2016年3月份,MIT科技评论与ORACLE(甲骨文公司)合作撰写了报告《数据资本的兴起》,将数据描述为与人力和金融一样重要的资本,认为数据将成为未来公司重要的竞争优势来源。随着各国对于数据的依赖程度不断上升、争夺日益激烈,数据主权的争论甚嚣尘上,对于数据跨境流动的监管也越来越强。与传统生产要素不同,数据作为资本的价值需要通过数据的流动才能体现出来,所以随着互联网经济的发展,数据跨境流动必然是大势所趋。目前,国际社会在数据安全和合作方面的立法处于从无到有的快速发展时期,数据主权在国际法中尚属空白,也还没有形成关于数据跨境流动的统一国际法规则,各国的零散立法产生很多的相互冲突,数据跨境流动产生的争议缺乏相应的成熟的法理加以解决,使得企业在生产经营活动中面临很多的不可预测的风险。
欧洲委员会是世界范围内最早对个人数据跨境流动进行规制的区域性组织之一,建立了较完善的数据流动规则,努力寻求在高水平个人权利保护和数据跨境流动之间的平衡。欧盟先后通过了108号公约、108号公约附件议定书、95指令、GDPR最终确立了欧盟数据跨境流动的管理方案。本文将以GDPR规则为例,深入解读数据跨境流动中企业面对的法律风险及其应对方法。
根据GDPR第44条规定的基本原则,个人数据是禁止出境的,但与此同时,第45-50条等规定了可以出境的一些情形,这些情形主要包括欧盟认可的能够提供“充分保护“和”适当保障”的国家或者地区,以及少数给与例外的非常规情形。
一、充分性认定(Adequacy Decision)
GDPR第5章第45条规定,个人数据可以向欧盟认可的已经提供“足够的数据保护水平”的第三国或国际组织进行跨境传送,且无须再获得任何进一步的批准或其他保障措施。目前仅有安道尔、阿根廷、加拿大(商业组织)、法罗群岛、格恩西岛、以色列、英属马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭被认为符合充分性认定。
2020年7月16日,欧盟法院认定原美国数据保护隐私盾协议(The Privacy Shield) 提供充分性保护的第2016/1250号决定无效,也就是说,美国无法再通过隐私盾协议列入欧盟“充分性认定”的白名单。法院认定无效的主要原因在于:美国政府认为美国国家安全、公共利益和法律执行的需要是第一位的,在这种情况下的某些监控项目不能保证对非美国公民提供保护,其对权力的限制并不明确,也没有提供相应数据主体对抗公权力的法律保障等。因此,美国作为数据接收方,不能达到欧盟法律要求的充分保护水平。欧盟法院的该判决对包括美国在内的所有第三国的个人数据跨境传输都产生了极其广泛的影响,数据出境规则更加严格和艰难。EDPB随后就隐私盾协议无效后如何寻求其他依据进行个人数据的跨境流动给出了一些具体的回应。美国政府也也于九月份发布了一份白皮书,表达了恢复欧盟与美国之间数据流动的真诚努力。但美国政府与欧盟是否将来能够与欧盟协商达成新的认可机制尚未可知。
根据GDPR第45条和93条的规定,对于白名单内的国家和地区,欧盟会至少每四年进行一次复核,以评估其立法和数据保护制度是否能够提供与GDPR相同程度的数据保护水平。新做出的评估决定并不具有溯及既往的效力。欧盟进行充分性评估的依据是非常广泛的,从比较宏观的法律保护水平和人权保护状况,到具体的法律条文和数据保护机关(DPAs)的执法状况,都在其评估范围之内。
二、适当保障(Appropriate safeguards)
当向不符合“充分性认定”的国家、地区或国际组织传输数据时,若数据传输者提供了适当的保障,确保充分的数据保护,亦可合法向第三国进行数据传输。GDPR规定的适当保障分为两种:一种无须监管机构的特别授权,一种则需要特别授权的保障,以下将分别陈述相关机制。
