摘要:我国《个人信息保护法》(“PIPL”)自2021年11月1日正式实施以后,个人数据跨境流动保护的配套规定相继出台,今年6月,国家互联网信息办公室(“CAC”)发布了《个人信息出境标准合同》(征求意见稿)与《个人信息出境标准合同规定》一起向社会征求意见,今年9月1日,《数据出境安全评估办法》正式实施。世界上许多国家和地区都有自己的数据跨境风险评估方法和标准合同条款Standar
摘要:
我国《个人信息保护法》(“PIPL”)自2021年11月1日正式实施以后,个人数据跨境流动保护的配套规定相继出台,今年6月,国家互联网信息办公室(“CAC”)发布了《个人信息出境标准合同》(征求意见稿)与《个人信息出境标准合同规定》一起向社会征求意见,今年9月1日,《数据出境安全评估办法》正式实施。世界上许多国家和地区都有自己的数据跨境风险评估方法和标准合同条款Standard Contractual Clause(“SCC”)。
其中,SCC作为监管部门制定的官方合同模版,通用于数据出口方和数据进口方之间,旨在使个人信息出境后其保护水平不得低于本国数据保护标准要求。本文将参照英国信息专员办公室(“ICO”)发布的个人数据跨境传输指南,从实践角度出发,介绍我国数据出境风险评估和标准合同适用问题,以期帮助企业明晰个人数据跨境传输中相关的规定,确保企业合规性经营。
2021年8月,英国信息专员办公室(ICO)发布了一份由三部分组成的个人数据跨境传输指南,就个人数据从英国向第三国的跨境转移进行公开咨询,这份指南中关于英国数据跨境传输的指导意见结构分为三个部分:
(1) 国际数据传输协议International Data Transfer Agreement(“IDTA”)=英国版SCC
(2) 欧盟新SCCs的英国附录Addendum to new SCCs(“SCCs附录”);
(3) 风险评估transfer risk assessment(“TRA”)。
指导意见中除了前两个标准合同及附录外,TRA风险评估的应用场景为何?进行风险评估的考虑因素为何?另外,英国IDTA、欧盟新SCC英国附录、2018版欧盟旧SCC之间的关系为何?
受英国管辖的企业个人数据跨境传输如何与数据进口方签订IDTA、欧盟SCC附件?是否既要签订IDTA又要签订欧盟SCC附件?笔者将围绕上述问题,结合多种应用场景展开讨论。
1、 企业将受英国管辖的个人数据跨境传输时,如何完成风险评估,风险评估工具为何?
企业做TRA的本质是为了在签署IDTA之前,需要做一个详细的限制性转移的检查评估,考虑所有限制性转移的情形,以此来判断IDTA的签署是否真正能使个人数据传输到数据进口方后仍然能获得其在英国时获得的相关保护措施足够相似的保护。那么TRA需要考虑的首先是数据转移的事实情况,具体包括转移的数据类型、转移的目的、数据的格式、转移的方法、存储地点、继续转移的可能等;其次,主要考虑数据接收者的基本情况和转移数据后对数据主体的潜在影响。
风险评估工具为企业常规的数据转移提供帮助,实践中,当企业在有数据跨境转移需求时,跑完风险评估工具后得出的结果显示企业不能继续进行数据跨境传输行为,此时,转移行为超过常规数据转移,就需要引入额外的数据保护影响评估Data Protection Impact Assessment(DPIA)。
企业进行风险评估时应重点关注几个方面:
第一,对传输本身的评估。如前文所述,企业在数据转移时必须满足安全保障、数据最小化等事项,如果需转移的数据复杂庞大或高风险,仅用TRA工具无法评估时,需进行DPIA。
第二,国际传输协议(“IDTA”)在数据进口国是否具有可执行性。IDTA合同签署的目的是否能够实现且合同签署后保障措施的实施是否能达到英国本身对个人数据保护的安全程度,这两个问题将成为重要的考虑因素。若IDTA的可执行性不高或者数据转移的风险程度大,此时企业转移个人数据时就需要补充考虑IDTA中第二部分规定的,需要增加额外保护条款的情形。
第三,如果涉及第三方访问,是否有适当措施来保护或避免。此时,需要评估数据进口方国家管理第三方数据访问的政策法律制度是否与英国法的原则足够相似,或者虽政策法律制度不足够相似,但第三方访问可能性小或第三方访问对数据主体造成的风险足够低。
综上,企业的跨国个人数据传输并不必然会带来额外的风险,但是一旦风险评估结果显示高风险,将会导致企业签署或准备的数据转移安排无法实现,此时,除了通过匿名化、最小化等方式降低风险外,在风险评估工具评估后,调整改变企业数据传输安排和计划能为其他数据的跨境传输带来可能。
2、 英国IDTA、欧盟新SCC英国附录、2018版欧盟旧SCC三者之间的关系为何?
