欧盟国际数据传输新规挑战我国数据报送制度

对外经济贸易大学数字经济与法律创新研究中心执行主任 许可

科文顿·柏灵律师事务所 罗嫣 于智精

在欧盟法院于7月作出Schrems II案件判决后，能否以及如何通过“标准合同条款”(SCCs)向欧盟以外国家传输个人数据，成为悬而未决但又亟待解决的问题。

本周，欧洲数据保护委员会（“EDPB”）和欧盟委员会根据案件裁定相继发布了两份针对国际数据传输的建议草案（“建议草案”），以及《欧盟标准合同条款》（“SCC”）草案。建议草案包含两部分内容，分别为（1）《关于补充传输机制以确保遵守欧盟个人数据保护标准的建议》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）以及（2）《针对监控措施的关于欧盟重要保障的建议》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures）。建议草案意见征集截止日期为2020年11月30日。SCC草案公开征集意见的截止日期为2020年12月10日。鉴于上述文件对我国的重大影响，我们先综述其重要内容，并尝试着作出简要评析。

一、《关于补充传输机制以确保遵守欧盟个人数据保护标准的建议》

在该建议草案中，EDPB为需要从欧盟向第三国跨境传输个人数据的机构提出了六个步骤：

（1）数据提供方应通过记录和梳理以了解掌握它们的数据传输情况，例如，欧盟境外的数据处理者向其本国或者第三国的其他数据处理者传输数据的情况。

（2）数据提供方应明确数据传输所使用的传输机制，包括充分保护认定（adequacy decision），《欧盟通用数据保护条例》（“GDPR”）第46条下的传输机制，或者GDPR第49条下特殊情况的“豁免”规定。

（3）如果数据提供方使用GDPR第46条所规定的传输机制（比如SCC），数据提供方应评估该机制是否在第三国提供了与欧盟“实质等同”的数据保护水平。（欧盟法院在Schrems II中制定了第三方国家数据保护应与欧盟保护水平“实质等同”的原则）。EDPB称上述评估应通过尽职调查以及详细文件记录作为支撑。此外，EDPB强调该评估应关注第三国对于向政府披露个人数据或者赋予政府访问个人数据权力（例如刑事执法、监管以及国家安全目的）的法律。EDPB还强调该评估应基于公开发布法律及其他信息，包括相关案例和实践。EDPB在《针对监控措施的关于欧盟重要保障的建议》的草案中详细列出了判断第三国政府是否有正当理由获得或访问个人数据而不损害GDPR第46条传输机制的要点。

（4）如果在上述第3步的评估中发现GDPR第46条的传输机制无效，数据提供方应与数据接收方合作，采取补充措施以确保向第三国的传输的数据可以获得与欧盟 “实质等同”的数据保护水平。EDPB考虑到了补充措施可能包括通过合同、技术或者组织措施，并且强调了技术措施的重要性。该建议草案的附录2中详细列出了在不同情况下可采取的补充措施的相关指南。

（5）为确保有效补充措施的执行，数据提供方应采取相关流程步骤。例如在采取与SCC相冲突的补充措施前，数据提供方应当从有关欧盟监管机构处获得授权。

（6）数据提供方应与数据接收方合作以按照适当的时间间隔重新评估接收数据的第三国的情况变化。若数据接收方违反 GDPR 第46条所要求的传输机制或者数据接收方无法履行相关义务，或补充措施在该第三国无效时，数据传输应当立即暂停或终止。

二、《针对监控措施的关于欧盟重要保障的建议》

该建议草案明确了四项“欧盟重要保障”。其要求相关方必须遵守该等四项保障以确保对隐私权和个人数据的保护符合欧盟法院及欧洲人权法院的判例所要求的标准，并且在民主社会中是必要而适当的。这四项“欧盟重要保障”是：

（1） 数据处理应当基于清晰、准确和公开的规则；

（2） 所采取的措施必须是为了达到合理目的而必要且适当的，并需要说明该措施的必要性和适当性；

（3） 应当具备独立的监督机制；以及

（4） 数据主体应获得有效的救济。

当数据提供方评估第三方国家是否具备与欧盟基本相同的数据保护标准时，数据提供方应评估第三方国家赋予政府访问和要求披露数据的权力的法律是否满足上述“欧盟重要保障”。因此，“欧盟重要保障”是数据提供方根据《关于补充传输机制以确保遵守欧盟个人数据保护标准的建议》步骤三中所述的数据跨境影响评估的基础。

三、《欧盟标准合同条款》草案

欧盟委员会发布的SCC草案内容涉及新的法律责任，赔偿条款，适用法律和执行等问题。其中，根据GDPR中数据传输的情形和接收方，草案列出了适用于（1）数据控制者至数据控制者的传输；（2）数据控制者至数据处理者的传输；（3）数据处理者至数据处理者的传输；（4）数据处理者至数据控制者的传输的几种情况。现在SCC草案还处于公开征集意见阶段，最终版本预计将会在2021年初发布。

四、对我国的影响与因应

一旦上述草案生效，欧盟向我国基于“标准合同条款”(SCCs)的数据传输必将面临重大挑战，这是因为，我国企业向政府报送个人数据的实践恐难满足上述欧盟“重要保障”的要求。

首先，我国企业数据报送所依据的法律位阶有待提升。在欧盟，作为一项基本权利，对个人数据权利的限制必须以高位阶规范——法律方可作出。与之不同，在我国，通过行政法规、部门规章，甚至规范性文件向企业调取数据的情形屡见不鲜。例如，交通运输部《网络预约出租汽车监管信息交互平台运行管理办法》要求网约车平台公司，应向部级平台传输驾驶员相关许可信息、订单信息、经营信息、定位信息、服务质量信息等运营数据。

其次，我国企业数据报送的规则过于原则，往往导致难以满足必要性和适当原则。例如，《电子商务法》第28条规定电商平台应向税务部门报送平台内经营者的“身份信息”和“与纳税有关的信息”，涵盖范围过于广泛。

最后，我国企业数据报送并未规定防止滥用或非法使用或传输的保障措施、存储期限和适用的保障措施、对数据主体权利和自由产生的风险以及数据主体被告知限制的权利。此外，我国缺乏统一的个人信息保护机构，独立的监督机制亦付之阙如。

总之，在现有制度架构下，我国政府机关调取企业数据的措施与欧盟要求相去甚远。在《个人信息保护法》制定的关键时期，建议增加相应条款，确立报送数据的合法性原则、比例原则、保密性原则、正当程序原则以及相关法定程序，并通过统一的监管机构为个体提供充分、顺畅的救济渠道。这不但便于我国与欧盟之间的数据传输，更有助于提升我国个人信息保障水平，最终增进人民的福祉。

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。