2021年6月21日,歐盟數據保護委員會(“EDPB”)終于發布了萬眾期待的“關于數據跨境轉移的補充措施最終建議”(簡稱“最終建議”)。為什么說“終于”發布了?先快速回顧一下時間線。
2020年7月16日,歐盟法院對SchrmesII案件的判決認定:歐盟標準合同條款(“SCC”)繼續有效,但數據出口方和進口方都有義務:(1)評估接收國法律是否能夠確保接收方履行SCC條款;且(2)接收方采取“補充措施”達到歐盟“實質同等”的保護水平。否則禁止數據跨境轉移。【詳見:數據跨境流動 | 美歐“隱私盾協議”被判無效背后的邏輯】【詳見:數據跨境流動 | 歐盟EDPB對歐盟隱私盾協議被判無效的相關問答(全文翻譯)】
判決一出,大家都很懵圈。第一,企業,尤其是微小企業可能都沒有個公司法務,如何去評估一國法律?歐委會不是已經自己認定了“看的上”的13個國家(即“充分性”認定),那就應該推定其他國家都是不滿足歐盟要求的,為何還要企業自己評估多次一舉?另外,企業自己評估的結論歐盟監管機構不認怎么辦?畢竟歐盟法院也兩次推翻了歐委會對美國法律的認定。第二,什么是“補充措施”?【詳見:數據跨境流動 | 愛爾蘭DPA即將禁止FACEBOOK的數據跨境傳輸,以及數據跨境流動 | 愛爾蘭高等法院暫時允許Facebook繼續個人數據跨大西洋傳輸】【詳見:數據跨境流動 | 德國巴符州DPA率先解釋與SCC配套的“額外的保障措施”,以及數據跨境流動 | 中國公司基于SCCs開展數據跨境流動的基本策略】。
2020年11月10日,EDPB就上述兩個問題發布指南,并公開征求意見。對“補充措施建議”反對聲音最大,尤其是其案例6和7,它意味著歐盟可能將不會允許歐盟的個人數據轉移到美國、俄羅斯、印度等國,因為歐盟可能認為這些國家的政府數據訪問可能會導致隱私水平達不到歐盟要求,是企業采用任何技術、組織、合同措施都無法消減的。這會導致一個結果,企業內部數據(如HR、商業客戶聯系方式)無法跨境流動;云服務提供商也無法在歐盟境外處理數據。【數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”的指南終于問世】
關于“補充措施建議”的公開征求意見窗口期一再延長,期間有幾百家企業/行業協會,包括荷蘭、丹麥司法部也公開批評。
2021年6月21日,“補充措施最終建議”終于發布。
“最終建議”中明確了“六步法”的主線,如下圖示意:
關于前文中提到的,跨國公司法務最關心案例6和7終于出現松動,也就是說如果企業能夠證明有問題的法律不適用于該跨境場景,那么補充性措施仍然是有效的,數據仍然可以跨境轉移。先見下圖:
熟悉“補充措施征求意見稿”的同學們可能會發現,EDPB把之前斷然否認的“主觀因素”又加回去了【去年9月美國司法部和情報部門聯合發布白皮書,聲稱大部分轉去美國的歐盟數據沒有情報價值,不感興趣。EDPB也發文懟回去,你說沒價值就沒價值么?企業不能依據于此認定沒有潛在風險。】很明顯,EDPB就此向美國作出妥協——即使法律可能不滿足EU標準,但只要出口方能夠證明法律條文或者實踐中不適用于跨境數據,那么甚至可以不采取“補充措施”。與之前EDPB堅持說采取所有補充措施在公權力面前都無濟于事相比,這無疑是EU給美國公司的一條逃生通道,甚至還就美國備受詬病的FISA 702還作了一個手把手的示例。
但企業要證明“有問題的法律不適于該數據跨境場景”,EDPB規定了非常繁重的實質和形式義務,我梳理如下:
企業負有證明義務,整個評估要有個詳細的報告,說明(1)與該數據跨境有關的法律和實踐評估;(2)企業評估流程,卷入了哪些角色,比如律所、顧問、DPO等;(3)評估日期和后續定期檢查的日期。以供日后歐盟監管機構要求提供。
企業要從法律解讀上證明有問題的法律不適于該場景;
企業要從自身實踐中證明有問題的法律不適用于該場景,比如是否收到過政府數據訪問請求,是否被禁止披露收到過請求;
企業要從所在行業整體評估有問題的法律不適用于該場景,簡言之,你說你沒收到過政府訪問請求,但是你的同行收到過,那么你的評估也有問題。
在評估標準上,對法律解讀和實踐的評估,EDPB提出了“相關、客觀、可信、驗證、公開”目的就是強調可被歐盟監管機構驗證檢查;并在附件3中列出了信息來源,大致幾類:(1)來自歐盟的認定、判決、決議;(2)進口國判例法、司法決定、議會報告;(3)NGO、商會、民權組織的報告;(4)各企業的透明化報告,必須明確寫明沒有收到過政府數據訪問請求:(5)進口方的內部聲明和記錄,明確說明在足夠長的一段時間內沒有收到過政府訪問請求,并出具內審或DPO的證明。
最后歸納一下企業合規的行動清單,為了便于把數據從EU轉移到中國,位于中國的數據進口方可以配合出口方做好幾件事情:
提前做好一個中國法律框架整體性評估,個人信息保護法、民法典、刑訴等一系列涉及政府數據訪問的法律都應囊括在內,建議也包括歐盟議會經常關注提及的幾部法律,正好借此專業性地澄清;
要求出口方提供數據流場景,比如:轉移和處理目的(營銷、HR、存儲、IT支持、醫療診斷);處理的實體(公有、私有);轉移發生的領域(電信、廣告、金融);轉移的數據種類(兒童數據);物理轉移還是遠程訪問;數據轉移的格式(明文、匿名、加密)、是否可能被進一步轉移。
結合具體場景,完成實踐評估,既包括自身也包括行業,評估信息要注明來源,確保“相關、客觀、可信、驗證、公開”,可被歐盟監管機構日后驗證檢查;
形成報告后匹配數據流存檔,并指定后續重新評估的責任人。
最后也是最重要的一點,無論法律評估結論如何,企業都應同步采取“補充措施”,比如數據加密、合同背靠背承諾等。(完)
