Contributors
Related Core Practices
Get legal insights delivered to your inbox.
最近,一些知名的中国跨国企业因与中国总部共享个人数据而在境外受到处罚和起诉。中国企业/机构需要注意,即使其海外关联企业与中国总部共享其客户关系管理系统 (CRM)等,也必须遵守相关的外国法律。这类法律的一个典型例子是欧盟的《通用数据保护条例》(GDPR),中国企业/机构在欧洲的关联企业与中国总部共享欧洲个人数据(包括在欧洲的中国公民的个人数据)时必须遵守该条例。然而,除欧洲外,其他国家和地区也存在类似的法律需要遵守。
出于国际贸易或合作的考虑,将个人数据从欧洲经济区 (EEA) 的关联企业传输至中国总部通常至关重要。这些关联企业在其业务运营过程中可能需要将个人数据传输至欧洲经济区 (EEA)以外的国家/地区(包括中国)(例如,您与位于欧洲经济区 (EEA)以外的业务合作伙伴或供应商共享个人数据)。
《通用数据保护条例》(GDPR)包含针对此类转移的具体要求,您必须遵守这些要求,以避免遭受处罚和诉讼的风险。《通用数据保护条例》(GDPR)旨在通过这些要求,确保转移的个人数据获得与欧洲经济区 (EEA)内部同等的保护。
中国企业什么时候需要遵守将个人数据转移到欧洲经济区 (EEA) 以外的法律要求?
当一家企业或机构(无论是数据控制者还是数据处理者)就其数据处理行为受《通用数据保护条例》(GDPR) 约束,而该企业或机构(数据控制者或数据处理者)通过传输或其他方式向另一企业/机构(数据控制者或数据处理者)披露个人数据,同时该另一企业/机构位于欧洲经济区 (EEA)以外的国家/地区或为国际机构,那么这家企业需要遵守将个人数据转移到欧洲经济区 (EEA) 以外或共享到欧洲经济区 (EEA)以外的法律要求。
例如,一家中国跨国企业的海外子企业与其中国总部共享欧洲个人数据时,需要遵守将个人数据转移到欧洲经济区 (EEA) 以外或共享到欧洲经济区 (EEA)以外的法律要求。
如何合法地将个人数据转移到欧洲经济区(EEA)以外?
简而言之,个人数据只能在符合《通用数据保护条例》(GDPR)规定的条件的情况下转移到欧洲经济区(EEA)以外。
首先,企业需要遵守《通用数据保护条例》(GDPR)的一般规则。例如,您仍然需要确保拥有适当的数据处理法律依据;实施必要的安全措施;仅处理此特定处理活动所需的个人数据(数据最小化原则)等。如果个人数据接收者充当数据处理者,您仍然需要签订合同很好保护数据。
而且,企业需要遵守《通用数据保护条例》(GDPR)的将个人数据转移到欧洲经济区 (EEA) 以外或共享到欧洲经济区 (EEA)以外的法律要求。这些要求如下:将个人数据传输至非欧洲经济区(EEA)国家或国际机构可能基于充分性决定,或者,如果缺乏此类决定,基于适当的保障措施,包括个人可行使的权利和法律救济。在缺乏充分性决定或适当保障措施的情况下,《通用数据保护条例》(GDPR)在某些情况下也允许豁免。
基于充分性决定的数据传输
如果欧盟委员会正式确认某些非欧洲经济区(EEA)国家或国际机构的数据保护水平与欧洲经济区(EEA)的保护水平基本相当(做出充分性决定),则欧洲个人数据可以传输到该些非欧洲经济区(EEA)国家的其他企业或机构,而无需提供进一步的保障措施或遵守与国际传输相关的附加条件。
迄今为止,欧盟委员会尚未认定中国提供了充分的隐私保护水平,欧盟委员会只认定以下国家提供了充分的隐私保护水平:
• 安道尔、
• 阿根廷、
• 加拿大(商业机构)、
• 法罗群岛、
• 根西岛、
• 以色列、
• 马恩岛、
• 日本、
• 泽西岛、
• 新西兰、
• 韩国、
• 瑞士、
• 英国、
• 美国(参与欧盟-美国数据隐私框架的商业机构)、
• 以及乌拉圭。
如果您将欧洲个人数据共享至中国以外的其他地方,请监控与此类传输相关的充分性决定是否仍然有效,且是否处于撤销或失效阶段。
请注意,充分性决定并不妨碍个人提出投诉,也不妨碍隐私监管机构 (DPA) 行使《通用数据保护条例》(GDPR) 赋予的权力。
基于适当保障措施的数据传输
在缺乏充分性决定的情况下,企业/机构也可以就接收个人数据的企业/机构提供适当保障措施的情况下传输个人数据。此外,个人必须能够行使自己的权利并获得有效的法律救济。
要是企业使用以下措施,您可以在缺乏充分性决定的情况下将个人数据传输至非欧洲经济区(EEA)国家(包括中国):
