中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验
2023年2月,国家互联网信息办公室公布了《个人信息出境标准合同办法》(以下称《办法》),明确了我国《个人信息保护法》第三十八条中规定的个人信息出境的路径之一,尤其为中小型企业跨境传输个人信息提供了很大便利。至此,随着《数据出境安全评估办法》《个人信息保护认证实施规则》《办法》相继公布出台,我国数据跨境流动三条重要路径的管理要求基本明确,数据跨境流动管理制度基本完善。个人信息出境标准合同植根于欧盟,对我国来说尚属新生事物,此前国内并无成熟经验可以借鉴。但在欧盟,标准合同条款是从《1995年个人数据保护指令》时代就开始实施的数据跨境流动举措,且在《通用数据保护条例》(GDPR)实施后进一步得到了更新和完善,可以说是案例丰富、经验成熟。未来个人信息出境标准合同的具体适用可能会面临多个不同场景,问题和挑战也会在《办法》正式实施之后不断显现。我们将如何做好应对准备,以最高效率解决实践中的复杂问题?无独有偶,欧盟数据保护委员会EDPB在2023年2月也针对其标准合同的具体适用与GDPR的适用范围之间的关系通过了非常详尽的指南(以下称指南),其中列举了多个典型、多见的案例场景,值得我们好好研究借鉴。本文具体内容将就EDPB的指南进行总结提炼,以为相关各界提供参考。指南中主要涉及到GDPR的第三条和第五章条款:第三条 地域管辖范围1.本条例适用于营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,而不论该处理行为是否发生在欧盟境内。2.当数据处理活动涉及以下情形时,本条例适用于非设立于欧盟境内的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理行为:(a)为欧盟境内的数据主体提供货物或服务,而不论数据主体是否被要求付费;(b)对数据主体在欧盟境内的行为进行监控。3.本条例适用于非设立于欧盟境内但根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为。第五章 向第三国或国际组织转移个人数据除了“充分性保护认定”之外,第四十六条还明确了可以跨境转移欧盟个人数据的其他文书总类,包括:标准合同条款(SCC)、具有约束力的公司规则(BCR)、行为准则、认证机制、临时合同条款、国际协定/行政安排。根据GDPR和指南的相关规定,第五章中所指的“转移”主要包含三个标准:控制者或处理者(数据传出方)的数据处理活动受GDPR的约束;数据传出方通过传输披露或以其他方式使处理的个人数据可供另一数据控制者、联合控制者或数据处理者(数据接收方)适用;数据接收方位于第三国或属于国际组织,无论其是否因GDPR第三条而受GDPR约束。
对于这一标准,需要强调的是,未在欧盟设立的数据控制者和处理者可能会根据GDPR第三条第二款而受GDPR管辖,因此,在将个人数据传输到同一或者其他第三国或国际组织的数据控制者或处理者时,其所应当遵守的义务与在欧盟设立的并没有区别。同时,GDPR也适用于欧盟成员国驻欧盟以外的大使馆和领事馆进行的个人数据处理。
案例1:第三国控制者直接从欧盟数据主体收集数据
居住在意大利的Maria通过在线服装网站上的表格填写她的名字、姓氏和邮政地址,以完成她的订单并收到她在罗马住所在线购买的衣服。该在线服装网站由在欧盟没有业务但专门针对欧盟市场的第三国公司运营。在这种情况下,数据主体(Maria)将她的个人数据传递给第三国公司。这不构成个人数据的跨境传输,因为数据不是由数据传出方传递的,而是根据 GDPR 第 3(2) 条由控制者直接从数据主体收集的。因此,第五章不适用于本案。但是,根据GDPR第三条第二款,第三国公司属于 GDPR管辖范围,应当履行GDPR的义务。
分析:在此案例中,也可以从另一个角度进行理解,即Maria的在线购买行为属于其实施的纯粹个人活动,可以根据GDPR的第二条第二款(c)项进行豁免。案例2:第三国的控制者直接从欧盟的数据主体收集数据并使用欧盟以外的处理者进行某些处理活动。
