欧盟-美国 “隐私盾”废止,对中国企业涉欧跨境数据传输影响几何?

来源:中伦律师事务所

文章摘要
一、欧盟-美国 “隐私盾”废止案件判决评述 当地时间2020年7月16日,欧盟法院(CJEU)颁布了“Schrems II”案的判决,正式宣布欧盟-美国有关个人数据的隐私盾协议(EU-US Priva

一、欧盟-美国 “隐私盾”废止案件判决评述
当地时间2020年7月16日,欧盟法院(CJEU)颁布了“Schrems II”案的判决,正式宣布欧盟-美国有关个人数据的隐私盾协议(EU-US Privacy Shield)无效。该判决不仅是对欧盟与美国之间数据流动的规制,同时也会对从欧盟向其他国家/地区的数据跨境传输产生深远的影响。
欧盟法院认为,美国基于国家安全等目的进行的政府监控项目(基于美国的《外国情报监控法》及相关修正案,“Foreign Intelligence Surveillance Act”)允许政府收集外国人用户相关信息,对于监控实施的限制有限且不明确,不满足严格必要(strictly necessary)以及与目的成比例(proportional)的要求。隐私盾缺乏对于该等情形的特殊规定,美国企业即使加入隐私盾,其接收的欧盟用户的个人数据依然可能会基于政府监控项目而被美国政府机构处理,同时美国并未向欧盟数据主体提供可以实际行使的数据权利,也并未赋予其相应的司法救济手段, 欧盟居民无法在美国获得与欧盟境内同等的充分保护(adequate protection),违反了《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)。(判决全文请点击阅读原文浏览)
根据GDPR第五章的规定,除了包含“隐私盾”机制在内的充分性认定之外,另外两种合规的跨境传输机制主要包括数据传输方和数据接收方签署的标准合同条款(Standard Contractual Clause,SCC)以及有约束力的公司规则(Binding Corporate Rules, BCRs)。其中,BCRs主要适用于大型跨国企业在企业内部的数据跨境流通。对于与欧盟境内企业、个人数据主体存在数据交互的中国企业而言,最普遍适用的传输机制则为SCC。
该案判决中虽未否定SCC的效力,但提出公司应当基于个案对数据跨境传输活动进行审核,确保数据接收方所在国家/地区的法律能够为欧盟个人数据提供充分的保护,不会在实质上违反SCC中的约定。如果发现数据接收方所在国家/地区的数据保护法律无法充分保护欧盟个人数据,传输双方必须采取额外的安全措施或者停止传输。这意味着SCC将逐渐从纸面落实到具体的实践中,且与数据接收方所在国家的法律环境直接关联,需要数据传输双方尽到更为严格的审核和安全保证责任。
二、该案对中国企业涉欧跨境数据传输的影响及启示
对于涉及GDPR项下数据跨境传输的中国企业而言,通常作为数据接收方存在,我国并不属于具备充分性认定的国家,企业通常采用SCC作为传输机制,我国相关法律是否会被认为无法达到充分保护的水平暂未明确。在目前复杂多变的国际局势下,我们提示企业可通过以下方式做好准备:



  • 基于合作和数据传输的具体情况,配合传输发起方评估自身的数据安全能力、我国适用法律法规及政府机构对于个人数据的访问及限制情形,以及对于数据主体权利的保障和救济措施,论证是否需要采取额外措施以保证SCC的有效实现;

  • 密切关注欧盟及美国监管机构及业界的后续应对、欧盟可能做出的其他决定(包括对SCC的更新)等,并结合商业实践合理考虑各项应对路径,包括但不限于达成GDPR对于零星数据跨境传输的豁免(包括另行征得用户的同意等要件的论证)、数据本地化、根据欧盟当局的动态更新SCC、建立BCR;

  • 梳理已有的数据跨境传输活动,分析本地对特定领域的数据跨境传输可能存在的上报、评估以及应对政府监管等要求,结合全球数据保护愈加严格的趋势,设计综合的跨境数据传输合规方案;

  • 提升企业自身的数据合规水平及安全能力,积极协助欧盟客户及合作方的各项要求等。

技术驱动法律,专业成就未来