2021年11月18日,欧洲数据保护委员会(EDPB)通过了《关于GDPR第3条及第五章关于跨国数据转移之间的相互作用的指南》以供公众征询意见,截止日期为2022年1月31日。
在GDPR开始实施的过去三年里,这种情况构成一些混淆,即位于欧盟境外、根据第3(2)条应当遵守GDPR的数据控制者和处理者且同时处理由欧盟境内控制者和处理者提供的数据。亦即,前述处理行为是否构成“转移”因此应当符合GDPR第五章的要求,即使该数据接收方已经受GDPR的约束。
就此,该指南确定了以下三个累积性标准,使一项处理构成“向第三国或国际组织转移个人数据”:
- 控制者或处理者在特定的处理过程中需要遵守GDPR;
- 该控制者或处理者(“数据出口者“)通过传输或其他方式将受此处理的个人数据提供给另一控制者、共同控制者或处理者(“数据进口者”);
- 数据进口者在第三国,或者是一个国际组织,同时不管这个数据进口者是否按照第3条的规定在特定的处理方面受到GDPR的约束。
例:一家意大利公司将其客户的数据提供给一家在中国成立的提供云服务的公司;根据GDPR第3(2)条,中国公司因向欧盟境内主体提供服务而应当遵守GDPR的规则。同时,处理数据的行为将被视为向第三国处理者转移数据的行为,因而应当符合GDPR第五章的要求,尽管该中国公司已根据第3(2)条受GDPR约束。
因此,在 “国际转移 ”的情况下,控制者或处理者需要遵守GDPR第五章的规定,以保护将被转移到第三国或国际组织的个人信息。
由于到目前为止,中国并未被欧盟委员会承认为能够“提供充分保护的国家”(GDPR第45条),在缺失该充分保护决议的情况下,向中国转移数据的控制者和/或处理者可以采取第46条规定的适当保障措施,包括:
在缺失第45条规定的充分保护决议且无法提供第46条所规定的保护措施时,个人数据的转移在下列情况下仍可发生:
- 数据主体被告知传输的风险并表示明确同意转移
- 转移是为实现数据主体与控制者之间的合同或先合同措施所必需
- 订立或履行控制者与第三方之间的合同所必需,但该合同是为数据主体的利益所订立
- 转移为法律诉讼所必需
- 因生理原因或法律原因无法给予同意的数据主体,为保护该主体的或其他人的重大利益,有必要进行转移
- 转移通过登记册进行,根据欧盟或其成员国法律该登记册旨在向公众或能够证明正当权益的主体提供
另外,EDPB明晰了直接在欧盟境外收集个人信息并不构成数据“转移”,但符合GDPR第3(2)条的情况下依然需要遵守GDPR的规定。然而,若该境外接受方将个人信息再次提供给位于其他国家的数据处理者,这种提供行为构成数据“转移“因为需要适用第五章的规定。
例:在中国境内从事电子商务的公司直接从其在中国的服务器上接收其客户的个人数据,并将相同的数据传输到其在中国的处理者(例如,用于存储目的)。若电子商务公司向欧盟的数据主体提供商品、服务或监控数据主体的行为,则电子商务公司将受第3(2)条的约束,而向中国处理者的数据转移应遵循GDPR第五章,尽管处理者和控制者都在同一国家/地区。
如果本指南全然被EDPB正式采纳,这将对处理或接受来自于欧洲境内个人数据的中国公司产生巨大影响。广悦律师事务所随时为中国境内外的客户提供新兴法律领域的法律服务。若您认为以上规则适用于贵司,请随时通过下方联系方式与我司联系。