版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
2024年7月22日,荷蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)(AutoriteitPersoonsgegevens,下稱“AP”)基于歐盟《一般數(shù)據(jù)保護(hù)條款》(下稱“GDPR”)的規(guī)定發(fā)布一項(xiàng)最終調(diào)查決定[1],該決定對(duì)某全球網(wǎng)約車服務(wù)運(yùn)營(yíng)商(下稱“U公司”)處以2.9億歐元罰款,原因在于U公司未能根據(jù)GDPR第五章有關(guān)個(gè)人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求向歐盟境外傳輸司機(jī)的個(gè)人數(shù)據(jù)。本次案件作為2024年期間就違規(guī)跨境傳輸個(gè)人數(shù)據(jù)活動(dòng)施加最高處罰力度的案件,自處罰決定發(fā)布之日起即引起了全球范圍內(nèi)的廣泛關(guān)注,同時(shí)也為各個(gè)司法轄區(qū)內(nèi)開(kāi)展數(shù)據(jù)跨境傳輸活動(dòng)的企業(yè)敲在此,本文擬從本案件所涉及的事實(shí)背景、核心爭(zhēng)議焦點(diǎn)說(shuō)開(kāi)去,以近距離觀察GDPR中有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求在實(shí)踐環(huán)境中的演繹與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法思路,并再度思考與展望中國(guó)有關(guān)數(shù)據(jù)跨境治理路徑的一、U公司違法開(kāi)展個(gè)人數(shù)據(jù)跨境傳輸活動(dòng)的基本事實(shí)與核心爭(zhēng)議點(diǎn)(一)U公司違法跨境傳輸司機(jī)個(gè)人數(shù)據(jù)的案件背景根據(jù)AP發(fā)布的關(guān)于處罰U公司的最終決定內(nèi)容,本次案件所涉及的詳細(xì)事實(shí)背景為:位于荷蘭的A公司于2021年8月6日至2023年11月27日期間,在既未簽署標(biāo)準(zhǔn)合同條款(StandardContractualClauses,下稱“SCC”)且尚未加入“歐盟-美國(guó)數(shù)據(jù)隱私框架(EU-USDataPrivacyFramework,下稱“DPF”)”的基礎(chǔ)上,向位于美國(guó)境內(nèi)B公司(A公司與B公司合稱為“U公司”)傳輸了來(lái)自歐盟境內(nèi)的司機(jī)的個(gè)人數(shù)據(jù),該等個(gè)人數(shù)據(jù)包括司機(jī)的賬戶信息、車輛執(zhí)照信息、位置數(shù)據(jù)、照片信息、支付信息、身份證件信息、犯罪記錄以及醫(yī)療數(shù)據(jù)身份信息等數(shù)據(jù),用于分析司機(jī)行為并給予經(jīng)濟(jì)激勵(lì)。AP認(rèn)為,A公司與B公司沒(méi)有根據(jù)GDPR第五章第44條、第46條與第49條的要求對(duì)個(gè)人數(shù)據(jù)跨境活動(dòng)采取適當(dāng)?shù)谋Wo(hù)措施的事實(shí)情況,已經(jīng)構(gòu)成對(duì)GDPR的違反情形,故根據(jù)GDPR第83條規(guī)定的罰金計(jì)算標(biāo)準(zhǔn)(違規(guī)企業(yè)上一財(cái)政年度全球年?duì)I業(yè)額總額4%)以及歐盟數(shù)據(jù)保護(hù)委員會(huì)(下稱“EDPB”)發(fā)布的第04/2022號(hào)《關(guān)于GDPR下行政罰款計(jì)算的指南V2.1》指南,AP最終決定對(duì)A公司與B公司處以2.9億歐元罰款。本案的起因最初來(lái)源于法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)(下稱“CNIL”)收到的、來(lái)自非政府組織代表的170余名U公司司機(jī)提出的投訴。但是,根據(jù)GDPR有關(guān)確定領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)(LeadSupervisoryAuthority)的規(guī)定以及歐盟“一站式監(jiān)管(On-Stop-Shop)”要求,由于A公司應(yīng)當(dāng)被視為U公司在歐盟境內(nèi)的中央管理機(jī)構(gòu)(CentralAdministration)與主要營(yíng)業(yè)機(jī)構(gòu)(MainEstablishment),故該案件被進(jìn)一步轉(zhuǎn)移至AP進(jìn)行調(diào)查,并由值得說(shuō)明的是,自2020年7月16日歐盟法院公布了其對(duì)數(shù)據(jù)保護(hù)專員訴臉書(shū)愛(ài)爾蘭有限公司MaximilianSchrems案(C-311/18)(SchremsII案)的判決后,“歐盟-美國(guó)隱私盾(theUSPrivacyShield)”則被宣布無(wú)效,而該隱私盾曾是保障個(gè)人數(shù)據(jù)自歐盟向美國(guó)公司進(jìn)行自由流動(dòng)的主要數(shù)據(jù)傳輸機(jī)制之一。