敏感数据及跨境传输手册
第一部分 前言
欧洲《一般数据保护条例》(GDPR)已于2018年5月25日生效,取代了1995年发布的数据保护指令(DPD)。新的指令完全更新了受规制公司与机构处理和管理个人数据的方式,并设置了高额的罚金机制。自生效起,罚款对象遍布医疗机构、跨国公司、金融机构、政府机构等。
在个人数据保护方面,GDPR对于生理健康数据、基因数据、生物识别数据等“敏感数据”,提出了高于一般个人数据的合规标准,并对于儿童数据提出了一系列特别要求。
在数据跨境传输方面,GDPR要求提供针对不同的情况为企业、机构及其他组织提供了多样化的合规路径,如充分性认定、适当的保护措施、标准合同条款、有约束力的公司规则等。
华大智造(MGI)推出的集计算、存储和分析软硬件为一体的ZTRON生信自动化服务平台,在使用过程中会收集及处理各类信息,除系统数据(设备温度、湿度、运行数据等)外,还包括个人信息(如:姓名、地址、联系方式),甚至一些敏感信息(如:年龄、性别、病史、血液、唾液等生理信息、基因组信息)。
在使用ZTRON生信自动化服务平台的过程中,相关机构、组织及人员应当结合GDPR的具体要求,特别注意个人敏感数据处理、数据跨境传输等场景的合规性。建议结合本手册识别具体合规风险、开展自我评估,不断提高网络和数据安全能力,加强个人数据保护。
特别声明:本手册仅根据本手册出具之日GDPR法规原文及相关官方或非官方机构指导性文件出具,仅供指引参考,不构成任何正式的法律意见。
第二部分 合规要求及评估指引
一、 个人敏感数据
1、 法规依据
根据Article 4(1) GDPR,“个人数据”是指与已识别或可识别的自然人(数据主体)相关的任何信息;“可识别的自然人”是指可以被直接或间接识别,特别是可通过姓名、ID号码、位置数据、在线ID或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的多种信息所可识别的自然人。
根据Article 9(1-2) GDPR,“个人敏感数据”指涉及以下一种或一种以上类别的个人数据:
(1) 种族或民族出身
(2) 政治观点
(3) 宗教/哲学信仰
(4) 工会成员身份
(5) 涉及健康、性生活或性取向的数据
(6) 基因数据
(7) 经处理可识别特定个人的生物识别数据
根据Article 10 GDPR,处理与刑事定罪和违法有关的个人数据或相关强制措施有关的个人数据时,只有在官方机构控制下或欧盟成员国法律授权的情况下才能进行,并提供适当的保护措施以保证数据主体的权利和自由。任何综合的刑事定罪记录都应仅在官方机构的控制下保存。
2、 自我评估指引
(1) 对于产品、数据控制者[1]服务及数据处理者[2]服务
A. 产品或服务是否涉及对个人数据的处理?若是,则:
> 应对产品或服务处理的个人数据进行识别。
B. 如涉及个人数据处理的,应进一步判断产品或服务是否涉及对个人敏感数据的处理,即是否涉及处理下任意一种个人数据:
> 种族或民族出身
> 政治观点
> 宗教/哲学信仰
> 工会成员身份
> 涉及健康、性生活或性取向的数据
> 基因数据
> 经处理可识别特定个人的生物识别数据
C. 产品或服务如涉及处理与刑事定罪和违法有关的个人数据或相关强制措施有关的个人数据,则应满足Article 10 GDPR的要求。
二、 数据处理
1、 法规依据
根据Article 4(2) GDPR,“数据处理”是指对个人数据或个人数据集合执行的单一操作或一系列操作,例如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他方式应用、排列、组合、限制、删除或销毁,而无论此操作是否通过自动化方式进行。
2、 自我评估指引
(1) 关于产品、数据控制者服务及数据处理者服务
A. 应确认产品或服务(涉及的业务)包含的不同的个人数据处理操作。
B. 应确认前述数据处理操作中的主要操作及辅助操作。
C. 应确认处理数据的目的,并确认相关产品或服务还可能达到什么目的。
D. 应明确定义、并向数据主体披露前述所有目的。
E. 明确产品或服务将向哪些主体(内部和外部)公开个人数据及公开目的,并向数据主体披露。
3、简要指引