A.公共机构之间的协议或行政安排(Agreements/ Administrative arrangement between public authorities)
根据GDPR第46条第2款的规定,如果第三方国家的公共机构或团体与欧盟境内的公共机构之间相互约定跨境传输数据,则无须特别请求数据保护机关(DPAs)的授权,但这种协定的内容本身也必须遵守GDPR的相关规定。目前并没有关于这种由约束力的公共机构之间的协议的实际案例,EDPB认为,国际条约、自执行公约等都可以归入这一类。
如果公共机构的性质和相互之间的关系决定了公共机构本身无权签订关于数据传输的上述具有约束力的强制性协议,则可以退而求其次,寻求GDPR第46(3)(b)规定的“公共机构或团体之间包含可执行的数据主体权力的行政安排”。与协议不同,这种行政安排必须首先获得数据监管机关的特别授权。2019年3月,EDPB批准采纳了第一个这样的行政安排,准许欧洲证券与市场管理局(ESMA)向国际证监会组织(IOSCO)传输个人数据。
B.标准合同条款或SA条款(Standard Clauses Contract,SCC)/ SA Clauses)
如果位于欧盟境内的企业与境外的企业签订协定,承诺遵守欧洲委员会已经批准的“标准合同条款”,则个人数据就可以向境外传输。
目前欧洲委员会发布了两种类型的SCC,一种适用于数据控制者之间的传输,分别有2001年和2004年两版合同,均为有效版本,实质区别不大。另外一种是2010年新指定的可以适用于欧盟境内的数据控制者向位于欧盟境外的数据处理者传输个人数据的标准合同。数据主体并非合同的双方当事人,但是这两类合同都规定了数据主体作为第三方的权利,可以依据合同向合同双方主张相应的权利,可以提起诉讼和仲裁,申请强制执行合同。三种版本的合同规定的准据法是依据数据输出方国家的法律,管辖法院均为数据输出方国家的法院。数据进口方按照合同还需要遵守数据出口方所在国的法律以及GDPR的规定。标准合同条款充分体现了对于个人数据主体的保护,并且合同明确提及,不得随意修改合同条款以减损对个人数据充分保护的程度。
选择标准合同条款,首先应当确定合同主体的类型。举个例子,乘客(数据主体)在一家英国旅游公司预定了去美国的旅游产品,英国旅游公司(数据控制者)转而代表乘客和美国航空公司签订了购票合同并分享乘客的个人信息给美国航空公司。这里的美国航空公司也属于独立的数据控制者,因为它可以依照自己的目的和决定处理乘客数据,而如果是数据处理者,仅允许其基于来自数据控制者的记录指令来处理个人数据。故而英国旅游公司与美国航空公司之间应当选择适用数据控制者之间的标准合同文本。
除上述欧洲委员会直接批准的标准合同条款外,GDPR还允许各个欧盟国家的数据监管机构(Supervisory authority ,SA,实质上就是DPA)起草自己的标准合同,再经欧洲委员会审核批准,批准后即可不经特别授权而在成员国本国内统一适用。2020年年初,EDPB公布了第一个由丹麦数据监管机构提交审核的标准合同条款。
标准合同条款对于大部分企业而言,是一种比较便利的选择,条款已经是现成的,且语言也均有标准翻译。企业必须完整的适用标准合同条款,不能修改条款内容。但是企业可以增加合同适用的主体,也可以增加与其商业相关的其他条款,只要这些条款不能对标准条款的内容构成任何限制和冲突,不能损害数据主体的基本权利和自由。标准合同条款对于欧洲数据主体的保护非常严密,企业在适用标准合同条款之前,应当根据企业运营的实际情况,首先进行自我评估,权衡利弊。
C.有约束力的企业规则(Binding Corporate Rules,BCRs)
