最近一段时间,用户数据安全成为国内互联网行业的热门话题,监管机构不断发声,相关政策密集出台,一些行业内的头部企业也因数据合规问题受到监管关注,并将为此付出巨额合规成本,给后来者们上了一堂深刻的数据合规警示课。
作为在个人隐私及数据保护方面的先行者,欧盟对于用户数据的保护力度之大,十分值得国内借鉴,前者在数据保护方面走过的路,就是国内将要走的路。今天我们就以欧盟最新出台的用户数据保护措施为切入点,以期一窥国内用户数据保护的未来政策走向。
当地时间6月4日,欧盟委员会正式通过两项关于个人数据转移的标准合同条款(SCC,格式化的、已获官方认可的数据保护条款,涉及数据处理的机构或个人,在自愿基础上,可以将标准合同条款直接加入涉及数据转移的合同中,达到便捷落实GDPR等欧盟数据保护政策的目的),对“数据控制者与处理者之间的分工”、“个人数据跨境转移”提出更细致的要求,这体现出《欧盟一般数据保护条例》(简称GDPR,2016年5月24日生效,并于2018年5月25日正式实施)的最新要求以及欧盟法院的最新裁决态度,通过此次更新,欧盟希望能为欧盟居民提供更高水平的个人信息保护。这些新的工具将会在保障数据自由传输的基础上,为在欧盟境内开展业务的企业和个人提供更多合规方面的可预见性,帮助中小企业实现更加安全的数据传输。
本次新增的标准合同条款,其创新之处主要体现在:
- 通过本次更新,以达到与GDPR的规定相一致的效果;
- 将一系列的数据传输情形集中规定,免去繁杂的分散条款;
- 通过以下方式为复杂的数据处理链条提供更多灵活性:一是“模块化的方式”直接添加进现有的合同,无需对合同其他条款进行调整;二是使超过两方以上的主体均适用合同条款成为可能;
- 为准确适用欧盟法院作出的Schrems II案判决(爱尔兰数据保护专员 诉 Facebook(Ireland)、Maximillian Schrems数据传输案,C-311/18号案件,2020年7月16日欧盟法院作出裁决,否定了“欧盟-美国隐私盾”作为数据控制者向美国转移欧盟居民个人数据的依据,肯定了SCC作为落实欧盟数据保护政策和GDPR的作用,同时明确仅仅依靠签署SCC来使数据出境合法化是不够的)提供实用性的工具手段。例如,全面审视公司为满足Schrems II案判决而需要采取的措施,需要采取的类似数据加密等补充性措施。
欧盟强调,对于目前仍在使用旧版标准合同条款的欧盟居民数据控制者和处理者,欧盟将给予其18个月的过渡期。
- 数据控制者与处理者之间的分工条款
- 一般规定
- 不可擅自修改标准条款。作为欧盟官方推出的标准合同条款,旨在帮助合同签订双方(数据的控制者和处理者)在数据的传输和处理上合规。采用该标准条款的双方,不得擅自修改该标准条款的内容,只能在标准条款的附件部门增加或更新双方的信息,当然,合同双方可以在不违背或不予标准条款相冲突的前提下,增加一些额外的数据保护内容规定。
- 标准条款的效力位阶高于其他条款。当双方签订的合同中存在与标准条款相冲突的情况时,标准条款优先适用。
- 双方的权利义务
- 数据处理指令来源特定
数据处理者必须严格按照数据控制者的书面指令处理数据,除非欧盟法律或所在国法律提出新的数据处理要求,即使在这种情况下,数据处理者应在按照新要求处理数据前,在不违背公共利益的情况下,及时将新的数据处理要求告知数据控制者。在数据处理的过程中,数据控制者可以给出新的书面指令。
在执行指令的同时,如果数据处理者认为数据控制者的指令构成对欧盟指令或法律或成员国法律的违反,应立即告知数据控制者。
- 数据处理目的特定
数据处理者应严格按照被要求的数据处理目的开展工作,除非收到数据控制者新的书面指令。
- 数据处理的周期
数据处理工作只能在协议约定的时间周期内开展。
- 数据处理的安全问题
数据处理者必须至少执行协议约定的技术和组织措施来确保所处理的公民数据的安全,这些措施包括当面临数据泄露时,避免导致公民个人数据被意外或非法的破坏、灭失、篡改、未经授权的披露或获取。在评估合适的安保等级时,数据控制者和处理者应考虑以下因素:最前沿的安保技术,实施的成本,处理数据的特性、范围、内容和目的,伴随的风险。
只有当严格出于协议执行、管理和监管的目的,数据处理者才能向其成员开放处理过程中的数据。数据处理者应当确保有权限接触数据的人员遵守保密协议或者严格遵守法定的保密义务。
- 敏感数据的处理
