欧盟的《通用数据保护条例》(GDPR)对数据主体提出了更为充分的权利保障,对数据控制者提出了更为严格的限制。在数据转移问题上,GDPR提出了数据跨境的一般原则,任何正在处理或打算在转移给第三国或国际组织后处理的个人数据的转移,包括从第三国或国际组织向另一个第三国或另一国际组织转发个人数据,管理者和处理者都应遵守一定的条件,以保证自然人不受损害。据此,GDPR提出了充分性认定机制,对于欧盟向第三国转移数据的问题做出了原则性规定。对于数据流转国而言,充分性认定机制的提出,将对欧盟成员国以及第三国的数据保护问题提出新的挑战。各国都在探讨数据保护体系、数据保护系统执行机制,就该层面而言,数据问题则得到了前所未有的重视,而我国也应以此为契机,积极寻求数据保护机制的效用最大化。
一、GDPR有关数据跨境的制度设计
GDPR有关数据跨境的制度主要集中于第五章(个人资料转移给第三国或国际组织)。对于欧盟成员国而言,个人数据可以自由流动,没有限制。
从欧盟到第三国的数据转移,以适足性、充分性作为首要参考。欧盟数据保护委员会如果能够确保第三国对相关数据有适当的保护水平,则对其数据转移不需要任何特定的授权。但是在其他情形下,数据保护委员会必须对第三国或其他相关组织的数据保护水平加以评估,评估项目包括如第三国的法治和人权保障及基本自由、公共当局获得转移数据的情况、数据保护当局的存在和有效职能、与保护个人数据有关的国际承诺和其他义务等在内的相关元素。
很明显,在数据跨境问题中,数据的流转以充分性机制作为基准,在第三方国家数据保护水平与相关体系达到充分性的要求时,即为数据提供国提供了必要的保障。
充分性认定机制固然占据重要地位,虽然属于数据转移的首要考察因素,但不是唯一关注点。据GDPR相关条文,在数据转移环节中,如果没有充分性认定,则第三国应对转让的数据提供一定的保障措施。诸如具有约束力的公司规则、合同条款、经认证的第三方认证等,但是这些相关机制必须得到委员会或国家数据保护局等主管当局的批准。
退而求其次,如果第三国不能提供相应的保障措施,则可采取列举只允许有限的数据传输减损清单的手段,诸如数据主体同意的转移,为了数据主体利益实行的必要转移以及为了公共利益实行的转移等情形。
值得注意的是,根据GDPR第45条有关充分性、适足性的相关规定,可明确充分性认定机制正处于逐渐完善的发展趋势,其以GDPR的应用与施行作为跳板,获得相关的实践经验,不断地审查自身并完成更新。而GDPR 也以充分性认定机制为辅助,进一步明确数据保护以及数据跨境流转不再是简单的数据保护环节的建设与巩固,而是欧盟相关数据立法的核心需求。
二、GDPR的充分性保护认定机制
欧盟数据保护机构WP29工作组曾发布关于向第三国转移个人数据的工作文件——WP12。WP12文件虽然对从欧盟向外跨境转移数据的相关问题加以规制,但是随着GDPR的制定以及生效,WP12文件的相关指令以及指导意见则面临重新被审议的局面,部分机制需予以明确。正因为如此,WP29工作小组制定了新的关于充分性认定的文件,通过建立必须存在于第三国法律框架中的核心数据保护原则,进而向欧盟委员会和WP29工作小组提供指导,以评估第三国和国际组织的数据保护水平,在数据转移语境下,确保数据接收国以及相关组织与欧盟数据保护框架的基本对等。
在数据流转中,充分性认定机制等价于第三方国家或其他相关组织的法治建设、人权保障甚至于数据保护当局的基本职能以及执行机能等相关因素的水平。法治建设以及人权保障,体现了一个国家立法建设的水平高低。而数据保护当局的职能以及执行水平,则是第三方国家以及相关组织良好执法能力的体现,是高度自由的集中。
欧盟委员会做出充分性认定的目的是正式确认第三国或国际组织的数据保护水平基本上等同于欧盟的数据保护水平。在充分性认定过程中,不仅需要考虑适用于转移给第三国或国际组织的个人信息规则的内容,还需要制定适当的制度确保这些规则的有效性,采用有效的执法机制对数据保护规则的有效性施以保护。
