欧盟、英国、中国跨境传输自评估制度实务对比!(附跨境标准汇编)

来源:iLaw合规

文章摘要
编者按 数据出境是近几个月来我国数据合规领域监管的热点问题,在实务中每个月都会有新的实务需求以及落地经验的涌现。
编者按
数据出境是近几个月来我国数据合规领域监管的热点问题,在实务中每个月都会有新的实务需求以及落地经验的涌现。针对这个常谈常新的热点话题,本篇文章主要从中国与域外跨境传输自评估的法律实践出发,围绕五大要点进行对比分析,并通过实务案例梳理企业数据出境自评估落地的实务要点,以期帮助企业明晰个人数据跨境传输中欧盟、英国以及我国相关的规定,确保企业的合规性经营。
目录索引

要点对比一:跨境传输自评估制度背景
要点对比二:评估数据传输情况
要点对比三:评估第三国数据安全环境
要点对比四:采取补充保护措施
要点对比五:重新评估

要点对比一:跨境传输自评估制度背景
1. 欧盟TIA
Schrems II案裁决:2020年7月16日,欧盟法院在Schrems II案(C-311/18)裁决中确立数据控制者/处理者应酌情与数据接收方合作,核实目的地第三国的法律是否对根据标准合同条款转移的个人数据提供充分保护。其中特别值得注意的是,欧盟法院裁定隐私盾不再是保护欧盟主体个人数据的有效方式,但认为SCC仍然是数据跨境传输的有效安全措施。
EDPB的建议:2021年6月18日,欧盟数据保护委员会(EDPB)发布《Recommendations01/2020onmeasuresthatsupplementtransfertoolstoensurecompliancewiththeEUlevelofprotectionofpersonaldata》(《关于补充数据传输工具的 01/2020号建议》)。该文件确立了 TIA的实施步骤与评估因素,提供了详尽的合规步骤路线图以供企业参考,提出了总共六个步骤用以确定数据输出方是否需要采取补充措施,以助企业能够合法地将数据传输到欧洲经济区之外。
新版SCC的要求:2021年6月7日,欧盟委员会通过了新的标准合同(Standards Contractual Clauses,以下简称为“SCCs”),其中要求数据输出方与输入方必须保证他们“没有理由相信目的地第三国适用于数据输入方处理个人数据的法律和惯例......会阻止数据输入方履行其在这些条款下的义务”,既体现了《通用数据保护条例》(“GDPR”)的新要求,也将法院Schrems II判决考虑在内,以确保对公民数据实现高水平的保护。
2. 英国TRA
2021年8月,英国信息专员办公室(ICO)发布了:
英国版SCC:国际数据转移协议草案(International Data Transfer Agreement,简称IDTA);
SCCs附录:欧盟委员会新标准合同条款的英国增编附录(Addendum to new SCCs);
跨境转移风险评估工具草案(Draft International Transfer Risk Assessment and Tool,简称TRA)
为英国独立运行自己的数据保护制度、为开展跨境传输风险评估提供指导。但 TRA不具自强制性,企业也可以自由使用自己的方法来评估风险。
3. 中国自评估
2022年7月7日,国家发布《数据出境安全评估办法》,并已于2022年9月1日正式生效,明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定。
2022年8月31日,国家网信办发布《数据出境安全评估申报指南(第一版)》并于当天生效,指导和帮助数据处理者规范、有序申报数据出境安全评估。
要点对比二:评估数据传输情况
欧盟、英国、我国自评估均聚焦于数据的种类、范围、处理方式及处理数据双方的具体信息等,注重信息处理的最小化(必要性)、合法性、透明性原则。
1. 欧盟TIA
处理活动的描述
【数据主体的类别、个人数据的类别、处理目的、类别等信息,确保数据传输遵循合法性、正当性、必要性】
了解详细且完整的数据链
【所有可能的目的地及继续转移的情况】
2. 英国TRA
数据传输应符合数据最小化、安全性、合法性及透明性原则。
评估时需记录的内容:
A.数据输入方/数据输出方/后续处理者的身份、所在地;
B.数据的数量、类别、处理方式、范围、目的、传输方式、主体类别;
C.数据输入方在法律之外受到的专业或其他规则的约束;
D.数据输入方的技术或组织等安全措施;
E.传输数据的格式;
F.数据输入方/其他接受者访问数据的时限;
G.数据转移的频率。
3. 中国自评估
数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。
出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。
要点对比三:评估第三国数据安全环境
