数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
关键词:人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:欧洲数据保护委员会(EDPB);《一般数据保护条例》(GDPR);数据跨境
本文约1534字,大约需要阅读5分钟。
欧洲数据保护委员会(EDPB)依据《一般数据保护条例》(General Data Protection Regulation,简称 GDPR)的规定成立,其成员由欧盟各国数据监管机构(SA/DPAs)和欧洲数据保护监管局(EDPS)的代表组成,旨在确保在整个欧盟范围内有效且一致地应用数据保护的系列规则。
2021年11月18日,EDPB通过了关于GDPR第3条适用与第5章数据跨境传输条款间的相互作用的指南(以下简称“《指南》”)。该《指南》澄清了:
向欧盟境外第三方进行数据传输,若该第三方依据Art.3(2) 域外适用GDPR,是否仍需根据GDPR第五章采取包含签署标准合同条款(“SCCs“)在内的保障措施?
GDPR项下“跨境传输”的定义,即三标准。
向欧盟境外第三方进行数据传输,若该第三方依据Art.3(2)域外适用GDPR,是否仍需根据GDPR第五章采取包含签署标准合同条款(“SCCs“)在内的保障措施?
1.是。
2.EDPB指出,数据跨境传输场景下,即便欧盟境外接收方依据Art.3(2)域外适用GDPR,该跨境传输活动项下的个人数据仍面临第三国国内法律,政府访问以及难以获取或执行数据保护救济等风险。GDPR第五章的跨境传输条款旨在确保数据在跨境传输下获得GDPR同等的数据保护水平,在上述场景下,GDPR第五章对第3(2)的域外适用条款为补充与补足的关系而非互斥关系,数据输出方与数据接收方之间仍应当采取包括签署SCCs在内的保障措施。EDPB同时指出,考虑到境外接收方域外适用GDPR的场景下跨境传输的保护程度相对安全,可能后续发布专门针对数据接收方因Art.3(2)域外适用GDPR场景下的SCCs等其他传输工具。
02GDPR项下“跨境传输”的定义(“三标准”)
数据输出方(“控制者”或“处理者”)因某一数据处理活动适用GDPR;数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给数据接收方;且
数据接收方(“控制者”、“共同控制者”或“处理者”)在第三国或为国际组织,无论该境外接收方是否依据Art.3(2)域外适用GDPR。
GDPR第五章项下的数据跨境传输须同时满足上述三个条件,缺一不可。
欧盟境内自然人直接向境外电商网站提交个人数据下单的行为,不构成跨境传输。因个人数据主体因个人意愿直接向境外运营商提供个人信息,不满足上述“由数据输出方向接收方传输个人数据的条件”,故不构成跨境传输。但应当考虑该境外电商可能因Art.3(2)域外适用GDPR。
公司A位于中国,因向欧盟境内自然人提供产品及服务因Art.3(2)域外适用GDPR。公司A委托的处理者即公司B位于欧盟境内。公司B向公司A回传数据的行为构成跨境传输,即便公司A因Art.3(2)域外适用GDPR,GDPR第五章同时适用。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
点一下在看再走吧