•标准合同 (SCC);
• 具有约束力的企业规则 (BCR);
• 行为准则;
• 认证机制;
• 临时合同条款。
此外,企业和机构在将个人数据传输至欧洲经济区(EEA)以外时,除了这些适当的保障措施外,可能还需要提供补充措施,以确保传输的数据获得与其在欧洲经济区(EEA)内享有的保护水平基本相同的保护。
标准合同 (SCC)
个人数据接收者及数据输出者可以签署标准合同 (SCC)来将个人数据传输至非欧洲经济区(EEA)国家(包括中国)。
标准合同 (SCC) 是一套标准化合同, 被许多企业/机构广泛使用。
标准合同 (SCC)涵盖以下传输场景:
• 一个数据控制者将个人数据传输给另一个数据控制者;
• 一个数据控制者将个人数据传输给一个数据处理者;
• 一个数据处理者将个人数据传输给另一个数据处理者;
• 一个数据处理者将个人数据传输给一个数据控制者,其中数据处理者位于欧盟境内,而数据控制者位于第三国。
根据 标准合同 (SCC),个人通常为标准合同 (SCC) 的第三方受益人。标准合同 (SCC) 还规定了个人作为第三方受益人的权利受到侵犯时,其获得损害赔偿的权利。标准合同 (SCC)还规定了进行“传输影响评估”的要求,评估内容应记录传输的具体情况、目的地国家/地区的法律以及为保护个人数据而采取的额外保障措施。 标准合同 (SCC)还规定了就公共机构访问所转移数据,个人数据接收者的义务,例如向数据输出者提供信息和质疑非法数据访问请求的义务。
具有约束力的企业规则 (BCR)
企业集团可以制定及遵守具有约束力的企业规则 (BCR)来将个人数据传输至非欧洲经济区(EEA)国家(包括中国)。
具有约束力的企业规则 (BCR) 适用于位于欧洲经济区 (EEA) 内外的企业集团内部交换个人数据,尤其适用于进行大量数据传输的跨国企业集团。
企业规则 (BCR)是企业集团采用的内部规则,规定了其个人数据传输的全球政策。这些规则必须具有约束力,所有集团实体(无论其所在国家/地区)都必须遵守。此外,这些规则必须明确赋予个人在个人数据处理方面可行使的权利。
要获得隐私监管机构 (DPA) 对企业规则 (BCR)的 批准,必须满足一系列条件。
行为准则
行为准则是行业性的,由代表不同类别行业的协会制定。必须建立一套认证机构体系,监督行为准则的遵守情况。
认证
欧洲个人数据可以传输至已获得认证机构或欧洲经济区(EEA)隐私监管机构 (DPA)认证的机构。
临时合同条款
如果数据控制者或数据处理者决定不使用欧盟委员会的标准合同,他们可以自行起草合同条款及签署。在任何数据传输之前,此类临时合同条款必须获得欧盟国家隐私监管机构 (DPA)的授权。
豁免的数据传输
根据《通用数据保护条例》(GDPR)(第49条),在包括以下情况下,可以进行一次(或一系列)的非常态的数据传输:
- 个人明确同意;
- 为履行个人与企业/机构(数据控制者)之间的合同或应个人要求采取的合同前步骤所必需;
- 为履行企业/机构(数据控制者)与他人之间为个人利益而签订的合同所必需;
- 出于重要的公共利益原因所必需;
- 为提起、行使或辩护合法索赔所必需;
- 在个人因身体或法律原因无法给予同意的情况下,为保护相关个人或其他人的切身利益所必需;
- 基于企业/机构(数据控制者)迫切的合法利益。
基于豁免的数据传输,必须进行“必要性测试”。该测试要求评估个人数据的转移是否对于特定目的而言是必要的。
基于豁免的数据传输还需要符合以下要求,
• 转移非重复性(不会定期进行类似的转移);
• 仅涉及有限数量个人的数据;
• 对于企业/机构迫切的合法利益而言是必要的(前提是此类利益不会被个人利益所凌驾);
• 受到企业/机构为保护个人数据而采取的适当保障措施的约束(根据对转移相关所有情况的评估);以及
• 非由公共机关在行使其公共权力时进行。
企业/机构也需要将数据转移事宜告知相关的隐私监管机构 (DPA),并向个人提供补充信息。
基于豁免的数据传输不能成为常态,只在特定情况下进行。
要点
欧洲隐私监管机构在调查或投诉后发现传输的数据没获得与其在欧洲经济区(EEA)内享有的保护水平基本相同的保护,将暂停或禁止数据传输。为避免外国监管机构的处罚和诉讼风险,中国企业需要采取措施,遵守外国关联企业与其总部或中国境内其他方共享客户及其他人员个人信息的相关外国法律。
.png)
