作者:金茂律师事务所 张弈 律师
根据挪威数据保护局(datatilsynet)官方网站 于2021年5月6日发布的通知,挪威Ferde AS公司在过去1至2年的期间内涉嫌违反欧盟《通用数据保护条例》(“GDPR”)规定的多项义务。其中,挪威数据保护局初步认定其在向中国的数据处理者 跨境传输个人数据时缺乏适用的法律依据,其认为该公司在2017年9月至2019年春季期间向该位于中国的数据处理者跨境转移个人数据,具体表现为该期间内位于中国的员工可以通过网络等方式访问获取相关车牌图像及与这些图像有关的信息,因而涉嫌违反GDPR第44条规定的跨境传输个人数据的一般性原则,并且该公司也不存在GDPR第49条规定的特殊情形下的克减(Derogations)。Ferde AS公司可以于2021年6月4日前就该通知向挪威数据保护局提出答辩意见,届时挪威数据保护局将就此作出最终决议。
一、与中国企业相关的个人数据跨境传输常见场景
这是一起自GDPR生效以来比较少见的涉及中国的跨境传输处罚决议,本文借此机会简单介绍下欧洲及中国有关数据跨境传输的基本法律框架。事实上,伴随着外国公司在中国的投资布局、中国企业出海的全球布局以及以云计算、大数据、移动互联网以及物联网等为背景的信息化浪潮的推动,涉及中国的个人数据跨境传输(包括企业将国内个人信息跨境传输至境外、以及境外企业将个人信息传输至中国境内)的场景非常频繁,试举几个简单的例子:
外商投资企业根据全球人事管理的统一要求,向境外母公司提供境内员工个人信息,或是中国企业海外子公司基于全球统一管理的理由向境内公司传输员工个人信息或是境内收集的客户数据信息;
中国企业作为境外公司数据处理商接收境外数据控制者企业向其传输的个人数据,或是外国客户委托中国企业向其提供商业服务的过程中涉及的个人数据传输;
位于中国境内的企业将其在境内经营过程中收集的个人信息外包给境外专业的数据处理者进行处理;
境外的司法或者执法机构出于反腐败调查、境外诉讼/执法等需要要求中国企业提供存储于中国境内的个人信息。
本起挪威数据保护局作出的初步处罚通知所涉及的就是以上第二类场景,中国境内的数据处理者接收境外数据控制者企业向其传输的个人数据。
二、GDPR对于个人数据跨境传输的相关规定
根据GDPR第44条至第49条的规定,个人数据的跨境转移需要满足GDPR规定的基本前置条件后方可进行,即:
1. 充分性认定:欧盟委员会已作出认定,认为相关的第三国……具有充足保护(adequate level of protection) ;或
2. 适当的保障措施(appropriate safeguards):在缺乏欧盟委员会作出的充分性认定的情况下,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国。适当的保障措施具体包括:
(1) 公共机构或实体之间签订的具有法律约束力和可执行性的文件;
(2) 符合第47条的有约束力的公司规则(Binding Corporate Rules);
(3) 欧盟委员会制定或通过的数据保护标准合同条款(SCC条款);
(4) 根据第40条制定的行为准则(Codes of Conduct),以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;
(5) 根据第42条而被批准的验证机制(Certification),以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;或
3. 克减(Derogations):如果不存在上述情况,只有满足如下情形之一才能进行:数据主体明确同意预期的数据转移;转移对于履行数据主体与控制者之间的合同是必要的;实现数据主体的必要利益、必要的公共利益;为了确立、行使或辩护法律性主张所必须的;转移是根据欧盟法或成员国法律为了向具有一般性公众或个人提供咨询的登记册而进行的;或是非重复性的、关乎很小一部分数据主体、对于实现控制者压倒性的正当利益是必要的转移。
考虑到目前为止仅有少数国家获得了欧盟委员会出具的充分性认定,并且克减情形只能在特定情形下使用、并非常规化数据跨境传输的合法依据,一般而言,为数据主体提供适当的保障措施对于绝大多数企业来说是相对切实可行的选择,尤其是有约束力的公司规则等机制适用成本较高,大多数企业会倾向于使用欧盟委员会制定或通过的数据保护标准合同条款作为常见的个人数据跨境传输方案。
欧盟委员会于2020年11月12日发布了新版数据跨境传输标准合同条款的草案。值得一提的是,欧盟法院(“CJEU”)于2020年7月16日作出了著名的Schrems II案判决,认定美国与欧盟之间的跨境数据转移机制“隐私盾(Privacy Shield)”无效 ,并强调了SCC条款的有效性取决于数据跨境传输在目的地国家的合法合规性。实践中,欧洲企业与中国企业在使用SCC条款进行个人数据跨境传输时可能会比此前更加关注中国政府部门是否有相应的法律程序能够在跨境传输中获取个人数据。