如果一个跨国集团企业内部制定了一套具有约束力的数据传输规则,并且这套规则获得了数据保护机关(DPAs)的批准,则允许该集团公司将个人数据信息从其欧盟境内主体传输至欧盟境外的主体。集团企业规则仅适用于关联企业之间的数据传输,不适用于数据在企业与其客户、供货商、运营商等第三方之间的数据传输。BCRs需要实现经过欧盟境内机构所在地数据保护机关(DPAs)的批准,因此实施成本较高。2018年5月25日GDPR实施之前批准的BCR企业名单可在欧盟官网进行下载,2018年5月25日GDPR实施之后批准的BCR企业名单可在EDPB官网进行查询。
BCRs也分为两种,一种是数据控制者的集团企业规则(BCR-C),另外一种是数据处理者的集团企业规则(BCR-P)。如果一个跨国的数据处理者(例如云服务提供商)的集团企业规则BCRs获得批准,则可以将其客户的个人数据传输到欧盟境外地区。
BCRs仅适用于在欧洲经济体内有关联公司的跨国企业。BCRs会使得跨国企业位于欧盟以外的公司强制实施欧盟隐私标准,就算关联企业位于一些隐私法保护较弱的国家,也必须实施最严格的个人数据的欧盟标准。有约束力的企业规则的实施操作上其实非常繁琐,加之需要DPAs的特别批准,故成本很高。
需要注意的是,欧盟-美国隐私盾协议无效后,虽然欧盟法院在决定中认为,标准合同条款(SCCs)仍然有效,可以作为一种向欧盟以外转移个人数据的依据,但是如果第三国的立法不能使得数据输入方遵守合同义务的话,则不能适用SCCs进行跨境数据传送。法院强调,数据输出方和输入方有责任评估欧盟法律所要求的保护水平是否在第三国获得尊重,如果评估认为不能达到欧盟的保护水平,应当提供补充措施以确保与欧洲经济区提供的保护水平基本相当。BCRs亦如此。
D.特别条款(Ad hoc clauses)
除了标准合同外,数据出口方和数据进口方也可以双方协商自己的合同作为数据合法传输的基础,但这种合同必须经过数据主管机关的批准。
特别条款给与企业更大的自由度去选择更适合自己的合同条款,最大程度的实现自己的利益。但是特别条款的批准却并非易事,截至2018年尚未有欧盟成员国的数据监管机构批准这类协议。
E.经批准的行为准则或认证(Approved Codes of Conduct/Certification)
经批准的行为准则旨在鼓励行业协会或组织创立包含特定内容的内部规则,从而实现其行业内部的数据控制者和数据处理者进行数据跨界传输。行为准则必须要首先获得数据保护机关(DPAs)的审查批准,但是一旦批准,行业组织内部依据行为准则进行数据传输则无须特别批准。经批准后的行为准必须进行公示,因此该规则具有较高的透明度和客观性。
经批准的认证机制旨在建立一个符合欧盟数据法的正式认证,并具有自己的标志,鼓励数据处理者和数据控制者适用该认证制度。数据处理者和数据控制者可以自愿申请请求认证,得到批准后,使用这种标志以证明其数据活动符合欧盟的相关规定和认证,并据向欧盟外第三国进行数据传输而无须特别批准。这种认证最多三年有效,三年之后需要DPA重新审核,以确认其内容仍然符合GDPR的规定。认证机制和认证机构也必须是全面公开的。
获批准的行为准则或获批准的认证机制,这两种情况下都需要第三国的数据控制者/处理者就其采取的适当保障措施做出具有约束力及可强制执行的承诺。截至2018年年底,尚未有欧盟监管机构批准这类准则。
三、例外情形(Derogations for specific situations)
除此之外,以下例外情形也可以作为数据跨境传输的法律基础:
数据主体的同意(Consent)
为进行跨境数据传输,获得数据主体的同意是一项比较重要的例外情形。有效的同意必须符合两个条件:1)数据传输可能产生的潜在风险告知数据主体;2)用户的同意必须是明确的,自愿的。除此之外,GDPR第4.11和第7条等关于用户同意的一般性规定在此全部适用。因此,数据主体有权随时撤回他的同意。