首先,在厘清英国IDTA和欧盟SCC之间关系前,需要引入一个背景知识,即英国在2020年1月31日正式脱欧以前,对于数据保护合同及制度沿用的是2018版欧盟旧SCC以及欧盟《通用数据保护条例》General Data Protection Regulation(“欧盟GDPR”)。脱欧以后,英国在欧盟SCC基础上,结合英国制度法律推出了本国的IDTA,也就是说,英国IDTA在某种程度上就是英国的SCC。
那么,英国IDTA签署目的及主要内容包括哪些呢?归纳起来,IDTA作为一份英国的特殊模版合同,目的在于为企业,特别是中小型企业在进行个人数据限制性跨境传输时提供协议模版的签订,以保护数据跨境传输的安全性。其主要内容分为四个部分:第一部分罗列了四张表格,主要包含各方的基本信息、数据转移的细节问题,例如适用于各方的法律、需要转移的数据、安全性要求等;第二部分规定了需要增加的额外的保护条款;第三部分允许各方引入商业条款,值得注意的是,各方引入的商业条款不能降低IDTA所提供的整体保护水平,若该商业条款无意中降低IDTA保护水平,则企业跨境数据传输可能会违反英国GDPR);第四部分包括强制性条款,强制性条款对各方均有约束力,目的在于为转移的个人数据提供统一的保护标准条款。
另外,欧盟SCC英国附录的产生是因为英国和欧盟之间的贸易往来比较紧密,且欧盟GDPR影响力大于英国GDPR,在英国脱欧前曾长时间使用欧盟GDPR,脱欧后发展出的英国GDPR对于欧盟GDPR没有做实质性修改,因此英国ICO特别允许来自英国的个人数据出境活动依然可以使用欧盟SCC,但是需要在欧盟SCC后附上UK Addendum to the EU SCCs(欧盟SCC的英国附件)。
3、 受英国管辖的企业进行个人数据跨境传输时,如何选择签署英国IDTA,或签署欧盟新SCC及欧盟SCC英国附录?
在回答这个问题之前,首先需要弄清英国IDTA和欧盟SCC适用范围上的差别,进而判断究竟是签署英国IDTA还是欧盟SCC及欧盟SCC英国附录。
(1)英国IDTA和欧盟SCC中个人数据的流动模式
英国IDTA中数据的流动模式:数据出口者(the exporter)指受英国《一般数据保护条例》(英国GDPR)约束的组织和个人,其将转移的英国个人数据转移至不在英国的独立法律实体,即数据进口者(the importer)。
欧盟SCC中数据的流动模式:数据出口者(the exporter)指受欧盟《一般数据保护条例》(欧盟GDPR)约束的组织和个人,其将转移的英国个人数据转移至不受欧盟GDPR管辖的数据进口者(the importer)。
(2)英国IDTA和欧盟SCC适用区分
a) 英国IDTA注重法律管辖的变化,也注重物理国界的变化
当英国的个人数据被英国GDPR不适用的数据接收者或者位于英国以外的国家的接收者接受或访问转移时,就需要用到限制性转移协议。也就是说,数据出口方即使在英国境外,只要受到英国GDPR的域外管辖,其向任何不位于英国境内或者不适用英国GDPR的数据接收者传输时,就满足签署英国IDTA的条件。
同时,数据接收者无论是否收到英国GDPR的域外管辖,只要数据接收者位于英国境外,就可以通过签署英国IDTA来进行个人数据跨境。例如,假设企业本身是一个数据处理者,其数据处理行为受到GDPR的约束,但是企业的控制者不受到GDPR的约束,这就不是限制性转移协议,不包括IDTA。除非企业将数据打包发送给GDPR不适用的子处理者时,将符合限制性转移协议,由IDTA涵盖。
b) 欧盟SCC更注重法律管辖的变化
相较于英国IDTA关注数据向英国国境之外的数据进口方转移数据,欧盟SCC则更重视数据的接受方是否不受欧盟GDPR管辖。
根据欧盟GDPR第3.1条:数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;第3.2条:1.本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b) 是对数据主体发生在欧盟内的行为进行的控的。3. 本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。可以明确该数据接受方是否属于欧盟GDPR管辖,若符合不受欧盟GDPR管辖的条件,则欧盟SCC将需要被签署。
