安全合规--39--基于欧美法律法规的企业隐私合规体系建设经验总结(三)_隱私安全合規
赞
踩
本博客地址:https://security.blog.csdn.net/article/details/104173551
本篇介绍:以恰当的合规机制实现数据跨国传输
本篇为第3篇/共5篇
上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二)
下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四)
引子
在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,积攒了较为丰富的隐私合规建设经验,由于公司业务主要是面向欧美市场,因此隐私合规体系也更注重适配欧美法律法规,本系列即以欧美法律法规为基准,来探讨我是如何搭建起公司隐私合规体系的。
一、三重障碍
从一个法域向另一个法域传输数据之前,企业必须要跨越如下三重障碍:
1、遵守所在法域关于收集或以其他方式在当地处理个人数据的规定;
2、有正当的依据向另一数据控制者披露数据或者通过合同限制数据接收者仅能够处理数据;
3、确保数据接收者采取的数据保护达到充分水平。
1.1、障碍一:本地合规
要求对任何数据的收集和处理活动采取保护措施。在欧洲,这包括各类的形式工作(如告知数据主体、进行政府申报、指定数据保护官、准备数据安全文件等),也包括实质措施(如最小化数据处理范围和数据保留期限、确保数据准确和安全、准许权利人数据访问等)。
1.2、障碍二:披露限制
要求数据传输存在正当依据,无论是否涉及跨国问题。也就是说企业必须论证其信息披露的合法性,尽管这种披露一般是禁止的。
1.3、障碍三:限制向欧洲经济区外传输数据
企业必须确保接收数据的国家或公司在数据保护方面达到充分水平。
欧盟委员会认定的数据保护方面达到充分水平的司法管辖区包括:安道尔、阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、美国(如果数据接受者适用欧盟-美国隐私盾项目)、日本。欧洲经济区内的企业可以向这些国家和地区自由传输数据,如同在欧洲经济区一样。
简单介绍一下欧盟-美国隐私盾项目:
具体介绍请阅读下一小节。
对于像中国这样的第三类国家,欧洲经济区内的企业有多种备选方式寻求突破数据跨国传输的限制:
1、潜在风险已经通知数据主体,且获得数据主体的明示同意;
2、证明数据跨国传输属于履行企业与数据主体所签合约义务之必要条件或属于保护数据主体利益之必要条件;
3、证明数据跨国传输是基于保护公共利益的重要理由;
4、证明数据跨国传输是为了建立、行使或抗辩法律主张;
5、证明数据跨国传输是为了保护数据主体或他人的重大利益;
6、证明数据跨国传输符合欧盟委员会颁布的标准合同条款;
7、证明数据跨国传输符合集团企业规则;
8、证明数据跨国传输符合依据欧盟统一数据保护条例批准的行为准则。
1.4、附:欧盟-美国隐私盾项目介绍
根据欧盟GDPR,只有当第三方国家通过欧盟认可达到为个人数据提供充分保护的要求时,才允许将欧盟公民个人信息转移、存储到该国进行处理。而美国采取行业分散保护机制,并不符合欧盟的要求,但鉴于欧盟与美国频繁的贸易往来,对个人数据的跨境流动需求极大,欧盟于美国通过国际协定折中解决制度间障碍,设立了欧美之间的数据流动特殊通道。
通道一:安全港协定(已失效)
具体不多赘述,2013年美国监控丑闻曝光后,欧盟成员国数据保护机构开始质疑安全港协定的合法性,并在2015年10月,欧盟法院判决安全港协定无效。
通道二:隐私盾协议
2016年2月2日欧美双方达成隐私盾协议,隐私盾协议实质上是欧洲委员会和多个美国高级官员之间的行政协议,主要包括三部分,分别是隐私盾原则、有关美国商务部具体举措和仲裁事项的两个附件,以及来自联邦贸易委员会、运输部、国家情报总监办公室、国务院、司法部的五封信。
该项目是为了协调欧洲与美国这两个法域在隐私法上存在的巨大差异,由欧盟委员会与美国商务部基于欧洲数据保护法而制定的。大多数美国企业均可加入该项目。
隐私盾协议要求接受欧盟个人数据的美国企业必须满足相应的隐私保护特权,可以通过两种方式获得权限:一是选择与美国商务部达成一个含有示范性条款的合同,采用包含隐私盾协议的企业规则,二是选择与单独的欧洲公民达成明晰的知情同意书。
