服务热线:18907390038
热搜产品
新闻中心

魏屹威:跨境数据传输风险防范——以Meta爱尔兰公司被罚一案为例

2024-10-13 0

近日,爱尔兰数据保护委员会以Meta爱尔兰公司违反了《通用数据保护条例》(以下简称GDPR)第46条的规定,对其做出了12亿欧元的处罚决定并责令其停止向母公司Meta美国公司传输用户数据。该项处罚决定不仅是史上引用GDPR做出的最大数额罚款,更使得跨境数据的合规及处罚应对问题成为世界瞩目的焦点。本文在对处罚决定的重点问题进行分析的基础上,提出实务建议。


一、相关背景


(一)GDPR的产生


《通用数据保护条例》(European Unions General Data Protection Regulation, GDPR)是欧盟各国在2016年4月27日于布鲁塞尔签署并于2018年5月25日起实施的保护条例。该条例侧重于保护数据主体(本案主要指Meta爱尔兰公司搜集的欧洲用户)的各项权利,并着重对数据控制者(本案主要指Meta爱尔兰公司)、数据处理者(本文主要指Meta 美国公司)课以严苛的注意义务。


1995年10月24日,欧盟通过了《关于个人数据处理保护与自由流动指令》。该指令为欧盟成员保护个人数据安全提供了最低标准,并对跨境数据传输进行了规定,总体来说不得非法将数据转移至保护标准低于欧盟的国家和地区。反观美国,其重商主义思想更侧重于行业自律,不像欧盟国家通常有着数据保护专门法的制度设计。美国对个人数据多采取分散保护机制,整体相较于欧盟国家宽松。


美国和欧洲存在着深厚的历史渊源及紧密的合作,双方于2000年通过了《安全港协定》,该协定约定只有符合“安全港标准”的特定美国企业方有权获得来自欧盟国家的个人数据。


2013年,脸书欧洲公司被奥地利人Schrems以其非法转移个人数据至美国为由先后诉至爱尔兰数据保护委员会、爱尔兰高等法院及欧盟法院。欧盟法院最终认定脸书欧洲公司仅凭《安全港协定》的签署不能实现数据充分保护。而美国政府试图对欧盟公民的个人信息采取“长臂攫取”行为则进一步违反了《关于个人数据处理保护与自由流动指令》的基本原则,故而判令《安全港协定》无效。该协定失效后,美欧双方进行新一轮谈判,并于2016年签署了《隐私盾协定》。该协定对美方企业课以更多的注意义务,尤其在数据传输行为上更需审慎行事。


另,为了更加高效、合规地实现数据传输,欧盟于2010年及2021年出台了SCC《标准合同文本》以供企业使用,本案中的Meta爱尔兰公司对该文本也有所使用。


二、重点问题分析


(一)本案的管辖


《处罚决定》援引了GDPR第56条和第60条的规定,即数据控制者或处理者的主注册地或者唯一注册地的监管机构有权监管。本案中,Meta爱尔兰公司依据爱尔兰法律而设立,主营业地及注册地皆位于都柏林,故爱尔兰数据保护委员会对本案享有管辖权。


(二)处罚依据


《处罚决定》主要依照GDPR第46条以及Schrems案的处罚判例,即Meta爱尔兰公司将数据传输到美国这样一个低于欧盟数据安全保障的国家不符合GDPR规定的豁免条件。经过爱尔兰数据保护委员会的调查以及Meta爱尔兰公司提交的各项材料及陈述申辩,爱尔兰数据保护委员会认定将数据转移至第三国应当根据GDPR第45条第3款的规定经欧盟方面的前置评估,且只有数据控制者或处理者已提供适当保障,以及数据主体可获得可强制执行的数据主体权利和有效法律救济的条件下,控制者或处理者方可向第三国或国际组织传输个人数据。


由于Meta爱尔兰触犯的是非法数据传输的条款(GDPR第46条),根据GDPR第83条的规定,应处以最高2000万欧元或者上一年度全球年营业总额4%的罚款(二者取高者),最终Meta爱尔兰公司受到12亿欧元的罚款并被责令暂停涉案数据传输。


(三)美国的数据安全有何问题?