因此,如果相關(guān)主體擬從歐盟向美國(guó)境內(nèi)跨境傳輸數(shù)據(jù),則必須以另辟蹊徑的方式采取足夠的額外措施以確保數(shù)據(jù)處于與GDPR同等的保護(hù)水平下。我們理解,目前可選的合規(guī)路徑主要包括由相關(guān)美國(guó)公司通過(guò)向美國(guó)商務(wù)部遞交申請(qǐng)而獲得DPF認(rèn)證,以及由數(shù)據(jù)出口方與數(shù)據(jù)進(jìn)口方簽署SCC。(二)案件核心爭(zhēng)議點(diǎn)介紹我們理解,本案在調(diào)查與審理的過(guò)程中,主要涉及三個(gè)爭(zhēng)議焦點(diǎn),分別圍繞GDPR第五章有關(guān)個(gè)人數(shù)據(jù)跨境傳輸合規(guī)要求的適用性、A公司與B公司之間是否存在受管制的數(shù)據(jù)跨境傳輸活動(dòng),以及U公司是否可以根據(jù)“履行合同所必須”而適用于GDPR第49條所規(guī)定的克減條款(DerogationsforSpecificSituations)。1.GDPR第五章有關(guān)跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)要求是否適用于U公司GDPR第三條規(guī)定了GDPR的適用范圍,簡(jiǎn)言之,在歐盟設(shè)立實(shí)體的數(shù)據(jù)控制者或處理者在開(kāi)展業(yè)務(wù)過(guò)程中所進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)(不論是否在歐盟境內(nèi)進(jìn)行),以及在歐盟境外開(kāi)展的、以向歐盟境內(nèi)個(gè)人提供商品、服務(wù)或監(jiān)控個(gè)人為目的的個(gè)人數(shù)據(jù)處理活動(dòng)均受到GDPR的管轄。此外,GDPR第五章則規(guī)定了自歐盟境內(nèi)向境外跨境傳輸個(gè)人數(shù)據(jù)所應(yīng)當(dāng)滿足的系列合規(guī)要求,包括但不限于僅能向充分性決定下的司法轄區(qū)傳輸數(shù)據(jù),或?yàn)閿?shù)據(jù)跨境傳輸活動(dòng)提供適當(dāng)?shù)谋Wo(hù)措施,如簽署歐盟委員會(huì)發(fā)布的SCC、制定有約束力的公司準(zhǔn)則(Binding首先,A公司與B公司在U公司APP的隱私政策中表明雙方為司機(jī)個(gè)人數(shù)據(jù)處理活動(dòng)在歐盟的共同控制者,位于美國(guó)境內(nèi)的B公司認(rèn)可自身將根據(jù)GDPR第三條的域外適用條款而直接受到GDPR的管轄,進(jìn)而應(yīng)當(dāng)履行GDPR所提出的個(gè)人數(shù)據(jù)保護(hù)義務(wù)。在此基礎(chǔ)上,U公司認(rèn)為,GDPR第五章所提出的有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)實(shí)際上應(yīng)當(dāng)只適用于那些無(wú)法根據(jù)GDPR第三條的規(guī)定而受到GDPR規(guī)制的數(shù)據(jù)處理活動(dòng),從而確保GDPR對(duì)個(gè)人數(shù)據(jù)所提供的保護(hù)不會(huì)因?yàn)橄嚓P(guān)數(shù)據(jù)被跨境傳輸至第三方國(guó)家而遭受減損。此外,U公司認(rèn)為,GDPR第三條與第五章同時(shí)適用的結(jié)論將導(dǎo)致歐盟違反其國(guó)際義務(wù),例如根據(jù)WTO協(xié)議,歐盟成員國(guó)不得對(duì)非歐洲實(shí)體施加比歐洲實(shí)體更為不利的待遇。因此,U公司認(rèn)為,由于GDPR第三條與GDPR第五章并不能同時(shí)適用,故U公司不應(yīng)當(dāng)承擔(dān)GDPR第五章下有關(guān)個(gè)人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)。對(duì)于U公司的上述論點(diǎn),AP并不認(rèn)同,原因在于:一方面,雖然GDPR的合規(guī)義務(wù)適用于所有落入GDPR第三條管轄范圍內(nèi)的個(gè)人數(shù)據(jù)處理活動(dòng),但是這仍不能保證實(shí)際發(fā)生在歐盟以外的數(shù)據(jù)處理活動(dòng)均可以在GDPR的保護(hù)水平下進(jìn)行。