安全合规--29--企业安全隐私合规体系建设经验总结(三)
本篇介绍:以恰当的合规机制实现数据跨国传输
本篇为第3篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(二)
下一篇:企业安全隐私合规体系建设经验总结(四)
引子
在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,其中也写了一些零零碎碎的心得和研究笔记。
而在今年春节(2020年),由于武汉肺炎疫情严重,假期延长,我决定系统的回顾和总结一下关于企业安全隐私合规体系建设的经验,以让后来人及自己以后都少走弯路。
3.1 三重障碍
从一个法域向另一个法域传输数据之前,企业必须要跨越如下三重障碍:
1、遵守所在法域关于收集或以其他方式在当地处理个人数据的规定;
2、有正当的依据向另一数据控制者披露数据或者通过合同限制数据接收者仅能够处理数据;
3、确保数据接收者采取的数据保护达到充分水平。
障碍一:本地合规
要求对任何数据的收集和处理活动采取保护措施。在欧洲,这包括各类的形式工作(如告知数据主体、进行政府申报、指定数据保护官、准备数据安全文件等),也包括实质措施(如最小化数据处理范围和数据保留期限、确保数据准确和安全、准许权利人数据访问等)。
障碍二:披露限制
要求数据传输存在正当依据,无论是否涉及跨国问题。也就是说企业必须论证其信息披露的合法性,尽管这种披露一般是禁止的。
障碍三:限制向欧洲经济区外传输数据
企业必须确保接收数据的国家或公司在数据保护方面达到充分水平。
欧盟委员会认定的数据保护方面达到充分水平的司法管辖区包括:安道尔、阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、美国(如果数据接受者适用欧盟-美国隐私盾项目)、日本。欧洲经济区内的企业可以向这些国家和地区自由传输数据,如同在欧洲经济区一样。
简单介绍一下欧盟-美国隐私盾项目:
该项目是为了协调欧洲与美国这两个法域在隐私法上存在的巨大差异,由欧盟委员会与美国商务部基于欧洲数据保护法而制定的。大多数美国企业均可加入该项目。
如果美国企业违反隐私盾原则或其隐私声明,美国联邦贸易委员会可以采取强制执行措施,美国商务部可以将企业开除出隐私盾项目,欧洲数据保护机关可以要求企业履行合作义务,民事原告还可以把企业告到法院。
对于像中国这样的第三类国家,欧洲经济区内的企业有多种备选方式寻求突破数据跨国传输的限制:
1、潜在风险已经通知数据主体,且获得数据主体的明示同意;
2、证明数据跨国传输属于履行企业与数据主体所签合约义务之必要条件或属于保护数据主体利益之必要条件;
3、证明数据跨国传输是基于保护公共利益的重要理由;
4、证明数据跨国传输是为了建立、行使或抗辩法律主张;
5、证明数据跨国传输是为了保护数据主体或他人的重大利益;
6、证明数据跨国传输符合欧盟委员会颁布的标准合同条款;
7、证明数据跨国传输符合集团企业规则;
8、证明数据跨国传输符合依据欧盟统一数据保护条例批准的行为准则。
3.2 突破数据跨国传输限制的各种方式
获得数据主体同意
从数据主体即数据指向的个人处获得有效同意之后,企业可以解决跨国数据传输和其他任何数据处理活动的限制。三个障碍中的任何一个都可以通过获得数据主体的有效同意得以解决。但是,同意的做出只有在满足自愿、明确、知情的条件时才有效,而且数据主体可以随时任意的撤回同意。
基于合同义务或法定要求
除了寻求数据主体的同意外,企业可以与数据主体签订合同。在某些情况下,企业还能够借由法定义务使数据传输获得合法性。
签订包含标准合同条款的数据传输协议
若欧洲经济区外的企业与欧洲经济区内的企业达成协议,在合同中承诺遵守欧盟委员会批准的标准合同条款,则该企业对个人数据的保护被视为是充分的。
需要注意的是,企业不得以任何直接或间接的方式修改欧盟标准合同条款或减损数据主体获得其个人数据受到保护的权利。但是企业可以在不影响欧盟委员会对个人数据保护有效充分认定的情况下,订立其他合同和标准合同条款的补充内容。
也就是说,这个合同是欧盟委员会批准的标准合同,不能自己起草和修改,所有公司都签这个合同,但可以添加一些附加条款。
涂鸦即使用这种做法,先在德国注册独立的公司实体,然后该实体与中国总部签订跨国数据传输合同,该合同是欧盟委员会批准的标准合同,无需自己起草和修改。