美国section 702法案成为直接原因。该法案规定联邦政府有权对使用美国技术与通信服务的外国个人进行数据收集,从而使得美国政府通过苹果、微软等科技巨头得以监控欧盟等国的数据。同时,该法案没有对FBI等国家机关调取隐私数据的权力有足够的限制,进而默许了美国在数据领域上对欧盟国家的不当干预。即便Meta爱尔兰继续申辩其根据欧盟做出的《标准合同文本》传输数据,也不能当然得出其已经弥补了美国数据安全保障的不足。


三、律师建议


(一)投资选择


建议“走出去”的中国企业在投资科技类项目之时慎重选择欧盟国家作为连接点。一旦落入数据安全委员会的管辖,很容易触发GDPR的处罚机制,造成巨额罚款。


如若选择欧盟国家作为连接点,则应注意欧盟各国的数据监管机关在做出处罚多适用“有罪推定”原则。这就要求“走出去”的中国企业高度重视数据合规,并对数据征集、使用、传输等各项流程进行全面地留存,以达“自证清白”的目的。


(二)取得数据保护认证


这一制度创新规定在GDPR第46条第2款(f),旨在督促更多的数据控制者及处理者提升数据合规水平。通过向欧盟的指定的认证机关申请认证,适格企业将获得“the European Data Protection Seal”的欧盟通用认证。认证通过后,将企业被认定为提供了适当保障。


虽然获得该项认证不能完全豁免涉案企业的责任,但可在一定程度上在数据合规风险发生之时证明涉案企业已尽到了一定的注意义务,且没有主观恶意,进而在一定程度上减轻处罚。


(三)设立数据保护专员


GDPR在第37至39条强调了该职位的重要性,更对数据主体需要定期和大规模监控的情形强制要求企业聘请专门的数据保护专员。对内,数据保护专员直接向数据控制者及处理者的最高管理者进行垂直性的报告,并对数据控制者、处理者和其他处理人员提出通知和建议,对其进行监控;对外,欧盟各国的数据监管机关通常习惯于将数据保护专员作为涉案企业的直接联系人。数据合规风险发生之时,数据保护专员通常作为企业和监管机构之间紧急沟通的桥梁,便于涉案企业调取各项证据并及时向监管机关陈述申辩以化解危机。


值得注意的是,由于企业管理利益冲突的普遍存在,大部分企业高级管理人员不适合兼任数据保护专员。数据保护专员通常也被要求拥有法律、数据保护、合规风控等相关知识。“走出去”的中国企业出于提升合规风控的需求也可与第三方签署协议,采取外聘的方式聘任数据保护专员。


(四)务必谨慎向欧盟外的其他国家和地区传输数据


一家企业的合规风控水平无论达到什么程度都建议按照GDPR的要求事先征询所在国的数据监管机关。


此外,对数据传输目标国应尽充分的查明义务,重点查明该国的数据保护规则是否完备、是否包含独立的数据监管机构等因素。出于成本的考虑,很多“走出去”并扎根在欧盟的中国企业草率地将欧盟地区获得的数据传输至中国母公司进行处置,造成了巨大的数据合规风险。从现状来看,中国大陆地区对于数据安全方面的立法及监管尚处于起步和较为宽松的阶段,采取什么样的数据保护或者弥补措施都很难达到GDPR认定的和欧盟标准相称的保护措施,故建议调整企业的架构,将数据储存与处理均设在欧盟国家系较为稳妥的做法。


由于法律文化和经营理念的差异,“走出去”的中国企业应当以Meta爱尔兰公司被罚一案为鉴,妥善处理数据合规及风控问题,尤其在数据传输问题上更要慎重对待。


附:GDPR相关规定[1]


第5条 个人数据处理原则


 1.对于个人数据,应遵循下列规定:(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来 进行处理(“合法性、合理性和透明性”);(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的 处理不应当违反初始目的。根据第 89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要 的(“数据最小化”);(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施 确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更 正(“准确性”);(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体 的权利和自由,并采取了本条例第 89(1)条所规定的合理技术与组织措施。(“限期储存”);(f) 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施, 避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭 失(“数据的完整性与保密性”)。 


2.控制者有责任遵守以上第 1 段,并且有责任对此提供证明。(“可问责 性”)。


第37条 数据保护官的委任


1.在如下任一情形中,控制者和处理者应当委任数据保护官:(a)处理是公共机构或公共实体进行操作的,法庭在履行其司法职能时除外;(b)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控;或者(c)控制者或处理者的核心活动包含了第 9 条规定的对某种特殊类型数据的大规模处理和第10条规定的对定罪和违法相关的个人数据的处理。 