因此,GDPR第五章有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求正是旨在把GDPR對(duì)于個(gè)人數(shù)據(jù)的保護(hù)要求延伸至歐盟以外的第三國(guó),其應(yīng)當(dāng)被視為是GDPR第三條的補(bǔ)充而非重復(fù)性適用。另一方面,EDPB也認(rèn)為,關(guān)于GDPR的適用是指其全部條款的適用,包括關(guān)于數(shù)據(jù)跨境傳輸?shù)奶厥庖?。因此,U公司有關(guān)GDPR第三條與GDPR第五章并不能同時(shí)適用,U公司不應(yīng)當(dāng)承擔(dān)GDPR第五章下有關(guān)個(gè)人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)的觀點(diǎn)不能2.U公司是否存在跨境傳輸個(gè)人數(shù)據(jù)的活動(dòng)根據(jù)EDPB所發(fā)布的第05/2021號(hào)《關(guān)于GDPR第三條的適用與GDPR第五章關(guān)于國(guó)際傳輸?shù)囊?guī)定之間的相互作用》的指南,構(gòu)成個(gè)人數(shù)據(jù)跨境傳輸需要符合如下三個(gè)條件,簡(jiǎn)言之即:相關(guān)數(shù)據(jù)控制者或處理者作為數(shù)據(jù)出口方(DataExporter),需要受到GDPR的管轄;數(shù)據(jù)出口方通過(guò)傳輸或其他方式向其他控制者、共同控制者或處理者(數(shù)據(jù)進(jìn)口方,DataImporter)披露個(gè)人數(shù)據(jù),以供數(shù)據(jù)進(jìn)口方進(jìn)行使用;數(shù)據(jù)進(jìn)口方位于第三國(guó),無(wú)論該數(shù)據(jù)進(jìn)口方是否受到GDPR管轄。在本案中,根據(jù)上述EDPB有關(guān)個(gè)人數(shù)據(jù)跨境傳輸?shù)恼J(rèn)定標(biāo)準(zhǔn),U公司認(rèn)為,由于相關(guān)個(gè)人數(shù)據(jù)是由司機(jī)通過(guò)其個(gè)人的設(shè)備向位于美國(guó)的服務(wù)器直接提供,該數(shù)據(jù)流應(yīng)當(dāng)被視為是在自助環(huán)境(Self-serviceEnvironment)中進(jìn)行,中途不涉及A公司及其員工的任何干涉與影響,因此,A公司實(shí)際上沒(méi)有作為數(shù)據(jù)出口方向境外傳輸數(shù)據(jù),此外,A公司也不應(yīng)當(dāng)只因?yàn)樽鳛楣餐目刂普呒幢灰暈殚_(kāi)展了數(shù)據(jù)跨境傳輸活動(dòng)。但是,AP并不認(rèn)同U公司的上述觀點(diǎn),原因在于:一方面,在本次案件中,數(shù)據(jù)出口方的定義不能被進(jìn)行狹義化的(Restrictive)理解,否則將會(huì)導(dǎo)致從歐盟出境的司機(jī)個(gè)人數(shù)據(jù)無(wú)法得到充分的保護(hù),也無(wú)法貫徹GDPR有關(guān)對(duì)境外數(shù)據(jù)依然提供高水平保護(hù)的立法初衷。另一方面,就歐盟境內(nèi)司機(jī)向位于美國(guó)的服務(wù)器上傳其個(gè)人數(shù)據(jù)的行為而言,無(wú)論司機(jī)是在注冊(cè)或使用U公司APP的階段,這些個(gè)人數(shù)據(jù)提供的行為實(shí)際上都是基于與之締結(jié)合同的A公司的實(shí)質(zhì)性要求、通過(guò)已經(jīng)設(shè)定好相關(guān)功能的U公司APP進(jìn)行,對(duì)此,司機(jī)對(duì)于是否愿意提供以及提供何種個(gè)人數(shù)據(jù)而言并無(wú)任何自主權(quán),故司機(jī)并不能被視為是自身個(gè)人數(shù)據(jù)的控制者。在此基礎(chǔ)上,U公司應(yīng)當(dāng)對(duì)通過(guò)U公司APP所開(kāi)展的數(shù)據(jù)跨境傳輸活動(dòng)承擔(dān)責(zé)任,具體而言,在司機(jī)通過(guò)位于歐盟境內(nèi)的設(shè)備上的U公司APP向位于美國(guó)的服務(wù)器傳輸數(shù)據(jù)的過(guò)程中,A公司應(yīng)當(dāng)被視為是數(shù)據(jù)出口方,位于美國(guó)B公司則應(yīng)當(dāng)被視為是數(shù)據(jù)進(jìn)口方,而U公司APP本身也應(yīng)當(dāng)被視為本次數(shù)據(jù)跨境傳輸?shù)募夹g(shù)工具(TechnicalTool)。