网上药店
您现在的位置: 圣赫利尔 >> 圣赫利尔发展 >> 正文 >> 正文

学术GDPR与我国企业跨境传输个人信

来源:圣赫利尔 时间:2021/3/31

前 言

《通用数据保护条例》(GDPR)生效后,其长臂管辖规则使得围绕用户信息构建商业模式的互联网企业在开拓欧洲市场时受到GDPR的规制,存在潜在合规风险,而跨境传输个人信息就是其中无法回避的合规问题。

如,我国一家短视频企业在法国设立子公司,该子公司负责在多个欧盟成员国推广该企业的欧洲版短视频软件,为深度开发欧洲市场,该视频企业需要子公司将收集欧盟用户数据传输回大陆进行深度数据分析和挖掘。

那么,这家短视频企业与子公司通过什么方式传输个人信息才符合GDPR的规定?GDPR对个人信息跨境传输有何规制?本文将结合GDPR相关规定和实际场景对上述问题进行探讨。

一、GDPR对个人信息跨境传输的规制

首先,GDPR的实施是欧盟构建统一自由流动数字市场理念的体现。欧盟境内个人信息可自由流动不受特别监管,所以该跨境不是指在欧盟成员国内的跨境,而是指向欧盟以外的国家或国际组织传输个人信息。

当然跨境传输是属于GDPR所保护的个人信息,非个人信息不受管制(欧盟使用个人数据概念,我国使用个人信息概念;由于两个概念内涵基本相同,故本文同时使用两个概念,不作区分),不受GDPR保护的个人信息,即便从欧盟境内传输也不受GDPR限制。比如,我国某公司通过App收集国内用户运动、睡眠、心率等个人数据为用户提供健康指标监测服务,该公司将在我国收集的用户数据传输至其欧盟一家数据处理中心处理,数据处理后同步传输回国内公司,该公司传输的是我国公民的个人信息,不受GDPR规制,但我国公民到欧洲旅游期间产生的个人信息可能受到GDPR规制,本文不具体展开。其次,GDPR规制的是向第三国或国际组织传输个人信息,不限制第三国或国际组织向欧盟传输个人信息,GDPR管制是单向的,即只限制出境,不限制入境。本文讨论的跨境传输即指欧盟保护的个人信息从欧盟出境传输至欧盟境外的第三国或国际组织。最后,个人信息在欧盟“出境”中的“出境”并非简单的地理意义上的跨越国境,需要结合GDPR规制的个人信息“处理”概念来具体认定。GDPR第4条1款的“处理”是指对个人信息进行的任何操作,无论是否通过自动化手段进行,如收集、记录、组织、建构、存储、修改,恢复、查询、使用、传播、分发或被他人获得、排列、组合、限制、清除、销毁等。因此,个人信息短时间流经第三国但没有进行以上实质处理操作。例如在欧盟收集的个人信息在上传欧盟境内的服务器时,可以短时间同步在我国服务器(但不进行本地存储),不是GDPR规制的个人信息跨境传输,但若后续在我国境内涉及个人信息处理,则受到GDPR的限制。同时“处理”还需要结合GDPR第2条1款的规定来认定,因为GDPR规制的以自动化方式包括全部或部分通过自动化手段进行的个人信息处理及非自动化手段进行的、构成或旨在构成归档系统方式处理个人信息的行为。因此,家庭、朋友之间进行简单的个人信息交换,以及线下不以建立档案系统为目的的个人信息处理不受GDPR规制。如某欧盟公民与在我国的某朋友电话聊天中涉及个人信息的交换,并非自动化方式,也不属于GDPR规制的“处理”,但若其目的是后续将该欧盟公民的个人信息输入电脑进行处理,则可能被认定为GPPR限制的出境。综上,个人信息跨境传输主要针对受GDPR保护的个人信息。个人信息跨境传输,不能仅从技术角度看跨境传输,而应结合传输的目的是否属于GDPR规制的“自动化”和“处理”的个人信息;且跨境应从欧盟司法管辖区向非欧盟司法管辖区传输,向国际公海的欧盟成员国籍船舶、航空器、欧盟成员国驻外使馆、领馆,不构成跨境。二、从欧盟传输个人信息合规路径

