歐盟國際數據傳輸新規挑戰我國數據報送制度

　　對外經濟貿易大學數字經濟與法律創新研究中心執行主任 許可

　　科文頓·柏靈律師事務所  羅嫣 於智精

　　在歐盟法院於7月作出Schrems II案件判決後，能否以及如何通過「標準合同條款」(SCCs)向歐盟以外國家傳輸個人數據，成為懸而未決但又亟待解決的問題。

　　本周，歐洲數據保護委員會（「EDPB」）和歐盟委員會根據案件裁定相繼發布了兩份針對國際數據傳輸的建議草案（「建議草案」），以及《歐盟標準合同條款》（「SCC」）草案。建議草案包含兩部分內容，分別為（1）《關於補充傳輸機制以確保遵守歐盟個人數據保護標準的建議》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）以及（2）《針對監控措施的關於歐盟重要保障的建議》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures）。建議草案意見徵集截止日期為2020年11月30日。SCC草案公開徵集意見的截止日期為2020年12月10日。鑑於上述文件對我國的重大影響，我們先綜述其重要內容，並嘗試著作出簡要評析。

　　一、《關於補充傳輸機制以確保遵守歐盟個人數據保護標準的建議》

　　在該建議草案中，EDPB為需要從歐盟向第三國跨境傳輸個人數據的機構提出了六個步驟：

　　（1）數據提供方應通過記錄和梳理以了解掌握它們的數據傳輸情況，例如，歐盟境外的數據處理者向其本國或者第三國的其他數據處理者傳輸數據的情況。

　　（2）數據提供方應明確數據傳輸所使用的傳輸機制，包括充分保護認定（adequacy decision），《歐盟通用數據保護條例》（「GDPR」）第46條下的傳輸機制，或者GDPR第49條下特殊情況的「豁免」規定。

　　（3）如果數據提供方使用GDPR第46條所規定的傳輸機制（比如SCC），數據提供方應評估該機制是否在第三國提供了與歐盟「實質等同」的數據保護水平。（歐盟法院在Schrems II中制定了第三方國家數據保護應與歐盟保護水平「實質等同」的原則）。EDPB稱上述評估應通過盡職調查以及詳細文件記錄作為支撐。此外，EDPB強調該評估應關注第三國對於向政府披露個人數據或者賦予政府訪問個人數據權力（例如刑事執法、監管以及國家安全目的）的法律。EDPB還強調該評估應基於公開發布法律及其他信息，包括相關案例和實踐。EDPB在《針對監控措施的關於歐盟重要保障的建議》的草案中詳細列出了判斷第三國政府是否有正當理由獲得或訪問個人數據而不損害GDPR第46條傳輸機制的要點。

　　（4）如果在上述第3步的評估中發現GDPR第46條的傳輸機制無效，數據提供方應與數據接收方合作，採取補充措施以確保向第三國的傳輸的數據可以獲得與歐盟 「實質等同」的數據保護水平。EDPB考慮到了補充措施可能包括通過合同、技術或者組織措施，並且強調了技術措施的重要性。該建議草案的附錄2中詳細列出了在不同情況下可採取的補充措施的相關指南。

　　（5）為確保有效補充措施的執行，數據提供方應採取相關流程步驟。例如在採取與SCC相衝突的補充措施前，數據提供方應當從有關歐盟監管機構處獲得授權。

　　（6）數據提供方應與數據接收方合作以按照適當的時間間隔重新評估接收數據的第三國的情況變化。若數據接收方違反 GDPR 第46條所要求的傳輸機制或者數據接收方無法履行相關義務，或補充措施在該第三國無效時，數據傳輸應當立即暫停或終止。

　　二、《針對監控措施的關於歐盟重要保障的建議》

　　該建議草案明確了四項「歐盟重要保障」。其要求相關方必須遵守該等四項保障以確保對隱私權和個人數據的保護符合歐盟法院及歐洲人權法院的判例所要求的標準，並且在民主社會中是必要而適當的。這四項「歐盟重要保障」是：

　　（1） 數據處理應當基於清晰、準確和公開的規則；

　　（2） 所採取的措施必須是為了達到合理目的而必要且適當的，並需要說明該措施的必要性和適當性；

　　（3） 應當具備獨立的監督機制；以及

　　（4） 數據主體應獲得有效的救濟。

　　當數據提供方評估第三方國家是否具備與歐盟基本相同的數據保護標準時，數據提供方應評估第三方國家賦予政府訪問和要求披露數據的權力的法律是否滿足上述「歐盟重要保障」。因此，「歐盟重要保障」是數據提供方根據《關於補充傳輸機制以確保遵守歐盟個人數據保護標準的建議》步驟三中所述的數據跨境影響評估的基礎。 

　　三、《歐盟標準合同條款》草案

　　歐盟委員會發布的SCC草案內容涉及新的法律責任，賠償條款，適用法律和執行等問題。其中，根據GDPR中數據傳輸的情形和接收方，草案列出了適用於（1）數據控制者至數據控制者的傳輸；（2）數據控制者至數據處理者的傳輸；（3）數據處理者至數據處理者的傳輸；（4）數據處理者至數據控制者的傳輸的幾種情況。現在SCC草案還處於公開徵集意見階段，最終版本預計將會在2021年初發布。

　　四、對我國的影響與因應

　　一旦上述草案生效，歐盟向我國基於「標準合同條款」(SCCs)的數據傳輸必將面臨重大挑戰，這是因為，我國企業向政府報送個人數據的實踐恐難滿足上述歐盟「重要保障」的要求。

　　首先，我國企業數據報送所依據的法律位階有待提升。在歐盟，作為一項基本權利，對個人數據權利的限制必須以高位階規範——法律方可作出。與之不同，在我國，通過行政法規、部門規章，甚至規範性文件向企業調取數據的情形屢見不鮮。例如，交通運輸部《網絡預約出租汽車監管信息交互平臺運行管理辦法》要求網約車平臺公司，應向部級平臺傳輸駕駛員相關許可信息、訂單信息、經營信息、定位信息、服務質量信息等運營數據。

　　其次，我國企業數據報送的規則過於原則，往往導致難以滿足必要性和適當原則。例如，《電子商務法》第28條規定電商平臺應向稅務部門報送平臺內經營者的「身份信息」和「與納稅有關的信息」，涵蓋範圍過於廣泛。

　　最後，我國企業數據報送並未規定防止濫用或非法使用或傳輸的保障措施、存儲期限和適用的保障措施、對數據主體權利和自由產生的風險以及數據主體被告知限制的權利。此外，我國缺乏統一的個人信息保護機構，獨立的監督機制亦付之闕如。

　　總之，在現有制度架構下，我國政府機關調取企業數據的措施與歐盟要求相去甚遠。在《個人信息保護法》制定的關鍵時期，建議增加相應條款，確立報送數據的合法性原則、比例原則、保密性原則、正當程序原則以及相關法定程序，並通過統一的監管機構為個體提供充分、順暢的救濟渠道。這不但便於我國與歐盟之間的數據傳輸，更有助於提升我國個人信息保障水平，最終增進人民的福祉。

本文首發於微信公眾號：數字經濟與社會。文章內容屬作者個人觀點，不代表和訊網立場。投資者據此操作，風險請自擔。

（責任編輯：季麗亞 HN003）