3.U公司是否可以基于“履行合同所必需”適用于數(shù)據(jù)跨境傳輸?shù)目藴p條款根據(jù)GDPR第49條的規(guī)定,在無(wú)法根據(jù)GDPR第45條所規(guī)定的充足保護(hù)決定或GDPR第46條所規(guī)定的適當(dāng)安全措施作為個(gè)人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)路徑時(shí),將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)可以GDPR第49條所提出的“履行合同所必需”作為豁免情形,具體是指:1)個(gè)人數(shù)據(jù)跨境傳輸活動(dòng)對(duì)于履行數(shù)據(jù)主體與控制者之間的合同,或者滿足數(shù)據(jù)主體在簽訂合同前所提出要求具有必要性;以及2)控制者和另一自然人或法人之間簽訂或履行合同時(shí),個(gè)人數(shù)據(jù)跨境傳輸對(duì)于實(shí)現(xiàn)數(shù)據(jù)主體的利益具有必要性兩種情形。基于上述規(guī)定,U公司認(rèn)為,即便A公司開(kāi)展了個(gè)人數(shù)據(jù)跨境傳輸活動(dòng),但一方面,該個(gè)人數(shù)據(jù)跨境傳輸活動(dòng)的目的實(shí)際上是為了履行與U公司司機(jī)所締結(jié)的協(xié)議,該協(xié)議約定了U公司必須履行向司機(jī)提供承運(yùn)訂單等合同義務(wù);另一方面,A公司與B公司實(shí)際上就雙方之間的數(shù)據(jù)共享活動(dòng)簽署了數(shù)據(jù)共享協(xié)議(DataSharingAgreement),該數(shù)據(jù)共享協(xié)議促進(jìn)了U公司對(duì)于司機(jī)個(gè)人數(shù)據(jù)以及個(gè)人數(shù)據(jù)權(quán)利的保護(hù),因此屬于為維護(hù)司機(jī)權(quán)益而締結(jié)的合同。因此,基于U公司與司機(jī)之間達(dá)成的協(xié)議以及數(shù)據(jù)共享協(xié)議,向境外跨境傳輸司機(jī)個(gè)人數(shù)據(jù)均應(yīng)當(dāng)被視為履行合同所必需。對(duì)于U公司的上述論據(jù),AP從更加客觀的角度提供了解構(gòu)的思路。AP認(rèn)為,“履行合同所必需”中的“必要性”應(yīng)當(dāng)被加以更加客觀(Objective)的考量,在此基礎(chǔ)上,“履行合同所必需”實(shí)際上并不等于有助于履行合同(ProcessingisUsefulfortheContract),亦不等同于僅存在事實(shí)上的合同約定。為了論證數(shù)據(jù)處理活動(dòng)對(duì)于履行合同而言具有必要性,控制者必須證明如果沒(méi)有相關(guān)的數(shù)據(jù)處理活動(dòng),則合同的核心目的即無(wú)法實(shí)現(xiàn)。因此,“履行合同所必需”的數(shù)據(jù)處理活動(dòng)需要與實(shí)現(xiàn)相關(guān)合同的本質(zhì)性目的直接相關(guān),例如,本處最典型的示例仍是旅行社基于為旅客預(yù)定境外酒店的約定而向境外傳輸個(gè)人數(shù)據(jù)的情形。因此,AP認(rèn)為,無(wú)論是基于U公司與司機(jī)之間的合同約定,還是為了履行A公司與B公司之間簽署的數(shù)據(jù)共享協(xié)議,前述理由都不足以支撐需要將司機(jī)的個(gè)人數(shù)據(jù)跨境傳輸至歐盟境外的必要性。值得說(shuō)明的是,AP在本次案件中說(shuō)明,為實(shí)現(xiàn)商業(yè)目的,相關(guān)商業(yè)集團(tuán)將個(gè)人數(shù)據(jù)集中在特定第三國(guó)進(jìn)行處理本身即欠缺一定必要性,我們理解,實(shí)踐中,該觀點(diǎn)可能會(huì)對(duì)大多數(shù)基于集團(tuán)統(tǒng)一管理而未開(kāi)展數(shù)據(jù)本地化部署的跨國(guó)公司帶來(lái)合規(guī)壓力。從上述案件事實(shí)與爭(zhēng)議焦點(diǎn)可以看出,本次案件中,歐盟數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)通過(guò)對(duì)GDPR第五章對(duì)歐盟境外企業(yè)的適用性、數(shù)據(jù)跨境傳輸活動(dòng)的認(rèn)定標(biāo)準(zhǔn)以及“履行合同所必需”如何作為數(shù)據(jù)跨境傳輸合規(guī)義務(wù)豁免前提這三個(gè)議題進(jìn)行討論,直觀地展現(xiàn)歐盟以個(gè)人數(shù)據(jù)權(quán)利保護(hù)為中心,強(qiáng)調(diào)與試圖擴(kuò)展GDPR的域外適用效力以營(yíng)造空間意義上的“同等保護(hù)水平”的執(zhí)法理念。該案件賦予了GDPR個(gè)人數(shù)據(jù)跨境傳輸合規(guī)機(jī)制更為明確的應(yīng)用標(biāo)準(zhǔn),具有為企業(yè)提供直觀數(shù)據(jù)跨境傳輸合規(guī)指南的價(jià)值。