标签归档:个人数据

后Schrems II时代,SCC模式下数据跨境的“蜀道”

噫吁嚱,危乎高哉!蜀道之难,难于上青天!

——李白(唐),《蜀道难》

各国法律中对数据的本地化与跨境的规定是最能影响企业跨国经营策略的内容之一。无论是外企根据中国《网络安全法》《个人信息保护法(草案)》中的本地化与跨境制度进行合规,或是中国企业使用欧盟《通用数据保护条例》(“GDPR”)中“数据跨境工具箱”,都会对企业的IT架构与经营模式造成深远的影响。

一、后Schrems II时代的标准合同条款

在GDPR的诸多跨境合规方案中,中国企业普遍采用签署标准合同条款(“SCC”)的方式确保从欧洲向中国跨境传输合法合规。但是,SCC的效力在2020年7月欧盟法院“Schrems II”案判决后受到了挑战,一时间让包括中国在内的大多数国家从欧洲向本国传输数据面临巨大的不确定性。

“Schrems II”案更为直接的后果是导致美国与欧盟之间的“隐私盾”协议失效,严重影响美国企业从欧洲获取数据。以至于美国司法部、商务部以及国家情报总监办公室在2020年9月共同发布白皮书,试图说明美国现行法律中有关情报机构获取数据的隐私保障措施。

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,会让中国总部与欧洲子(分)公司签署多份SCC,虽然增加了合同管理的难度,但除此之外很难找到更好的解决方案。

二、SCC的具体场景

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,中国总部与欧洲子(分)公司之间签署多份SCC。

中国企业使用SCC,一个场景是用于企业内部数据跨境传输,将欧洲子公司、分公司、合资公司收集的数据传输中国。虽然GDPR为企业内部的数据跨境传输设置了“有约束力的公司规则”(Binding Corporate Rules)机制,但这一机制成本较高,且需要通过欧洲当地数据保护机关认证,目前尚没有中国企业采用此种方式进行跨境数据传输。因此企业内部通常会使用SCC来确保数据跨境传输的合法性。

中国企业使用SCC的另一场景,是在与欧洲企业合作的过程中,因为可能涉及欧洲境内居民个人信息,所以欧洲企业要求与中国企业签署SCC。

相较于第一个场景仅涉及企业内部数据传输,第二个场景下中国企业使用SCC所面临的合规压力更为迫切,我们已经遇到有欧洲企业要求与之签署SCC的中国企业说明中国有关部门获取企业的情况,作为“Schrems II”案后确保SCC效力的合规措施。

三、答复逻辑与素材

GDPR在数据跨境领域的一个基本逻辑是数据接受国的数据保护水平应当与欧盟大致相同,因此如果国家(地区、行业)能够取得充分性认定,则可以与欧盟之间自由地传输数据,如日本、智利、以色列等国。但包括美国、英国、中国、俄罗斯等绝大多数国家难以通过充分性认定,所以才会选择SCC作为替代方案,但新机制又要求企业对数据接收国立法、司法水平进行评估,实在是有些勉为其难。

“Schrems II”案的关键在于政府部门从企业获取欧洲居民数据的能力,这种能力不仅停留在法律条文的纸面,也体现于法律条文的实践,以及是否有相应的程序能够阻却政府违法获取数据。根据欧盟数据保护委员会(“EDPB”)新发布的标准,中国几乎不可能通过充分性认定,也难以被认定可以达到与欧盟基本同等程度的保护程度。

但是根据我们的经验,中国企业在面临欧洲合作方(数据提供方)问询时,仍然可以准备一些可供答复的素材,不至于向欧洲监管部门或合作伙伴交付“白卷”。以下是我们总结的可以在进行答复时的法条及依据:

1.国家情报法

在政府部门获取数据领域,最为欧美所关切的是《国家情报法》第七条:

任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。

国家对支持、协助和配合国家情报工作的个人和组织给予保护。

为此,在2019年2月18日外交部记者会上,发言人耿爽就《国家情报法》第七条给出了“标准答案”:

第一,美方有关说法是对中国有关法律的错误和片面解读。中国《国家情报法》不仅规定了组织和公民依法支持、协助和配合国家情报工作的义务,同时也规定了国家情报工作应当依法进行、尊重和保障人权、维护个人和组织合法权益的义务。同时,中国其它法律对于保障公民和组织的合法权益,包括数据安全和隐私权利等,也作了许多规定。这些规定都适用于国家情报工作。美方对此应全面、客观理解,而不应断章取义,片面、错误解读。

