[注]为方便您的阅读和理解,特此说明:本文中“数据主体”指提供数据的原始主体,一般为自然人,商业服务活动中主要表现为用户;“数据处理者”“数据控制者”指在运营过程中收集、掌握和利用数据的主体,商业服务活动中主要表现为企业。

2023年5月22日,爱尔兰数据保护委员会(Data Protection Commission,以下称DPC)宣布对Meta Platforms Ireland(以下称Meta IRL)采取执法行动,对其处以创纪录的12亿欧元(超过91亿人民币)罚款。该决定写明,Meta IRL 被认为违反欧盟《一般数据保护条例》(以下称“GDPR”)第四十六条第一款,即IRL DPC认为Meta IRL在将欧盟用户的数据转移至美国时,未提供适当的数据保障措施,如可执行的数据主体权利及数据主体的补救措施。无独有偶,自2018年5月被认为“世界最严”的欧盟GDPR生效后,众多互联网巨头因此被罚以重金,如Amazon、WhatsApp以及Instagram等。

全球化大数据时代,中国企业在开展业务时难免涉及数据跨境转移问题,了解和避免相关合规风险成为企业经营管理的重中之重。

01

欧盟数据跨境转移的立法与实施

(一)立法规定

1、原则性规定

GDPR在第五章详细规定了个人数据跨境转移规则,其原则上要求数据的转移方与接收方能够对数据提供与欧盟同等的保护程度。总体上,GDPR规定的数据跨境转移方式可分为两种,一是经欧盟委员会认定的、无须特别授权的、对数据提供充足保护的国家、地区和企业;二是在未被欧盟委员会认定的情况下,通过签订合同、完善私主体内部规则或公共主体间的约定行政条款以达到所需的数据保护水平,如标准合同条款(也称SCC)、有约束力的公司规则。

具体而言,GDPR第45规定了欧盟作出“充足认定”所考量的因素:一是法治与人权的国情状况;二是独立的数据监管机构设置情况;三是在国际性文件中所作承诺。显然,欧盟“充足认定”具有较高的门槛,目前已经获得该认定的亚洲国家仅有日本和韩国。

而对于GDPR第46(2)提出的适当安全保障措施,欧盟于2021年通过了《关于向第三国转移个人数据的标准合同条款的决定》,该决定提供了最新版本的标准合同条款,即数据传输者与数据接收者如签订了标准合同条款,则被视为是GDPR规则下合法的数据跨境转移。目前,包括我国在内的绝大多数未获得“充分性认定”的国家的相关企业与欧盟国家开展数据交往依赖于标准性合同,其优势在于方便签署,适应商事交易的快捷需求。但同时,标准性合同并非一成不变,欧盟对其不断更新也意味着要求企业应及时调整,采取符合欧盟数据保护要求的相应措施。

2、特定情形豁免

GDPR第49(1)列举了未被认定、未达成约束性规则的例外豁免情形,可分为三类。一是数据主体同意,即数据主体被明确告知风险但仍同意转移;二是一系列必要情形,包括:履行合同要求必要、公共利益必要、行使法律权利必要、保护数据主体利益必要(以数据主体因特殊原因无法表达同意为前提);三是根据某种正当目的,如数据转移是为了给具有正当利益的人提供咨询。

为落实实践应用,欧盟委员会发布了《关于GDPR第49条豁免条款的2/2018号指南》具体指导该条款的适用。实践中,适用第49条豁免条款进行有效抗辩的司法案例极其稀少,豁免情形的司法认定仍不成熟,具有较大不确定性,所以企业从节约维权成本、减少减损企业形象的角度考虑,仍应正面积极采取措施配合GDPR的实施。

(二)监管实施

1、地域监管范围

GDPR第3条规定了该规定的地域适用范围。首先,作为欧盟出台的规则,其直接适用于在欧盟内部设立的数据控制或处理主体;另外,GDPR还规定了域外适用机制,包括两种情况:一是为欧盟国家的数据主体提供商品服务,二是对发生在欧盟范围内的数据主体活动进行监控。

总体来讲,无论内部或外部适用,GDPR均确立了较为宽泛的管辖范围。具体而言,在域内适用方面,根据GDPR序言第22条,“在欧盟境内设立机构”指企业在欧盟境内具有稳定的营业活动,而并非仅限于建立具有法人资格的公司等形式;在域外适用方面,“向欧盟数据主体提供商品或服务”并不要求达成特定交易,而是仅要求企业对达成交易具有积极意向即可,如使用当地语言推销、使用当地货币结算等。