二、再觀中國(guó)數(shù)據(jù)出境治理機(jī)制的發(fā)展脈絡(luò)通過(guò)觀察本次U公司處罰案例,我們理解歐盟監(jiān)管機(jī)構(gòu)實(shí)際上是就U公司在2021年8月6日至2023年11月27日期間存在的一段“合規(guī)真空”狀態(tài)的數(shù)據(jù)出境活動(dòng)進(jìn)行了查處,從中窺見(jiàn)歐盟地區(qū)對(duì)于企業(yè)數(shù)據(jù)跨境進(jìn)一步加強(qiáng)監(jiān)管的態(tài)勢(shì)。這一方面可能預(yù)示著歐盟地區(qū)后續(xù)對(duì)于企業(yè)數(shù)據(jù)跨境監(jiān)管的執(zhí)法態(tài)度將更加強(qiáng)硬,另一方面也為各涉及出海業(yè)務(wù)的企業(yè)進(jìn)一步敲響了警鐘。從中國(guó)有關(guān)數(shù)據(jù)跨境傳輸?shù)膱?zhí)法現(xiàn)狀來(lái)看,盡管目前我們尚未通過(guò)公開(kāi)渠道了解到中國(guó)監(jiān)管部門對(duì)于存在與U公司類似“合規(guī)真空”情況的企業(yè)給予了處罰,但是,未來(lái)中國(guó)對(duì)于企業(yè)數(shù)據(jù)跨境合規(guī)的監(jiān)管將何去何從,是否也將效仿歐盟對(duì)于“合規(guī)真空”狀態(tài)下的數(shù)據(jù)跨境情況進(jìn)行追查,這也引發(fā)了我們的思考。從中國(guó)當(dāng)前的數(shù)據(jù)跨境治理規(guī)則框架來(lái)看,當(dāng)前中國(guó)對(duì)于數(shù)據(jù)跨境流動(dòng)的治理對(duì)比歐盟地區(qū)已呈現(xiàn)出一定差異,下文將進(jìn)一步梳理中國(guó)近年來(lái)對(duì)于數(shù)據(jù)跨境監(jiān)管規(guī)則的演變,并試圖從中總結(jié)未來(lái)中國(guó)數(shù)據(jù)跨境合規(guī)監(jiān)管(一)中國(guó)有關(guān)數(shù)據(jù)出境活動(dòng)的認(rèn)定標(biāo)準(zhǔn)與監(jiān)管要求概述自中國(guó)《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》生效以來(lái),中國(guó)對(duì)于數(shù)據(jù)跨境傳輸活動(dòng)的監(jiān)管要求逐漸趨向明確。根據(jù)中國(guó)當(dāng)前的法律法規(guī)要求,“數(shù)據(jù)出境”指的是數(shù)據(jù)處理者將在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外,或者數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出的兩種情形。值得注意的是,根據(jù)國(guó)家網(wǎng)信辦此前發(fā)布的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第二版)》,符合《個(gè)人信息保護(hù)法》第三條第二款[2]情形,在境外處理境內(nèi)自然人個(gè)人信息等的其他數(shù)據(jù)處理活動(dòng),也被納入為“數(shù)據(jù)出境行為”的范疇。因此,如涉及上述三種情形之一的中國(guó)企業(yè),則需按照《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息標(biāo)準(zhǔn)合同辦法》以及國(guó)家網(wǎng)信辦于2024年3月發(fā)布的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》(下稱“《數(shù)據(jù)跨境新規(guī)》”)履行相應(yīng)的合規(guī)義務(wù)。具體而言,如果涉及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)或個(gè)人信息,或者非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息達(dá)到一定規(guī)模的,則需要通過(guò)所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。如不涉及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、重要數(shù)據(jù)且向境外提供個(gè)人信息未達(dá)到一定規(guī)模的,則需與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或者通過(guò)個(gè)人信息保護(hù)認(rèn)證。根據(jù)《數(shù)據(jù)跨境新規(guī)》,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供10萬(wàn)人以上、不滿100萬(wàn)人個(gè)人信息(不含敏感個(gè)人信息)或者不滿1萬(wàn)人敏感個(gè)人信息的,應(yīng)當(dāng)依法與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或者通過(guò)個(gè)人信息保護(hù)認(rèn)證。