[注]為方便您的閱讀和理解,特此說明:本文中“數據主體”指提供數據的原始主體,一般為自然人,商業服務活動中主要表現為用戶;“數據處理者”“數據控制者”指在運營過程中收集、掌握和利用數據的主體,商業服務活動中主要表現為企業。
2023年5月22日,愛爾蘭數據保護委員會(Data Protection Commission,以下稱DPC)宣布對Meta Platforms Ireland(以下稱Meta IRL)採取執法行動,對其處以創紀錄的12億歐元(超過91億人民幣)罰款。該決定寫明,Meta IRL 被認為違反歐盟《一般數據保護條例》(以下稱“GDPR”)第四十六條第一款,即IRL DPC認為Meta IRL在將歐盟用戶的數據轉移至美國時,未提供適當的數據保障措施,如可執行的數據主體權利及數據主體的補救措施。無獨有偶,自2018年5月被認為“世界最嚴”的歐盟GDPR生效後,眾多互聯網巨頭因此被罰以重金,如Amazon、WhatsApp以及Instagram等。
全球化大數據時代,中國企業在開展業務時難免涉及數據跨境轉移問題,了解和避免相關合規風險成為企業經營管理的重中之重。
01
歐盟數據跨境轉移的立法與實施
(一)立法規定
1、原則性規定
GDPR在第五章詳細規定了個人數據跨境轉移規則,其原則上要求數據的轉移方與接收方能夠對數據提供與歐盟同等的保護程度。總體上,GDPR規定的數據跨境轉移方式可分為兩種,一是經歐盟委員會認定的、無須特別授權的、對數據提供充足保護的國家、地區和企業;二是在未被歐盟委員會認定的情況下,通過簽訂合同、完善私主體內部規則或公共主體間的約定行政條款以達到所需的數據保護水平,如標準合同條款(也稱SCC)、有約束力的公司規則。
具體而言,GDPR第45規定了歐盟作出“充足認定”所考量的因素:一是法治與人權的國情狀況;二是獨立的數據監管機構設置情況;三是在國際性文件中所作承諾。顯然,歐盟“充足認定”具有較高的門檻,目前已經獲得該認定的亞洲國家僅有日本和韓國。
而對於GDPR第46(2)提出的適當安全保障措施,歐盟於2021年通過了《關於向第三國轉移個人數據的標準合同條款的決定》,該決定提供了最新版本的標準合同條款,即數據傳輸者與數據接收者如簽訂了標準合同條款,則被視為是GDPR規則下合法的數據跨境轉移。目前,包括我國在內的絕大多數未獲得“充分性認定”的國家的相關企業與歐盟國家開展數據交往依賴於標準性合同,其優勢在於方便簽署,適應商事交易的快捷需求。但同時,標準性合同並非一成不變,歐盟對其不斷更新也意味著要求企業應及時調整,採取符合歐盟數據保護要求的相應措施。
2、特定情形豁免
GDPR第49(1)列舉了未被認定、未達成約束性規則的例外豁免情形,可分為三類。一是數據主體同意,即數據主體被明確告知風險但仍同意轉移;二是一系列必要情形,包括:履行合同要求必要、公共利益必要、行使法律權利必要、保護數據主體利益必要(以數據主體因特殊原因無法表達同意為前提);三是根據某種正當目的,如數據轉移是為了給具有正當利益的人提供諮詢。
為落實實踐應用,歐盟委員會發布了《關於GDPR第49條豁免條款的2/2018號指南》具體指導該條款的適用。實踐中,適用第49條豁免條款進行有效抗辯的司法案例極其稀少,豁免情形的司法認定仍不成熟,具有較大不確定性,所以企業從節約維權成本、減少減損企業形象的角度考慮,仍應正面積極採取措施配合GDPR的實施。
(二)監管實施
1、地域監管範圍
GDPR第3條規定了該規定的地域適用範圍。首先,作為歐盟出台的規則,其直接適用於在歐盟內部設立的數據控製或處理主體;另外,GDPR還規定了域外適用機制,包括兩種情況:一是為歐盟國家的數據主體提供商品服務,二是對發生在歐盟範圍內的數據主體活動進行監控。
總體來講,無論內部或外部適用,GDPR均確立了較為寬泛的管轄範圍。具體而言,在域內適用方面,根據GDPR序言第22條,“在歐盟境內設立機構”指企業在歐盟境內具有穩定的營業活動,而並非僅限於建立具有法人資格的公司等形式;在域外適用方面,“向歐盟數據主體提供商品或服務”並不要求達成特定交易,而是僅要求企業對達成交易具有積極意向即可,如使用當地語言推銷、使用當地貨幣結算等。