三、GDPR对于中国企业的影响
GDPR自2018年5月25日正式生效至今,除了在欧洲国家有稳定业务、国际合规意识较高的中国企业,直至今日依然有大量中国企业对于GDPR的认知是非常浅层的。
根据GDPR第3.1条规定,该条例首先适用于在欧盟内部设立机构(Establishment)的数据控制者或处理者对个人数据的处理。欧盟法院在Weltimmo以及Google v. Spain等案件的裁决中将设立机构的概念扩大,只要通过稳定的安排(无需设立具有法人资格的子公司)进行了真实的、有效的活动,即使是很小的活动,也会被视为在欧盟设有机构从而适用GDPR,无论数据处理活动是否由该欧盟的机构进行,只要相关数据处理活动与该机构进行的业务密不可分。
并且,根据GDPR第3.2条及第3.3条规定,除了在欧盟内部设立的数据控制者或处理者企业,该条例对于以下未在欧盟设立的企业同样具备域外效力:
1. 企业为欧盟内的数据主体提供商品或服务(不论此项商品或服务是否要求数据主体支付对价)。实践中,是否使用该欧盟国家的语言、是否使用通用货币、该国数据主体是否可以直接下订单等都是是否属于该情形的相关判断因素;
2. 企业对发生在欧洲范围内的数据主体的活动进行监控;或
3. 基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
此外,即便GDPR不适用于某设立于欧盟之外、不符合上述适用条件的企业,但如该企业作为数据处理者、接受适用于GDPR的数据控制者企业为其进行数据处理(例如本文第一段中提及的中国企业),该数据控制者企业通过合同条款(例如SCC条款)等方式确保所传输的个人数据获得与GDPR项下同等的保护,例如:处理者不应未经授权聘用另一个处理者;合同应当明确约定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型;只有在收到控制者的书面指示时才可以处理个人数据等。因为数据控制者应当选择有充分保证的、可采取合适技术与组织措施的、其处理方式符合该条例要求并且保障数据主体权利的处理者。
四、中国个人数据跨境传输立法体系与动态简介
近年来,从《网络安全法》开始,中国立法机关以及相关主管部门对于个人数据的跨境传输这个问题也是非常重视,包括中国国家互联网信息办公室(“国家网信办”)先后于2017年发布《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019年发布《个人信息出境安全评估办法(征求意见稿)》,商务部也于2020年发布了《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出在条件相对较好的试点地区开展数据跨境传输安全管理试点。此外,在2020年11月15日在东亚合作领导人系列会议期间正式签署的《区域全面经济伙伴关系协定》(“RCEP”)中也提出了要求各缔约方不得出于商业原因阻止各方通过电子方式传输信息的行为。
2021年4月公布的《中华人民共和国个人信息保护法(草案二次审议稿)》在草案一审稿的基础上就个人数据跨境传输这个问题也进行了少许改动(改动部分以红色加粗下划线字体标注):
此外,同期公布的《数据安全法(草案二次审议稿)》中,在草案一审稿的基础上还新增了第三十条,重新强调了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定”,并且还进一步规定了“对其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,应由国家网信部门会同国务院有关部门制定”。
如前述草案审议稿、征求意见稿最终能够正式付诸实施,则之后中国对于境内运营中收集产生的数据出境的法律监管框架 可以简要概括如下:
五、结语
以上仅对欧洲及中国有关数据跨境传输的基本法律框架进行了简单的介绍与整理。可以看出无论是在欧盟、中国还是本文没有涉及的其他第三方国家,立法机关及主管部门对于包括个人数据跨境传输在内的个人数据保护制度越来越重视是全球范围内的大势所趋,尤其是从个人信息保护法(草案二审稿)等近期公布的文件来看,中国对于个人数据保护的保护标准、方式及力度与欧盟所采取的保护力度逐步靠拢,也印证了国家对于该领域的监管态度。从企业的角度来看,重视包括跨境传输在内的个人数据保护除了是法律合规的需要,也是进军国际市场、布局全球的核心竞争力之一,无疑是具有战略意义的。
有鉴于此,我们建议企业加强自身数据合规意识与保护力度,定制适合企业运营的数据保护合规制度,定期对公司员工进行数据保护合规的相关培训,关注数据保护领域内中国以及企业业务可能涉及的全球其他法域的相关立法动态,重视企业在中国以及其他法域(例如欧盟,如适用)的数据安全多重合规。必要的情况下,还可以邀请第三方外部专业机构对企业数据保护体系是否合规进行评估、并协助改进。