扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
文 | 中国信通院互联网法律研究中心高级研究员 刘耀华
2023年2月,国家互联网信息办公室公布了《个人信息出境标准合同办法》(以下称《办法》),明确了我国《个人信息保护法》第三十八条中规定的个人信息出境的路径之一,尤其为中小型企业跨境传输个人信息提供了很大便利。至此,随着《数据出境安全评估办法》《个人信息保护认证实施规则》《办法》相继公布出台,我国数据跨境流动三条重要路径的管理要求基本明确,数据跨境流动管理制度基本完善。
个人信息出境标准合同植根于欧盟,对我国来说尚属新生事物,此前国内并无成熟经验可以借鉴。但在欧盟,标准合同条款是从《1995年个人数据保护指令》时代就开始实施的数据跨境流动举措,且在《通用数据保护条例》(GDPR)实施后进一步得到了更新和完善,可以说是案例丰富、经验成熟。未来个人信息出境标准合同的具体适用可能会面临多个不同场景,问题和挑战也会在《办法》正式实施之后不断显现。我们将如何做好应对准备,以最高效率解决实践中的复杂问题?无独有偶,欧盟数据保护委员会EDPB在2023年2月也针对其标准合同的具体适用与GDPR的适用范围之间的关系通过了非常详尽的指南(以下称指南),其中列举了多个典型、多见的案例场景,值得我们好好研究借鉴。本文具体内容将就EDPB的指南进行总结提炼,以为相关各界提供参考。
指南中主要涉及到GDPR的第三条和第五章条款:
第三条 地域管辖范围
1.本条例适用于营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,而不论该处理行为是否发生在欧盟境内。
2.当数据处理活动涉及以下情形时,本条例适用于非设立于欧盟境内的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理行为:
(a)为欧盟境内的数据主体提供货物或服务,而不论数据主体是否被要求付费;
(b)对数据主体在欧盟境内的行为进行监控。
3.本条例适用于非设立于欧盟境内但根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为。
第五章 向第三国或国际组织转移个人数据
除了“充分性保护认定”之外,第四十六条还明确了可以跨境转移欧盟个人数据的其他文书总类,包括:标准合同条款(SCC)、具有约束力的公司规则(BCR)、行为准则、认证机制、临时合同条款、国际协定/行政安排。
根据GDPR和指南的相关规定,第五章中所指的“转移”主要包含三个标准:控制者或处理者(数据传出方)的数据处理活动受GDPR的约束;数据传出方通过传输披露或以其他方式使处理的个人数据可供另一数据控制者、联合控制者或数据处理者(数据接收方)适用;数据接收方位于第三国或属于国际组织,无论其是否因GDPR第三条而受GDPR约束。
对于这一标准,需要强调的是,未在欧盟设立的数据控制者和处理者可能会根据GDPR第三条第二款而受GDPR管辖,因此,在将个人数据传输到同一或者其他第三国或国际组织的数据控制者或处理者时,其所应当遵守的义务与在欧盟设立的并没有区别。同时,GDPR也适用于欧盟成员国驻欧盟以外的大使馆和领事馆进行的个人数据处理。
第一,GDPR中所指的控制者、处理者等概念均属于功能概念,具体义务责任的承担应当考虑各方在现实中的实际角色,因此在具体案例中需要对涉及的处理过程和相关参与方的角色进行个案分析。也就是说,在具体案例中,本来的处理者不一定就是处理者,有可能会被认为属于控制者(见案例)
案例1:第三国控制者直接从欧盟数据主体收集数据
居住在意大利的Maria通过在线服装网站上的表格填写她的名字、姓氏和邮政地址,以完成她的订单并收到她在罗马住所在线购买的衣服。该在线服装网站由在欧盟没有业务但专门针对欧盟市场的第三国公司运营。在这种情况下,数据主体(Maria)将她的个人数据传递给第三国公司。这不构成个人数据的跨境传输,因为数据不是由数据传出方传递的,而是根据 GDPR 第 3(2) 条由控制者直接从数据主体收集的。因此,第五章不适用于本案。但是,根据GDPR第三条第二款,第三国公司属于 GDPR管辖范围,应当履行GDPR的义务。
案例3:第三国的控制者直接从欧盟的数据主体接收数据并使用欧盟以外的处理者进行某些处理活动
住在意大利的Maria决定使用酒店网站上的表格在纽约的一家酒店预定房间。个人数据由酒店直接收集,这一酒店并不针对(或监控)EEA内的个人。在这种情况下,因为数据是由数据主体直接传递并由控制者直接收集,因此没有发生个人数据的跨境转移。
案例5:欧盟的控制者将数据发送到第三国的处理者