我國企業判斷自身在地域上是否適用歐盟GDPR管轄,可依據以下流程:首先,如果企業在歐盟境內設有機構,則適用GDPR;在未設機構的前提下,如果企業為歐盟境內的數據主體提供產品或服務,則適用GDPR;既沒有設立機構也沒有提供產品服務時,如果企業對歐盟境內主體行為進行監測,則適用GDPR。
2、監管主體與處罰
在監管上,歐盟對數據跨境轉移的監管主體包括三方:政府、行業、數據處理者自身。在政府監管方面,GDPR第六章規定,其要求歐盟各國設立獨立監管機構,職責是配合歐盟數據保護委員會(EDPB)在各國監控執行GDPR;在行業監管方面,歐盟設置了數據保護印章標記等認證,鼓勵企業積極配合條例的實施;在數據處理者自身監管方面,GDPR第37(1)規定了某些企業應當設立數據保護官(DPO)幫助企業進行數據合規工作,包括:為公共機構或實體進行數據處理、大規模處理或監控。
在處罰上,監管機構可對違反GDPR的企業進行處罰。 GDPR針對不同的企業違法情形設置了兩種罰款額度上限,分別為上年全球總營業額的2%與4%,例如Meta所違反的跨境數據轉移規則即屬於後者。
此外,GDPR賦予企業對於監管機構的處罰決定進行申訴和司法救濟的權利。
02
我國跨境數據轉移規則
儘管GDPR旨在規範與監管企業在歐盟的數據出境問題,但我國企業為配合歐盟完成相應合規工作,也應同時了解我國對於數據出境的相關要求,避免在進行GDPR合規建設時違反我國法規。
我國關於數據跨境轉移規定較模糊,相關法律規定大多仍處於草案階段,如《數據安全管理辦法(徵求意見稿)》、《個人信息出境安全評估辦法(徵求意見稿)》。而目前關於數據跨境轉移問題有效的規定主要為《個人信息保護法》第三章“個人信息跨境提供規則”、《數據安全法》以及《數據出境安全評估辦法》。在管轄範圍上,我國《數據出境安全評估方法》以運營地為標準,即無論數據主體國籍,只要數據在中國境內運營過程中被收集和處理,其出境即需進行安全評估。
總體來看,對於超過一定規模與數量的數據跨境轉移,我國數據出境以國家網信部門的行政評估為主要管理方式,行政部門擁有較大的自主決定權。此外,《數據出境安全評估辦法》明確規定了部分重要行業(即關鍵信息基礎設施)以及特定數量以上的數據出境具有更嚴格的申報要求。此外,涉及數據跨境轉移的企業還應注意,通過數據出境安全評估結果的有效期僅為2年,過期應重新申報。
03
中國企業跨境數據轉移建議
全球網絡互通時代,我國跨國企業在經營活動中難免涉及數據跨境環節。中國作為歐盟第一大貿易夥伴,有針對性地依據GDPR進行數據出境合規,避免巨額處罰風險,不僅有助於樹立良好企業形象、降低經營風險,還有助於在實踐中推動我國數據跨境轉移規則的完善。
(一)關注中國與歐盟的法律規定差異
現今數據領域未形成統一的國際條約,且由於實踐時間短,也未形成國際慣例,各個國家與地區的規定差別較大。
除具體管理方式的差異以外,各國對於某些基本概念的認定也存在較大不同。例如,我國《個人信息保護法》以可能危害信息主體人身財產安全為標準,而GDPR主要將種族、性別等可能招致歧視的信息界定為個人敏感信息,故我國規定的個人敏感信息相較於GDPR範圍較廣,因此我國對個人敏感信息的處理規定較為寬鬆——GDPR原則上完全禁止了個人敏感信息的處理,而我國要求收集個人敏感信息時需要獲得主體明示同意;再如,根據GDPR規定,即使在未被認定、未簽訂標準性合同的情形下,若用戶在被告知風險的情形下明確同意,該數據跨境也是合法的。對於“同意”的認定,GDPR僅規定一種同意方式,即第7條規定的“同意”須具體清晰,且在一定情形下可以撤銷,而我國《個人信息保護法》根據不同情形設置了多種“同意”,包括:同意、單獨同意、書面同意。因此我國企業在需要獲取用戶同意時,應根據相應國家地區法規,盡可能採用較高的標準。
