《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 收藏级干货:五分钟学会欧盟往中国的跨国数据传输合规

收藏级干货:五分钟学会欧盟往中国的跨国数据传输合规

2021-11-03
来源:知德知产
关键词: 跨国数据

  数据跨国传输,这个话题离我们并不遥远:我国的跨国企业越来越多,基于统一人力资源管理的需要,母子公司将国际员工的个人信息在相互之间进行传输不可避免。欧盟子公司和中国母公司之间如何传输欧盟员工的个人信息才算合规,不会被处罚?这恐怕是每个涉欧跨国中企都要面临的问题。

  同时,我国与欧盟有贸易往来的企业(包括跨境电商)也越来越多,很多企业不可避免地会收集到欧盟境内居民(比如欧盟消费者)的个人信息,如果企业在欧盟境内没有分支机构,那么要对这些信息进行处理就必然涉及到如何将在欧盟收集的欧盟消费者的个人信息合法合规地传输回中国的问题。

  那么,《欧盟通用数据保护条例》对个人数据的跨国传输到底有哪些具体合规要求?法律条文的规定在企业实践层面的可操作性如何?有没有合规的捷径?赵晓鹏博士在这篇文章里跟您一探究竟。

  中国不属于欧盟认可的数据安全国度

  并不是从欧盟向任何一个非欧盟国家进行个人数据的传输都有额外的合规需求。欧盟有其认可的数据安全国度名单,在这个名单里的国家被认为有至少跟欧盟同级别的个人数据保护水平,所以从欧盟向这些国家传输个人数据并没有特殊的合规要求,就像在欧盟境内传输数据一样简单。

  截至目前,被欧盟认可的数据安全国度包括:安道尔、阿根廷、加拿大(仅限商业组织)、法罗群岛、根西岛、以色列、曼岛、泽西岛、新西兰、瑞士、乌拉圭和日本。

  中国目前尚不属于欧盟认可的数据安全国度,所以如果要将在欧盟境内收集的个人信息传输到中国,需要采取其他方式证明在中国的接收方采取了足够的措施以保证个人数据安全。

  被欧盟认可的数据安全措施

  从欧盟出境中国的个人数据传输只要能满足下述措施中的一项,就可以被欧盟监管机构认为是合规的:

  1.  数据输出方与数据接收方签订数据传输协议,并使用欧盟委员会给出的标准数据保护条款;

  2.  如果是跨国集团内部的数据传输,可以在集团内部制定一套所谓的具有约束力的公司规则 (Binding Corporate Rules),保证集团内部严格遵守,并经欧盟委员会批准;

  3.  某个行业的协会拟定一套数据保护行为规则,作为数据接收方的行业协会成员声明遵守这套行为规则,该规则要经过欧盟委员会的事先认可;

  4.  对数据接收方的数据处理流程进行认证,该认证需要每三年更新一次。

  虽然《欧盟通用数据保护条例》提供了上述四种跨国数据传输合规解决方案,但是从实践操作的难度和成本来看,第1种的可行性较高。第2和第3种途径中涉及的数据跨国传输规则都需要经过欧盟委员会的特别认可,有能力和财力做这项工作的跨国集团和行业协会寥寥无几。而第4种的认证程序需要找有认证资格的机构进行,费时费力,认证成本和定期更新的成本都不低,对以个人数据处理为主业的企业来说可能是个选择。

  对于小规模或偶然间进行数据跨国传输的大部分企业来说,使用欧盟委员会给出的标准数据保护条款与接收方签订数据传输协议是最佳方案。

  经数据主体同意的跨境传输

  即便上述四项措施都没有,如果数据处理者能征求到数据主体的同意,也可以将其个人数据传输到中国,但是《欧盟通用数据保护条例》对同意的流程提出了很高的要求:

  1.  该同意必须是自愿的,也就是数据主体必须明确给出同意的答复,默认同意不受认可;

  2.  必须告知数据主体计划中的数据跨境传输的目的地国家以及由此可能对数据主体带来的风险;

  3.  同意的内容必须要明确,数据传输的方式、范围和目的都要在同意书中写明。

  这种方式看上去不难,为什么实践操作中不推荐呢?原因有三:

  1.  该方式的困难之处在于,数据控制者可能自己都不知道数据传输到中国之后,具体有哪些作为分包商的数据处理者还会接触到这些数据,所以无法在同意书中面面俱到。

  2.  根据《欧盟通用数据保护条例》的规定,数据主体可以随时撤回其同意。同意撤回后,数据控制者和数据处理者需要立即停止数据处理行为,这会对数据传输的双方带来很大的工作负担。

  3.  如果涉及到员工的个人信息传输,基本无法只通过员工同意的途径达到。因为很多欧盟国家的法律实践都认为员工在这种情形下做出地同意的意思表示并不是完全出于自愿,而是迫于用人单位的压力。

  所以,经数据主体同意这种合规方式在数据跨国传输实践中很少被采用。

  无需同意特例特办

  特殊情况下,还可以不经数据主体的同意将其个人数据传输到第三国,比如数据传输乃

  1.  为了履行与数据主体订立的合同所必需,

  2.  为了数据主体自己的利益,或者

  3.  为了主张或抗辩数据主体的法定权利。

  在这些特殊情况下,数据控制者必须要能证明数据传输乃实现上述目的所必需,否则将面临违规处罚。

  另外,既然是特例特办,那就决定了以上述理由进行的数据跨国传输只能是偶然性的,不能反复发生,不能成为惯例。所以上述特例的情形虽然看上去简单易行,但是长期来看并不是企业理想的解决方案。比如,跨国企业不能以履行与员工的劳动合同所必需为由,经常性地将欧盟员工的个人信息传往中国。

  总结而言

  要想将欧盟境内收集的个人数据合规地传输到中国国内,最省时省力的方法是使用欧盟委员会给出的标准数据保护条款与国内的数据接收方签订数据传输协议。如果您有任何疑问或者数据保护合规需求,欢迎扫描文后的作者二维码直接跟赵晓鹏博士联系。

  最后,欧盟委员会于2021年6月4日公开了最新版本的标准数据保护条款,所以,不要用错版本哦!




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容