GDPR规则下用户同意的适用门槛非常高,绝不是一个在所有情况下都行之有效的解决方案。例如,以下情况均不属于有效的同意:
不得强迫客户接受一揽子的使用个人数据的协议
GDPR不允许对个人数据获取一个笼统的处理同意。如果数据控制方将对数据主体的个人数据用于不同的目的,必须明确说明每个目的和场景,并允许数据主体自由选择是否同意每一个使用目的,不能绑定所有的数据使用目的而要求数据主体一并同意。因此如果要对个人数据进行跨境传输,必须在最初就提前告知并获取用户的明确同意。要满足明确告知的要求,数据传输者必须要明确告知数据主体数据接收方是谁、位于哪个国家、要将何种类型数据进行传输、以及为什么需要传输该数据等。尤其的,当个人数据出境时应充分告知传输至第三国的风险。在第三国不满足“充分认定或者适当保护措施”的情况下,若仍将个人数据转移到第三国或国际组织的,只有数据主体被明确告知这种风险且仍作出明确同意的,个人数据方可出境。
用户同意处理个人数据是获取服务的前置条件
法国诉Google定向广告推送案件中,谷歌公司用于征求安卓软件用户个人信息的弹出式窗口要求用户勾选“我同意 Google的服务条款”框和“我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程,不接受这些隐私条款,谷歌就拒绝提供服务。EDPB认为,对服务和功能的访问不能以数据主体同意在其终端设备(所谓的Cookie Walls)中存储信息或获得对已存储信息的访问为条件。因此,如果将提供服务或履行合同义务与同意处理个人数据的要求捆绑在一起,而个人数据包含合同或服务履行非必要的内容,则这种同意不符合GDPR的规定,因为同意不是在真实的意愿下自由的做出的。
数据主体与数据控制者处于完全不对等的地位
如果有理由认为数据控制者与数据主体处于明显不对等的地位,其获得的同意也可能被推定为无效。欧盟成员国的法律实践中,一直认为雇佣者和雇员之间是处于完全不对等地位的双方,因此雇佣者从雇员处获得的处理其个人数据的同意被认为是基于不对等的地位取得的,一般情况下会认为是无效的同意。除此之外,公共权力机关从地位不对等的个人获取的获得的同意也被不能被认为是当然有效的。
如果用户撤回其同意,不得以其他理由为基础继续使用这些个人数据
如果用户已经明确拒绝或者撤回其同意,数据控制者不得以其他理由为基础继续使用用户的个人数据。如果数据控制者认为其具有其他法律基础使用用户的个人数据,应当在最初就明确其使用基础;对于不同的个人数据或者不同的使用基础,数据控制者应当在最初就做出区分,认真确定其使用的法律基础并明确告知数据主体,寻求其合法同意。数据控制者不能在用户撤回同意后,暗中以其他理由为基础继续使用用户的个人数据。
数据主体表达意愿的“指示”需要是积极的主动行为,而不是被动行为
同样,在Google定向广告推送案件中,Google 预先勾选了广告个性化的显示框,而根据 GDPR 的规定,只有用户明确的肯定行动(例如勾选未预先勾选的显示框),同意才是明确的。
公共利益/法律主张的行使/数据主体的重大利益/注册登记机关数据(Public interest/Legal claims/Data subject's vital interests/Public registers)
例外条款还包括很多基于公序良俗的理由和依据,但对于商业公司而言,并不常用。在可以借助于“适当保障”的前提下,GDPR并不鼓励适用例外条款。
数据跨境是基于保护公共利益的重要理由
此处的公共利益并不是必须由公共机构主张才可以,私人机构也可以主张。该条款的重点在于落实重要公共利益的存在,而不是依据数据输出或输入方机构的性质确定。但公共利益并不是可以随便主张的,而必须是被数据控制者所在的欧盟或者其成员国法律明确认可的公共利益。所谓的“法律明确认可”,并不包括欧盟及其成员国法律旨在保护的某种抽象概念,而必须是法律规定中明确规定的公共利益。EDPB的指导意见中同时确认国际条约和惯例、以及国际合作协议中要求保护的公共利益也可以触发该条款的适用,只要欧盟或者其成员国也属于这些国际条约的签署国。
