个人数据传输需符合GDPR标准，不得受限

GDPR第五章是关于“个人数据向第三国或国际组织的传输”(大体相当于跨境数据转移的概念,但从GDPR第1条第3款看显然不包括欧盟成员国之间的数据转移)的规定。对于跨境数据转移的限制在DPD中已有规定,DPD要求欧盟公民的个人数据仅能转移至保护水平达到充分程度(adequate level)的国家。在实践中,部分成员国针对跨境数据转移增加了事前的备案或者许可要求。GDPR不再允许这种增设备案或许可的做法,只要符合GDPR中个人数据向第三国或国际组织的转输的条件,成员国就不得予以限制。在此基础上,GDPR第五章进一步于“充分性决定”和有约束力的公司规则等方面完善了DPD等既有的欧盟法律文件所构建的跨境数据转移制度。

根据GDPR第45条第1款的规定,欧盟委员会除了可以像DPD规定的那样对国家做出评估外,还可以对一国内的特定地区、领域以及国际组织的保护水平做出评估,如果评估得到通过,则有关的个人数据转移“无需任何明确授权”。这进一步增加了“充分性决定”(adequate decision,即判断有关国家的保护水平是否达到充分程度的决定)的灵活性。GDPR第45条第2款至第8款对欧盟委员会做出“充分性决定”的标准和程序也做了进一步的详细规范,包括要求至少每隔四年对“充分性决定”进行重新审查。

按照GDPR第46条的规定,在没有“充分性决定”的情况下,数据的控制者也可以在具备若干适当保障措施的条件下向第三国或国际组织传输个人数据,这些措施既包括公共机构或实体之间的具有约束力和法律执行力的法律文件,也包括有约束力的公司规则及标准条款合同,还包括行为准则及认证等。

有约束力的公司规则(binding corporate rules,BCR)最初由第29条工作组发展而来,初衷是让跨国公司或者公司集团能够在公司内部进行跨境数据转移,是欧盟委员会提出的标准条款合同(standard clauses contract,SCC)的一个替代选择。在DPD框架下,大约有2/3的欧盟成员国认可BCR。然而,取得成员国监管机构对于BCR的认可需要经历18个月至24个月的批准程序^[12]。GDPR第47条第1款和第2款要求由“主导监管机构”(详后)批准BCR,前提是这些规则明确就数据主体个人数据的处理向数据主体赋予可强制执行的权利,且这些规则具有法律约束力,适用于企业集团或从事共同经济活动的企业集团的每一相关成员(包括各自的雇员),并得到其执行。GDPR第47条第3款则详细规定了BCR至少应当包括的14项内容。

GDPR中没有专门调整SCC的条文,但由GDPR第47条第2款第(c)项与第(d)项可知,SCC中的标准条款必须经欧盟委员会或成员国监管机构审查通过。(www.xing528.com)

与BCR及SCC不同的是,行为准则与认证是DPD中并不存在而由GDPR第五章(结合GDPR第四章中的第40条至第43条)引入欧盟法律的新型合规机制,以期最大化发挥第三方监督与市场自律作用。行为准则主要针对的是不适用GDPR但从欧盟接收数据的非公共机构,认证则主要适用于公共机构之间的数据转移活动。

根据GDPR第40条,所谓行为准则(codes of conduct),系特指根据不同处理部门的具体特征及中小微企业的具体需求,以促进GDPR的正确适用为目的,由协会和代表不同类型控制者或处理者的其他机构编写的控制者或处理者的行为准则。行为准则须视不同情况分别经过成员国监管机构或欧盟委员会的登记或公布,才能被认为是经批准的行为准则(approved codes of conduct)。并且,根据GDPR第41条,监督经批准的行为准则的遵守情况,由“主导监管机构”或者对行为准则的对象具有相应专业水平并经“主导监管机构”认可的机构进行。

根据GDPR第42条,所谓认证(certification),是指用来证明控制者和处理者的处理操作符合GDPR的规定的数据保护认证机制(data protection certification mechanism)以及数据保护印章和标识(data protection seals and marks)。认证应当是自愿的,且可通过透明的程序获得。认证应当依据“主导监管机构”或欧盟理事会批准的标准,由该“主导监管机构”或者符合GDPR第43条所规定的具体条件并经“主导监管机构”认可的认证机构做出;若该标准由欧盟理事会批准,则有关认证可以使用欧洲数据保护印章的通用认证。认证的最长期限为三年,并可在同等条件下延期,前提是控制者或处理者仍然达到相关要求,否则,认证将被撤回。