文/朱悦
随着《通用数据保护条例》(GDPR)的执行迈入深水区,数据合规的一些老问题,今天终于要迎来一个了断。其中包括个人数据的跨境传输。具体来说,随着爱尔兰等地数据当局即将颁布有关数据跨境传输的决定,需要做好从境外向境内传输个人数据通常不满足充分性要求的合规准备。仅就GDPR而言,合规手段无非就是工具、克减或者例外。无论哪一类手段,都有独特的优势,也有明显的局限。需要在调整合规思维的同时,通过组合两类手段有效管理风险。
GDPR要求数据受保护的程度不能因为跨境传输而下降。也就是说,需要在跨境传输中保障个人数据保护的充分性。如果欧盟认定一个法域的数据保护制度整体而言具备充分性,数据向这一法域跨境传输,不需要再做额外的合规工作;反之,如果确实需要向一个不具备充分性的法域跨境传输数据,要么设法补足充分性的要求,要么设法论证相应的数据处理活动适用充分性保护的克减,从而无需补足,要么设法论证相应的数据处理活动属于GDPR适用范围的例外。
首先,是采用GDPR设置的合规工具,包括标准合同条款、约束性公司规则、行为守则和认证机制等六项。都是熟知的内容。如果采取工具后仍然不能满足充分性要求,可以通过开展更加细致的传输影响评估、实施针对性弥补风险的补充措施来进一步加以补足。这一合规思路已经相对成熟。尽管如此,从Meta等相关案例可以看到:如果不具备充分性的原因主要在于欧盟对域外制度的不认可或不信任,在企业层面采取工具、评估和补充措施的意义通常十分有限。
其次,是论证充分性克减的适用。如果能够论证,虽然依然需要履行GDPR下的其他义务,但跨境传输的相关义务大大简化。论证克减的主要问题在于,克减只能用于支撑偶发且有限的跨境传输。对于一部分场景,克减十分有用;对于经常性且包含一定体量数据的跨境传输,论证克减需要承担相当的风险。
最后,是论证GDPR适用范围的例外。或者是个人和家庭事务例外,或者是不属于文档系统例外,或者是匿名化例外。前两种例外都只有在相当特殊的情况下才有可能论证成功,只说实践中有意义的第三种。当前,在GDPR下得到认可的匿名化主要有三种。一是若干正确实施的隐私增强技术,如差分隐私。二是若干大幅降低数据信息量和颗粒度的处理,如一定量级以上的汇总。三是在跨境传输等具体场景中得到认可的一些方案。并非不可能,也不苛刻,但不容易。
综之,每一种合规手段都有独特的优势,也都有明显的局限。借助工具开展跨境传输有着诸多成熟实践可供参考,但对特定法域来说,很可能根本上就不可能由此补足充分性;论证克减开展跨境传输在一些场景中十分方便,实践比较成熟,但通常无法支撑对企业经营来说最核心的处理活动;论证匿名化开展跨境传输对风险的规避最为彻底,但论证的不确定性最强、实施的难度最大,欧盟其他数字立法持续引入的非个人数据跨境传输充分性要求也是比较大的变数。
由此,在涉及从欧盟向国内,包括从其他国家和地区向国内传输个人数据和其他数据时,需要逐渐转变合规思维。法律规定终于明晰、合规难题终于“了断”以后,跨境传输风险的存在与否、敞口大小和暴露位置,同样十分明确。风险不能彻底消除,将会始终存在,只能有效管理。没有完美的单一合规手段,只有稳健的合规手段组合。用工具兜底整体的风险,用克减滤除偶发的风险,再用匿名化或高程度的假名化巩固核心处理活动的防护,是值得深入探讨的架构。
声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。