Loading
2018-09-29 16:16:05
引言:
经济全球化的趋势下,新技术的迅猛发展及其带来的资源整合需要正在改变企业的运营方式。在不同地点处理、交换、储存数据已经成为了一种便利且具有成本效益的商业选择。然而,进行跨境传输的数据具有明显的规模性与连续性特征,相应的数据保护法律风险也是不容忽视的。
GDPR第五章针对此问题做出了专门规定,并针对不同的情况为企业、机构及其他组织提供了多样化的合规路径。
一、官方认可——充分保障“白名单”与政府协议
一般而言,GDPR对数据跨境传输的限制主要针对欧盟外国家(英国脱欧后将面临此问题),而对内部的数据传输并未提出特别的限制。整体上看,GDPR以特定国家、地区、国际组织是否对个人数据提供了“充分保护”为标准,通过对宏观法治现状、所参加的数据保护相关的国际条约或所做出的国际承诺、相关独立监管机构设立情况等因素,对上诉主体进行评估,并将满足条件的主体予以公示。对于此类主体,相关的数据传输则不需要特别的授权。可惜的是,我国并未在提供充分保护的“白名单”之内。
另一种“官方”处理模式是由特定的国家、地区直接与欧盟相关机构进行磋商并订立具有法律约束力与可执行性的隐私保护协议,最为典型的便是欧盟-美国隐私盾协议(The EU-US Privacy Shield),此协议由政府直接达成合意,直接为跨大西洋数据传输建立起了合法框架。与之相对,我国政府与欧盟之间亦不存在类似的官方协议。因此对于我国的企业、机构来说,完成跨境传输过程中的数据合规工作只能“自力更生”,具体表现为下列措施。
二、范本指引——标准合同条款
高效合法的数据传输离不开一份全面而可执行的传输协议。为保障传输协议实现“足够的保护水平”,欧盟委员会(European Commission)提供了两种类型的合规范本---标准合同条款(Standard Contractual Clauses简称SCC)。根据传输主体类型的不同分为C2C(Controller to Controller即数据控制者之间)与C2P(Controller to Processors即控制者与处理者之间)两份文本。
在具体适用中,传输主体可确认的协议内容不局限于其选用的范本内容,在不与文本内容矛盾的情况下,传输主体可以增加其他条款,或将范本条款附于内容更宽泛的合同之中,欧盟委员会对此也持鼓励态度。
同时,标准合同范本的采用并不代表着传输主体就能在处理合规问题上“一劳永逸”,SCC的文本内容并未完全覆盖GDPR的要求,例如GDPR第28(3)(f)对处理者协助义务的规定便未在SCC中体现。因而,对于SCC既不可完全忽视,亦不可盲目崇拜。
三、内部准则——约束性公司规则
约束性公司规则(Binding Corporate Rules简称BCRs)是在跨境数据传输情形下为适用数据保护国际政策而在一组企业或国际机构间适用进行规定的一种内部公司规则。由于BCRs对我国企业数据合规的重要指导意义,笔者将对此进行详细的介绍。
(1)BCRS的特征
与“白名单”所带来的广泛性自由传输不同的,BCRs是一种内部的数据传输规则,即只有在特定的企业集团、国际组织范围内是自由、安全的。同时,有效的BCRs建立在有权机关的批准基础上,欧盟委员会以及各成员国的数据保护机构会将已授权BCRs的企业进行公示,花旗银行、GE、爱马仕等跨国公司都在此公示名单上。
(2)BCRS的要求
BCRs具有使数据跨境传输合法化的功能,同时GDPR对BCRs施加了较为严格的要求,在实体上体现在:
①BCRs必须具有法律约束力与可执行性,其对企业集团以及每个成员都得到有效适用;
②整体上看,应当明确要求主体采取了足够安全措施,保障数据主体处理个人数据权利的执行;
③在具体内容上看,BCRs必须包括:
同时,BCRs必须遵循以下程序:
①选定主管部门,该主管部门必须是与其他欧洲数据保护机构DPAS合作处理的机构;
②起草BCRs,并提交主管部门审核。后者对文件内容提出建议以确保文件符合WP153(工作组第153号,内容见下图)文件规定的要求;
③主管部门将确认后的BCRS发给相关的DPA启动合作程序(具体的DPA由集团总部所在地/大多数决策地等因素决定);
④在相互承认的国家收到BCRS后,欧盟合作程序终止。若主管当局认为所提交的BCRS符合要求,则相应DPA接受此意见并为其提供本国许可(或授权的充分证据),或为提供授权的机构提供建议。
(WP153部分截图)
(3)BCRs的优势
欧盟委员会十分鼓励跨国集团采用BCRs的方式完成合规要求。在我国的特定环境下,BCRs的适用将为国内企业带来极大的机遇。
首先,BCRs本身的内容就与GDPR的规制要求存在一定的重合性,对BCRs规则的确认,可以间接为集团内部的数据合规提供框架指导,有助于企业对自身合规系统的完整,提升内部的数据保护意识。
其次,与SCC不同的,企业集团在订立有效BCRs后便可较为高效地进行内部的数据传输,而不是再根据特定活动单独地订立传输协议,从而减轻数据跨境传输的管理压力。这对企业效率的改善,尤其是对于结构复杂的跨国公司而言将显得尤为重要。
最后,BCRs中的证明要求有助于完善企业的记录反馈机制。GDPR给世界范围内的企业提出了严格的合规要求,而记录与反馈是应对此要求必要的技术手段。BCRs便能较好的顺应此要求,促进企业合规工作的完满完成。
点击题目查看往期《GDPR重要制度详解》:
《天衡研究 | GDPR重要重要制度详解(一)》
《天衡研究 | GDPR重要重要制度详解(二)——DPO那些事》
注:感谢实习生黄宇哲为这篇文章做的支持工作。