请注意,个人数据处理的合规性问题。数据控制者应在理顺数据类型、处理目的、传输对象等基础上,充分保障数据主体知情权,并区分具体的数据处理业务场景,满足GDPR项下相应的合规要求(具体场景见本手册各章节)。
三、 GDPR对敏感数据处理的一般要求
1、合法处理的法律依据
根据Article 9(2)(a-j)+(4)
,敏感数据的处理应被禁止,且仅在下列例外情况下才被允许:
(1) 数据主体明示同意。该等同意应当是自由作出的[3],特定的,知情的且明确的。
(2) 在劳动法、社会保障法或社会保护法领域,雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。
(3) 在数据主体因为身体上或法律上的原因(紧急情况)不能作出同意时,为保护数据主体或他人的重大利益之目的所必需的处理。
(4) 处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的,并且该等处理仅涉及团体成员或前成员,同时,相关数据在未经数据主体同意的情况下不会向第三方披露。
(5) 涉及已由数据主体公开的个人数据的处理。
(6) 为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。
(7) 根据欧盟或成员国的法律,为重大公共利益所必需的处理。该处理所追求的目的应当是适当的,且包含合理的数据保护措施。
(8) 根据欧盟或成员国的法律或与医疗专业人士签署的合同,为预防医学或职业医学,为评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。
(9) 根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由,在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁,或确保医疗保健、医药产品或医疗器械的高标准。
(10) 根据欧盟或成员国法律,为公共利益、统计、科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的,尊重数据保护的基本原则,并采取了适当的、特定的措施以保障数据主体的基本权利和利益。
同时,GDPR允许欧盟成员国维持或引入更多条件,对包括基因数据、生物识别数据或健康数据的处理进行额外限制。
2、简要指引
请注意,个人敏感数据处理的合规性问题。与其它类型的个人数据不同,个人敏感数据的处理原则上被禁止,只有当满足法定条件时方为合法。数据控制者应特别注意这些合法条件,并应注意所在国家是否存在对该等合法条件进行限制的立法。
四、 敏感数据处理的法律基础与不同场景
(一) 法律基础:明示同意
1、法规依据
根据Article 4(11)规定,数据主体的“同意”是指任何自愿做出的、具体和无歧义地、通过声明或明确的肯定行动表示同意处理与其有关的个人数据的行为。
根据Article 9(2)(a) GDPR规定,当数据主体以一种或多种特定目的对个人敏感数据给予了明示同意,则允许进行数据处理。但依照欧盟或者成员国有不同规定的除外。
2、自我评估指引
(1) 对于数据控制者服务
应要求数据主体明示同意,出于一个或多个特定目的处理与他/她有关的敏感数据。 如已获得同意,应确保数据主体表达的同意符合法律要求,具体而言:
A. 同意出于自愿
> 数据主体应有真正或自由选择的权利,而不是在某种形式的胁迫或不利威胁下做出的同意;
> 应查明数据主体与服务提供者之间是否存在明显的不平衡,尤其是在提供者为公权力机关或雇主的情况下;
> 数据主体如有可能对于不同的个人数据处理操作分别作出同意,则应考虑实现对于不同处理授权不同的个人数据类型,以保证数据收集的最小化原则;
> 履行合同(或提供服务)不应以收集非必要的个人数据为前提条件;
> 数据主体应当能够在不损害自身利益的情况下拒绝或撤回同意。
B. 同意在知情的基础上做出,且足够具体
> 数据主体应已了解个人数据所针对的数据处理的所有相关方面,至少包括服务提供者的身份和处理目的;
> 如果数据主体的同意是在还涉及其他事项的书面声明的背景下给出的,该等同意的内容应以清晰易懂的形式与其他事项明显区分开来;