2.如果一组企业的每一个机构都能很容易联系数据保护官,这一组企业可以任命一个单独的数据保护官。 


3.当控制者或处理者是一个公共机构或公共实体,基于它们的组织结构和规模,多个此类公共机构或实体可以共同委任一个数据保护官。 


4.除了第 1 段所规定的情形,在欧盟或成员国法律要求的情形下,控制者或处理者,或代表某类控制者或处理者的协会和其他实体可以委任一名 数据保护官。对于此类协会,或代表控制者或处理者的其他实体的活动,数据保护官有权代表它们进行活动。 


5.数据保护官的委任必须基于其专业性的素质,其需要具有数据保护法律与实践的专业知识,以及完成第 39 条所规定的任务的能力。 


6.数据保护官应当是控制者或处理者或基于服务合同而完成任务的一名 职员。 


7.控制者或处理者应当发布数据保护官的详细联系方式,并向监管机构 进行报告。 


第38条 数据保护官的职位


1.控制者和处理者应当确保,在所有与个人数据保护相关的事项中,数据保护官都应当以一种恰当和及时的方式介入。 


2.控制者和处理者应当支持数据保护官履行第39条所规定的责任,应当提供其履行此类责任、访问个人数据、进行处理操作,以及维持其专业性 知识的必要资源。


3.控制者和处理者应当确保个人数据保护官不会收到任何关于履行此类 责任的指示。个人数据保护官不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告。 


4.数据主体可以在所有和处理其个人数据相关的事项中,以及和行使本条例所赋予的权利相关的事项中联系数据保护官。 


5.数据保护官在完成其任务时,应当遵守欧盟或成员国的法律,负有保密义务。 


6.数据保护官可以完成其他任务或责任。控制者或处理者应当保证任何 此类任务和责任不会导致利益冲突。 


第39条 数据保护官的任务


1.数据保护官应当至少具有如下任务:(a)对控制者或处理者,以及那些履行本条例和欧盟其他成员国数据保护条 款所规定的处理责任的雇员进行告知,提供建议;(b)确保遵守本条例、其他欧盟或成员国数据保护条款、和个人数据保护相关的控制者或处理者的政策,包括分配处理操作中以及相关审计中的责任、增强意识以及培训职员;(c)根据要求,应当对数据保护影响评估以及根据第 35 条对其实施进行监 管的事项提供建议;(d)和监管机构进行合作;(e)在与处理相关的事项中,包括第 36 条所规定的提前咨询中,以及——在适用的情况下——在其他所有相关事项的咨询中,充当监管机构的联系人。 


2.数据保护官在履行其任务时,应当结合处理的性质、范围、语境与目的, 合理地考虑处理操作所伴随的风险。


第44条 转移的一般性原则


对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织, 包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者只有满足本条例的其他条款,以及满足本章规定的条件才能进行转移。为了保证本条例对于自然人的保护程度不会被削弱,本章的所有条款都应当被遵守。


第45条 基于认定具有充足保护的转移


1.当欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。 


2.当评估保护程度的充足性时,欧盟委员会应当特别考虑如下因素:(a)法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法,以及此类立法的实施、数据保护规则、职业规则和安全措施,包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济;(b)在国际组织是主体的情形中,第三国内存在一个或多个有效运作的独立监管机构,保证数据保护规则的实施,包括具有充分的执行权力,在数据主体行使其权利时和与成员国的监管机构合作时提供帮助和建议;(c)第三国或国际组织已经许下的国际性承诺,或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任,以及参加多边或地区性的体系,特别是和数据保护相关的体系所引起的其它责任。 


3.在评估了保护程度的充足性之后,欧盟委员会可以通过制定实施性法案, 确定本条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或一个国际组织是否具有充足的保护。实施性法案应当提供一种周期性审查,至少每四年对第三国或国际组织的所有相关发展进行审查。实施性法案应当细化其领域性与部门性的实施,以及在适用的情况下确定本条第2段(b)点所规定的一个或多个监管机构。实施性法案的制定应当遵循第 93(2)条所规定的验证程序。 


4.欧盟委员会应当持续性地监控第三国或国际组织的某些可能会影响根据本条第3款而作出的决定和建立在 95/46/EC 指令第 25(6)条基础之上的决定发挥作用的某些发展。 