居住在意大利的Maria通过在线服装网站上的表格填写她的名字、姓氏和邮政地址,以完成她的订单并收到她在罗马住所在线购买的衣服。该在线服装网站由在欧盟没有业务但专门针对欧盟市场的第三国公司运营。为了处理通过网站收到的订单,第三国公司聘请了非欧洲经济区处理商。在这种情况下,数据主体 (Maria) 将她的个人数据传递给第三国公司,这不构成个人数据的传输,因为数据是由控制者根据GDPR第3(2) 条直接收集的。因此,控制者必须将 GDPR 应用于此个人数据的处理。就其聘用非 EEA 处理者而言,第三国公司向其非 EEA 处理者的此类披露将构成转移,并且需要遵守第28 条和第五章的义务,以确保由非 EEA 处理者代表其处理个人数据时,GDPR 提供的保护不会受到损害。
分析:与案例1相比,Maria的个人数据传输到非 EEA 处理者的行为不再是由Maria实施的单纯的个人活动,而是第三国公司与非EEA处理者之间的商业行为导致的,属于GDPR第五章第四十四条规定的“从第三国或国际组织转移到领域给第三国或国际组织”的情形,应当适用第五章的相关规定。案例3:第三国的控制者直接从欧盟的数据主体接收数据并使用欧盟以外的处理者进行某些处理活动
住在意大利的Maria决定使用酒店网站上的表格在纽约的一家酒店预定房间。个人数据由酒店直接收集,这一酒店并不针对(或监控)EEA内的个人。在这种情况下,因为数据是由数据主体直接传递并由控制者直接收集,因此没有发生个人数据的跨境转移。
分析:这一案例与案例1基本一致,不会触发GDPR第五章的适用,但不同的是,这一案例中的酒店并没有落在GDPR第三条的适用范围之内,因此GDPR也不会直接适用于这一酒店。案例4:数据由EEA平台收集,然后传递给第三国控制者
居住在意大利的Maria通过EEA在线旅行社预定了纽约一家酒店的房间。预定酒店所需的Maria个人数据由作为控制者的EEA在线旅行社收集,并发送给作为单独控制者接收数据的酒店。在将个人数据传递给第三国酒店时,EEA旅行社发生了跨境数据转移,需要适用第五章的规定。
分析:这一案例属于典型的发生跨境转移欧盟个人数据的场景,应当适用控制者——控制者的标准合同模板。案例5:欧盟的控制者将数据发送到第三国的处理者
在奥地利成立的 X 公司作为控制者,将其员工或客户的个人数据提供给第三国的Z公司,后者作为处理者代表X公司处理数据。在这种情况下,控制者受 GDPR 的约束,向第三国的处理者传输数据。因此,提供数据将被视为将个人数据跨境转移到第三国,适用 GDPR 第五章规定。
分析:这一案例属于典型的发生跨境转移欧盟个人数据的场景,应当适用控制者——处理者的标准合同模板。第三,GDPR第44条明确规定数据的跨境转移不仅可以由控制者进行,也可以由处理者进行。因此,将出现处理者将数据传输给另一个处理者或控制者的情形。在这些情形下,处理者根据控制者的要求传输数据,应当遵守第五章的规定,同时,控制者也有可能承担第五章规定的责任,并确保处理者根据第28条提供了充分的保证。案例6:欧盟的处理者将数据发送回其在第三国的控制者
XYZ Inc.是没有欧盟机构的控制者,代表 XYZ 将其员工/客户(所有数据主体均不在欧盟)的个人数据发送给处理者ABC Ltd.,以便在欧盟进行处理。处理完之后,ABC将数据重新传输到XYZ。由于 ABC 是在欧盟成立的,因此根据第3(1)条,由处理者ABC执行的处理受GDPR的处理者特定义务的约束。由于XYZ是第三国的控制者,从ABC向XYZ 传输数据被视为个人数据的跨境转移,因此适用第五章的规定。
分析:本案例中需要注意的是,第五章跨境转移的要求保护的并非只有欧盟公民的个人数据,ABC虽然处理的是第三国个人的数据,但由于处理行为在欧盟进行,又由欧盟传输到第三国,也要适用第五章的规定。案例7:欧盟的处理者将数据发送到第三国的子处理者
成立于德国的A公司作为控制者,委托法国公司B作为处理者。B希望进一步将其代表 A 执行的部分处理活动委托给第三国的公司子处理者 C,从而将数据发送给C。A及其处理者 B 进行的处理是在其在欧盟的范围内进行的,受GDPR的约束,而 C的处理则发生在第三国。因此,将数据从处理者B 传递到子处理者 C 是向第三国的数据传输,适用GDPR 第五章。
分析:适用处理者将数据跨境转移给处理者的标准合同条款。案例8:欧盟控制者的员工前往第三国出差