> 如果服务提供者在合同中预先制定了同意声明,应以清晰易懂的语言以易于理解的形式提供同意声明,并避免使用不公平的条款;
> 在同意之前,应告知数据主体其有权撤回同意;数据主体应被告知撤回同意不会影响撤回之前基于同意的数据处理的合法性;
> 同意应以明确方式注明涉及处理的个人敏感数据类型。
C. 数据主体应已明确表示同意,即数据主体通过明确的肯定性行动表示同意处理与他/她有关的个人数据。
D. 控制者应能够证明数据主体已同意处理其个人数据。
E. 对于数据主体而言,撤回同意与给予同意应一样易于操作,且在获得同意后的任何时间都是这样。
F. 服务提供者应确保可以依靠数据主体的明确同意满足处理个人敏感数据的合规要求,且所在国法律并未存在不同规定。
G. 数据主体的同意应明确指向对敏感数据的处理(如适用)。
(2) 对于产品及数据处理者服务
A. 若产品或服务的预期用途需要征得数据当事人的事先同意,则:
> 产品或服务应对数据主体同意提供便利性;
> 产品的制造商/经销商或提供服务的人员或组织应向产品或服务的用户提供模板,以获取数据主体的同意,其中包含所有相关信息,以使数据主体在充分知情的基础上做出同意。
B. 产品或服务的相关文档中应向其用户告知了有效同意必须满足的要求。
C. 如服务提供者代表其用户收集数据主体的同意,则提供者应满足有效知情同意的所有要求。
3、简要指引
请注意,处理个人敏感数据时取得个人数据主体明示同意的合规性问题。具体而言,这种“明示同意”应基于充分知情、并出于自愿,且数据控制者应在产品/服务设计层面及技术层面保证数据主体有随时撤回同意的权利。特别地,数据控制者应关注数据处理涉及的欧盟成员国立法中是否存在排除“明示同意”的规定,以避免相关数据处理被认定为违法。
(二) 为医疗目的
1、法规依据
根据Article 9(2)(h) GDPR规定,根据欧盟或成员国的法律,或根据与医疗专业人士签署的合同且遵循Article 9(3)所规定的情形与保障措施,为预防医学或职业医学,为评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理时,则允许进行个人敏感数据的处理。
根据Article 9(3) GDPR规定,如果依据欧盟或会员国法律或国家法定机构制定的规则,由承担保密义务的专业人士对这些数据进行处理并由其负责,则可以出于Article 9(2)(h)所述目的处理个人敏感数据。
2、自我评估指引
(1) 对于数据控制者服务
A. 若出于以下任何目的而需要处理敏感数据:预防或职业医学,评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理,则:
B. 为此目的处理的敏感数据应当确有必要,并且收集的数据不超过该目的所需的数据。
C. 应已尽可能对数据进行匿名或假名化。
D. 数据处理应基于欧盟或成员国法律进行,且符合该法律的所有相关要求,或:
数据处理应基于与健康专业人员签署的合同,且该专业人员根据欧盟或成员国法律或国家主管机构制定的规则承担保密义务,或由前述法律或规则规定的除该等专业人士以外的人士承担保密义务。
(2) 对于产品及数据处理者服务
A. 产品或服务的预期用途是否需要出于以下任何目的处理敏感数据:预防或职业医学,评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理?若是,则:
B. 产品或服务的相关文档中,应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
3、简要指引
请注意,为医疗目的处理个人敏感数据的合规性问题。数据控制者应确保相关敏感数据的处理确为医疗目的(定义见前文)、而并非涉及其他处理目的;并应注意相关成员国法律中是否规定了具体的“为医疗目的进行敏感数据处理”的法律依据,若无特别规定,则应保证数据处理基于与健康专业人员(该专业人员应根据欧盟或成员国法律或国家主管机构制定的规则承担保密义务)签署的合同,并尽可能对相关敏感数据进行匿名或假名化。
(三) 为公共健康目的
1、法规依据
