欧盟个人数据保护条例(GDPR)对个人数据保护确定了前所未有的保护高度。2020年12月7日,法国国家个人数据保护局由于网站cookie不符合个人数据保护的要求,分别对谷歌法国和亚马逊法国处以1亿欧元和3500万欧元罚款,再次证明了欧盟各国当局贯彻欧盟个人数据保护条例的力度。
1. 什么是欧盟个人数据保护条例下的“个人数据”?
欧盟个人数据保护条例条例下的个人数据采取了非常宽泛的定义。凡是直接或间接涉及到特定自然人、或者可识别身份的自然人的信息都是该条例所保护的个人数据,如姓名、识别码、定位信息、网上用户名,或其身体、精神、遗传、经济、文化或社会的一切特征因素。
首先,无论数据的处理实际上是否在欧盟境内进行,在欧盟境内设有商业机构的数据处理责任者或其分包商都需要遵守个人数据保护条例。这意味着,如果中国企业在欧盟设有分支机构,无论个人数据是由其欧盟分支机构自己处理,还是转移给欧盟外的分包商,中国企业的欧盟分支机构都受欧盟个人数据保护条例管辖。
其次,只要处理的个人数据是在向欧盟境内的个人提供商品或服务、或对其行为进行追踪时产生的,即使数据处理责任者或其分包商在欧盟境内没有商业机构,也受该条例管辖。例如,一家位于中国的企业通过其网站向欧盟境内的消费者出售商品,在购买过程中欧盟消费者提交了个人信息,那么该中国企业便有可能作为数据处理责任者,受欧盟个人数据保护条例的规制。
2020年7月16日,欧盟法院颁布了Schrem II案判决,判定美国的现行立法不能给转移到美国的欧盟个人数据提供均等水平的保护,从而推翻了欧盟与美国2016年达成的“隐私盾”数据传输协议,宣布该协议无效。自此,个人数据转移出欧盟的合规问题又一次充满了不确定性。爱尔兰数据保护主管机关更是要求Facebook暂停向美国传输用户个人数据。
作为对Schrem II案的回应,欧盟数据保护委员会于2020年11月10日颁布了两份关于数据跨境传输合法性的指导性意见(草案)。欧盟委员会也于2020年11月12日颁布了新的关于数据跨境传输的标准合同条款(草案)。指导性意见草案与标准合同条款参考的公众咨询分别于2020年12月21日和12月10日结束,预计将于2021年1月初颁布正式稿并实行。
欧盟数据保护委员会的2020/01号指导性意见(草案)针对个人数据转移到第三国的跨境传输,提出了详尽的六步判断法(见下图):
企业需要对所有向欧盟外传输的个人数据进行定位。同时,出于个人数据处理的最小化原则,向欧盟外传输的个人数据对于数据处理的目的而言应是必要的。
根据欧盟数据保护委员会的观点,欧盟个人数据无论传输到哪里,附着在该数据之上的保护水平应当维持不变。因此,如果欧盟委员会没有认定数据传输的目的地第三国具有与欧盟相当的数据保护水平,欧盟个人数据的跨境传输应当以欧盟个人数据保护条例第46条中的数据传输工具为基础。数据传输工具可以是行政当局有约束力的决定、企业自我约束规则、欧盟委员会颁布的标准合同条款、数据控制者与第三国分包商之间的合同协议等。
实践中最常用到的是欧盟委员会的标准合同条款或专门的合同协议。采用标准合同条款的好处是其合规性不需要再进行专门审查,但应注意必须整体采用,而不能对标准合同条款进行修改,否则需要申请当地数据主管机关的审查意见。
这一步主要是根据目的地第三国的立法和司法情况,评估采取的数据传输工具,如标准合同条款或专门的合同协议在实践中是否可以有效保证个人数据保护水平。对此,欧盟数据保护委员会的2020/02号意见给出了一系列标准,如第三国公权机关如果可以处理传输的数据,其处理是否符合比例性原则、第三国是否具有独立的数据保护机关、以及数据主体是否有救济渠道等。
如果第三国的立法和司法情况不能保证欧盟个人数据传输到该国后,仍享有与欧盟相同的保护水平,数据控制者应当采取必要的补充措施,如在技术上采取将数据分割传输、匿名传输的方法等,使得数据在单个目的地不可读。
(5)第五步:将选择的数据传输工具固定下来,如企业自我约束规则、标准合同条款或专门的协议。
数据控制者的责任原则决定了对个人数据跨境传输的合规评估不是一劳永逸的,而是需要定期进行重新评估。
英国脱欧的过渡期于2020年12月31日正式结束。2021年1月1日起,英国将成为相对于欧盟的第三国。在欧盟委员会作出认为英国具有与欧盟均等的个人数据保护水平的决定之前,英国将与其他第三国没有区别,欧盟内企业将个人数据传输到英国,也应满足欧盟个人数据保护条例的要求,按照上述欧盟数据保护委员会的方法进行合规评估。
作者:柴耀田,法国注册律师、法学博士,法国TGS France Avocats律师事务所,业务领域:欧盟个人数据保护合规、知识产权、商事合同。
来源:https://baijiahao.baidu.com/s?id=1688037450563674563&wfr=spider&for=pc