根據(jù)我們的經(jīng)驗(yàn),實(shí)踐中大部分涉及數(shù)據(jù)跨境傳輸活動(dòng)的企業(yè)都涉及因達(dá)到上述閾值而需要履行個(gè)人信息出境標(biāo)準(zhǔn)合同備案義務(wù)。如上所述,從本次U公司處罰案例來(lái)看,A公司正是因?yàn)楸徽J(rèn)定為在一段“合規(guī)真空”期間內(nèi)、由于未與B公司簽署歐盟SCC的情況下向B公司跨境傳輸歐盟境內(nèi)司機(jī)的個(gè)人數(shù)據(jù)而被給予處罰。但就當(dāng)前中國(guó)境內(nèi)的執(zhí)法情況而言,經(jīng)公開(kāi)渠道檢索,我們理解目前尚未出現(xiàn)中國(guó)監(jiān)管部門就應(yīng)簽署中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同而未簽署的企業(yè)給予了相關(guān)行政處罰的案例。但隨著中國(guó)數(shù)據(jù)跨境監(jiān)管機(jī)制趨向成熟,未來(lái)中國(guó)監(jiān)管部門對(duì)于相關(guān)企業(yè)的數(shù)據(jù)跨境“合規(guī)真空”情況是否會(huì)做出處罰,目前仍不明朗。(二)以安全促發(fā)展:趨于精細(xì)化管理的中國(guó)數(shù)據(jù)跨境監(jiān)管機(jī)制通過(guò)觀察中國(guó)近年來(lái)的數(shù)據(jù)跨境管控機(jī)制發(fā)展脈絡(luò),我們可以發(fā)現(xiàn)當(dāng)前該機(jī)制已然趨向于追求數(shù)據(jù)安全與經(jīng)濟(jì)發(fā)展的動(dòng)態(tài)平衡。隨著《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》相繼出臺(tái)并生效,我國(guó)數(shù)據(jù)跨境制度的基本法律框架得以進(jìn)一步厘清。2022年7月,《數(shù)據(jù)出境安全評(píng)估辦法》正式頒布,明確了應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形,并進(jìn)一步明確了“自評(píng)估——申請(qǐng)?jiān)u估——重新申報(bào)評(píng)估”的評(píng)估流程框架。2023年2月,《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》正式出臺(tái),該辦法規(guī)定了個(gè)人信息出境標(biāo)準(zhǔn)合同的適用范圍、訂立條件和備案要求,明確了標(biāo)準(zhǔn)合同范本,為向境外提供個(gè)人信息提供了具體指引,也進(jìn)一步與《個(gè)人信息保護(hù)法》提出的個(gè)人信息保護(hù)影響評(píng)估義務(wù)呼應(yīng)。值得一提的是,與歐盟GDPR框架下的SCC條款類似,中國(guó)的個(gè)人信息出境標(biāo)準(zhǔn)合同制度也要求適用于該合規(guī)路徑的個(gè)人信息處理者按照標(biāo)準(zhǔn)合同條款與境外接收方訂立《個(gè)人信息出境標(biāo)準(zhǔn)合同》,明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。這些義務(wù)包括數(shù)據(jù)出境的目的、方式、范圍,境外接收方處理數(shù)據(jù)的用途、方式,數(shù)據(jù)在境外的保存地點(diǎn)、期限,以及在數(shù)據(jù)安全事件發(fā)生時(shí)的應(yīng)急處置要求等。不過(guò),中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同比照歐盟SCC仍有自己的特色,例如:我國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同并未就個(gè)人信息跨境場(chǎng)景下數(shù)據(jù)出境方與境外接收方所形成的數(shù)據(jù)處理法律關(guān)系做進(jìn)一步劃分,而是以統(tǒng)一將數(shù)據(jù)出境方歸納為“個(gè)人信息處理者”、數(shù)據(jù)進(jìn)口方定義為“境外接收方”的方式作為參與數(shù)據(jù)跨境傳輸活動(dòng)的基本角色,對(duì)締約雙方在個(gè)人信息跨境過(guò)程中所享有和承擔(dān)的權(quán)利義務(wù)進(jìn)行了一致性的規(guī)定。此外,我國(guó)網(wǎng)信部門對(duì)個(gè)人信息出境標(biāo)準(zhǔn)合同的備案更多被視為一種形式審查機(jī)制,其主要目的在于為監(jiān)管部門后期開(kāi)展數(shù)據(jù)跨境治理鋪墊基礎(chǔ)。