根据Article 9(2)(i) GDPR规定,当根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由,并为在公共健康领域中为公共利益之目的所必需的处理(例如抵御严重的跨境卫生威胁,或确保医疗保健、医药产品或医疗器械的高标准)时,允许进行个人敏感数据的处理。
2、自我评估指引
(1) 对于数据控制者服务
A. 如根据欧盟或成员国法律,出于公共利益的考虑,必须处理敏感数据,则:
> 应确认出于何种公共卫生领域的公共利益目的,需要进行何种处理(例如:为抵御严重的跨境卫生威胁,或确保医疗保健和医药产品或医疗器械的高标准);
> 如欧盟或成员国法律规定了适当和具体的措施来保护数据主体的权利和自由,特别是保密义务,则数据处理应符合前述保障措施的要求。
(2) 对于产品及数据处理者服务
A. 如根据欧盟或成员国法律,产品或服务的预期用途,可能涉及出于公共卫生领域公共利益的原因而必需的敏感数据的处理,则:
产品或服务的相关文档中,应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
3、简要指引
请注意,为公共健康目的处理个人敏感数据的合规性问题。数据控制者应确保相关敏感数据的处理确为公共健康目的(定义见前文)、而并非涉及其他处理目的,此外还应注意自身是否满足欧盟或相关成员国法律规定的保护数据主体权利自由的相关措施(如适用)。
(四) 处理基因数据、生物识别数据、健康数据
1、法规依据
根据Article 9(4) GDPR规定,允许欧盟成员国对于基因数据、生物识别数据或健康数据的处理方面,在GDPR的基础上维持或引入更多条件进行限制。
2、自我评估指引
(1) 对于数据控制者服务
A. 使用产品或服务时如处理了遗传数据,生物识别数据或健康数据,则:
> 应确认服务提供者是否受制于成员国法律,而该法律在处理此类数据方面引入了更多条件进行限制。若存在该等限制:
> 遗传数据、生物识别数据或健康数据的处理应符合这些进一步的条件。
(2) 对于产品及数据处理者服务
A. 应确认产品或服务的预期用途是否涉及遗传数据、生物识别数据或健康数据的处理,以及这些数据是否可能会受到成员国法律的特殊限制。若是,则:
B. 产品或服务文档中,应向涉及的产品或服务的用户提供有关本节问题(包括成员国法律的特殊限制)的所有相关指南。
3、简要指引
请注意,处理基因数据、生物识别数据、健康数据的合规性问题。对于前述数据类型,因其敏感性较高,GDPR允许欧盟各成员国对其进行额外限制。故对于数据控制者,若涉及处理前述数据类型,应首先确定所在成员国法律、规则是否进行了额外限制,必要时应与相关监管机构进行事先咨询或沟通。
五、 儿童数据的处理
基于儿童可能难以了解个人数据所涉及的风险、后果和保护措施以及他们在个人数据处理方面的权利,GDPR包含一些对儿童数据处理的特别规定。
(一) 儿童的同意
1、法规依据
根据Articles 4(25)+ 8 GDPR规定,如果直接向儿童提供信息社会服务[4]时,该儿童的年龄应当为16周岁以上(包含本数)。若儿童未满16周岁,只有在征得监护人同意或授权的范围内其处理才合法。各成员国可以对上述最低年龄进行调整,但是不得低于13岁。数据控制者应基于现有技术做出合理努力,核实并确保此类情形中对儿童具有父母监护责任的主体已经授权同意。
2、自我评估指引
(1) 对于数据控制者服务
A. 如果提供服务的个人或组织就直接向儿童提供信息社会服务,而寻求数据主体的同意(参见前文“明示同意”部分),应保证至少满足以下任一条件:
> 做出同意的数据主体已满16岁;
> 如果一个成员国规定了较低的年龄(但不低于13岁),并且该法律适用于目前的情况,则做出同意的数据主体已满该成员国要求的年龄;
> 如果数据主体未满16周岁且低于成员国法律要求的年龄,数据处理应已得到对儿童具有监护责任的主体的同意。且服务提供者应基于现有技术,核实并确保此类情形中对儿童具有监护责任的主体已经授权同意。
(2) 对于产品及数据处理者服务
A. 产品或服务应有助于遵守信息社会服务适用于儿童同意的相关规定。
B. 产品或服务文档中应为产品或服务的用户提供有关上述问题的所有相关指南。