如果数据处理者(指欧洲经济区外的,涂鸦中国总部)想把这些欧洲传来的个人数据传输给分包商(如提供登录验证码服务的武汉极验),则处理者(涂鸦中国总部)必须获得数据控制者(德国涂鸦公司)的书面同意,基于相同的合同条款与分处理者(武汉极验)签订合同并适用数据控制者所在地的法律。数据处理者(涂鸦中国总部)还要为任何分处理者(武汉极验)的作为或者不作为,对数据控制者和数据主体承担无限连带责任。数据处理者必须把所有外包合同列成一张清单,允许数据主体、数据控制者、监管数据控制者的数据保护机关查询该清单和外包合同。数据主体有权根据本地法在本地法院起诉合同中的任何一方当事人。
基于集团企业规则
对于集团内的数据传输,跨国企业集团可以选择遵守集团企业规则,即提交一份保证在集团企业内部确保遵守欧洲数据保护法的文件或制度陈述。
3.3 合规机制对比
从欧洲向域外传输个人数据的合规机制比较
| 话题 | 数据主体同意、履约必要性 | 基于标准合同条款的数据传输协议 | 欧盟-美国隐私盾认证 | 集团企业规则 |
|---|---|---|---|---|
| 是否对各国的数据保护机关具有约束力 | 否。各国的数据保护机关可以质疑数据主体的同意以及企业与数据主体所签合同的条款、形式表现、接受机制等 | 是。但是各国数据保护机关可以审查协议附件 | 是 | 须经过当地数据保护机关批准。目前,有些欧洲经济区成员国接受这种方式。GDPR生效后,集团企业规则在整个欧洲经济区均有效力 |
| 地理范围 | 无限制 | 无限制 | 仅适用于从欧洲经济区向美国传输个人数据的行为和美国企业接收到该数据后向第三国再传输的行为 | 无限制 |
| 实质范围 | 无限制 | 无限制 | 无限制 | 仅适用于数据在集团内互相传输,不适用于数据在企业与客户、供应商等之间的传输 |
| 再传输 | 无限制 | 数据的第三方接收人也必须签署标准合同条款 | 数据的第三方接收人必须也获得该隐私盾认证,或者签署合格的再传输协议,或者以其他合规方式确保数据的充分保护 | 取决于经数据保护机关批准的集团企业规则的具体内容 |
| 准据法和管辖权 | 未规定 | 数据出口人所在地的法律和司法机关 | 服从美国法律和司法机关,受联邦贸易委员会监管,员工数据必须配合欧洲经济区数据保护机关的监管 | 取决于经过数据保护机关批准的集团企业规则的具体内容 |
| 数据出口人必须遵守 | 数据出口人所在地法律 | 数据出口人所在地法律 | 数据出口人所在地法律 | 数据出口人所在地法律 |
| 除所在地法律外,数据进口人必须遵守 | 其在隐私通知中做出的承诺(作为进口人的合同义务) | 数据出口人所在地法律 | 欧盟-美国隐私盾原则 | 集团企业规则 |
| 灵活性 | 高 | 无 | 无 | 低–无事先设定的条款,但保护机关在批准过程中采纳的标准较高 |
| 实施时间、成本 | 极低(通过在线方式实施时尤为低) | 低(协议模板通常无无需修改即可采用,但是必须要填写附件内容) | 中(自我评估、撰写通知) | 高(需要保护机关批准) |
| 维护成本 | 通常来说极低(情况有变化时需要更新) | 极低(情况有变化时需要更新附件) | 中(每年要进行再次认证和再次自我评估) | 极低(除非情况有变化时必须要重新申请政府批准) |
| 公共关系利弊 | 均无 | 均无 | 有待观察 | 公布集团企业规则可能给企业带来公关影响,尤其是当规则被专家们研读时 |
| 是否有助于向客户销售服务 | 否 | 是 | 是 | 如果客户依赖于集团企业规则,则有可能 |
3.4 执行
基于数据主体同意的数据传输
有效的同意必须满足数据主体自由、知情、明确且以书面形式作出的条件。通常以电子邮件的方式或者点击接受同意书的方式来满足书面形式的要求。
基于法定义务或合同义务的数据传输
如果决定基于履约必要性或法律必要性使个人数据传输合法化,那么必须确认相关的合同或法律确实导致必要性。企业可以影响某些合同义务的创设,以支持履约必要性。
基于标准合同条款的数据传输
决定采用标准合同条款使跨国数据传输合法化,必须采用不可更改的合同范本,并补充关于企业自身和数据的具体信息。数据传输协议签署后,一旦情况有变,签署双方必须修订协议,必要时还须执行补充协议。
依据欧盟-美国隐私盾认证的数据传输
这个就不做介绍了,主要是针对的双边关系是美国公司和欧洲法律。
基于集团企业规则的数据传输
采用集团企业规则包括如下步骤:
1、梳理数据流、数据库,列出企业集团内的数据控制者和处理者(不适用于非关联企业间的数据传输);
2、起草集团企业规则的初稿。草案可以参考数据保护机关已经批准的少数先例。
3、提交申请书,请求批准。
4、确定集团企业规则的适用范围:是仅针对于来自欧洲居民的个人数据,还是覆盖来自全球所有的个人数据。
本篇介绍:以恰当的合规机制实现数据跨国传输
本篇为第3篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(二)
下一篇:企业安全隐私合规体系建设经验总结(四)