如果美国企业违反隐私盾原则或其隐私声明,美国联邦贸易委员会可以采取强制执行措施,美国商务部可以将企业开除出隐私盾项目,欧洲数据保护机关可以要求企业履行合作义务,民事原告还可以把企业告到法院。
隐私盾协议的主要表现如下:
1、企业承担更严格的数据保护义务;
2、监管机制更有力;
3、规范对象更广泛;
4、为欧洲公民提供了更多的救济途径。
二、突破数据跨国传输限制的各种方式
2.1、获得数据主体同意
从数据主体即数据指向的个人处获得有效同意之后,企业可以解决跨国数据传输和其他任何数据处理活动的限制。三个障碍中的任何一个都可以通过获得数据主体的有效同意得以解决。但是,同意的做出只有在满足自愿、明确、知情的条件时才有效,而且数据主体可以随时任意的撤回同意。
2.2、基于合同义务或法定要求
除了寻求数据主体的同意外,企业可以与数据主体签订合同。在某些情况下,企业还能够借由法定义务使数据传输获得合法性。
2.3、签订包含标准合同条款的数据传输协议
若欧洲经济区外的企业与欧洲经济区内的企业达成协议,在合同中承诺遵守欧盟委员会批准的标准合同条款,则该企业对个人数据的保护被视为是充分的。
需要注意的是,企业不得以任何直接或间接的方式修改欧盟标准合同条款或减损数据主体获得其个人数据受到保护的权利。但是企业可以在不影响欧盟委员会对个人数据保护有效充分认定的情况下,订立其他合同和标准合同条款的补充内容。
也就是说,这个合同是欧盟委员会批准的标准合同,不能自己起草和修改,所有公司都签这个合同,但可以添加一些附加条款。
涂鸦即使用这种做法,先在德国注册独立的公司实体,然后该实体与中国总部签订跨国数据传输合同,该合同是欧盟委员会批准的标准合同,无需自己起草和修改。
如果数据处理者(指欧洲经济区外的,涂鸦中国总部)想把这些欧洲传来的个人数据传输给分包商(如提供登录验证码服务的武汉极验),则处理者(涂鸦中国总部)必须获得数据控制者(德国涂鸦公司)的书面同意,基于相同的合同条款与分处理者(武汉极验)签订合同并适用数据控制者所在地的法律。数据处理者(涂鸦中国总部)还要为任何分处理者(武汉极验)的作为或者不作为,对数据控制者和数据主体承担无限连带责任。数据处理者必须把所有外包合同列成一张清单,允许数据主体、数据控制者、监管数据控制者的数据保护机关查询该清单和外包合同。数据主体有权根据本地法在本地法院起诉合同中的任何一方当事人。
2.4、基于集团企业规则
对于集团内的数据传输,跨国企业集团可以选择遵守集团企业规则,即提交一份保证在集团企业内部确保遵守欧洲数据保护法的文件或制度陈述。
2.5、总结
欧盟数据跨境流动的主要方式
| 通过方式 | 适用情形 | 相关要求 |
|---|---|---|
| 白名单机制 | 一般情况 | 通过审查确认进口方式所属国达到欧盟数据保护要求 |
| 采用标准合同 | 如果进口方所属国未达到欧盟数据保护要求 | 采用欧盟颁布的标准合同文本 |
| 制定具有约束力的企业规章制度 | 企业内数据的跨境流动 | 一是申请欧盟境内数据监管机构作为其主管机构 二是通过欧盟数据监管机构审核 三是执行严格的监督机制 |
| 为保护公共利益、个人合法权益等 | 例外情况 | 一是为公共利益进行的数据跨境流动 二是如果某一权益事关数据主体或其他人的切身利益,即使数据主体不具备给予同意的能力,也可进行数据传送 三是数据控制者合法权益优先 |
| 经批准的认证机制、封印或标识 | 公共机构之间的数据转移活动 | 包括获得批准的认证机制,以及第三国控制方或处理方为应用相应保障实施而做出的、有约束力且可强制执行的承诺 |
| 成员国对某些特殊情况做出的另行规定 | 特殊情况 | 包括数据主体已给予明确同意,而数据传送又是偶尔为之,且对于合同或法律索偿来说是必要的,涉及公共利益的重要理由要求进行数据传送等 |
三、合规机制对比
从欧洲向域外传输个人数据的合规机制比较
| 话题 | 数据主体同意、履约必要性 | 基于标准合同条款的数据传输协议 | 欧盟-美国隐私盾认证 | 集团企业规则 |
|---|---|---|---|---|
| 是否对各国的数据保护机关具有约束力 | 否。各国的数据保护机关可以质疑数据主体的同意以及企业与数据主体所签合同的条款、形式表现、接受机制等 | 是。但是各国数据保护机关可以审查协议附件 | 是 | 须经过当地数据保护机关批准。目前,有些欧洲经济区成员国接受这种方式。GDPR生效后,集团企业规则在整个欧洲经济区均有效力 |