C. 产品的制造商/经销商或提供服务的个人或组织应向用户提供模板,以获取数据主体的同意,其中包含所有相关信息,以使数据主体在充分知情的基础上做出同意(参见前文“明示同意”部分与下文“面向儿童通讯信息的可理解性”部分)。
D. 服务提供者可代表用户收集儿童的同意,并确保遵守所有相关法律要求;亦可交由用户自行进行该等收集。
3、简要指引
请注意,处理儿童数据前取得同意的合规性问题。对于数据控制者而言,要基于欧盟及成员国法律确定判断儿童年龄的标准。在此标准上,对于满足“儿童”定义的主体,要在产品或服务设计及技术层面确保数据处理经过了其监护人而非儿童自身的同意。
(二) 进行相关利益平衡时对儿童的特殊保护
1、法规依据
根据Articles 6(1)(f) GDPR规定,在以下情况下,数据处理行为合法:处理行为对于企业或者第三方所追求的合法利益目的是必要的,除非需要保护其个人数据的自然人的利益或者基本权利和自由优于该项利益,尤其是当其涉及儿童时。
2、自我评估指引
(1) 对于数据控制者服务
A. 如提供服务的个人或组织在提供服务时将Articles 6(1)(f) GDPR作为处理与儿童有关的个人数据的法律依据之一,则:
B. 在进行利益平衡时,服务提供者应考虑到儿童在其个人数据方面应受到特别保护,并留存相关证据。
C. 相关数据处理应确实适用Articles 6(1)(f) GDPR所规定的场景。
(2) 对于产品及数据处理者服务
A. 产品或服务的预期用途是否出于服务提供者或第三方追求的合法利益的目的,而有必要处理与儿童有关的个人数据?如是,则:
B. 在对用户进行利益平衡时,产品或服务应有助于遵守对儿童进行特殊保护的要求。
C. 产品或服务文档中,应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
3、简要指引
请注意,进行相关利益平衡时对儿童的特殊保护的合规性问题。当基于Articles 6(1)(f) GDPR(即:因数据处理者正当利益或第三方正当利益而必须处理个人数据)进行数据处理时,在该等利益平衡中应额外考虑儿童利益,并通过产品或服务(或以其他方式)将这种额外考虑确切地体现出来。
(三) 面向儿童通讯信息的可读性
1、法规依据
根据Article 12(1) GDPR规定,数据处理者应采取适当措施,以简洁明了、透明、可理解和易于访问的形式就数据处理事项与数据主体进行通讯,尤其是对于涉及儿童个人数据的通讯。相关信息应以书面形式或其他方式提供,包括在适当情况下以电子方式提供。数据主体提出要求的,也可通过口头方式提供信息,但前提是该数据主体的身份可以通过其他方式得以认证。
2、自我评估指引
(1) 对于数据控制者服务
A. 当个人数据处理的对象是儿童时:
> 提供服务的个人或组织应以儿童可以轻易理解的清晰明了的语言进行相关通讯。例如:如果服务是针对特定年龄段(例如10至12岁)的儿童的,服务提供者应针对该年龄段的典型儿童量身定制通讯语言;如果服务是针对不同年龄段的儿童的,提供该服务的个人或组织应针对各个年龄段的典型成员量身定制通讯语言。
(2) 对于产品及数据处理者服务
A. 产品或服务应有助于遵守Article 12(1) GDPR,确保针对儿童的数据处理过程中信息和通信的可理解性(例如,随附专门针对儿童的通讯文本)。
B. 产品或服务文档中应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
C. 服务提供者可代表用户(数据控制者)与有关儿童进行通讯,并确保遵守Article 12(1) GDPR的要求;亦可交由用户自行进行该等通讯。
3、简要指引
请注意,与儿童进行通信活动时的合规性问题。数据控制者在与儿童进行通信时,应确保相关通信内容是儿童可以理解的。为此,数据控制者需要针对产品/服务所可能面临的儿童年龄段,设计具有可理解性的通信语言,从而充分地保证儿童数据主体的知情权。
(四) 自动化决策(包括画像)不应涉及儿童
1、法规依据
根据Article 22 GDPR,数据主体有权不接受仅基于自动化处理(包括画像)的决策,如果前述决策产生与数据主体有关的法律效果或者对数据主体产生类似的重大影响。以下情形除外:
(1) 对于在控制者和数据主体之间签订或履行合同而言是必需的