使用公共利益的法律基础进行数据传输并不限于偶然的情形,但是不鼓励把该主张变成一个常用的规则,大规模的系统性的数据跨境传输并不建议使用该例外规则,而仍然需寻求“适当保障”的法律基础。
数据跨境是为了建立、行使或抗辩法律主张
跨国数据传输可以基于行使法律主张和法律程序之必要目的而进行。法律主张的条款覆盖范围非常广泛,不仅包含在第三方国家进行的刑事和行政法律程序(例如反垄断,反腐败,内幕交易等法律程序中)为了进行抗辩、取得豁免、降低罚金等各种目的传输数据;法律程序并不一定要已经正式启动,在诉前调查或者一些非诉程序中也适用,例如刑事和行政的调查程序中、商业诉讼的启动程序中、非诉的并购程序中,还包括在各种民事程序的诉前证据发现程序中(formal pre-trial discovery procedures)等进行的数据传输。但如果仅仅是为了将来可能会发生的某种法律程序,则不足以促发该条款的适用。
同样的,适用这种例外进行数据传输,必须是偶然的而并不能作为一种常规性手段加以利用,且必须通过必要性的测试。公共权力机构也可以在行使权力的过程中可以使用此项例外。
数据跨境是为了保护数据主体的重大利益
数据主体的重大利益并不能被滥用,一般仅限于非常极端的情况下,由于法律或者物理的原因无法取得数据主体的同意。例如数据主体面临生命危险,而需要跨国传输其个人健康数据进行施救,但数据主体却因病理原因无法给予同意。
跨境传送公共注册登记机构的部分数据
跨国数据传输在特定情况下允许注册登记机构向境外传输个人数据,如果:1)该注册机构根据欧盟或其成员国法律旨在向公众提供信息;并且2)该信息向一般公众开放咨询;或者请求者可证明有合法理由去检查该信息。
基于上述第一条的原因,此处的注册登记机构仅限于公共注册机构(register in general),因此,私营机构并不在此赦免之内。举个例子,公司注册机构、协会注册机构、犯罪审判机关、土地登记机关、车辆登记机构等,而提供信用评估的私营机构则不在此列。公共注册登记机构不能将数据主体的所有数据都提供给请求者。
履行合同义务(Contracts between a data subject and a controller)
如果数据控制者和数据主体之间具有合同关系,数据控制者为履行合同之必要义务而进行跨国数据传输,则可为例外情形之一。进一步的,如果数据控制者和代表数据主体利益的第三方签订合同,在符合数据主体利益的情况下,跨国数据传输也可以基于合同必要之义务而进行。
举个例子,旅游公司(数据控制者)与乘客(数据主体)之间的购票合同,可允许旅游公司将乘客的个人数据分享给境外航空公司;父母或法定监护人可以作为第三方代表未成年人等签订此类合同。行使此项例外必须基于履行合同之必须,所提供的数据范围也仅仅限于为达成合同目的的必要范围。作为例外条款,该项例外仅可以被偶尔适用,不能作为常规手段,且必须基于数据主体的行使合同的请求而适用。因此,在上述案例中,旅游公司(数据控制者)与境外航空公司(另一个数据控制者)之间一般不能使用此项例外进行跨境传输,因为双方作为商业公司,一般都是有组织有规模开展商业活动,其跨境的数据流动应当寻求标准合同(SSC)等其他依据。公共机构在行使其公共权力的过程进行的数据处理活动,不得使用此项例外。
第三国的判决和决定(Third country judgments and decisions)