对于涉及到种族、政治观点、宗教、工会、基因数据或生物数据等可以用于识别特定个人的信息,健康信息、性取向、犯罪记录等信息,数据处理者应予以更加严格的保护。
- 及时归档和合规
数据处理者应能及时、准确地回应数据控制者关于处理中数据的相关问询。
数据处理者应向控制者开放所有必要的信息,用于证明其合规履行了欧盟相关的合规政策规定,并配合控制者开展相应的审计工作。
- 数据处理的转包
方式1:事前明确授权。在未获得数据控制者的事前明确授权下,数据处理者不得进行分包。如果数据处理者确实需要对数据处理进行分包,应按照双方的约定,提前向数据控制者提交申请和详细的理由说明。获得许可的分包商名单可见数据控制者与处理者的合同附件,该名单应保持更新。
方式2:一般授权。数据处理者得到一般授权,从约定的名单中选择分包商进行合作。但如果数据处理者需要对约定的名单进行调整,则需要按照约定提前向数据控制者提交申请和详细的理由说明。
数据处理者与分包商须订立书面合同,分包商须尽到与数据处理者一样的数据保护义务。
应数据控制者的要求,数据处理者应及时将转包协议及补充协议提交数据控制者。
数据处理者应对分包商的工作表现承担责任。
数据处理者应与分包商约定第三方受益条款,当出现数据处理者履约不能、注销或破产清算的情况时,数据控制者应有权终止与分包商的合作关系并要求其销毁或返还获取的个人信息。
- 跨境数据传输
只有收到数据控制者的书面指示或应欧盟法律或所在成员国法律的要求时,数据处理者才能将数据跨境传输至第三国或国际性的组织。
此外,条款对于“数据处理者给予数据控制者的协助”、“数据泄露的告知”、“违约责任及协议终止”也作了相应的约定。
- 数据跨境转移条款
- 一般规定
- 不可擅自修改标准条款。作为欧盟官方推出的标准合同条款,旨在帮助合同签订双方(数据的控制者和处理者、数据的处理者和处理者)在数据的传输和处理上合规。采用该标准条款的双方,不得擅自修改该标准条款的内容,只能在标准条款的附件部门增加或更新双方的信息,当然,合同双方可以在不违背或不予标准条款相冲突的前提下,增加一些额外的数据保护内容规定。
- 标准条款的效力位阶高于其他条款。当双方签订的合同中存在与标准条款相冲突的情况时,标准条款优先适用。
- 双方权利义务
双方的权利义务部分,欧盟给出了四种可能的情形,分别是“模块1:数据控制者传输至数据控制者”“模块2:数据控制者传输至数据处理者”“模块3:数据处理者传输至数据处理者”“模块4:数据处理者传输至数据控制者”。
针对这4种情形,又分别具体约定了“数据的保护措施”“分包商的使用”“数据当事人的权利”“赔偿责任”“监管”“地方法律和司法实践对合规履行条款的影响”“当政府部门获得数据权限时,数据进口商的责任”“违约责任和合同终止”“法律适用”“争议解决方式和管辖地约定”等内容。
- 对国内的启示
跨境数据安全流动已经成为国内不可忽视的话题。
从行业监管的角度,近些年我国在跨境数据转移和交换方面的立法脚步逐渐加快,在中国开展业务的跨境数据巨头们,被要求在中国建立数据存储中心,将来自中国的数据留在中国;计划走出去的互联网独角兽们,被要求将国内获取的数据列为“非卖品”,不得将数据作为获得境外投资的筹码。
接下来,建议官方制定相应的合规条款,要求跨境业务合同双方采纳,从立法者和执法者的角度,对跨境数据行业的从业者提出合规要求,这样既可以提供明确的合规指引,起到普法的作用,也可以相对降低从业者的合规成本。
从行业从业者的角度,我们一方面要遵守业务开展国的相关跨境数据合规要求,一方面可以考虑将欧盟、美国等地的合规要求引入到国内的数据合规体系建设中,从集团总部层面建立系统化的跨境数据业务合规体系,为将来国内可能出现的合规新要求提前做好准备。
参考文献:
- Standard contractual clauses for controllers and processors in the EU/EEA:https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors
- Standard contractual clauses for international transfers:https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en
粤公网安备 44030402004251号