数据跨境之 ( 五 ) | 中国公司基于SCCs开展数据跨境流动的基本策略

答：可以，但是需要完成个案评估，至少应该包括三部分：( 1 ) 目的国的整体法律环境评估；( 2 ) 具体个人数据转移场景下的风险评估；( 3 ) 如果前两者叠加仍不能提供与欧盟基本同等的保护，那么企业应该考虑额外的安全措施和补充措施。

答：至少应该考虑：( 1 ) 该国个人数据、隐私保护法律水平；( 2 ) 政府执法/情报部门请求访问数据的法律授权、程序限制和法律救济机制；接收国政府访问境外数据的历史和可能性；( 3 ) 数据主体权利保护，既包括GDPR下的“增删改查”，也包括民事诉讼等法律救济。

个人的观察和思考：( A ) 单个企业对接收国的整体法律环境进行评估费时费力，而且容易出现不确定性和不一致性。比较好的作法是接收国政府或者隐私保护的行业协会发布本国法律环境评估的白皮书用于指导本国所有企业的数据跨境评估，并随着新的立法和执法实践予以更新。虽然美国因为监控项目侵犯外国公民隐私被屡屡诟病，但是其一些国际澄清的方法仍然值得借鉴。在7月欧盟宣布判决后，9月美国商务部、司法部、DNI联合发布了白皮书指导美国企业如何对美国隐私保护法律环境进行评估。除“隐私盾”以外，美国政府就“棱镜门”，云法案都先后发布过白皮书，供美国企业对外澄清援引。

( B ) CJEU的判决将评估一国法律环境的义务交给企业。其实也令人困惑：第一，欧委会认可的数据保护“充分”的国家就只有12个；第二，2010/87/EU决定很清楚的写明SCC条款的诞生就是作为弥补数据转移到那些数据保护“不充分”的国家的保护措施之一，所以SCC才有了一些额外的保护条款，比如授予了数据主体第三方权利、监管机构可以审计数据接收方、暂停/终止传输、合同争议地和适用法律都在欧盟等；第三，在2010/87/EU决定中的SCC模板中也提到数据进口方的DD义务是“保证没有理由相信有法律阻止其履行承诺”，现在通过CJEU判决和EDPB的QA一解读，变成进口方的一个主动评估义务了。预计欧委会在后续更新的SCC模板中会加强这块义务。

答：个人数据跨境转移并不自动意味着高风险，而是应该基于场景具体分析，被转移的个人数据被侵害的可能性及严重程度。

比如应考虑：( 1 ) 被转移数据的性质，从欧盟执法案例来看，2C数据风险因为涉及公共利益，往往风险最高，其次是雇员数据风险；特殊种类个人数据肯定高于一般个人数据；( 2 ) 数据转移目的，从欧盟执法案例看，用于用户画像、定向广告风险肯定高于一般的订单发货目的。企业以节约成本为由集中IT资源统一管理内部数据也一般不会被执法部门认同为“必要”。( 3 ) 接收国政府部门在历史上是否存在类似“棱镜门”的大型监控项目或者跨境数据访问强制要求。( 4 ) 数据接收方的性质：一般来说，集团内部的跨境转移风险小于转移给外部实体；转移给专业机构（如律师、外审）风险小于转移给商业机构；( 5 ) 数据接收方的内部隐私治理、资质、技术措施等等……

这部分评估很重要，还需要结合具体场景考虑很多风险因素，不一一枚举。另外，值得提醒的是，不要图省事，一个接收国只出一份评估报告导致被“一网打尽”。

答：如果问题2和3中提及的两项评估结果是SCC不能被充分有效遵从，数据出口方应该考虑额外的安全措施和补充措施来确保源自欧盟的个人数据在接收国得到与欧盟同等水平的保护。常见的措施一般是匿名、化名、加密等隐私提升技术和访问限制等。

EDPB于7月24日曾经宣布会进一步研究“补充措施的具体内容，并提供指导”。所以可以边作边等，不停迭代，但不必短期内采取极端措施，影响数据传输效率和商业模式。

答：近期一项调查显示，一些美国企业在“隐私盾”和SCC被质疑的情况下，不得不选择GDPR第49条规定的“克减（deragation）”例外（数据主体同意、履行合同所必要等），因为实在是没有别的选项了。

但必须注意到EDPB和欧盟法院对“克减”的使用是严格限制的，仅适用于一些“偶尔”、“非重复”的场合。背后的逻辑是，克减是“充分性国家”和“SCC/BCR等安全保证措施”的例外，所以克减被认为是不能为数据提供“充分保护”的，既然是一个风险容忍措施，自然不能系统性、常规使用。EDPB在2018年指南中指出，常见的“非偶然性”场景有：定期远程访问位于欧盟的数据库或者两个有稳定商业关系的法律实体之间的数据跨境转移。