5.当已有信息显示,第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第2段所规定的充足的保护,欧盟委员会应当——尤其是在经过 第3段所规定的核查后——通过制定不具有溯及力的实施性法案,在必要限度内废止、修正或中止本条第3 段所规定的决定。此类实施性法案的制定应 当遵循第93(2)条所规定的验证程序。在具有高度正当性的紧急状态情形中,欧盟委员会应当立即根据第93(3)条规定的程序而制定实施性法案。 


6.为了补救导致第5条决定的情形,欧盟委员会应当与第三国或国际组织磋商。 


7.符合本条第5段的决定不会影响到将个人数据转移到第三国、第三国内的领地或一个或多个部门、或者第46条至49条所规定的相关国际组织。


8.欧盟委员会应当在欧盟的官方杂志及其网站上发表名单,列明其确定已经 具备充足保护或不再具有充足保护的第三国、第三国内的特定部门和国际组 织。 


9.欧盟委员会在95/46/EC指令第25(6)条基础上而做出的决定,在被欧盟委员会根据本条第3段或第5段而修改、替代或废止前应具有效力。 


第46条 转移所需要的适当安全保障


1.如果没有根据第45(3)条而做出的决定,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。 


2.在不要求监管机构提供任何具体授权的情形下,第1段所规定的适当保障措施可以如下方式提供:(a)公共机构或实体之间之间签订的具有法律约束力和可执行性的文件;(b)符合第 47 条的有约束力的公司规则;(c)欧盟委员会根据第 93(2)条规定的核查程序而制定的数据保护标准条款;(d)监管机构根据第 93(2)条规定的核查程序制定并且为欧盟委员会批准的 数据保护标准条款;(e)根据第40条制定的行为准则,以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;或者(f)根据第42条而被批准的验证机制,以及第三国的控制者或处理者为了采 取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利。 


3.在需要有权监管机构授权的情形下,第1段所规定的合适安全措施尤其可以通过如下方式进行规定:(a)控制者或处理者与控制者、处理者或第三国或国际组织的个人数据接收者之间的合同条款;或者(b)公共机构或公共实体之间在行政性安排中所插入的条款,包括可执行的与有效的数据主体权利。 


4.在本条第3段所规定的情形中,监管机构应当适用第 63 段所规定的一致性机制。 


5.成员国或监管机构根据 95/46/EC 指令的第 26(2)条而做出的授权,在被监管机构修改、替代或废止之前应当一直有效。欧盟委员会根据95/46/EC指令第26(4)条而做出的决定,在欧盟委员会按照本条第 2 段做出必要性的修改、替换或废止决定前应当一直有效。


第56条 领导性监管机构的职权


1.在不影响第55条的前提下,控制者或处理者的主要营业机构或唯一营业 机构所在地的监管机构应可以充当领导性监管机构,监管控制者或处理者根据第60条程序而进行的跨境处理。 


2.第1段的规定可以进行减免,如果主要事项只和成员国内的一个机构相关, 或者只在一个成员国内对数据主体产生实质性影响,每个监管机构应当都有权对向其进行的申诉或违反本条例的行为进行处置。 


3.对于第2段所规定的情形,监管机构应当将此事项及时告知领导性监管机构。在被告知的三个星期以内,领导性的监管机构应当——结合控制者或处理者是否在通知其的监管机构所在的成员国内有拥有机构——决定,其是否要根据第60条的规定的程序而处置该案例。 


4.当领导性监管机构决定处理案件,第 60 条所规定的程序应当适用。那个告知领导性监管机构的监管机构可以向领导性监管机构提交一份决定草案。当领导性监管机构起草第 60(3)条所规定的决定时,其应当尽最大限度地考虑提交的决定草案。 