GDPR第45条第(2)款明确指出在进行充分性认定时,欧盟委员会应当将以下因素纳入考虑范围:1.委员会应考虑法治,尊重人权和基本自由,相关立法,独立监督机构的存在和有效运作情况以及第三国或国际组织已签订的国际承诺。2.数据保护原则以及确保规则有效适用的执法机制。
将充分性认定机制的相关要求实质化,即目标国应当依照合理、公平以及合法的方式处理数据,同时提供基础合法性的证明。数据处理的目的应明确,并符合一定的质量与比例原则,且数据的保存不应当超过个人数据处理目的所需的必要时间。目标国在进行数据处理时所采取的处理方式,应当能够确保个人数据的安全,并应当以清晰易懂、简洁、透明和可理解的形式向数据主体展示个人数据处理的所有主要内容。就数据主体权利保障而言,充分性认定机制要求数据主体应有权获得、改正、删除以及拒绝在第三国法律框架确立的特定条件下处理其数据。但是,上述两种要求均存有例外情形,如GDPR第23条规定的情形:为了保护刑事调查、国家安全、司法独立和司法程序或其他与公众利益有关的重要目标。
此外,欧盟发布的关于充分性认定机制的具体文件,提出了另一重要原则——限制转移原则,要求数据的转发接收者应受到规则的约束,且转移数据主体的数据保护水平不得因转发而受到损害。数据的第一接收者应该有责任确保在没有充分性决定的情况下提供适当的保护措施,且此类数据传输应仅限于有限和特定的目的以及遵循相关的法律依据。
对第三国数据保护执行机制,则要求其主要具备以下几点必备要素:1.确保目标国设有独立监督机构,以确保或强制相关数据处理组织的处理行为遵守第三国的数据保护等基本条款。2.须确保数据保护系统具有良好的合规性。3.具备问责制,以保证监督与追责制度的完备。4.数据保护机关必须为个别数据主体提供支持和帮助。
除一般类别数据的流转规制外,对于特殊类别数据的转移,应具有一定的特殊性,具体情况具体分析。对特殊的数据而言,应采取特定的保障措施,在数据分析行为可能对数据主体产生严重影响时,转移行为则只能在第三国法律框架确定的特定条件下进行。
三、GDPR与英国-欧盟数据保护协定
在英国脱欧后,英国将被视为第三国,其数据保护相关机制可能需要做出改变。据此,英国提出与欧盟签订数据保护协定的主张。较于充分性认定机制,英国认为,具有法律约束力的条款是更为有利的选择。
与充分性认定机制相比较而言,数据保护协定似乎具有多层面的优势,单方面的充分性认定机制不能对双方施加义务,也不会对数据保护过程中可能产生的挑战积极应对,进而对数据保护机制产生建设性的改变。相比之下,具有法律约束力的协议可能会尽可能避免消极因素对数据处理流程的干扰。就宏观层次而论,数据保护协定以双方的意志以及观点作为基准,而充分性认定机制则仅基于欧盟一方的独立评估。实际上,英国作为欧盟曾经的成员国之一,其一直具备欧盟级别的数据保护立法水平,故而对英国适用充分性认定机制并非是最优选择。
数据保护协定在很大程度上可以提高法律的确定性、稳定性和透明度,进一步加强与欧盟在执法和调查等方面的合作,最大程度保护公民权益,并为欧盟企业节省运作成本并提高流程运行效率。
1.法律确定性、稳定性以及透明度的提高
具有法律约束力的协议将赋予一定程度的法律确定性和稳定性,这种确定性保护了企业以及相关消费者的权益,数据的流转过程以及流转规则如果具有较强的不确定性,企业的数据流将面临中断等干扰因素。有效的义务协定文本,将不确定环节加以规制,继而确定问题的争议解决机制,商定了较为完备的数据问题处理流程,尽量减少在法律问题发生时,对企业的数据流转问题造成激烈的影响。