(2) 数据主体已给予明确同意
(3) 受到控制者所遵循的欧盟或成员国法律的授权,并制定了适当的措施来保护数据主体的权利,自由和合法利益
当基于前述条款允许进行自动化决策时,数据控制者采取适当的保障措施,包括向数据主体提供具体信息以及要求人为干预、表达其观点、要求对此类评估后作出的决策进行解释以及质疑此类决策的权利。
基于敏感数据的自动化决策进一步受到限制,只有在获得明确同意的情况下或者根据欧盟或成员国法律对于维护重大公共利益处理是必需的情况下才能进行。
而根据Recital 71 GDPR,对儿童采用自动化处理技术被明确禁止。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 应当判断及识别,使用服务所产生的处理是否涉及仅基于自动化处理(包括画像)的单个决策,这些决策是否会产生与数据主体有关的法律效力,或者是否对他们产生类似的重大影响? 若是,则:
> 服务提供者应免除明确向儿童(作为服务的专门目标群体)提出自动化处理的要求;
> 服务提供者应采取适当的技术和/或组织措施来防止儿童(无意中)受到未明确针对他们的自动化处理。
(2) 对于产品及数据处理者服务
A. 产品或服务应有助于遵守以下要求:自动化处理(包括画像)不应涉及儿童。
B. 产品或服务文档中,应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
3、简要指引
请注意,自动化处理(包括画像)涉及儿童的合规问题。GDPR明确规定自动化处理不应针对儿童进行,故数据控制者应在产品/服务设计及技术层面避免对儿童发出自动化处理请求,并避免针对儿童进行自动化处理。
(五) 在评估数据处理风险时对儿童的特殊保护
1、法规依据
根据Articles 24(1) GDPR规定,考虑到数据处理的性质、范围、背景和目的以及自然人的权利和自由的可能性和严重性变化带来的风险,数据控制者应采取适当的技术和组织措施,以确保并能够证明已根据本法规进行数据处理。该等措施应在必要时进行审查和更新。
根据Articles 35(1) GDPR规定,当使用新技术进行某种数据处理,且该种处理的性质、范围、背景和目的,可能对自然人的权利和自由造成高风险,则控制人应在处理之前,评估预期的处理操作对保护个人数据的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
根据Recital 75 GDPR,个人数据处理可能会导致个人的权利和自由遭遇风险,这可能导致物理、物质或非物质损害,尤其是涉及儿童数据时。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 当因使用服务而导致的个人数据处理的对象是儿童时:
> 在评估自然人的权利和自由遭遇的风险时,提供服务的个人或组织应考虑到处理脆弱的自然人(尤其是儿童)的个人数据可能会带来特定的风险;
> 应保存相关记录。
(2) 对于产品及数据处理者服务
A. 产品或服务应满足在评估数据处理风险时对儿童的特殊保护。
B. 产品或服务文档中,应向涉及的产品或服务的用户提供有关本节问题的所有相关指南。
3、简要指引
请注意,在评估数据处理风险时的合规问题。在进行数据影响评估(DPIA)时,数据控制者应充分考虑对儿童进行特殊保护,并在相关记录中进行体现。
六、 跨境传输
1、法规根据
根据Articles 44 GDPR规定,对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者只有满足本条例的其他条款,以及满足本章规定的条件才能进行转移。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
为判断己方机构正在进行/预计将进行的数据处理活动是否属于GDPR规制的数据跨境传输行为,请重点参考以下问题:
A. 提供/使用服务时,个人数据是否会转移到国际组织或既不是欧盟成员也不是欧洲经济区的国家(“第三国”)?进一步来说:
>
服务提供者是否是国际组织或位于欧盟/欧洲经济区以外的第三国,服务是否涉及从欧盟/欧洲经济区导入个人数据?