但就當(dāng)前的監(jiān)管實(shí)踐來(lái)看,網(wǎng)信部門除形式審查外,還會(huì)對(duì)個(gè)人信息處理者就個(gè)人信息跨境活動(dòng)獲得個(gè)人主體的單獨(dú)同意情況進(jìn)行審查并給予相關(guān)指導(dǎo)。有關(guān)中歐個(gè)人信息出境標(biāo)準(zhǔn)合同的對(duì)比分析,讀者可進(jìn)一步參閱我們此前文章《映日荷花別樣紅——中歐個(gè)人信息出境標(biāo)準(zhǔn)合同(條款)對(duì)比分析》。結(jié)合上述兩部規(guī)章發(fā)布后的監(jiān)管落地實(shí)踐情況,以及基于“以安全促發(fā)展”的理念,經(jīng)過(guò)中國(guó)近年對(duì)數(shù)據(jù)出境安全監(jiān)管機(jī)制的探索,最新出臺(tái)的《數(shù)據(jù)跨境新規(guī)》也進(jìn)一步明確了數(shù)據(jù)出境安全評(píng)估及標(biāo)準(zhǔn)合同備案的若干豁免情形,以便讓符合豁免情形的數(shù)據(jù)處理者免予履行相關(guān)的申報(bào)義務(wù)。例如,若符合“1)為訂立、履行個(gè)人作為一方當(dāng)事人的合同,如跨境購(gòu)物、跨境寄遞、跨境匯款、跨境支付、跨境開(kāi)戶、機(jī)票酒店預(yù)訂、簽證辦理、考試服務(wù)等,確需向境外提供個(gè)人信息的;2)按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施跨境人力資源管理,確需向境外提供員工個(gè)人信息的;3)緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全,確需向境外提供個(gè)人信息的;4)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供不滿10萬(wàn)人個(gè)人信息(不含敏感個(gè)人信息)的”情形,則免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過(guò)個(gè)人信息保護(hù)認(rèn)證。此外,《數(shù)據(jù)跨境新規(guī)》也進(jìn)一步明確了數(shù)據(jù)處理者相關(guān)申報(bào)義務(wù),并提出了針對(duì)自由貿(mào)易試驗(yàn)區(qū)內(nèi)企業(yè)的變通規(guī)則。這也體現(xiàn)了中國(guó)在數(shù)據(jù)出境監(jiān)管活動(dòng)中的特色合規(guī)要求,即旨在確保數(shù)據(jù)安全并同時(shí)促進(jìn)數(shù)據(jù)的合法有序流動(dòng)。有關(guān)《數(shù)據(jù)跨境新規(guī)》解讀及中國(guó)數(shù)據(jù)出境安全保護(hù)相關(guān)的具體合規(guī)路徑介紹,讀者可參閱《水無(wú)形而有萬(wàn)形——《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》的變化與數(shù)據(jù)跨境監(jiān)管的未來(lái)》。但與GDPR及歐盟SCC不同的是,《數(shù)據(jù)跨境新規(guī)》實(shí)際上明確提出了觸發(fā)相應(yīng)申報(bào)義務(wù)的出境數(shù)據(jù)量閾值計(jì)算方式,即當(dāng)前中國(guó)的監(jiān)管規(guī)則將出境數(shù)據(jù)量的起算節(jié)點(diǎn)著眼于“當(dāng)年1月1日”,在此基礎(chǔ)上,對(duì)于數(shù)據(jù)處理者在當(dāng)年1月1日之前向境外提供的歷史數(shù)據(jù)是否也應(yīng)一并納入《數(shù)據(jù)跨境新規(guī)》的統(tǒng)計(jì)范疇的問(wèn)題,目前仍不存在明確的要求與規(guī)定。但我們理解,自當(dāng)年1月1日起算的方式可能恰恰是中國(guó)監(jiān)管部門對(duì)于促進(jìn)數(shù)據(jù)跨境流動(dòng)的題中應(yīng)有之義。出于減輕企業(yè)合規(guī)壓力的角度,我們也建議對(duì)于出境數(shù)據(jù)量統(tǒng)計(jì)的方式予以寬松化的理解,例如,采用僅將產(chǎn)生了實(shí)質(zhì)性變化的歷史數(shù)據(jù)納入當(dāng)年1月1日出境的數(shù)據(jù)的計(jì)算范疇的思路,但該思路的有效性仍有待監(jiān)管部門的進(jìn)一步明確。(三)中國(guó)建立國(guó)際間數(shù)據(jù)跨境流動(dòng)互信機(jī)制的整體趨勢(shì)如上文所述,在境外處理中國(guó)境內(nèi)自然人個(gè)人信息的企業(yè)若符合《個(gè)人信息保護(hù)法》第三條第二款情形的域外適用情形,且涉及數(shù)據(jù)跨境傳輸活動(dòng)的,不免會(huì)面臨著需要同時(shí)滿足當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)法律要求和中國(guó)數(shù)據(jù)保護(hù)法律要求的情況。