我国对第三国数据安全评估的要求并未像英国与欧盟具体列举第三国环境的有利或不利因素,对自评估填写给予了充分的自由,旨在令国家数据安全监督部门确信数据在第三国可以得到充分保护即可。
1. 欧盟TIA
需分析具体数据传输情况、第三国政府干预的相称性,以及核验第三国法规必须评估的点为:
第三国政府是否可以通过立法、实践或报告的先例,在数据输入方知情或不知情的情况下寻求访问数据。
第三国政府是否能够根据其可支配的立法、法律权力、技术、财政和人力资源以及报告的先例,通过电信提供商或通信渠道访问数据。
从欧盟TIA的规定来看,其TIA 更多的是在评估第三国的数据安全保护程度,如果评估结果显示选择的跨境转移工具无法保障数据在第三国可以得到充分保护,便需要采取额外的补充措施,确保数据得到全面保护。
2. 英国TRA
英国TRA将对第三国数据安全环境的评估分为两步,A评估通过可进入B,否则应采取补充保护措施:
A:评估IDTA的合同保障措施在目的国是否具有可执行性
B:评估数据传输对数据主体的潜在影响、风险和危害,例如:
目的地国家对第三方访问数据/监控的监管制度;
第三方获得数据/监控的可能性;
第三方访问引起的对数据主体造成的伤害的风险。
从英国TRA的规定来看,企业做TRA的本质是为了在数据跨境流动之前,需要先做一个详细的限制性转移的检查评估,考虑所有限制性转移的情形,以此来判断IDTA的签署是否真正能使个人数据传输到数据进口方后仍然能获得其在英国时获得的相关保护措施足够相似的保护。
3. 中国自评估
评估数据出境中、出境后遭到篡改、破坏泄露、丢失、转移或者被非法获取非法利用等的风险,个人信息权益维护的,道是否通畅等;
评估境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况。
综合以上规定,可以看出我国的数据出境自评估的内容既包括了传统PIA 的要求,也涵盖了欧盟 TIA 和英国TRA 的主要规则,实际上是一个相对比较完整全面的评估模式。实务中,在起草自评估报告时,一方面,需要考虑数据采集、出境的合规性,包括是否获得相应的同意、是否签署协议等;另一方面,也需要对境外接收方的所在国家/地区的数据保护制度给予充分的了解,保证数据跨境传输工作合规有序开展。
要点对比四:采取补充保护措施
我国《数据出境安全评估办法》规定了数据传输双方合同中应包含的要点,从合同角度确保数据传输的安全性。但鉴于目前我国不管从立法层面或是执法层面都处于起步阶段,对于不同的境外国家如何判定数据保护保护水准以及哪些情况需要采取补充保护措施,在国家指引的层面暂时还没有明确规定。
1. 欧盟TIA
如果评估结果显示选择的跨境转移工具无法充分保障向第三国传输的数据则需酌情采取相关补充措施确保数据得到全面保护;
通常技术措施才能确保数据得到全面保护,合同与组织措施建议作为补充;
在确定选择何种补充措施时,可以考虑因素包括不限于:传输数据的格式,数据的性质,数据处理流程的长度和复杂性,参与处理的行为者的数量、关系,第三国法律环境评估情况,数据在第三国向其他第三国进行传输的可能。
2. 英国TRA
在评估IDTA在目的国的可执行性,以及数据传输对数据主体的潜在影响、风险和危害后,如认为未达到安全性标准,应采取补充保护措施;
跨境转移风险评估工具草案(Draft International Transfer Risk Assessment and Tool)中详细列举了相关额外措施的类型,以及对应措施减少风险的有效性等级。
3. 中国自评估
数据处理者与境外接收方的法律文件至少应包含如下数据安全保护责任义务:
境外接收方发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他难以保障数据安全的不可抗力情形时,应当采取的安全措施;
违反数据安全保护义务的补救措施、违约责任和争议解决方式;
出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
要点对比五:重新评估
1. 欧盟TIA
需监测数据在第三国的流转与发展情况,建立健全的机制,确保在数据输入已违背或无法履行GDPR第46条转移工具中的承诺或补充措施在该第三国失效时,能够及时暂停或终止数据转移。
2. 英国TRA
英国的SCC模板中对重新评估审查的频率给予了一定选择,例如,当数据为一次性转移,数据接收方不保留任何转移的数据时,可以选择不审查;
双方亦可以自行选择重新评估审查的频率。
3. 中国自评估
通过数据出境安全评估的结果有效期为2年,从自评估结果出具之日计算,在有效期届满60个工作日前重新申报评估。在有效期内出现特定情形之一,数据处理着应当重新申报评估:
向境外提供数据发生实质性变化;
境外数据安全保护政策认规和网络安全环境发生变化、数据处理者/境外接收方实质控制权变化、法律文件变更、发生其他不可抗力情形等影响数据出境安全;
发生其他影响出境数据安全的情形。
技术驱动法律,专业成就未来