GDPR第48条规定,如果第三国的法院、法庭或行政机关的判决和决定要求数据控制者或者数据处理者提供个人数据,则仅当该要求是基于国际协定时才被欧盟认可,例如双边的法律协助条约等。当然,该条款的执行不得损害依据其他法律基础进行的数据传输。
2013年的一项关于毒品的调查中,美国政府发布搜查令,要求微软公司向美国联邦调查局(FBI)提供某存储在爱尔兰数据中心的某用户的数据资料。按照美国《云法案》的规定,无论数据的存储位置和创建地点位于何处,美国执法机构对服务提供商控制下的任何数据都具有无限的管辖权。微软拒绝了搜查令,并称这些数据不受美国司法管辖。此案经过微软两次上诉后,法院认定,FBI 的搜查令不具域外效力,要获取境外数据,应通过双边司法协助条约方式。
微软案反映出了伴随各国在数据安全和隐私方面的新立法导致的可能普遍存在法律本身的冲突。美国律师事务所Reed Smith 表示,遵守CLOUD法案的公司可能会发现自己违反了欧盟通用数据保护条例(GDPR)第48条,该条款规定任何要求转移个人数据的法律都必须遵守国际协议。
数据控制者不可抗拒的合法权益(Controller's compelling legitimate interests)
数据控制者不可抗拒的合法权益也属于极其例外的情形,且只有没有其他任何基础可以进行合法数据传输的情况下才允许被适用。数据控制者必须向DPA以及数据主体汇报对数据的传输,并对数据采取安全保障的措施。其适用要严格遵守偶然性(occasional)和必要性(necessary)要求。究竟如何情形可允许数据控制者实施此例外,目前还没有关于这种例外的范例可供参考。
四、应对及其建议
上述数据跨境的机制各有利弊和特点,且其实践操作均处于快速的变化中,具有很大的不稳定性。对于企业而言,并没有一成不变的通用的最优路径来实现数据的跨境流动,不同的企业应根据自身的数据流、经营业务模式和风险特点选择适当的合规路径。希望以下一些具体的建议将有助于企业数据合规的选择和建制。
转换思维,全程参与,提前布局
对于企业而言,数据安全和隐私的问题,不再是法务合规一个人的职责,而是需要全体部门的共同协作。尤其是数据跨境流动已经跨越了公司的边界、跨越了国界,企业需要对其位于不同国家的合作伙伴的安全承担同样的责任,并面临更多的监管。企业在创建合规和数据治理规定时,要彻底改变思维模式,把数据合规的思维渗入到企业经营的方方面面,对于风险的控制不应当仅仅限于事后的补救,应当做到事先控制。例如企业首先需要清楚了解自身储存个人数据的内容、地点、方式、来源、流向,储存这些数据的原因以及获取数据的方式,尤其是针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景,一个数据的访问设置、服务器的调用,很小的细节都有可能涉及的数据是否跨境的问题,所以搞清楚全公司的个人数据来源和流向并非是一件简单的事情。对于软件设计,应当根据数据在不同法域的风险,设计不同的模块的启动和调用,或者设计不同的版本,以及运用各种必要的技术措施管理数据访问权限,实现数据的分离和对数据访问的控制。对于合作的第三方进行管理时,数据安全应当是个必要的考量,对供应商、分包商、或其他商业合作伙伴,应当在合同关系建立之前就进行调查和数据风险评估。
数据的本地化存储
针对个人数据的法律适用,可以有服务器所在地、数据控制者注册所在地、数据主体所在地等多个管辖连接点,法律适用和管辖的冲突在所难免,而短期内全球无法达成数据安全和管辖冲突的协调和合作方案。无论我们是否认可数据的本地化存储就能使得数据获得更安全的保护,但至少数据存储在本地,政府执法会更加便利,因此,各国都已经纷纷出台了宽严程度不同数据本地化存储的规定。此外,关于数据安全和隐私的立法,对于很多国家来说都是全新的尝试,无论是法律规定本身还是法律实践均存在很多空白和不完善,法律的执行具有不确定性和不可预测的风险。数据存在在本地,面临的法律风险相对较小,更符合当地监管的要求,因此,很多大型跨国企业都已经开始从技术和商业上进行调整,尝试着本地化的数据解决方案,以避免当地政府监管带来的不确定的风险。2017年,由于中国网络安全法的实施,苹果投资十亿美元在贵州建立在中国的第一个数据中心,用于存储中国用户的iCloud数据。但是本地化的成本是高昂的,基础设施建设需要花费大量的人力财力,还会导致内部数据融合和利用的阻碍,并不是所有企业都能承担得起。