波兰公司 A 的员工乔治带着笔记本电脑前往第三国参加会议。在国外逗留期间,乔治打开电脑,远程访问公司数据库中的个人数据,以完成一份备忘录。从第三国携带笔记本电脑和远程访问个人数据不属于个人数据的传输,因为乔治不是另一个控制者,而是一名雇员,是控制者A 的组成部分。因此,数据传输是在同一个控制者A内进行的,乔治完成的处理活动由波兰公司执行。
分析:根据GDPR的规定,第二条标准“将个人数据转移到第三国或国际组织”意味着数据跨境转移必须发生在两个独立的主体(即各自为控制者、联合控制者或处理者)之间。本案例中只有一方主体,即A,不满足第二条标准。但是,如果乔治以A的雇员身份将数据发送或提供给第三国的另一个控制者或处理者,则构成第五章的数据跨境转移。第四,属于同一企业集团的实体可能有资格作为独立的控制者或处理者。因此,属于同一企业集团的实体之间的数据披露可能构成个人数据的传输。案例9:欧盟的子公司(控制者)与其在第三国的母公司(处理者)共享数据。
爱尔兰X公司是第三国母公司Y的子公司,它向Y公司披露其员工的个人数据,由第三国母公司存储在中央人力资源数据库中。在这种情况下,爱尔兰公司X以其雇主的身份处理(并披露)数据,属于控制者,而母公司是处理者。根据第3(1)条的规定,X公司受 GDPR 的约束,而Y 公司位于第三国。因此,该披露符合 GDPR 第五章含义内的向第三国的转移。
分析:在此案例中需要注意的是,并非所有的母公司都是控制者,子公司都是处理者,正如指南中所说,判断是控制者还是处理者需要根据在案例中的职能确定。此案例中,具有决定个人数据收集、处理目的的是X公司,而Y公司只是对数据进行存储。案例10:欧盟的处理者将数据发送回其在第三国的控制者
A公司是没有欧盟机构的控制者,但向欧盟市场提供商品和服务。法国公司B 代表公司A处理个人数据。B将数据重新传输给A。根据第3 条第 1 款,因为发生在欧盟成立的活动范围内,处理者 B 执行的处理受 GDPR 的处理者特定义务的约束。A执行的处理也包含在 GDPR 中,因为第 3(2) 条适用于A。但由于A在第三国,B向A披露数据视为向第三国转移,适用第五章。
分析:在本案例中可以看到,A落在GDPR的管辖范围之内,要受到GDPR的约束,但同时B向A传输欧盟公民的个人数据也要同时满足第五章的要求,也就是说,适用GDPR管辖和数据跨境转移的要求可以同时被触发,并非在GDPR管辖范围之内就可以不用再满足第五章要求。案例11:代表欧盟控制者行事的第三国处理者对欧盟数据的远程访问
位于第三国的公司(Z公司)在欧盟没有设立机构,作为加工商向欧盟公司提供服务。 Z公司作为欧盟控制者的处理者,出于技术支持等目的可以远程访问存储在欧盟的数据。由于Z 公司位于第三国,这种远程访问导致数据从欧盟控制者传输到第三国的数据处理者(Z公司),应当满足第五章的规定。
分析:本案例主要表明,数据的跨境转移不只包括物理上的跨境转移,被第三国的主体所远程访问到也属于跨境转移。案例12:欧盟的控制者使用受第三国立法约束的欧盟处理者
作为控制者的丹麦 X 公司委托在欧盟成立的Y公司作为处理者。Y公司是第三国母公司Z的子公司。Y公司仅在欧盟处理X 公司的数据,欧盟以外的任何人(包括母公司Z)都无法访问这些数据。此外,根据 X 公司与 Y 公司之间的合同,Y 公司只能根据X公司的书面指示处理个人数据。然而,Y公司受具有域外效力的第三国立法的约束,在这种情况下,意味着Y 公司可能会收到来自第三国当局的访问请求。由于 Y 公司不在第三国,控制者X 公司向处理者 Y 公司披露数据不构成 GDPR第五章的传输不适用。但如果Y公司收到来自第三国当局的访问请求,并遵守,则此类数据披露将被视为第五章下的跨境转移。根据 GDPR 第28 条,Y公司应被视为根据第 28(10)条进行处理的独立控制者。因此,数据传出方需要遵守第五章的要求。在这种情况下,控制者X公司应在聘用处理者之前评估这些情况。
分析:本案例的指向非常明显,目的在于更好地应对类似美国《云法》等第三国政府要求的不利影响。在此案例中,处理者Y公司既在欧盟成立,又属于处理者,但在应母公司所在第三国要求下,不仅需要满足第五章的规定,也将会被为独立的控制者承担更强化的数据保护责任。小结:《个人信息出境标准合同办法》生效实施之后,将面临多样、复杂的适用场景,标准合同机制的成熟运转有待于进一步积累经验、解决问题。中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用