歐盟個人數據保護條例(GDPR)對個人數據保護確定了前所未有的保護高度。2020年12月7日,法國國家個人數據保護局由於網站cookie不符合個人數據保護的要求,分別對穀歌法國和亞馬遜法國處以1億歐元和3500萬歐元罰款,再次證明了歐盟各國當局貫徹歐盟個人數據保護條例的力度。
1. 什麼是歐盟個人數據保護條例下的“個人數據”?
歐盟個人數據保護條例條例下的個人數據采取了非常寬泛的定義。凡是直接或間接涉及到特定自然人、或者可識別身份的自然人的信息都是該條例所保護的個人數據,如姓名、識別碼、定位信息、網上用戶名,或其身體、精神、遺傳、經濟、文化或社會的一切特征因素。
2. 中國企業也需要遵守歐盟個人數據保護條例嗎?
首先,無論數據的處理實際上是否在歐盟境內進行,在歐盟境內設有商業機構的數據處理責任者或其分包商都需要遵守個人數據保護條例。這意味著,如果中國企業在歐盟設有分支機構,無論個人數據是由其歐盟分支機構自己處理,還是轉移給歐盟外的分包商,中國企業的歐盟分支機構都受歐盟個人數據保護條例管轄。
其次,只要處理的個人數據是在向歐盟境內的個人提供商品或服務、或對其行為進行追蹤時產生的,即使數據處理責任者或其分包商在歐盟境內沒有商業機構,也受該條例管轄。例如,一家位於中國的企業通過其網站向歐盟境內的消費者出售商品,在購買過程中歐盟消費者提交了個人信息,那麼該中國企業便有可能作為數據處理責任者,受歐盟個人數據保護條例的規制。
2020年7月16日,歐盟法院頒布了 Schrem II案判決,判定美國的現行立法不能給轉移到美國的歐盟個人數據提供均等水平的保護,從而推翻了歐盟與美國2016年達成的“隱私盾”數據傳輸協議,宣布該協議無效。自此,個人數據轉移出歐盟的合規問題又一次充滿了不確定性。愛爾蘭數據保護主管機關更是要求Facebook暫停向美國傳輸用戶個人數據。作為對Schrem II案的回應,歐盟數據保護委員會於2020年11月10日頒布了兩份關於數據跨境傳輸合法性的指導性意見(草案)。歐盟委員會也於2020年11月12日頒布了新的關於數據跨境傳輸的標準合同條款(草案)。指導性意見草案與標準合同條款參考的公眾諮詢分別於2020年12月21日和12月10日結束,預計將於2021年1月初頒布正式稿並實行。歐盟數據保護委員會的2020/01號指導性意見(草案)針對個人數據轉移到第三國的跨境傳輸,提出了詳盡的六步判斷法(見下圖):
企業需要對所有向歐盟外傳輸的個人數據進行定位。同時,出於個人數據處理的最小化原則,向歐盟外傳輸的個人數據對於數據處理的目的而言應是必要的。根據歐盟數據保護委員會的觀點,歐盟個人數據無論傳輸到哪裡,附著在該數據之上的保護水平應當維持不變。因此,如果歐盟委員會沒有認定數據傳輸的目的地第三國具有與歐盟相當的數據保護水平,歐盟個人數據的跨境傳輸應當以歐盟個人數據保護條例第46條中的數據傳輸工具為基礎。數據傳輸工具可以是行政當局有約束力的決定、企業自我約束規則、歐盟委員會頒布的標準合同條款、數據控制者與第三國分包商之間的合同協議等。實踐中最常用到的是歐盟委員會的標準合同條款或專門的合同協議。采用標準合同條款的好處是其合規性不需要再進行專門審查,但應注意必須整體采用,而不能對標準合同條款進行修改,否則需要申請當地數據主管機關的審查意見。這一步主要是根據目的地第三國的立法和司法情況,評估采取的數據傳輸工具,如標準合同條款或專門的合同協議在實踐中是否可以有效保證個人數據保護水平。對此,歐盟數據保護委員會的2020/02號意見給出了一系列標準,如第三國公權機關如果可以處理傳輸的數據,其處理是否符合比例性原則、第三國是否具有獨立的數據保護機關、以及數據主體是否有救濟渠道等。如果第三國的立法和司法情況不能保證歐盟個人數據傳輸到該國後,仍享有與歐盟相同的保護水平,數據控制者應當采取必要的補充措施,如在技術上采取將數據分割傳輸、匿名傳輸的方法等,使得數據在單個目的地不可讀。(5)第五步:將選擇的數據傳輸工具固定下來,如企業自我約束規則、標準合同條款或專門的協議。數據控制者的責任原則決定了對個人數據跨境傳輸的合規評估不是一勞永逸的,而是需要定期進行重新評估。
英國脫歐的過渡期於2020年12月31日正式結束。2021年1月1日起,英國將成為相對於歐盟的第三國。在歐盟委員會作出認為英國具有與歐盟均等的個人數據保護水平的決定之前,英國將與其他第三國沒有區別,歐盟內企業將個人數據傳輸到英國,也應滿足歐盟個人數據保護條例的要求,按照上述歐盟數據保護委員會的方法進行合規評估。柴耀田,法國注冊律師、法學博士,法國TGS France Avocats律師事務所,業務領域:歐盟個人數據保護合規、知識產權、商事合同郵箱:yaotian.chai@gmail.com
發表評論 取消回複