随着国企出海、大量在欧盟地区设立实体经营场所的中国企业或者无实体场所但涉及收集和处理欧盟公民和居民的企业(怎么样来判断是否受到GDPR约束是另一个重要话题,本篇暂不涉及),涉及数据跨境传输问题势必是个绕不开的难题,下面就GDPR已经为跨境传输安排的合规路径,进行逐一分析。
欧盟数据保护委员会(European Data Protection Board,简称EDPB)于2023年2月更新发布的2.0版本《关于域外使用和数据跨境流动条款适用问题的指南》确定的三个判定标准:
跨境数据流动的合规是风险管理重要一环,GDPR第五章跨境数据传输的条款旨在保障欧盟数据在欧盟境外受到“同等保护”,在以下三种情况下个人数据可以合法出境:
路径1:向欧盟认定具有同等保护水平的国家或地区转移——中国不在欧盟委员会充分性认定国家名单
根据GDPR第45条的规定,个人数据可以向欧盟认可的已经提供“足够的数据保护水平”的第三国或国际组织进行跨境转移而无需再获得任何批准。截至目前,欧盟委员会已认定安道尔、阿根廷、加拿大(仅适用于商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国具有同等保护水平,即个人数据能自由地从欧盟、欧盟经济区转移至该等国家而无需采取额外的保障措施,而中国并不在其中。因此,我们一定要认识到,建立在中国数据保护法体系下的合规安排,与GDPR体系下的合规安排之间,存在着保护水平的不一致。
路径2:向提供适当保障,确保充分数据保护的国家或地区转移——成本比较高、难度较大
在我国尚未通过充分性认定的背景下,GDPR第46条提供了几项机制,允许个人数据在满足特定条件的情况下,向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移。该等机制包括:(a)基于公共机构之间具有约束力和可执行力的协议进行跨境转移;(b)企业制定BCRs(binding corporate rules约束性公司条款),且该BCRs获得了数据保护机关的批准;(c)数据出口方与数据进口方签署了SCCs(Standard Contractual Clauses标准合同条款);(d)基于经批准的行为守则(code of conduct)进行转移;以及(e)基于经批准的认证机制进行转移。
SCCs和BCRs是全球化组织最常使用的数据跨境转移工具。特别是SCCs广泛地被使用在涉及欧盟/欧洲经济区的数据跨境转移场景中。BCRs由于一定要活得数据保护机关的批准才能够使用,因此目前仅有少量大型跨国企业采用了BCRs工具进行数据跨境转移。EDPB的网站列出了所有经批准的BCRs。通过行为守则作为数据跨境转移工具的情况也较为少见,我们注意到目前仅有德国、荷兰、西班牙的个别组织获批了行为守则。
约束性公司条款是跨国组织中较常使用的数据跨境转移工具,如果跨国组织内部制定了一套BCRs,且该BCRs获得了数据保护机关的批准,则该跨国集团将个人数据从位于欧洲经济区内的实体转移至位于欧洲经济区之外的关联实体是允许的。此处必须要格外注意的是:一是BCRs仅适用于关联企业之间的数据跨境转移,不适用于与第三方(例如服务提供商、客户、供应商等)之间的数据跨境转移,并且采用BCRs工具要求跨国企业一定在欧洲经济区内有实体。二是BCRs需要获得数据保护机关的批准,其实施成本比较高,因此目前仅有少量大型跨国企业采用了BCRs工具进行数据跨境转移并未被大量地使用。
SCCs广泛地被使用在涉及欧盟/欧洲经济区的数据跨境转移场景中,其目的是确保个人数据在转移至欧盟经济区以外的第三国/地区时,位于第三国/地区的数据接收方仍然可以通过合同义务的方式对数据主体的个人数据实行与欧盟同等水平的保护。最新版的SCCs分为控制者到控制者、控制者到处理者、处理者到控制者以及处理者到处理者四个版本,根据具体的数据跨境转移中数据出口方和数据进口方分属的角色不同而签署。
SCCs可以在集团内部各关联公司之间签署,且无需再次经数据保护机关批准,因此对于跨国组织来说是最为便利的选择。有必要注意一下的是,欧盟法院在2020年做出的一项案件判决中,确认了SCCs的合法性,但提出了仅依赖SCCs进行数据跨境转移是不足够的,采用SCCs的企业还一定要进行额外的尽职调查并采取适当的补充措施,以确保个人数据在转出欧洲经济区之外仍能受到欧盟实质同等的保护水平。
GDPR要求成员国、监督管理的机构、理事会和委员会鼓励制定行为准则,以促进GDPR的正确应用。若位于第三国/地区的数据接收方通过具有约束力和可执行的方式(通常以签署协议的方式),承诺其会遵守特定行为守则以保护其接收到的来自欧洲经济区的个人数据,且该行为守则是经批准通过的,则该数据跨境转移是在GDPR下允许的。此处必须要格外注意,有约束力和可执行性是需要基于欧盟法律来判定,并且数据主体能够最终靠第三方受益权(third-party beneficiaries)执行该协议,因此协议应当适用认可第三方受益权的法律作为管辖法。中国的法律不认可第三方受益权,故此条路径对于国内企业来说并不合适。
若上述两种数据跨境转移机制均无法达成,GDPR还规定了一些例外情形也可当作数据跨境转移的途径。包括:
1)数据主体明确同意将其个人数据转移至欧洲经济区以外的地方,且前提是数据转移可能会产生的潜在风险已经如实告知数据主体;
2)数据跨境转移是为了履行数据主体作为一方的合同义务所必须,或者合同虽不是数据主体为一方签署,但是该合同是代表数据主体利益签署的;
3)数据跨境转移是为了基于保护公共利益的重要理由;数据跨境转移是为了建立、行使或抗辩法律主张;数据跨境转移是为保护数据主体的重大利益;以及跨境传送公共注册登记机构的部分数据。
然而,上述豁免情形的适用条件非常有限,通常只适用于一次性的转让,不能用于重复的连续性的转让行为。
综上不难看出,虽然GDPR为第三国/地区的“欧盟跨境数据传输”提供了路径安排,但对于中国企业而言,要真正依法合规地践行上述路径可谓困难重重。最有可能路径即标准合同,但要达到GDPR要求的明确数据处理范围、设置安全性条款、约定审计方式、限制特定数据出境、明确处理者处理数据规则,约定删除、销毁或归还数据条款等,并进行额外的尽职调查采取补充措施等等要求,难度依然颇高。