>
是否将个人数据传输给位于第三国的第三方?
>
是否将个人数据传输到位于第三国的任何数据处理者?
>
是否将个人数据从第三国或国际组织转移到另一第三国或国际组织?
如以上任一问题为肯定回答,则可以初步确认存在GDPR规制的数据跨境传输行为。
3、简要指引
请注意,数据跨境传输的合规问题。数据控制者首先应基于前文指引,判断将要进行数据处理活动是否为GDPR规制的“数据跨境传输”行为,并应遵循相关合规要求,具体见下文各章节。
七、 GDPR对跨境传输的一般要求
1、法规依据
根据Articles 45-49 GDPR规定,只有在符合本条例规定的前提下,必须符合本章规定的条件后,才能进行数据跨境传输。具体如下:
(1) 列入充分保护名单的国家(“充分性认定”);
(2) 对于充分性决定的替代方案(数据控制者或数据处理者提供恰当的保障):
A. 约束性企业规则;
B. 标准合同条款:通过示范条款的方式,认可某些第三国的数据安全和隐私信息的适当性保护水平;
C. 经批准的行为准则;
D. 经批准的认证机制、印章或者标识,主要适用于公共机构之间;
(3) 约束性企业规则,通过使用约束性企业规则,企业集团整体成为一个“安全港”,个人数据可以在集团之间跨境传输,企业约束规则限于集团内的传输,而无论数据居于何处,都会得到同样的保护。
(4) GDPR同时规定了一些可以在不具备上述要求的情况下跨境传输的例外情况,包括数据主体的明确同意、为公共利益考虑、保护数据主体合法权益(数据主体确因特殊情况无法明示同意)、为数据控制者之合法权益等情形。
2、简要指引
请注意,数据跨境传输的合规问题。在进行数据跨境传输之前,数据控制者应确认自身/及数据接收方是否满足GDPR规定的合法条件,并在满足一系列法定条件之后方可进行数据跨境传输。
八、 跨境传输中的注意事项
(一) 传输目的地
请见前文“跨境传输”部分。
(二) 充分性认定
1、法规根据
根据Articles 45 GDPR规定,向满足“充分性认定”的国家或地区进行数据传输时,不需要特定的授权。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 是否将数据传输至以下第三国:欧盟委员会已作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充分保护(即“充分性认定”)?若是,则:
B. 服务提供者应确保确实可以援引“充分性认定”条款(例如,数据传输在欧盟委员会指定的部门范围内进行)。
3、简要指引
请注意,援引“充分性认定”条款的合规问题。数据控制者应通过监管机构或官方文件确认数据接收方所在国家/地区确已通过“充分性认定”,且数据传输确在可以援引“充分性认定”条款的范围内进行。
(三) 适当的保障措施
1、法规依据
根据Articles 46 GDPR规定,数据控制者或数据处理者提供适当的保障措施,并为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或国际组织。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 提供服务的个人或组织是否已通过以下方式提供适当的保障措施?