GDPR并没有提出数据本地存储的要求,理论上企业可以选择多个渠道实现跨境流动。但对于欧盟境外企业而言,使用符合GDPR安全标准的第三方云服务提供商进行用户数据的存储和管理,可以其分担严苛的合规责任,减少合规压力。这也是字节跳动一案所带来的思路。2020年9月,字节跳动与甲骨文签订协议,由甲骨文作为字节跳动的数据托管商,有权对字节跳动美国的源代码进行安全进行检查,确保数据的安全性,从而解决了来自于美国政府的监管要求。
不要太依赖知情同意和免责条款
我们有一种错觉,总觉得只要用户点击了我们的隐私权和数据政策的通知,便可以合法的处理个人数据。知情同意并不是一个万能的解决方式,恣意使用这种技巧,非常有可能带来更多的法律风险。参照上述第三节第1部分可以看出GDPR对于数据主体的同意设置了非常高的门槛,从欧盟各国的判例甚至可以看出,只要是涉嫌侵犯了数据主体的基本权利和自由,法院对于用户同意这种抗辩基本都能找到各种理由不认可,例如:
同意的前提是给出清晰的完整的告知,如何是清晰的完整的告知,法官具有自由裁判权。在之前的判例中,法院认为如果告知的内容太长,用户根本不可能仔细阅读完那么长的权利义务告知,或者告知的内容使用了太多专业的普通用户无法理解的词汇用语,等等,都属于不清楚的通知,并判定同意无效;
书面的同意并非写入自己最大的权利就是最有利的,某些情况下,书面的同意反而可能作为一种最直接的证据证据其数据收集和处理行为是违法的或者非必要的,因此其内容应当慎重对待;
同意作为一种格式合同,与普通合同不同,写入合同的所有约定并不能完全排除提供格式合同一方的责任。法院会直接认定那些不合理的排除格式合同提供一方义务和责任的条款无效。
因此,知情同意条款对于降低风险的作用是有限的,并不是万全之策。
风险的层级管理
企业数据传输的风险管控也是要考虑成本的,应当建立风险层级管控机制,重点布局和监控重点法域和敏感领域,尤其是对于中小企业,很难有能力监控到每一个法域的数据立法和实践,或者对外部合作伙伴做有效监控。
如上所述,作为一个全新的法律领域,目前各国会存在法律的适用冲突。因此首先要重点管理那些在该法域内具有实体机构、员工派遣、或者数据处理设备的法域的合规和侵权风险。即便违法,胜诉决定和判决是否能够被执行却是另外一个问题。这里并不是鼓励违法,但是大多数情况下,境外执行都是非常困难的。除非在法域内具有实体,员工或者可被执行的财产等,否则被追究责任的风险相对较低。但这也许不适用于某些知名度极高的企业或上市企业,例如媒体报道的违规违法行为会极大影响其市场声誉或股价,造成很大损失。
其次,毋庸置疑,会有越来越多的国家出台数据法规;但有法律建制是一方面,实践也是需要监控的。即使有数据立法,但对于那些从来没有过被执法和诉讼案例的国家,风险等级会相对较低。再比如,不同的法域,个人数据的归属权不同,能够主张诉求的主体范围是不同的。例如,涉及数据隐私的,侵权诉讼有可能在有的国家只能由隐私的所有人、自然人提起侵权诉讼,而数据的处理者或者控制者无法提起侵权诉讼,有的国家允许集团诉讼,有的国家则不允许。除此之外,不同的法域,对侵权和违法的处罚力度也是不同的。以GDPR为例,违反数据立法会有非常巨额的惩罚和赔偿。2019年一年就有750家公司收到GDPR罚款,平均罚款金额为50万欧元,相当于389万元人民币。有的国家“不出手则已,一出手惊人”,比如英国、法国,它们罚款次数虽然少,但是单笔罚款数额巨大。而有的国家罚款金额不多,但是罚款次数较多,比如西班牙、罗马尼亚。此外,除金钱赔偿外,有一些法域的数据违法会逮捕入境的数据合规官等措施。对这些法院应当重点关注,在存在风险时,应当对数据合规官和高层人员进行预警提示。