在法律適用上,由於歐盟與我國在相關法規中均設置了域外效力條款,故可能導致法律適用衝突。例如,歐盟所設立的國外監管機構在執行其職權時可能要求中國企業提供某些數據,但該數據根據中國法律被禁止傳輸,此時即產生法律適用衝突。企業應認知該種風險與復雜性,關注當地監管要求,盡量避免因此而導致的損失。
(二)主動適用GDPR,完善企業數據內控體制
從此次Meta被罰一案可以確定,歐盟嚴格要求數據接收方的數據保護水平與歐盟完全等同。在GDPR管轄範圍內的跨國企業,可根據GDPR要求完善公司規則,建立被歐盟認可的內控機制;另外,企業數據保護水平也影響企業與歐盟簽訂的“標準性合同”的有效性——例如,在Meta案中,Meta與歐盟簽訂的標準性合同被認為實際上無法彌補保護不足,一旦標準性合同被認定實施效力不足,採用該標準性合同的該國企業則將受到普遍性的影響。
儘管歐盟目前尚未在司法案件中評估中國數據保護環境,這並不意味著中國企業的數據管理水平已達到歐盟要求。良好的企業內部數據管理制度體係是在長期實踐中應對各類問題而建立,中國企業不應以消極態度逃避GDPR監管,也不應對此抱有僥倖心理,應當未雨綢繆,儘早完善企業內部數據跨境管理機制。此外,主動適用較為嚴格的GDPR有利於樹立良好的企業形象,便於企業在該地區的業務拓展。
(三)將GDPR合規要求貫穿於數據出境的技術細節中
歐盟對數據跨境傳輸除了在立法上給出原則性要求外,還對企業提出了相應的技術標準。例如,歐盟《數據保護官指南》(Guidelines on Data Proteciton Officers)中就曾明確給出了數據攜帶和出入境的技術標準。就企業跨境傳輸而言,其需要在以下層面將合規要求體現在技術細節中:
其一,構建可信的數據傳輸路徑。數據跨境轉移是將數據從一國境內服務器傳輸至境外服務器的過程,包含境內服務器發出數據包、通過互聯網轉發、到達境外服務器三個子過程,在此期間需要經過多個中繼點。為保證數據在傳輸過程中的安全,企業無論是作為數據接收方還是數據發出方,均有必要在建立傳輸信道時盡可能地多進行壓力測試,防止數據洩露、損毀、丟失等安全風險。
其一,搭建盡可能靈活的軟件架構。歐盟對數據控制和傳輸的要求較為嚴格和多樣,這就要求企業在進行跨境數據傳輸的時候針對使用數據的APP採取較為靈活的設計結構,方便及時應對最新法律規定的變化和修改。例如,若企業針對境外用戶開發某個APP並將收集到的數據傳輸至境內儲存,則可能需要為進行數據收集和傳輸的API加上“開關”,保證其隨時可以便利地擦除或修改指定數據,以應對GDPR對數據最小化和數據準確性的要求。
其三,針對有特別規定的數據做個性化處理。 GDPR對特殊類型數據的規定較為細化,我國在這方面則相對較寬泛,這就使得企業可能不太注重GDPR識別特殊類型數據的特徵(如種族、性別、政治觀念、宗教信仰等)。因此,企業有必要在考慮產品所面向的用戶群體畫像之基礎上,對有特別規定的數據做個性化處理並將其落實到開發層面。
04
結語
由於我國數據立法與實踐尚不完善,如未建立與歐盟對應的專門數據監管部門,在短期內獲得歐盟“充分性認定”的可能性幾乎為零;另外,通過政府與歐盟磋商談判以達成相關雙邊協定,存在諸多商事主體難以預知和控制的不確定因素,且週期較長。因此,企業應積極通過自我約束,在內部建立相關製度體系,形成被歐盟認可的“有約束力的公司規則”,以推動實現數據跨境合法有序轉移。
歐盟GDPR作為“史上最嚴”數據保護規則,已成為該領域先進標杆,對包括我國在內的諸多國家的個人信息立法產生深遠影響。在實踐方面,自生效以來,GDPR頻頻對Meta等各大全球知名企業施以重罰,催使著諸多企業在數據收集與處理上對接歐盟GDPR標準,提高個人信息保護水平。但由於各個國家和地區數據監管水平確有較大差異,且在“斯諾登案”等因素的影響下,各國數據保護均有加強,跨國企業進行跨境數據轉移面臨著較大的合規挑戰。 Meta此次被罰,也為跨國企業數據合規問題敲響警鐘。
相關法規及文件:
《一般數據保護條例》(GDPR)
《GDRP適用地域指南3/2018(條款3)》
《關於GDPR第49條豁免條款的2/2018號指南》
《關於向第三國轉移個人數據的標準合同條款的決定》
《數據出境安全評估辦法》