>
公共机构或机关之间具有法律约束力和可执行力的文书;
>
由主管监管机构批准的具有约束力的公司规则;
>
使用欧盟委员会通过的标准合同条款(SCCs);
>
经批准的行为准则或认证机制,以及第三国的控制者或处理者具有约束力和可执行的承诺,以应用适当的保障措施,包括有关数据主体权利的保障;
>
经主管监管机构批准的合同条款。
若是,则:
B. 应提供可执行的数据主体权利和针对数据主体的有效救济措施。
3、简要指引
请注意,基于适当保障措施进行跨境传输的合规问题。数据控制者应确保自身满足以上至少一种“适当的保障措施”或采取多种措施配合使用,并确保该等措施可以覆盖数据处理的全过程。
(四) 满足特定情形
1、法规依据
根据Articles 49 GDPR规定,在一些特定情形下,可以进行数据跨境传输(详见以下“自我评估指引”部分)。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 如果不满足上述“充分性认定”或“适当的保障措施”,应至少满足以下任一特定情形,方可进行跨境传输:
>
在被告知由于缺乏充分性认定和适当的保障措施而导致数据主体可能面临风险之后,数据主体仍明确同意传输;
>
控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人数据保护采取了合适的安全保障;
>
为了履行数据主体与控制者之间(即分别为服务提供者或服务用户)的合同或执行应数据主体请求采取的合同前措施所必需的传输;
>
为数据控制者与第三方主体之间(即分别为服务提供者或服务用户)为数据主体的利益而订立或履行合同所必需的传输;
>
出于公共利益的重要原因,有必要进行传输;
>
传输对于对法律诉求的确立,行使或抗辩是必要的;
>
为了保护数据主体或其他人的切身利益,在数据主体客观上无法同意时(且传输是有必要的);
>
传输满足:传输是根据登记册而进行的——这种登记册的目的是根据欧盟或成员国法律而向具有正当利益的一般性公众或个人提供咨询。但是,只有满足欧盟或成员国法律对咨询所规定必要条件,此类个案中的传输才能适用“例外情形”;且该等传输不应涉及登记册中包含的全部个人数据或部分数据主体的全类别个人数据。
3、简要指引
请注意,基于特定情形进行跨境传输的合规问题。数据处理者应确保自身满足相应特定情形,并积极留存相关证据。
(五) 对其他传输情形的评估
1、法规依据
根据Articles 49(1) GDPR,在不符合“充分性认定”、“适当的保障措施”及前述“特定情形”时,数据跨境传输只有当同时满足一系列条件时才可以进行。
2、自我评估指引
(1) 对于数据控制者服务及数据处理者服务
A. 在不符合“充分性认定”、“适当的保障措施”及前述“特定情形”时,应同时满足以下要求,方可进行跨境传输:
>
并非重复传输;
>
传输仅涉及数量有限的数据主体;
>
为了争取控制者的合法利益,而该利益不应被数据主体的利益或权利和自由所取代;
>
控制者已经评估了有关数据传输的所有情况,并在评估的基础上为保护个人数据提供了适当的保障;
>
控制者已将该等传输通知了监管当局,并已告知数据主体该等传输和所追求的令人信服的合法利益。
3、简要指引
请注意,基于“其他情形”进行跨境传输的合规问题。当不满足“充分性认定”、“适当的保障措施”及前述“特定情形”时,数据控制者只能在满足法定情形时才能进行数据传输。为了达到合法性目的,数据控制者应进行详尽的DPIA,并在满足前文所述合规要求的基础上向监管机构进行报备。
(六) 提供必要的合规便利和指引
1、法规依据
根据Articles 45-49 GDPR,对于数据处理者而言,为了配合数据控制者进行合规的数据跨境传输,其应提供相应指引,以有助于数据控制者符合GDPR的相关合规要求。
2、自我评估指引
(1) 对于产品及数据处理者服务
A. 如产品或服务的用户会将个人数据转移到欧盟和欧洲经济区以外的第三国,则:
B.产品或服务应有助于用户遵守此类第三国转移的法律规定。
C.产品或服务文档中,应向涉及的产品或服务的用户提供有关数据传输问题的所有相关指南。
3、简要指引
请注意,在跨境传输中,数据处理者负有配合数据控制者的法定义务,以实现共同符合GDPR的合规要求。
[1] 根据Article 4(7)GDPR规定,“数据控制者”指能单独联合决定处理个人数据的目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。政府当局在欧盟或其成员国法律框架内的特定调查接收到个人数据时除外。
[2] 根据Article 4(8)GDPR规定,“数据处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
[3] 如:雇主对员工医疗数据的处理(包括药物或酒精测试)不能以员工的同意为依据。这是因为,考虑到双方的层级关系,这种同意不被视为是自由作出的。
[4] 根据Article 1(1)(b) Directive
(EU) 2015/1535规定,“信息社会服务”指通过电子方式并应服务接受者的个人要求提供有偿服务的任何服务。