第二,以立法形式维护国家安全,要求组织和个人配合国家情报工作是国际通行做法,美国、英国、加拿大、澳大利亚、新西兰等“五眼联盟”国家以及法国、德国等西方国家均有类似规定。

第三,中国政府一贯要求中国企业在外国开展业务时要严格遵守当地法律法规,这一立场不会改变。中国一贯坚持相互尊重主权、平等互利等国际法基本原则,中国宪法和相关法律对此均有体现。基于这一原则,中国一向明确反对别国绕过正常合作渠道,单方面适用其国内法,强迫企业和个人向其提供位于中国境内的数据、信息、情报等做法;同样,中国没有也不会要求企业或个人以违反当地法律的方式、通过安装“后门”等形式为中国政府采集或提供位于外国境内的数据、信息和情报。

第四,美方及其个别盟友在此问题上搞双重标准,混淆视听,实质是为打压中国企业的正当发展权利和利益编织借口,是以政治手段干预经济行为,是虚伪的、不道德、不公平的霸凌行径。

https://www.fmprc.gov.cn/web/wjdt_674879/fyrbt_674889/t1638751.shtml

2.《网络安全法》

《网络安全法》中也存在企业协助政府有关部门的条款:

第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

但另一方面,《网络安全法》也规定了政府部门获取数据的限制:

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

3.《密码法》

在EDPB发布的指南中,将加密视为一种有效的补充措施。比如数据虽然存储在欧洲境外的第三国,但数据经过可靠地加密,密钥由欧洲境内掌握,那么就可以被视为一种有效的补充措施。但是,这样的加密措施可能会在中国遇到《密码法》的挑战。

根据《密码法》,除非是大众消费类产品所采用的商用密码,否则需要根据商用密码进出口许可程序提交商用秘密的技术说明。如果密码进口需要向中国密码管理部门提交审批,这样的操作可能很难得到欧盟的认可,但我们仍可根据《密码法》第三十一条第二款主张密码的安全性:

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

4.其他文件与渠道

在2020年9月,中国外交部发布《全球数据安全倡议》也从侧面说明中国政府并不要求本国企业将数据存储在中国境内,也不会要求企业调取位于他国的数据:

……

——各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。

——各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。

——各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

……

另外一个可供参考的信息是苹果公司发布的透明度报告。根据统计,在2019年7月至12月期间,中国政府、法院等机构共781次向苹果公司要求提供数据,同期英国568次、美国5271次、日本1245次向苹果公司索要数据,中国索取数据的次数并未有明显异常。

四、可以开始的前瞻性思考

尽管目前为止中国企业还不是欧洲数据监管机构的关注重点。欧洲数据监管机构因为执法力量有限,所以更关注本国企业与美国互联网巨头在欧洲的经营。但是随着美国拜登政府就职在即,欧美政治、经济关系趋于缓和,让中国企业可能成为欧洲数据保护机构下一轮监管重点。

2020年12月,荷兰消费者与市场管理局(ACM)发布公告表示,对智能手机支付市场发起反垄断调查,并且已经调研了几家主要大型科技公司,除了苹果、亚马逊、Facebook和谷歌等西方企业外,蚂蚁集团和腾讯也成为被调查对象。这或许会成为欧盟执法机关关注中国企业在欧经营的起点。

随着EDPB开始推动SCC的改革,开始征求意见,并且SCC在中欧数据传输中呈现出“一夫当关”的状态。那么中国企业需要密切留意这位“当关之夫”,即欧盟在SCC适用方面的动态,并且着重关注执法趋势,充分评估可能对自己业务的影响。我们推荐在欧洲经营的企业可以从以下角度着手:

  1. 面对欧盟数据跨境监管的压力,尤其是对数据接收方所在国法律环境的苛责,单一企业很难全面论证数据接收国的法律与执法环境,且同一行业、同一产业链的企业可能都会面临同样的问题,因此企业应当向行业协会、商会、上级主管部门进行呼吁,联合应对来自欧洲的评估要求。
  2. 联邦学习等“可用不可见”隐私计算技术、加密技术的探索与使用,可以将个人数据转化为非个人数据,从而实现有效降低数据跨境的风险。
  3. 此外,面临欧洲数据跨境规则的升级,数据跨境的成本也被抬高,甚至企业可能因为无法通过评估而无法向中国回传数据,故企业可能需要考虑重新调整自己的IT架构,减少数据从欧洲向中国回传的数量,增加欧洲子公司、分公司或合作伙伴处理数据的决定权。