GDPR第5章“向第三国或国际组织传输个人信息”中规定了几种可以进行跨境传输个人信息的情形,企业向欧盟境外国家或国际组织传输个人信息需满足其一才是合法的。从GDPR规定看,这几种方式存在适用上的梯度,在监管上,只有不满足前一种方式才适用后一种方式,相应合规成本也逐渐增加。

为方便读者了解GDPR跨境传输个人信息的路径,笔者做了一张简要路径图,可以根据下图顺序依次检索相应路径:需要注意,虽然存在梯度,但即便有前一种方式可供使用,企业也可选择其他方式。下面对路径进行逐一分析:1.接收地为欧盟认定达到充分保护水平的国家或国际组织根据GDPR第45条规定,如果接收数据的第三国或国际组织通过了欧盟委员会的充分性认定,可以自由传输个人信息,无需任何特别授权(指无需监管部门做特殊预先允许或批准、审批、评估等)。但GDPR规定企业最初收集数据时须告知数据主体可能将数据转移到第三国或国际组织的事实及数据接收地是否为欧盟委员会作出或未作出充分决定等情况。目前通过欧盟充分性认定的国家和地区(白名单)包括:安道尔、阿根廷、法罗群岛(丹麦属地)、根西岛(英国属地)、以色列、马恩岛(英国属地)、泽西岛(英国属地)、瑞士、新西兰、乌拉圭、美国(符合隐私盾要求的企业)、加拿大(符合个人信息保护和电子文件法范围的私营实体)和日本,我国目前并不在其中。故该法国子公司需要寻求GDPR规定的其他路径。2.采取了适当的安全保障措施GDPR第46条规定,缺乏充分性认定情况下,在保障数据主体可行使权利和获得司法救济情况下,企业可以采取下述适当安全保障措施向欧盟境外国家或国际组织传输个人信息,包括以下几种方式:(1)有约束力的企业规则(bindingcorporaterules,简称“BCRs”)。GDPR第47条的规定,BCRs通常由大型跨国公司和关联企业集团(具体指“从事联合经济活动的企业团体”)、包括经济联盟实体、特许经营组织以及共同从事经济活动的商业伙伴起草,并经有权监管机构批准。监管机构一般是欧盟当地数据控制者或处理者所在国的数据保护监管机构,也可以是欧盟数据保护委员会(简称“EDPB”)。BCRs经批准后,企业集团内部按照BCRs,可向其欧盟境外关联企业进行数据传输,而无需再特别授权。BCRs是跨国企业集团主要采用的数据传输机制,BCRs中应确保所有集团成员同意接受数据保护机构的审计,并遵守数据保护机构的建议。同时,实施时企业应确保集团内的成员企业及其员工和分包商共同遵守,在其他非欧盟企业违反BCRs时必须指定欧盟境内的一个集团成员承担集团内的责任等。由于BCRs要求严格,目前仅宝马汽车、通用电气、惠普、西门子电子等家跨国企业获得欧盟批准的BCRs。(2)数据保护标准条款,GDPR第46条2款c、d项规定,数据保护标准条款可由各国监管机构制定并提交欧盟委员会进行审查通过之后颁布。实践中,数据保护标准条款由国际商会领导的企业协会联盟与EDPB(GDPR生效前为第29条款工作组,WP29)对条款进行了磋商后,提交欧盟委员会通过颁布,企业可以直接采用。在GDPR实施前,根据年《数据保护指令》(95指令),欧盟已经颁布了三个版本的标准合同条款(SCC),具体为:“从数据控制者到非欧盟控制者”的标准合同文本(Decision//EC、Decision//EC),以及“从数据控制者到非欧盟数据处理者”的标准合同文本(Decision/87/EU)。从GDPR颁布和生效至今,EDPB暂时没有根据GDPR第46条2款c、d项制定新的“数据保护标准条款”,EDPB前身WP29制定的这三套标准条款仍可使用,可从欧盟

转载请注明:http://www.luonaerduoer.com/shlefz/5899.html