个人信息跨境传输——欧盟与中国实务比较(上)

字号+ 作者:木林森 来源:中国网 2022-07-27 11:40

2022年7月7日《数据跨境传输安全评估》正式发布,9月1日起正式实行,中国的个人信息出境合规要求在立法层面也逐渐明晰。

为帮助企业安全跨境传输个人信息,7月22日下午,由中国合规网主办、金盒集团联合举办的线上访谈节目“硬核数据论坛——欧盟与中国实务比较(上):个人信息保护影响评估v数据出境安全评估”如约而至。本次活动邀请了欧盟与中国的律师专家——大成德国办公室合伙人Christian律师、大成柏林办公室资深律师Sebastian律师和大成上海办公室高级合伙人陈立彤律师,三位就欧盟与中国实务中个人信息跨境最新动态展开讨论。本次会议由陈立彤律师主持。

扫描图中二维码加入微信群交流

首先,Christian律师和Sebastian律师带来“数据传输影响评估”主题分享。两人认为“影响评估”对中国企业的数据出境十分重要,并主要通过欧盟法院著名的Schrems II案和《通用数据保护条例》第35条的概念与流程,讲解相关背景。

一、DTIA是什么?DTIA源自哪里?

Sebastian律师表示,DTIA源于欧盟法院Schrems II案。结合此案,可以得出结论,之前的数据传输标准合同条款可能会因一些国家地区当地的法律而无效,因此欧盟的数据提供方需要确保整个传输流程的安全合规。

Sebastian律师指出欧盟境内的数据提供方确保合规性的关键在于两点:一是数据传输影响评估,二是必要时采取其他保障措施;因此要研究数据接受方将面临的法律法规,还要判断是否采取安全措施以保证数据的合规传输。此外,DTIA还受监管机构、商业伙伴和消费者/用户的要求。

二、GDPR:数据最小化原则和比例原则

Sebastian律师指出影响评估的原则主要是数据最小化和比例原则,即最小必要;GDPR中也规定企业需提前做好影响评估的原则。Sebastian律师强调要区分数据控制者和处理者的概念,而任何使得第三方能接触数据的行为也可能成为传输行为。“比例原则”对处理数据的企业十分重要,数据的处理不能超出目的与范围的限制。GDPR中规定,比例原则应具合法性,不仅要维护数据处理方的利益,还要平衡用户和消费者之间的利益。

三、DTIA/DPIA需要的文件

这一部分Sebastian律师通过介绍境外传输欧盟数据的原因、数据传输的控制者、处理者以及数据安全流转的负责人,介绍传输评估和影响评估的相关文件。他指出,DTIA强调数据传输,DPIA则强调数据流动、来源和处理;此外还应展示数据分类、数据主体和数据接收者。同时,DTIA强调传输的原因,DPIA则强调处理的数据流向;还应说明数据的处理方式、数据处理的法律基础或正当性。在影响评估中,应及时发现传输的风险,如第三方访问和个人信息披露等,通过加密等安全措施降低风险。

DTIA/DPIA流程

Sebastian律师指出,在数据传输或处理的过程中要考虑其是否具有灵活性?采取的措施是否达到预期效果?是否有影响更小的方式?是否可以通过影响较小的措施达到同样的效果?同时还应注意数据传输或处理是否遵循比例原则?达到的效果与对个人影响是否匹配?降低风险的措施能否减轻数据转移的影响?从而降低第三方访问的发生率与数据披露的影响或损害。此外,Sebastian律师还指出其他降低风险的措施,如进行匿名化或伪拟化、数据加密、选择安全传输渠道等。

随后,陈立彤律师及团队的蔡雨多律师带来以“数据出境安全评估办法”为题的分享。蔡律师主要讲解该方法的立法目的与范围、安全评估原则、适用场景、风险自估事项等方面。

一、立法目的与适用范围

蔡律师指出,数据出境安全评估是为了进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。其适用于境内运营中收集和产生的数据传输、存储至境外,或是数据处理者收集和产生的数据存储在境内。

二、安全评估原则

安全评估办法要求坚持事前评估和持续监督相结合,风险自评估与安全评估相结合的原则,无论是事前还是出境后各部门都要自我评估与相互配合,达到“防范数据出境安全风险”、“保障数据依法有序自由流动”的目的。

三、安全评估适用场景

安全评估境外传输主要涉及四类人:1.数据处理者;2.关键信息基础设施运营者和处理大量个人信息的数据处理者;3.累计向境外提供大量个人信息或敏感个人信息的数据处理者;4.国家网信部门规定的其他情形。通过具体例子和分析介绍安全评估适用场景。

四、风险自估事项

蔡律师指出满足适用场景后需进行风险自评估,即是否与业务直接相关、是否有足够的必要性、是否正当合法?是否存在风险?合同与双方义务是否约定明确,争议解决措施是否完善、技术条件是否对应足够?是否有投诉的渠道、专门负责对应?

五、申报数据出境安全评估事项及安全评估事项以及期限

申报数据出境安全评估需准备四种材料:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其他的文件。随后相关部门就“自评估报告内容的准备是否充分”、“数据接收方的保护水平”两方面的具体事项进行评估。最后,正常情况下评估结果有效期为2年,若过期或违反规定则需重新评估。

蔡律师讲解了“数据出境安全评估”与“个人信息保护影响评估”的区别。他指出两者的流程与条件不同,前者强调自评估与权威机构的介入,后者则强调企业自身的做法;并从立法目的、适用范围和评估内容等方面讲解不同。

个人信息保护影响评估的评估重点涉及处理目的与合法性基础、告知与同意、数据全生命周期、个人权利响应和安全保障措施四方面,结合具体内容进行讲解。

最后,陈立彤律师结合目前不断完善清晰的数据出境立法和近期的热点案例进行了补充,强调了数据跨境流转的合规问题中硬核数据团队的优势。随着中国对数据立法的不断完善,跨国经营者不仅要面临欧盟一直以来GDPR的监管压力,还要增加对中国法律合规的意识,同时专业的事应当交由专业的律师来完成,跨境传输中涉及到的很大一部分内容是对数据出境目的地的法律以及保护力度进行评估,而这样的工作一方面需要对本土的法律有很高的熟悉度,另一方面还需要有当地工作的优势,才能准确掌握最佳实践。否则可能会出现对合规要求的理解过当,导致浪费企业资源的情况,比如对欧盟法律理解不透彻时,要求企业在欧盟多个国家设立多个数据保护代表,事实上一般情况下一个就足够了,设立多个无疑增加了不必要的负担。因此也欢迎更多的数据合规从业同仁与我们跨境硬核数据团队共同交流。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 李学勇:独孤九剑,商业再设计的武学总诀式

    李学勇:独孤九剑,商业再设计的武学总诀式

    2022-07-26 13:32

  • 博物馆的奇妙夜

    博物馆的奇妙夜

    2022-07-25 12:16

  • “平民省长”给我的印象  ——记宁波中学校友沈祖伦几件小事

    “平民省长”给我的印象 ——记宁波中学校友沈

    2022-07-25 09:40

  • ​  ATFX获“全球最佳经纪商”奖,加快推进金融科技创新发展

    ​ ATFX获“全球最佳经纪商”奖,加快推进金融

    2022-07-22 17:09