳輸過程中的數據合規工作只能“自力更生”,具體表現為下列措施。
二、范本指引——標準合同條款
高效合法的數據傳輸離不開一份全面而可執行的傳輸協議。為保障傳輸協議實現“足夠的保護水平”,歐盟委員會(European Commission)提供了兩種類型的合規范本---標準合同條款(Standard Contractual Clauses簡稱SCC)。根據傳輸主體類型的不同分為C2C(Controller to Controller即數據控制者之間)與C2P(Controller to Processors即控制者與處理者之間)兩份文本。
在具體適用中,傳輸主體可確認的協議內容不局限于其選用的范本內容,在不與文本內容矛盾的情況下,傳輸主體可以增加其他條款,或將范本條款附于內容更寬泛的合同之中,歐盟委員會對此也持鼓勵態度。
同時,標準合同范本的采用并不代表著傳輸主體就能在處理合規問題上“一勞永逸”,SCC的文本內容并未完全覆蓋GDPR的要求,例如GDPR第28(3)(f)對處理者協助義務的規定便未在SCC中體現。因而,對于SCC既不可完全忽視,亦不可盲目崇拜。
三、內部準則——約束性公司規則
約束性公司規則(Binding Corporate Rules簡稱BCRs)是在跨境數據傳輸情形下為適用數據保護國際政策而在一組企業或國際機構間適用進行規定的一種內部公司規則。由于BCRs對我國企業數據合規的重要指導意義,筆者將對此進行詳細的介紹。
(1)BCRS的特征
與“白名單”所帶來的廣泛性自由傳輸不同的,BCRs是一種內部的數據傳輸規則,即只有在特定的企業集團、國際組織范圍內是自由、安全的。同時,有效的BCRs建立在有權機關的批準基礎上,歐盟委員會以及各成員國的數據保護機構會將已授權BCRs的企業進行公示,花旗銀行、GE、愛馬仕等跨國公司都在此公示名單上。
(2)BCRS的要求
BCRs具有使數據跨境傳輸合法化的功能,同時GDPR對BCRs施加了較為嚴格的要求,在實體上體現在:
①BCRs必須具有法律約束力與可執行性,其對企業集團以及每個成員都得到有效適用;
②整體上看,應當明確要求主體采取了足夠安全措施,保障數據主體處理個人數據權利的執行;
③在具體內容上看,BCRs必須包括:
同時,BCRs必須遵循以下程序:
①選定主管部門,該主管部門必須是與其他歐洲數據保護機構DPAS合作處理的機構;
②起草BCRs,并提交主管部門審核。后者對文件內容提出建議以確保文件符合WP153(工作組第153號,內容見下圖)文件規定的要求;
③主管部門將確認后的BCRS發給相關的DPA啟動合作程序(具體的DPA由集團總部所在地/大多數決策地等因素決定);
④在相互承認的國家收到BCRS后,歐盟合作程序終止。若主管當局認為所提交的BCRS符合要求,則相應DPA接受此意見并為其提供本國許可(或授權的充分證據),或為提供授權的機構提供建議。
(WP153部分截圖)
(3)BCRs的優勢
歐盟委員會十分鼓勵跨國集團采用BCRs的方式完成合規要求。在我國的特定環境下,BCRs的適用將為國內企業帶來極大的機遇。
首先,BCRs本身的內容就與GDPR的規制要求存在一定的重合性,對BCRs規則的確認,可以間接為集團內部的數據合規提供框架指導,有助于企業對自身合規系統的完整,提升內部的數據保護意識。
其次,與SCC不同的,企業集團在訂立有效BCRs后便可較為高效地進行內部的數據傳輸,而不是再根據特定活動單獨地訂立傳輸協議,從而減輕數據跨境傳輸的管理壓力。這對企業效率的改善,尤其是對于結構復雜的跨國公司而言將顯得尤為重要。
最后,BCRs中的證明要求有助于完善企業的記錄反饋機制。GDPR給世界范圍內的企業提出了嚴格的合規要求,而記錄與反饋是應對此要求必要的技術手段。BCRs便能較好的順應此要求,促進企業合規工作的完滿完成。
點擊題目查看往期《GDPR重要制度詳解》:
《天衡研究 | GDPR重要重要制度詳解(一)》
《天衡研究 | GDPR重要重要制度詳解(二)——DPO那些事》
注:感謝實習生黃宇哲為這篇文章做的支持工作。