如若转载,请注明出处:https://www.nhjkw.cn/58052.html
相关推荐
-
egf是什么意思 EGF是什么意思
其实egf是什么意思的问题并不复杂,但是又很多的朋友都不太了解EGF是什么意思,因此呢,今天小编就来为大家分享egf是什么意思的一些知识,希望可以帮助到大家,下面我们一起来看看这个问题的分析吧!本文目录ras基因是什么意思三菱d700egf报警怎么复位冻干粉的单位是怎么看变频器egf是什么意思EGF是什么意思ras基因是什么意思
-
2胆全拖计划表(负债2万,月薪5000,如何制定还款计划)
很多朋友对于2胆全拖计划表和负债2万,月薪5000,如何制定还款计划不太懂,今天就由小编来为大家分享,希望可以帮助到大家,下面一起来看看吧!本文目录拖延症晚期怎么治有没有特别好的初中时间计划表如何有效克服拖延症负债2万,月薪5
-
一个炸鸡排的热量(一个炸鸡排的热量是多少千卡)
3.24今天没管住嘴,这体重又上来了,昨天一天只吃鸡蛋,感觉生活没意思,吃吐了。今天吃了炸鸡排凉皮,体重蹭蹭涨,哎!这几天的努力又付之东流了,咋都管不住这嘴,减肥是没戏了。炸鸡排的热量每块热量=约500卡路里=蛙泳37分钟油炸[恐惧]
-
咖啡名字有哪些(咖啡名字高级感)
其实咖啡名字有哪些的问题并不复杂,但是又很多的朋友都不太了解咖啡名字高级感,因此呢,今天小编就来为大家分享咖啡名字有哪些的一些知识,希望可以帮助到大家,下面我们一起来看看这个问题的分析吧!本文目录咖啡名字高级感咖
-
s域(思域)
请问思域S档有什么用?您好网友下面是本田AT变速箱各档位位置说明前轮锁定;驻车棘爪与副轴上的驻车档齿轮啮合。所有离合器分离。倒档;倒档接合套与副轴倒档齿轮啮合,4档离合器啮合。所有离合器分离。一般驾驶档位;从1档启动,根据车速和节气门位置自动换档到2档、3档、4档和5档。减速时,经过4档、3档、2档和1档,减至车停。锁止机构作用于2档、3档、4档和5档齿轮。S档有的标注D3用于高速
-
博远吊秤
电子吊秤生产厂家主要有哪些呢???厂家一:上海奕宇电子科技有限公司上海奕宇电子科技有限公司是专业衡器生产厂家,争做上海最大的工业衡器供应商,生产销售的主要产品有:标准地磅,单层地磅,带引坡电子地磅,不锈钢电子地磅,防爆地磅秤,模拟式汽车
-
5寸照片大小尺寸(5寸照片大小尺寸是多少)
近期,BlackmagicDesign正式发布了全新的BMPCC6KG2摄像机。这款摄像机采用了6144*3456分辨率的Super35图像传感器,兼容佳能EF卡口系统,机身拥有13档动态范围,采用NP-F570电池进行供电,具备BM第五代色彩科学,提供2档原生
-
土豆发芽了把芽去掉还能吃吗?土豆发芽,抠掉发芽部分还能吃吗
大家好,土豆发芽了把芽去掉还能吃吗相信很多的网友都不是很明白,包括土豆发芽,抠掉发芽部分还能吃吗也是一样,不过没有关系,接下来就来为大家分享关于土豆发芽了把芽去掉还能吃吗和土豆发芽,抠掉发芽部分还能吃吗的一些知识点,大家可以关注收藏,免得下次来找不到
-
北京天上人间老板是谁(北京天上人间老板是谁有什么背景)
江湖水深,没有大哥罩着,谁也别想在江湖混!上世纪九十年代的时候,天上人间的老板覃辉和摇滚歌手臧天朔在京城虽然没什么很深的交情,但一直都是井水不犯河水。两人唯一次的冲突就是因为斯琴格日勒。一九九四年,二十四岁的斯琴格日勒从内蒙老家来到北京发展。刚到北京混得很差,只能住地下室,去酒吧
-
兰州拉面汤料配方_正宗(兰州拉面汤料配方_正宗吗)
一碗优质的牛肉拉面除了面劲道外,最主要还有牛肉面汤,要想做出好吃的牛肉面,就要在牛肉汤上面下功夫。今天给大家分享一下牛肉汤的制作方法,想要做好牛肉汤要从选择食材开始:1首先选用新鲜的牛棒骨(牛大腿骨),牛油,牛油选择牛腰子油或者牛肚油也叫牛板油,选用新鲜的三黄鸡有条件地用老母鸡,牛肉就用牛腿肉。将买回来的牛肉,牛骨,鸡用清水浸泡2个小时,2小时后倒掉泡牛肉的