最后,如果涉及到敏感数据的收集,例如医疗数据,或者未成年人信息的收集,应当能够避免就尽量避免,并重点关注这些领域的法律规定。
数据合规的成本控制
数据和隐私保护法律给市场运营主体造成了沉重的成本。数据合规制度是一套体系,可能体现在不同的法律和规定中,且规则本身目前可能存在大量的空白、矛盾和不确定性。对于一般的中小企业而言,短时间内把所有国家的数据合规极其实践都整理清楚,是不太现实的,因此可以首先按照一个最严格的法域制度作为执行样本,按照这个样本下的数据处理风险性较低,然后逐步再慢慢解锁每个国家的规定。对于没有强大内部法务团队的企业而言,参考和学习行业内领头内重要企业的合规文本,尤其是大型跨国企业的数据制度和隐私政策,也不失为一条便捷的迅速建立数据规则的方法。
而对于有风险管控能力的大企业而言,相对就有更多的选择。全部集团公司适用统一的数据政策或许可以降低成本,但针对每个法域设计并使用最有利于自己的制度,以便于最大程度的利用当地的数据资源是首选之策。但企业合规制度的建设并不是越大越全越细越好。举个例子,某些情况下,标准合同已经是成熟的规范文本,而且有发布的标准翻译文本,可以大量减少单独定制的成本。雇佣律师撰写一份单独定制的合同,除了通过主管机关审批的的时间更长之外,其风险仍然要比规范文本大,因为律师外部律师可能对于产品和技术的了解有限,对于企业内部的数据管理和流程更是不可能熟知,很难提供具有实际操作价值的思路。但有必要依赖于律师进行法律的监控和重点案件的报告。
通过技术手段解决数据共享的风险
事实上,隐私和个人信息的安全问题由来已久,但今日变成如此突出和敏感的话题,主要是源于技术突飞猛进的发展带来的巨大挑战。同样的,技术的发展却也有可能更好的解决这些问题。
为了应对数据隐私的挑战,联邦学习(Federated Learning)应运而生。联邦学习概念是由Google在2016年首次提出,它作为分布式的机器学习范式,能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下,进行数据使用和机器学习建模。数据的资本价值要通过流动才能够体现,这种内在的动力驱动着业界进行多方位的探索,寻求解决数据孤岛的问题,解决隐私和安全问题,实现数据的价值。这种探讨和实践包括可信执行环境(Trusted Execution Environment,TEE)、多方安全计算(Secure multi-Party Computation, MPC)、同态加密(Homomorphic Encryption)等安全技术,相应的应用实践已经在各个领域依次展开。
尽管区块链的去中心化使得其在底层逻辑上就与GDPR存在根本冲突,但区块链技术将有利于提升人们对个人数据的控制权,并尽可能的避免个人信息的泄露。在中心化的数据管理模式下形成的GDPR制度本身在现实中要真正实现对个人信息充分保护,任重道远。也许将来,区块链技术会给数据保护提供新的机遇,帮助实现GDPR提出的高标准的数据隐私。这也许是EDPB迟迟未就区块链出台指南的重要原因之一。
原文来源:数据法盟
本文始发于微信公众号(网络安全应急技术国家工程实验室):数据跨境之 ( 二 ) | 张晔华: GDPR数据跨境流动机制及其合规建议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论