法律确定性的提高,也将为欧盟公民和企业提供透明度,相关机制的明确,政府以及数据保护机构应对数据挑战的模式以及方式也将更为确定。数据保护以及数据事故的应急机制越完备,欧盟与英国数据保护机构之间的密切监管合作也将得以被有效执行,在不断的挑战模式中,数据治理机制逐渐趋于完备,双方将逐渐寻求到数据关系中的制高点。此外,鉴于现代经济的可预测性,且稳定数据流所具备的重要性,英国同时具有大规模的数据流量,欧盟的经济将获得巨大的价值。
2.加强执法以及调查等方面的合作
GDPR以最大程度保护个人数据的安全为核心,充分性认定机制的提出则为数据保护提供了更为坚实的壁垒。对欧盟公民而言,关于数据安全的担忧日益突出,欧盟公民期待政府可以正确地、有效地保护他们的数据。欧盟和英国之间巨大的个人数据流量,涉及公民生活中非常广泛的领域。鉴于此,二者之间则需要保持一定程度的监管合作,合作应尽量避免程序和处理问题相关机制的重复性以及过分复杂性,力求保持简单以及必要性,最大程度保障欧盟公民的权利救济,消除公民在行使权利方面面临的困难。对于跨境执法而言,欧盟与英国签订明确的协定条文,建立更为高效的国际合作机制,很大程度上促进了双方的有效执法,实质上进一步强化了双方的合作水平。
3.简化欧盟企业运作流程,节约成本
欧盟监管机构与英国数据委员会的合作,简化了数据处理的环节。此外,在数据处理中,英国信息监管机构(ICO)将提供英国的专业知识,更全面、更有效和更快速的调查。在节省成本的同时,为欧盟企业提供更高效的处理流程。欧盟与英国达成的数据保护协定,将双方的权利义务规制在具有法律约束力的协议中,同时将ICO这一机构的职能保留在数据保护的一站式服务中,这就意味着欧盟公司只需与单一监管机构就影响欧盟和英国的违规行为进行交涉。
除上述三大优势,来自ICO的资源以及专业知识也为欧盟相关的监管机构带来益处。ICO作为欧洲最大的数据保护机构,在欧盟数据相关工作中占有大比例的份额,作为独立监管机构,ICO拥有大额的交付记录,是国际相关机构中具有影响力的成员,具有高度权威性。双方密切的监管合作将有助于欧盟持续获取相关的优越资源、专业知识,并持续推动解决未知挑战的方案。
四、结语
欧盟的GDPR,在数据保护层面,衍生了里程碑式的借鉴意义。数据的流转,对企业、国家以及国民生活的进一步发展,具有一定的影响力。数字市场的构建,依赖于数据安全有效的流转以带动经济的发展,有效且完备的数据流转规则,保障了每一个国家以及社会主体在数字中公平获得利益的权利。
充分性保护认定机制的提出和细化,对欧盟向境外第三国及相关组织转移数据提供了壁垒似保障。依据欧盟与英国达成的数据保护协定,对充分性认定应采取客观的态度加以分析。在特定情形下,尤其是面对如英国,拥有较强的数据保护能力,较为完备的数据保护体系之下,充分性认定的适用是否应当予以变通,值得思考。从公民权利的角度出发,充分性认定的决策可能无法提供具有法律约束力协定的优势,它为欧盟公民行使权利带来更好的结果,降低了数据流中断的风险。
在数据保护能力方面,无论是充分性认定机制,还是数据保护协议,均不会影响欧盟自身的数据保护立法的能力,也不会影响欧盟的决策自主权。英国以尊重欧盟机构接受欧盟法院管辖的事实为基础,双方达成良好共识进而实现数据的最优化利用。新规则的适用引导对数据跨境制度进行详细且深度的研讨,如何在对数据控制者以及流转国实行有效规制的同时,不阻碍自身未来关于数据保护法律的决策权。
欧盟逐渐开发对数字化市场的关注,力求在数字空间内营造安全、高效的数据治理框架。GDPR对一般性的数据处理做出了原则性规定,而跨境数据流动作为其中的一个章节,实质上也处于在实践中不断吸取经验的阶段。充分性认定机制也正处于逐渐完善的发展趋势,根据GDPR第45条有关充分性、适足性的相关规定,充分性认定机制以GDPR的应用为跳板,来获得相关的实践经验,不断地审查自身并完成更新。
(本文刊登于《中国信息安全》杂志2018年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