由此,適用不同國(guó)家或地區(qū)的法律要求所產(chǎn)生的沖突也將導(dǎo)致相關(guān)企業(yè)面臨著較高的合規(guī)成本,這也為企業(yè)建立自身數(shù)據(jù)跨境合規(guī)治理機(jī)制帶來(lái)了難題。對(duì)此,中國(guó)當(dāng)前也在積極與各國(guó)政府溝通,爭(zhēng)取建立國(guó)際間有關(guān)數(shù)據(jù)跨境傳輸?shù)幕バ艡C(jī)制,努力為企業(yè)履行數(shù)據(jù)跨境合規(guī)義務(wù)尋求便利條件,例如:2024年6月26日,中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室主任莊榮文在京會(huì)見(jiàn)德國(guó)數(shù)字化和交通部部長(zhǎng)維辛一行,雙方共同簽署《關(guān)于中德數(shù)據(jù)跨境流動(dòng)合作的諒解備忘錄》。中國(guó)國(guó)家網(wǎng)信辦將與德國(guó)數(shù)字化和交通部在《關(guān)于中德數(shù)據(jù)跨境流動(dòng)合作的諒解備忘錄》框架下,建立“中德數(shù)據(jù)政策法規(guī)交流”對(duì)話機(jī)制,加強(qiáng)在數(shù)據(jù)跨境流動(dòng)議題上的交流,為兩國(guó)企業(yè)營(yíng)造公平、公正、非歧視的營(yíng)商環(huán)境[3]。2024年6月27日,中國(guó)與新加坡也就數(shù)據(jù)跨境領(lǐng)域的合作開(kāi)展交流,并明確雙方未來(lái)合作方向和重點(diǎn),便利企業(yè)數(shù)據(jù)跨境流動(dòng)等共識(shí)。[4]2024年8月27日,中歐數(shù)據(jù)跨境流動(dòng)交流機(jī)制第一次會(huì)議以視頻方式舉行,雙方就數(shù)據(jù)跨境流動(dòng)的具體問(wèn)題以及監(jiān)管框架進(jìn)行了交流。[5]為此,我們也期待未來(lái)中國(guó)與各友鄰國(guó)之間能夠就數(shù)據(jù)跨境流動(dòng)的監(jiān)管達(dá)成合作,特別是對(duì)需要同時(shí)履行各司法轄區(qū)之間簽署類似數(shù)據(jù)跨境傳輸協(xié)議的企業(yè),能夠建立相關(guān)合規(guī)舉措的互信機(jī)制,以便減輕企業(yè)的合規(guī)負(fù)擔(dān),促進(jìn)數(shù)據(jù)的跨境流動(dòng)。結(jié)語(yǔ)在全球化的商業(yè)環(huán)境中,數(shù)據(jù)跨境監(jiān)管已成為各司法轄區(qū)普遍關(guān)注的問(wèn)題。在各國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)均試圖在數(shù)據(jù)自由流動(dòng)與數(shù)據(jù)安全保護(hù)之間找到平衡點(diǎn)的過(guò)程中,就如何認(rèn)定數(shù)據(jù)跨境行為、應(yīng)當(dāng)采取何種程度的保護(hù)措施
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 船舶主機(jī)維修合同范例
- 汽車修車配件購(gòu)買合同范例
- 柴火購(gòu)銷合同范例
- 浙江省物業(yè)范例合同范例
- 合作公寓出售合同范例
- 護(hù)理學(xué)基礎(chǔ)模擬練習(xí)題(附答案)
- 銅川職業(yè)技術(shù)學(xué)院《Web程序設(shè)計(jì)(Java)》2023-2024學(xué)年第一學(xué)期期末試卷
- 桐城師范高等??茖W(xué)?!峨姍C(jī)原理與傳動(dòng)技術(shù)》2023-2024學(xué)年第一學(xué)期期末試卷
- 通遼職業(yè)學(xué)院《抗震與高層建筑結(jié)構(gòu)設(shè)計(jì)》2023-2024學(xué)年第一學(xué)期期末試卷
- 天門職業(yè)學(xué)院《公司法專題》2023-2024學(xué)年第一學(xué)期期末試卷
- AQ-C1-19 安全教育記錄表(三級(jí))
- 營(yíng)銷中心物業(yè)服務(wù)標(biāo)準(zhǔn)講解
- 五年級(jí)閱讀指導(dǎo)課(課堂PPT)
- 廣東飼料項(xiàng)目建議書(shū)(參考范文)
- 液堿濃度、密度對(duì)照表
- MODBUS通訊協(xié)議編程(VB源代碼)
- 焊工證項(xiàng)目新舊對(duì)照表
- 全國(guó)護(hù)士延續(xù)注冊(cè)體檢表
- 阿壩州近12a大風(fēng)時(shí)空分布特征分析
- 壓力管道安裝工藝和檢驗(yàn)規(guī)定
- 小學(xué)英語(yǔ)語(yǔ)音專項(xiàng)練習(xí)題(附答案)
評(píng)論
0/150
提交評(píng)論