5.当领导性监管机构决定不处置案子,通知领导性监管机构的监管机构应当 根据第61条和第62条进行处置。 


6.对于控制者或处理者所进行的跨境处理,领导性监管机构应当是该控制者或处理者的唯一面谈者。


第83条 行政罚款的一般条件


1.每个监管机构都应当保证,其根据本条而对第 4、5、6 条所规定的违反 本条例的行为进行罚款,在每个案件中都应当是有效的、成比例的和劝诫性的。


2.根据每个案件的具体情形,行政处罚应当在第 58(2)条的(a)至(h) 点以及(j)点规定的措施基础上进行追加,或者应当代替这些措施。当在每个具体案件中决定是否应当进行行政处罚,以及决定行政处罚的金额,应当充分考虑如下因素:(a)结合相关处理的性质、范围或目的,被影响的数据主体的数量以及损害程 度而确定的违法的性质、严重性与持续时间;(b)违法的性质是基于故意还是过失;(c)控制者或处理者为了减轻数据主体损失而采取的所有行动;(d)结合控制者或处理者采取的符合第 25 条和第 32 条的技术性与组织性措施 而认定的控制者或处理者的责任程度;(e)控制者或处理者之前的所有相关违法行为;(f)为了纠正违法行为和减轻违法所造成的可能负面影响而和监管机构进行 合作的程度;(g)为违法行为所影响的个人数据类型;(h)监管机构得知违法行为的方式,特别是控制者或处理者是否对违法行为进 行了报告,以及在何种程度上进行了报告;(i)如果对同一主题事项已经对控制者或处理者发布第58(2)条规定的措施,对这些措施是否遵守;(j)遵守符合第 40 条的已生效的行为准则或符合第42条的已生效的认证机制;以及(k)对于案件情形可以适用的所有加重或减轻因素,例如因为违法而直接或间 接导致的经济收益、避免的损失。 


3.如果控制者或处理者故意或过失性地因为同一或相关的处理操作而违反本 条例的条款,行政罚款的总额不应当超过最严重违法所确定的额度。 


4.违反如下条款,应当按第2段的规定施加最高 10 000 000 欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的罚 款,两者取其高的一项进行罚款:(a)第 8,11,25,26,27,28,29,30,31,32,33,34,35,36,37,38, 39,42 和 43 条规定的控制者和处理者的责任;(b)第 42 条和第 43 条规定的认证机构的责任;(c)第 41(4)条规定的监管机构的责任。 


5.违反如下条款,应当按第 2 段的规定施加最高 20 000 000 欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额 4%的金额的罚 款,两者取其高的一项进行罚款:(a)处理的基本原则,包括第 5、6、7 和 9 条规定的同意的条件;(b)第 12 条至 22 条规定的数据主体的权利;(c)第 44 条至第 49 条规定的将个人数据转移到第三国或一个国际组织的接收者;(d)所有第九章规定的符合成员国法律的责任;(e)违反监管机构根据第 58(2)条对处理所发布的命令、或暂时性或确定性的限制,或对数据流动的中止,或违反第 58(1)条拒绝提供访问。 


6.违反第58(2)条规定的监管机构发布的命令,应当按第 2 段的规定施加最高 20 000 000 欧元的行政罚款,如果是集团的话,可以施加最高前一年全 球总营业额 4%的罚款,两者取其高的一项进行罚款。 


7.在不影响符合第 58(2)条的监管机构的矫正权力的前提下,每个成员国 都可以制定规则,确定在什么情况下对在其境内设立的公共机构和实体进行 行政处罚。 


8.监管机构行使本条所规定的权力,应当采取符合欧盟和成员国法律所规定 的合适的程序性保障,包括有效的司法救济和正当程序。 


9.当成员国的法律体系并不提供行政处罚,本条可以以如下方式适用:可以 通过有权监管机构提出行政处罚,然后有职权的全国性法院进行适用,同时, 应保证那些法律救济是有效的,而且这些法律救济与监管机构所施加的行政处罚具有同等效力。不论在何种情形中,所施加的处罚必须是有效的、成比例的和劝诫性的。那些成员国应当[在本条例生效两年内]将根据本段所制定的法律条款、所有后续的修正性法律或影响它们的法律修订及时告知欧盟委员会。 


第84条 惩罚


1.成员国应当制定可适用于违反本条例的其他惩罚的规则,特别是对于那些 不受第 83 条规定的行政处罚约束的违法行为,成员国应当制定必要措施保证 这些惩罚规则得到执行。此类惩罚应当是有效的、成比例的和劝诫性的。


2.对于符合第 1 段所制定的法律,每个成员国的应当[在本条例生效的两年内将其法律条款告知欧盟委员会,而且应当及时告知影响条款的后续修订。


注释:


[1]《欧盟通用数据保护条例(GDPR)中文版译文全文》丁晓东 译


作者简介


魏屹威


北京德和衡(上海)律师事务所执业律师


魏屹威律师毕业于美国恩伯利亚州立大学,曾任北京德和衡律师事务所国际部副主任。擅长领域:商事与金融争议解决、跨境投融资、企业合规风控等。


手机:17621125158

邮箱:weiyiwei@deheheng.com

To Top