我国企业判断自身在地域上是否适用欧盟GDPR管辖,可依据以下流程:首先,如果企业在欧盟境内设有机构,则适用GDPR;在未设机构的前提下,如果企业为欧盟境内的数据主体提供产品或服务,则适用GDPR;既没有设立机构也没有提供产品服务时,如果企业对欧盟境内主体行为进行监测,则适用GDPR。

2、监管主体与处罚

在监管上,欧盟对数据跨境转移的监管主体包括三方:政府、行业、数据处理者自身。在政府监管方面,GDPR第六章规定,其要求欧盟各国设立独立监管机构,职责是配合欧盟数据保护委员会(EDPB)在各国监控执行GDPR;在行业监管方面,欧盟设置了数据保护印章标记等认证,鼓励企业积极配合条例的实施;在数据处理者自身监管方面,GDPR第37(1)规定了某些企业应当设立数据保护官(DPO)帮助企业进行数据合规工作,包括:为公共机构或实体进行数据处理、大规模处理或监控。

在处罚上,监管机构可对违反GDPR的企业进行处罚。GDPR针对不同的企业违法情形设置了两种罚款额度上限,分别为上年全球总营业额的2%与4%,例如Meta所违反的跨境数据转移规则即属于后者。

此外,GDPR赋予企业对于监管机构的处罚决定进行申诉和司法救济的权利。

02

我国跨境数据转移规则

尽管GDPR旨在规范与监管企业在欧盟的数据出境问题,但我国企业为配合欧盟完成相应合规工作,也应同时了解我国对于数据出境的相关要求,避免在进行GDPR合规建设时违反我国法规。

我国关于数据跨境转移规定较模糊,相关法律规定大多仍处于草案阶段,如《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》。而目前关于数据跨境转移问题有效的规定主要为《个人信息保护法》第三章“个人信息跨境提供规则”、《数据安全法》以及《数据出境安全评估办法》。在管辖范围上,我国《数据出境安全评估方法》以运营地为标准,即无论数据主体国籍,只要数据在中国境内运营过程中被收集和处理,其出境即需进行安全评估。

总体来看,对于超过一定规模与数量的数据跨境转移,我国数据出境以国家网信部门的行政评估为主要管理方式,行政部门拥有较大的自主决定权。此外,《数据出境安全评估办法》明确规定了部分重要行业(即关键信息基础设施)以及特定数量以上的数据出境具有更严格的申报要求。此外,涉及数据跨境转移的企业还应注意,通过数据出境安全评估结果的有效期仅为2年,过期应重新申报。

03

中国企业跨境数据转移建议

全球网络互通时代,我国跨国企业在经营活动中难免涉及数据跨境环节。中国作为欧盟第一大贸易伙伴,有针对性地依据GDPR进行数据出境合规,避免巨额处罚风险,不仅有助于树立良好企业形象、降低经营风险,还有助于在实践中推动我国数据跨境转移规则的完善。

(一)关注中国与欧盟的法律规定差异

现今数据领域未形成统一的国际条约,且由于实践时间短,也未形成国际惯例,各个国家与地区的规定差别较大。

除具体管理方式的差异以外,各国对于某些基本概念的认定也存在较大不同。例如,我国《个人信息保护法》以可能危害信息主体人身财产安全为标准,而GDPR主要将种族、性别等可能招致歧视的信息界定为个人敏感信息,故我国规定的个人敏感信息相较于GDPR范围较广,因此我国对个人敏感信息的处理规定较为宽松——GDPR原则上完全禁止了个人敏感信息的处理,而我国要求收集个人敏感信息时需要获得主体明示同意;再如,根据GDPR规定,即使在未被认定、未签订标准性合同的情形下,若用户在被告知风险的情形下明确同意,该数据跨境也是合法的。对于“同意”的认定,GDPR仅规定一种同意方式,即第7条规定的“同意”须具体清晰,且在一定情形下可以撤销,而我国《个人信息保护法》根据不同情形设置了多种“同意”,包括:同意、单独同意、书面同意。因此我国企业在需要获取用户同意时,应根据相应国家地区法规,尽可能采用较高的标准。

在法律适用上,由于欧盟与我国在相关法规中均设置了域外效力条款,故可能导致法律适用冲突。例如,欧盟所设立的国外监管机构在执行其职权时可能要求中国企业提供某些数据,但该数据根据中国法律被禁止传输,此时即产生法律适用冲突。企业应认知该种风险与复杂性,关注当地监管要求,尽量避免因此而导致的损失。