| 地理范围 | 无限制 | 无限制 | 仅适用于从欧洲经济区向美国传输个人数据的行为和美国企业接收到该数据后向第三国再传输的行为 | 无限制 |
| 实质范围 | 无限制 | 无限制 | 无限制 | 仅适用于数据在集团内互相传输,不适用于数据在企业与客户、供应商等之间的传输 |
| 再传输 | 无限制 | 数据的第三方接收人也必须签署标准合同条款 | 数据的第三方接收人必须也获得该隐私盾认证,或者签署合格的再传输协议,或者以其他合规方式确保数据的充分保护 | 取决于经数据保护机关批准的集团企业规则的具体内容 |
| 准据法和管辖权 | 未规定 | 数据出口人所在地的法律和司法机关 | 服从美国法律和司法机关,受联邦贸易委员会监管,员工数据必须配合欧洲经济区数据保护机关的监管 | 取决于经过数据保护机关批准的集团企业规则的具体内容 |
| 数据出口人必须遵守 | 数据出口人所在地法律 | 数据出口人所在地法律 | 数据出口人所在地法律 | 数据出口人所在地法律 |
| 除所在地法律外,数据进口人必须遵守 | 其在隐私通知中做出的承诺(作为进口人的合同义务) | 数据出口人所在地法律 | 欧盟-美国隐私盾原则 | 集团企业规则 |
| 灵活性 | 高 | 无 | 无 | 低–无事先设定的条款,但保护机关在批准过程中采纳的标准较高 |
| 实施时间、成本 | 极低(通过在线方式实施时尤为低) | 低(协议模板通常无无需修改即可采用,但是必须要填写附件内容) | 中(自我评估、撰写通知) | 高(需要保护机关批准) |
| 维护成本 | 通常来说极低(情况有变化时需要更新) | 极低(情况有变化时需要更新附件) | 中(每年要进行再次认证和再次自我评估) | 极低(除非情况有变化时必须要重新申请政府批准) |
| 公共关系利弊 | 均无 | 均无 | 有待观察 | 公布集团企业规则可能给企业带来公关影响,尤其是当规则被专家们研读时 |
| 是否有助于向客户销售服务 | 否 | 是 | 是 | 如果客户依赖于集团企业规则,则有可能 |
四、执行
4.1、基于数据主体同意的数据传输
有效的同意必须满足数据主体自由、知情、明确且以书面形式作出的条件。通常以电子邮件的方式或者点击接受同意书的方式来满足书面形式的要求。
4.2、基于法定义务或合同义务的数据传输
如果决定基于履约必要性或法律必要性使个人数据传输合法化,那么必须确认相关的合同或法律确实导致必要性。企业可以影响某些合同义务的创设,以支持履约必要性。
4.3、基于标准合同条款的数据传输
决定采用标准合同条款使跨国数据传输合法化,必须采用不可更改的合同范本,并补充关于企业自身和数据的具体信息。数据传输协议签署后,一旦情况有变,签署双方必须修订协议,必要时还须执行补充协议。
4.4、依据欧盟-美国隐私盾认证的数据传输
这个就不做介绍了,主要是针对的双边关系是美国公司和欧洲法律。
4.5、基于集团企业规则的数据传输
采用集团企业规则包括如下步骤:
1、梳理数据流、数据库,列出企业集团内的数据控制者和处理者(不适用于非关联企业间的数据传输);
2、起草集团企业规则的初稿。草案可以参考数据保护机关已经批准的少数先例。
3、提交申请书,请求批准。
4、确定集团企业规则的适用范围:是仅针对于来自欧洲居民的个人数据,还是覆盖来自全球所有的个人数据。
五、关于数据跨境传输
1、最严级别例如印度,采取完全禁止本国数据出境,也就是说,本国的数据必须保存在本国境内的存储设备上,他国跨境公司想要进入本国市场,就必须在本国境内建立数据中心以存储本国公民数据。
2、第二级别例如俄罗斯、澳大利亚等,采取禁止特定数据出境。呈现这种本地化形态的国家只要求特定类型的数据留在境内。
3、第三级别例如欧盟、韩国等,他们规定只要数据满足法律规定的条件,就可以自由出境。这种情况下达到数据出境的条件分为两种,一种是需要进行安全评估后方可跨国传输,另一种是需要征得数据主体同意后方可出境。
本篇介绍:以恰当的合规机制实现数据跨国传输
本篇为第3篇/共5篇
上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二)
下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四)