在奥地利成立的 X 公司作为控制者,将其员工或客户的个人数据提供给第三国的Z公司,后者作为处理者代表X公司处理数据。在这种情况下,控制者受 GDPR 的约束,向第三国的处理者传输数据。因此,提供数据将被视为将个人数据跨境转移到第三国,适用 GDPR 第五章规定。
第三,GDPR第44条明确规定数据的跨境转移不仅可以由控制者进行,也可以由处理者进行。因此,将出现处理者将数据传输给另一个处理者或控制者的情形。在这些情形下,处理者根据控制者的要求传输数据,应当遵守第五章的规定,同时,控制者也有可能承担第五章规定的责任,并确保处理者根据第28条提供了充分的保证。
分析:本案例中需要注意的是,第五章跨境转移的要求保护的并非只有欧盟公民的个人数据,ABC虽然处理的是第三国个人的数据,但由于处理行为在欧盟进行,又由欧盟传输到第三国,也要适用第五章的规定。
案例7:欧盟的处理者将数据发送到第三国的子处理者
成立于德国的A公司作为控制者,委托法国公司B作为处理者。B希望进一步将其代表 A 执行的部分处理活动委托给第三国的公司子处理者 C,从而将数据发送给C。A及其处理者 B 进行的处理是在其在欧盟的范围内进行的,受GDPR的约束,而 C的处理则发生在第三国。因此,将数据从处理者B 传递到子处理者 C 是向第三国的数据传输,适用GDPR 第五章。
分析:适用处理者将数据跨境转移给处理者的标准合同条款。
案例8:欧盟控制者的员工前往第三国出差
波兰公司 A 的员工乔治带着笔记本电脑前往第三国参加会议。在国外逗留期间,乔治打开电脑,远程访问公司数据库中的个人数据,以完成一份备忘录。从第三国携带笔记本电脑和远程访问个人数据不属于个人数据的传输,因为乔治不是另一个控制者,而是一名雇员,是控制者A 的组成部分。因此,数据传输是在同一个控制者A内进行的,乔治完成的处理活动由波兰公司执行。
第四,属于同一企业集团的实体可能有资格作为独立的控制者或处理者。因此,属于同一企业集团的实体之间的数据披露可能构成个人数据的传输。
案例9:欧盟的子公司(控制者)与其在第三国的母公司(处理者)共享数据。
爱尔兰X公司是第三国母公司Y的子公司,它向Y公司披露其员工的个人数据,由第三国母公司存储在中央人力资源数据库中。在这种情况下,爱尔兰公司X以其雇主的身份处理(并披露)数据,属于控制者,而母公司是处理者。根据第3(1)条的规定,X公司受 GDPR 的约束,而Y 公司位于第三国。因此,该披露符合 GDPR 第五章含义内的向第三国的转移。
分析:在此案例中需要注意的是,并非所有的母公司都是控制者,子公司都是处理者,正如指南中所说,判断是控制者还是处理者需要根据在案例中的职能确定。此案例中,具有决定个人数据收集、处理目的的是X公司,而Y公司只是对数据进行存储。
案例10:欧盟的处理者将数据发送回其在第三国的控制者
A公司是没有欧盟机构的控制者,但向欧盟市场提供商品和服务。法国公司B 代表公司A处理个人数据。B将数据重新传输给A。根据第3 条第 1 款,因为发生在欧盟成立的活动范围内,处理者 B 执行的处理受 GDPR 的处理者特定义务的约束。A执行的处理也包含在 GDPR 中,因为第 3(2) 条适用于A。但由于A在第三国,B向A披露数据视为向第三国转移,适用第五章。
案例12:欧盟的控制者使用受第三国立法约束的欧盟处理者
作为控制者的丹麦 X 公司委托在欧盟成立的Y公司作为处理者。Y公司是第三国母公司Z的子公司。Y公司仅在欧盟处理X 公司的数据,欧盟以外的任何人(包括母公司Z)都无法访问这些数据。此外,根据 X 公司与 Y 公司之间的合同,Y 公司只能根据X公司的书面指示处理个人数据。然而,Y公司受具有域外效力的第三国立法的约束,在这种情况下,意味着Y 公司可能会收到来自第三国当局的访问请求。由于 Y 公司不在第三国,控制者X 公司向处理者 Y 公司披露数据不构成 GDPR第五章的传输不适用。但如果Y公司收到来自第三国当局的访问请求,并遵守,则此类数据披露将被视为第五章下的跨境转移。根据 GDPR 第28 条,Y公司应被视为根据第 28(10)条进行处理的独立控制者。因此,数据传出方需要遵守第五章的要求。在这种情况下,控制者X公司应在聘用处理者之前评估这些情况。
分析:本案例的指向非常明显,目的在于更好地应对类似美国《云法》等第三国政府要求的不利影响。在此案例中,处理者Y公司既在欧盟成立,又属于处理者,但在应母公司所在第三国要求下,不仅需要满足第五章的规定,也将会被为独立的控制者承担更强化的数据保护责任。
小结:《个人信息出境标准合同办法》生效实施之后,将面临多样、复杂的适用场景,标准合同机制的成熟运转有待于进一步积累经验、解决问题。
(来源:信通院互联网法律研究中心)
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情