(二)主动适用GDPR,完善企业数据内控体制

从此次Meta被罚一案可以确定,欧盟严格要求数据接收方的数据保护水平与欧盟完全等同。在GDPR管辖范围内的跨国企业,可根据GDPR要求完善公司规则,建立被欧盟认可的内控机制;另外,企业数据保护水平也影响企业与欧盟签订的“标准性合同”的有效性——例如,在Meta案中,Meta与欧盟签订的标准性合同被认为实际上无法弥补保护不足,一旦标准性合同被认定实施效力不足,采用该标准性合同的该国企业则将受到普遍性的影响。

尽管欧盟目前尚未在司法案件中评估中国数据保护环境,这并不意味着中国企业的数据管理水平已达到欧盟要求。良好的企业内部数据管理制度体系是在长期实践中应对各类问题而建立,中国企业不应以消极态度逃避GDPR监管,也不应对此抱有侥幸心理,应当未雨绸缪,尽早完善企业内部数据跨境管理机制。此外,主动适用较为严格的GDPR有利于树立良好的企业形象,便于企业在该地区的业务拓展。

(三)将GDPR合规要求贯穿于数据出境的技术细节中

欧盟对数据跨境传输除了在立法上给出原则性要求外,还对企业提出了相应的技术标准。例如,欧盟《数据保护官指南》(Guidelines on Data Proteciton Officers)中就曾明确给出了数据携带和出入境的技术标准。就企业跨境传输而言,其需要在以下层面将合规要求体现在技术细节中:

其一,构建可信的数据传输路径。数据跨境转移是将数据从一国境内服务器传输至境外服务器的过程,包含境内服务器发出数据包、通过互联网转发、到达境外服务器三个子过程,在此期间需要经过多个中继点。为保证数据在传输过程中的安全,企业无论是作为数据接收方还是数据发出方,均有必要在建立传输信道时尽可能地多进行压力测试,防止数据泄露、损毁、丢失等安全风险。

其一,搭建尽可能灵活的软件架构。欧盟对数据控制和传输的要求较为严格和多样,这就要求企业在进行跨境数据传输的时候针对使用数据的APP采取较为灵活的设计结构,方便及时应对最新法律规定的变化和修改。例如,若企业针对境外用户开发某个APP并将收集到的数据传输至境内储存,则可能需要为进行数据收集和传输的API加上“开关”,保证其随时可以便利地擦除或修改指定数据,以应对GDPR对数据最小化和数据准确性的要求。

其三,针对有特别规定的数据做个性化处理。GDPR对特殊类型数据的规定较为细化,我国在这方面则相对较宽泛,这就使得企业可能不太注重GDPR识别特殊类型数据的特征(如种族、性别、政治观念、宗教信仰等)。因此,企业有必要在考虑产品所面向的用户群体画像之基础上,对有特别规定的数据做个性化处理并将其落实到开发层面。

04

结语

由于我国数据立法与实践尚不完善,如未建立与欧盟对应的专门数据监管部门,在短期内获得欧盟“充分性认定”的可能性几乎为零;另外,通过政府与欧盟磋商谈判以达成相关双边协定,存在诸多商事主体难以预知和控制的不确定因素,且周期较长。因此,企业应积极通过自我约束,在内部建立相关制度体系,形成被欧盟认可的“有约束力的公司规则”,以推动实现数据跨境合法有序转移。

欧盟GDPR作为“史上最严”数据保护规则,已成为该领域先进标杆,对包括我国在内的诸多国家的个人信息立法产生深远影响。在实践方面,自生效以来,GDPR频频对Meta等各大全球知名企业施以重罚,催使着诸多企业在数据收集与处理上对接欧盟GDPR标准,提高个人信息保护水平。但由于各个国家和地区数据监管水平确有较大差异,且在“斯诺登案”等因素的影响下,各国数据保护均有加强,跨国企业进行跨境数据转移面临着较大的合规挑战。Meta此次被罚,也为跨国企业数据合规问题敲响警钟。

相关法规及文件:

《一般数据保护条例》(GDPR)

《GDRP适用地域指南3/2018(条款3)》

《关于GDPR第49条豁免条款的2/2018号指南》

《关于向第三国转移个人数据的标准合同条款的决定》

《数据出境安全评估办法》