爱尔兰《意外收到个人数据指引:个人》

爱尔兰数据保护委员会于2020年9月5日发布了有关第三方意外收到其他个人的个人数据的指导。

数据保护委员会发布了三份不同的指引,分别是《意外收到个人数据指引:个人》(”个人指引”)、《意外收到个人数据指引:机构》(”机构指引”),以及《个人数据意外失控指引:数据控制者》(”数据控制者指引”)。这里仅对《意外收到个人数据指引:个人》进行一下简单的翻译。

意外披露的风险

信息和通信技术在我们的工作和私人生活中发挥着越来越大的作用,并具有许多优势与便利。然而,个人数据处理和传输的增长也会增加隐私风险。当数据控制者(收集和使用个人数据的个人、公司或其他机构)意外地将个人数据披露给另一个人时,就会产生这样的风险。

这些事件被称为个人数据泄露,而不幸的是,这些事件有很多方式可以发生:

  • 银行意外地通过邮寄或电子邮件向不正确的收件人发出声明或其他信件;
  • 政府机构意外地将信件发给错误的收件人或地址;
  • 诊所错误地将医疗报告放入错误的信封,并寄给了错误的病人;
  • 某企业在处理旧笔记本电脑时没有删除包含人力资源数据的磁盘驱动器;
  • 一个打错字的电子邮件地址将机密的财务信息发送给一个没有联系的第三方;
  • 一个包含客户联系方式的U盘遗落在火车上。

这样的错误可能会导致个人的个人数据被披露给另一个无意或不希望收到这些数据的人。不难想象,这些数据可能是多么敏感。意外收到他人个人数据的人也很容易想象,如果自己的数据被意外披露给陌生人,他们会有多痛苦。

根据《通用数据保护条例》(GDPR)、《2018年数据保护法》、《欧洲人权公约》、《欧盟基本权利宪章》和其他法律,数据主体(即个人数据可能被识别的个人)的权利受到特别保护。意外收到他人个人数据的个人应承认并尊重这些权利。

处理意外披露

数据保护委员会(DPC),当个人意外收到不属于自己的个人数据时,应立即采取行动,并采取措施减少与数据有关的个人权利的风险。

  • 确定数据控制者的身份(例如从发件人的电子邮件地址或信笺抬头),并通知他们错误的披露。不要等待他们与你联系。
  • 避免打开不属于你的电子邮件附件、文件或文件。
  • 与数据控制者商定如何解决这个错误。从你的 “收件箱 “和 “已删除的文件 “文件夹中永久删除电子邮件可能就足够了。数据控制者可能会安排向你收取寄错地址的信件或包裹,或你可能同意销毁它,例如安全地粉碎信息,并以书面形式向数据控制者确认你已这样做。
  • 如果你无法识别或联系数据控制者,请使用我们的网络表格或给我们发电子邮件联系DPC。我们将尽力帮助解决这个问题。
  • 不要试图识别和联系数据所属的人,因为这是对信息的进一步处理。
  • 不要与其他第三方分享数据,包括公开上传信息到社交媒体平台。

数据控制者和非法处理

如果个人数据外泄导致个人意外收到另一人的个人数据,该人不应使本已糟糕的情况恶化。特别是,他们不应寻求成为该数据的控制者,而且在没有合法依据的情况下不得处理该数据。

如前所述,数据控制者是指个人、公司或其他机构,他们决定处理个人数据的目的和方法,不论是自己决定,还是与另一个人或组织共同决定。在数据保护法中,处理有一个广泛的定义。它不仅包括计算和分析数据,还包括披露数据、传输数据、编辑数据或将数据转换为不同的格式,甚至只是保留数据。它可以适用于打印文件等硬拷贝的个人数据,也可以适用于电子邮件或计算机文件等电子数据。

如果意外收到个人数据的个人自行决定如何处理该数据,他们可能被视为该数据的控制者。这可能会产生重大的法律后果。非法保留或以其他方式处理个人数据可导致民事法律后果。数据主体和合法的数据控制者都可以向法院寻求重要的补救措施,其中包括禁令、损害赔偿和费用。

DPC拥有执行数据保护法的广泛权力。这些权力包括进行调查、要求出示文件和记录、禁止非法处理和命令删除数据的权力。它可对违反保障资料法律的行为处以行政罚款和提出刑事检控。根据《2018年数据保护法》第145条,未经授权披露个人数据属于犯罪行为,可处以最高5万欧元的罚款和/或最高5年的监禁)。

DPC强烈建议,任何意外收到不属于自己的个人数据的人应尊重数据主体和对数据合法负责的数据控制者的权利。他们不应为了自己或任何其他目的而非法持有或使用这些数据。