时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)

  • A+
所属分类:云安全

点击上方蓝色“赛博星人”关注我们


本文解答的问题,以及对应的中国企业业务场景、业务需求:


中国许多“走出去”的企业,其数据中心一般设置于中国境内。在“走出去”的过程中,于发展欧盟国家业务的过程中,收集、处理、存储许多欧盟国家公民的隐私数据。大部分的中国企业是将这些数据存储于其位于中国境内的数据中心的,也就是说,将欧盟公民隐私数据或者个人信息存储于欧盟EEA成员国之外,并且,中国是不受欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)所认可的“安全国家”,根据GDPR的要求,必须执行有关的报备才能合法合规地继续有关的数据离境存储的做法。


在赛博星人协助许多客户进行GDPR合规准备的过程中,我们的许多客户面临以上所述的情景,并且许多客户均对GDPR中有关数据离境至中国的要求感到迷惑,或者对数据离境的成本感到担心。


基于协助若干客户完成将其欧盟客户、欧盟雇员数据离境至中国的合规工作的经验,我们谨向您简要分享有关GDPR法案项下,如何、采用何种方法,才能合规、以最优成本将欧盟公司隐私及个人信息离境存储于中国。


背景

20164月,欧洲议会投票通过了《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR),并在20185月实行。以下为GDPR管辖范围:

  1. 每个位于欧盟境内的个人隐私数据“控制者”或“处理者”

  2. 每个位于欧盟境外,但为欧盟居民提供商品或服务过程中(无论是否需要付费)处理了欧盟内数据主体的隐私数据、或对欧盟居民发生在欧盟境内的行为进行监测的控制者或处理者。

  3. 如处于根据国际公法亦适用欧盟成员国法律的地方的所有隐私数据控制者,即使在欧盟境外,亦受GDPR管辖。

     

GDPR将对当前的监管造成全面的变革,并极大地增加合规成本。

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)

(:数据离境是指:transfers of personal data from the EU/EEA to third countries


个人隐私数据合规离境条件

赛博星人研究后总结:根据GDPR,企业在满足以合法目的收集和处理隐私数据的前提下,个人隐私数据合规离境需满足以下其中一个条件:

  1. 个人隐私数据离境至欧盟认为能提供充分隐私保护的地区,或被欧美隐私保护盾覆盖的国家或地区

  2. 个人隐私数据离境传输符合GDPR的豁免条件,企业即可免除数据离境传输的限制

  3. 隐私数据输出方与接收方之间签订了欧盟认可的标准合同,以保证隐私数据传输得到充分的保护

  4. 企业已成功申请Binding Corporate Rules(约束性公司规章,以下简称为BCR),个人隐私数据离境传输已受BCR的约束


我们建议中国企业采取第三点中的BCR方式,因为它是目前对于数据离境至中国的方式下,最优成本的合规解决方案。本文谨先讨论及分享BCR方式,在后续的推送中会接着介绍其他三点,以帮助中国企业选择符合自身情况的欧盟隐私数据离境方式。


BCR的适用对象

BCR为供跨国公司集团采用的内部规则 (例如行为守则),它对同一集团内、不同地区实体之间的个人隐私数据传输提供全球性的数据保护政策,其中需包括对隐私数据类别、数据处理形式、数据处理目的、将受影响的数据主体等进行规定。


当离境数据中包含个人隐私数据,且数据需要被传输到欧盟或欧洲经济区以外未对个人隐私数据提供充分的保护或其未被欧美隐私保护盾覆盖的国家或地区时,跨国集团可通过申请BCR获得向同一跨国公司内部实体传输数据的许可。但,需要注意的是BCR不适用于集团内实体与集团外实体的隐私数据传输,其只适用于同一集团内不同地区实体间的隐私数据传输。

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)



BCR能为企业带来哪些价值?

首先,BCR可对同一集团成员间的隐私数据传输提供充分的保护。  

      


其次,按照GDPR的规定,同一集团不同成员间涉及离境的每一次隐私数据传输,双方都要签署欧盟认可的标准合同条款。但,如获得BCR申请成功后,企业无需在每次需要向其集团成员离境传输隐私数据时签署标准合同条款;从此可知,BCR可大大减少为达成数据离境传输的沟通成本以及时间成本,亦免除了繁琐的合同流程。相较之下,对于大型跨国集团,BCR是更可取的隐私数据合规离境传输的方式。


再者,BCR既有助于节省数据本地化处理的成本, 增强隐私数据保护问责制, 并将数据保护和安全构建到公司原有的制度体系中,亦可帮助公司与其主要监管机构建立关系, 提高公司将面临哪些方面审查的确定性。此外,BCR也可帮助企业在市场上提高竞争优势, 增加客户和监管者对公司隐私惯例的信任。


业务场景解释案例:

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)

BCR形式是目前我们认为能够以最优的成本进行欧盟数据合规离境的、能够确保中国企业在2018年5月前已经快速准备好并满足GDPR数据合规离境要求的主要做法之一。一些大型跨国企业也已经采取BCR形式并已经获得BCR认证,包括:

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)


在下一篇文章中,赛博星人将会分享如何申请BCR以及在申请过程中的注意点;并且后续还将针对中国企业目前在进行GDPR


合规准备、落地实施过程中,普遍遇到的困难分析、经验分享文章。

如果您对本文、数据离境至中国或者BCR议题有任何问题,欢迎联系我们一起探讨与交流:

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)







































































































本文始发于微信公众号(赛博星人):时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: