案例場(chǎng)景:中國數據處理者受美國客戶(hù)委托處理收集歐盟境內個(gè)人數據,是否適用歐盟個(gè)人數據跨境傳輸標準合同條款(“SCC”)。
根據 GDPR第4(7)條,控制者是指“單獨或與他人共同決定個(gè)人數據處理目的和方式的自然人或法人、公共當局、機構或其他機構”。根據GDPR第4(8)條,處理者是“代表控制者處理個(gè)人數據的自然人或法人、公共機構、機構或其他機構”。如果中國公司不對個(gè)人數據的處理目的和方式有決定權,則可以視為受托數據處理關(guān)系。本次案例場(chǎng)景判斷的涉及三個(gè)主要問(wèn)題:1. 中國公司是否屬于受GDPR直接管轄的實(shí)體;2. 雙方合作是否可以使用歐盟 SCC;3. 中國公司在GDPR下的主要義務(wù)和責任要求。
1. 判斷是否構成受GDPR直接管轄
根據 歐盟數據保護委員會(huì )(“EDPB”)頒布的《關(guān)于GDPR適用的地域范圍(第3條)的指南》(Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) , Version 2.1, 12 November 2019)(“指南”):
1.1.是否落入GDPR第3(1)條的“歐盟境內存在”的標準 – “設立”標準
Article 3(1) of the GDPR provides that the “Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.”
根據以上條款,EDPB認為需要考慮(1)是否有“歐盟境內設立”的鏈接 (2)是否基于“歐盟境內設立”而有”處理個(gè)人數據”的活動(dòng)(無(wú)論是否發(fā)生在歐盟境內)。
(1)是否有“歐盟境內設立”的鏈接
GDPR前言第22條澄清“設立意味著(zhù)通過(guò)穩定的安排有效和真實(shí)地開(kāi)展活動(dòng)。此類(lèi)安排的法律形式,無(wú)論是通過(guò)分支機構還是具有法人資格的子公司,不是決定性因素。”
示例:
a.非歐盟實(shí)體在歐盟有雇員,并通過(guò)歐盟雇員進(jìn)行數據處理活動(dòng)。
b.總部設在美國的汽車(chē)制造公司有一個(gè)全資子公司位于布魯塞爾,負責監督其在歐洲的所有業(yè)務(wù),包括營(yíng)銷(xiāo)和廣告。比利時(shí)分支機構可以被認為是一種穩定的安排,它行使了真正有效的職能。
(2)是否基于“歐盟境內設立”而有”處理個(gè)人數據”的活動(dòng)(無(wú)論是否發(fā)生在歐盟境內)——密不可分的鏈接關(guān)系( 應排除“遠端”鏈接情況)
EDPB認為需要的判斷要素:a.確定是否正在處理個(gè)人數據b. 正在處理數據的活動(dòng)與該組織在歐盟境內設立的潛在聯(lián)系 (是否為密不可分的聯(lián)系)。 通常需要考慮歐盟境外數據控制者或處理者與其在歐盟境內設立的關(guān)系;以及是否存在密不可分的歐盟境內的收入。
示例:一家中國公司運營(yíng)電子商務(wù)網(wǎng)站。該公司的個(gè)人數據處理活動(dòng)僅在中國進(jìn)行。這家中國公司在柏林設立了歐洲辦事處,負責領(lǐng)導和實(shí)施面向歐盟市場(chǎng)的商業(yè)前景和營(yíng)銷(xiāo)活動(dòng)。在這種情況下,可以認為柏林歐洲辦事處的活動(dòng)與中國電子商務(wù)網(wǎng)站對個(gè)人數據的處理有著(zhù)密不可分的聯(lián)系,因為針對歐盟市場(chǎng)的商業(yè)前景和營(yíng)銷(xiāo)活動(dòng)尤其有助于使電子商務(wù)網(wǎng)站提供的服務(wù)有利可圖。這家中國公司處理與歐盟銷(xiāo)售有關(guān)的個(gè)人數據確實(shí)與柏林歐洲辦事處在歐盟市場(chǎng)的商業(yè)前景和營(yíng)銷(xiāo)活動(dòng)密不可分。
(3) 需要注意在委托處理情形下,GDPR下數據控制者與數據受托處理者的法定責任是獨立存在的。不能僅以存在數據受托處理管理,而將數據受托方視為委托方的“在歐盟境內的設立”。
結論:
在題述場(chǎng)景中,美國數據控制者的集團關(guān)聯(lián)公司在歐盟境內有實(shí)體,并且從事歐盟個(gè)人信息收集,雖然具體關(guān)聯(lián)性無(wú)法判斷,但是存在被認定可能落入GDPR第3(1)條的風(fēng)險。但對中國公司而言,其不存在歐盟境內設立,因此不受 GDPR第3(1)條的直接管轄。
1.2.是否落入GDPR第3(2)條的“歐盟境內數據主體”的標準——“目標”標準
Article 3(2) of the GDPR provides that “this Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.”
根據以上條款,EDPB認為需要滿(mǎn)足數據主體在歐盟境內;境外實(shí)體的數據處理行為與為歐盟境內數據主體提供商品或服務(wù)或監控數據主體在歐盟境內的行為相關(guān)。
(1) 數據主體是否在歐盟境內
需要考慮在處理行為發(fā)生時(shí)的狀態(tài),以及針對的是有意而非無(wú)意或偶然的活動(dòng)。
示例:美國初創(chuàng )公司通過(guò)其城市地圖應用程序,專(zhuān)門(mén)針對歐盟境內的個(gè)人,在這些人旅歐期間向他們提供服務(wù)。根據GDPR第3(2)條a的規定,處理與提供服務(wù)相關(guān)的歐盟境內的數據主體的個(gè)人數據屬于GDPR的管轄范圍。
(2) 針對歐盟境內主體提供商品或服務(wù),無(wú)論是否支付對價(jià)
A.行為必須以提供商品或服務(wù)的目的
示例:公司內部員工報銷(xiāo)系統(包括針對歐盟差旅)與向個(gè)人提供服務(wù)無(wú)關(guān),而是雇主履行其合同義務(wù)和與個(gè)人就業(yè)相關(guān)的人力資源職責所必需的處理的一部分。
B.數據控制者或處理者有明顯向一個(gè)或多個(gè)歐盟國家境內主體提供商品或服務(wù)的目的
判斷要素示例,包括:
•使用一個(gè)或多個(gè)成員國通常使用的語(yǔ)言或貨幣;提及在歐盟的客戶(hù)或用戶(hù);
•所提供的商品或服務(wù)的名稱(chēng)中包括至少一個(gè)成員國的名稱(chēng);
•數據控制者或處理者向搜索引擎運營(yíng)商支付互聯(lián)網(wǎng)指引服務(wù)的費用,以方便歐盟消費者訪(fǎng)問(wèn)其網(wǎng)站;
•控制者或處理者針對歐盟國家受眾發(fā)起了營(yíng)銷(xiāo)和廣告活動(dòng)
•所涉活動(dòng)的國際性質(zhì),例如某些旅游活動(dòng);
•提及歐盟國家的專(zhuān)用地址或電話(huà)號碼;
•使用除建立控制者或處理者的第三國以外的頂級域名,例如“.de”,或使用中性頂級域名,如“.eu”;
•從一個(gè)或多個(gè)其他歐盟成員國到提供服務(wù)地點(diǎn)的旅行說(shuō)明;
•提及由居住在不同歐盟成員國的客戶(hù)組成的國際客戶(hù),特別是通過(guò)出示這些客戶(hù)的書(shū)面賬目;
•使用貿易商所在國以外的語(yǔ)言或貨幣,尤其是一個(gè)或多個(gè)歐盟成員國的語(yǔ)言或幣鐘;
•數據控制者在歐盟成員國交付商品。
示例:蘇黎世的一所瑞士大學(xué)正在啟動(dòng)其碩士學(xué)位選拔程序,提供了一個(gè)在線(xiàn)平臺,考生可以在該平臺上傳簡(jiǎn)歷、求職信以及聯(lián)系方式。任何具備足夠德語(yǔ)和英語(yǔ)水平并擁有學(xué)士學(xué)位的學(xué)生都可以參加選拔過(guò)程。該大學(xué)沒(méi)有專(zhuān)門(mén)向歐盟大學(xué)的學(xué)生做廣告,只接受瑞士貨幣付款。由于在該碩士學(xué)位的申請和選拔過(guò)程中沒(méi)有對來(lái)自歐盟的學(xué)生進(jìn)行區分或說(shuō)明,因此無(wú)法確定瑞士大學(xué)有意針對特定歐盟成員國的學(xué)生。以上述情況,無(wú)法判斷瑞士大學(xué)針對歐盟境內主體提供商品或服務(wù)的目的性。
C.監控數據主體行為
EDPB認為必要條件是被監控的數據主體在歐盟且被監控的行為在歐盟境內,此處需要澄清EDPB對于“監控行為”的界定范圍:
i. 確定是否在互聯(lián)網(wǎng)、智能設備、可穿戴設備上跟蹤自然人,包括隨后可能使用的個(gè)人數據處理技術(shù),包括對自然人進(jìn)行分析,特別是為了做出與自然人有關(guān)的決定,或分析或預測自然人的個(gè)人偏好、行為和態(tài)度。
ii. 只是收集或分析個(gè)人數據并不等同于監控,有必要考慮控制者處理數據的目的,特別是涉及該數據的任何后續行為分析或分析技術(shù)(例如可能使用的特征分析技術(shù))。
iii. 典型包括:
•行為廣告;
•地理定位活動(dòng),特別是出于營(yíng)銷(xiāo)目的;
•通過(guò)使用cookie或指紋等其他跟蹤技術(shù)進(jìn)行在線(xiàn)跟蹤;
•在線(xiàn)個(gè)性化飲食和健康分析服務(wù);
•CCTV;
•基于個(gè)人資料的市場(chǎng)調查和其他行為研究;
•監測或定期報告個(gè)人健康狀況。
(3) 數據受托處理者不在歐盟的情況
EDPB認為,如果控制者的處理活動(dòng)與提供商品或服務(wù)的或監控歐盟境內的個(gè)人行為有關(guān)(“目標”),則根據GDPR第3(2)條的規定,任何被指示代表控制者進(jìn)行處理活動(dòng)的處理者都會(huì )因為該處理活動(dòng)而屬于GDPR的直接管轄范圍。因此,判斷數據受托處理者是否落入GDPR第3(2)條的范圍,需要審查處理者的處理行為是否與控制者的目標行為相關(guān)。
示例:一家美國公司開(kāi)發(fā)了一款健康和生活方式應用程序,允許用戶(hù)與該美國公司記錄他們的個(gè)人指標(睡眠時(shí)間、體重、血壓、心跳等)。該應用程序隨后為用戶(hù)提供關(guān)于食物和運動(dòng)建議的每日建議。該處理由美國數據控制者執行。出于數據存儲的目的,美國公司使用在美國設立的處理者(云服務(wù)提供商)。在美國公司監控歐盟個(gè)人行為的范圍內,在運營(yíng)健康和生活方式應用程序時(shí),它“針對”歐盟個(gè)人,其對歐盟個(gè)人數據的處理將屬于GDPR第3(2)條規定的適用范圍。在根據美國公司的指示并代表其進(jìn)行處理時(shí),云提供商/處理者正在進(jìn)行與其控制者針對歐盟個(gè)人的“相關(guān)”處理活動(dòng)。處理者代表其控制者進(jìn)行的這種處理活動(dòng)屬于GDPR第3(2)條規定的適用范圍。(僅就云平臺存儲功能而言的判斷,這個(gè)例子非常嚴格了。)
結論:
1. 由于美國數據控制者有明顯面向歐盟用戶(hù)提供服務(wù)或產(chǎn)品的可能性,作為其數據處理者中國公司可能被視為落入GDPR第3(2)條的范圍。2.中國數據處理者自身未有向歐盟用戶(hù)提供服務(wù)或產(chǎn)品,且僅涉及個(gè)人信息收集也不應被視為存在監控歐盟數據主體的行為。但由于中國公司的受托處理的地位,按照EDPB的解釋?zhuān)苡锌赡芤驗槊绹鴶祿刂普呗淙隚DPR第3(2)條的管轄,而被“牽連”落入管轄范圍。
但若境外的數據控制者的既沒(méi)有面向歐盟的數據主體提供商品或服務(wù),也沒(méi)有對歐盟境內的數據主體實(shí)施監控行為,例如美國AI模型研發(fā)公司委托中國公司采集歐盟境內數據主體的人臉信息用作訓練數據,根據GDPR以及EDPB指南,不管是AI模型研發(fā)公司還是中國數據處理者都可能不涉及GDPR的直接管轄。
2. 判斷是否適用歐盟數據出境SCC?
根據《歐盟委員會(huì )有關(guān)新標準合同條款的問(wèn)答概覽》(New Standard Contractual Clauses - Questions and Answers overview)[1]:
(1) 基礎適用:SCC適用于由受GDPR約束的EEA控制者或處理者將個(gè)人數據傳輸給歐洲經(jīng)濟區以外且活動(dòng)不受GDPR約束的非EEA控制者和處理者。
(2) 擴展適用:SCC也可以擴展使用到由那些非EEA控制者和處理者(因為他們通過(guò)向個(gè)人提供商品或服務(wù)專(zhuān)門(mén)針對歐洲經(jīng)濟區市場(chǎng))用于將與這些處理操作相關(guān)的數據傳輸到非EEA實(shí)體,特別是:
•由處理受GDPR約束的歐洲經(jīng)濟區以外的處理者向不受GDPR影響的次受托處理者或歐洲經(jīng)濟區之外的控制者(代表其處理數據)傳輸數據。
(3) 排除適用:如果數據傳輸雙方都受GDPR的約束,不應使用SCCs作為數據跨境傳輸方式。因為SCC是為了確保在向不受GDPR約束的數據進(jìn)口商傳輸數據時(shí)保護的連續性。根據第3條,它們不適用于數據處理操作受GDPR約束的進(jìn)口商,因為它們會(huì )重復并在一定程度上偏離GDPR已經(jīng)直接遵循的義務(wù)。歐盟委員會(huì )正在為這種情況開(kāi)發(fā)一套額外的SCC。
(4) 參考援引:?jiǎn)?wèn)答也建議,也可能存在不需要用于數據傳輸的SCC的情況,例如,如果處理者或次受托處理者位于從充分性決策中受益的國家。在這種情況下,數據出口方可以將SCC(模式2控制者向處理者傳輸或模式3處理者向次受托處理者傳輸)用于控制者和處理者之間的關(guān)系界定援引,以確保符合GDPR第28條的規定(因為模式2以及模式3已經(jīng)將GDPR第28條的要求融入協(xié)議中)。
結論:
•基礎適用:本次咨詢(xún)中的雙方都未非EEA實(shí)體,不應屬于SCC的基礎適用情況。
•綜合擴展適用以及排除適用情況:如上分析美國數據控制者很有可能因為GDPR第3(1)以及3(2)條被視為受GDPR管轄,按照EDPB針對GDPR第3(2)條的數據受托處理者的情況看,中國數據處理者很有可能被視為受GDPR約束,因此嚴格上講,沒(méi)有完全匹配歐盟SCC的適用范圍。
•參考援引:本次案例中美國客戶(hù)依然在其與中國公司的商業(yè)合同中援引SCC(模式2控制者向處理者傳輸或模式3處理者向次受托處理者傳輸),很有可能是美國客戶(hù)為了確保GDPR第28條的規定,已滿(mǎn)足自己在GDPR下的控制者責任的履行以及對中國受托處理者的監控約束的商業(yè)目的所需。
3. 數據受托處理者在GDPR下的義務(wù)和責任要求
3.1.如果直接受GDPR約束管轄
數據受托處理者應當承擔GDPR規定的法律義務(wù)和責任,主要包括:
(1) 根據GDPR第28條第2款和第4款規定,根據控制者的指示處理個(gè)人數據,未經(jīng)數據控制者的書(shū)面或特別授權不得轉委托;如轉委托的,應確保控制者和處理者之間的合同或其它法律條款所規定的數據保護責任通過(guò)合同等形式同等適用于次受托處理者。當次受托處理者無(wú)法完成其數據保護職責時(shí),處理者應當完全承擔次受托處理者的責任。
(2) 根據GDPR第28條第3款,控制者通過(guò)合同要求對受托處理者進(jìn)行約束。
(3) 應根據第30(2)條的規定,保存代表控制者進(jìn)行的所有類(lèi)別數據處理的記錄。
(4) 根據第31條的規定,處理者應根據要求配合歐盟監管機構。
(5) 根據第32條的規定,處理者應實(shí)施技術(shù)和組織措施,以確保與風(fēng)險相適應的安全級別。
(6) 根據第33條,處理者在意識到個(gè)人數據泄露后,應立即通知控制者。
(7) 處理者應根據第37條和第38條指定一名數據保護官;根據第27條指定一名歐盟境內代表。
(8) 第五章關(guān)于向第三國或國際組織轉移個(gè)人數據的規定。
3.2.如果不直接受GDPR約束管轄
即使數據處理者不屬于受GDPR的直接管轄的實(shí)體,但若控制者本身屬于受GDPR直接管轄,為了確保自己遵守了第28條第1款規定的責任一—只能選用有充分保證的、可采取合適技術(shù)和組織措施的、其處理方式符合GDPR要求并且保障數據主體權利的處理者,則控制者需要通過(guò)合同或其他法律行為確保處理者根據GDPR第28條處理數據,必須和處理者簽署符合第28條第3款所有要求的合同。因此受托處理者仍然會(huì )間接受到數據控制者通過(guò)合同施加的GDPR下的責任義務(wù)。此外,GDPR第五章關(guān)于向第三國或國際組織轉移個(gè)人數據的規定可能適用。
3.3.中國數據處理者是否應該指定歐盟當地代表
根據GDPR第27條,在適用第3條第(2)款的情況下,控制者或處理者應以書(shū)面形式指定一名歐盟代表,但以下情況除外:
(1) 偶爾的處理,不包括大規模處理第9條第(1)款所述的特殊類(lèi)別數據或處理與第10條所述的刑事定罪和犯罪有關(guān)的個(gè)人數據,并且考慮到處理的性質(zhì)、背景、范圍和目的,不太可能對自然人的權利和自由造成風(fēng)險;或。
(2) 公共當局或機構。
因此“高風(fēng)險”和“大規模”是是否需要指定境內代表的判斷指標,其中大規模閾值在很多歐盟國家的個(gè)人數據保護機構已經(jīng)進(jìn)行明確:
•愛(ài)沙尼亞規定在處理特殊類(lèi)別的個(gè)人數據和/或與刑事定罪和犯罪有關(guān)的數據的情況下,門(mén)檻為5,000人。如果處理與金融和支付服務(wù)相關(guān)的數據,電子簽名等數字信任服務(wù);以及通信數據;實(shí)時(shí)地理位置數據;以及與具有法律效力的分析相關(guān)的數據,這一門(mén)檻將翻倍至10,000人。愛(ài)沙尼亞DPA認為這些數據具有較高的風(fēng)險。對于所有其他數據,大規模閾值設置為50,000人。
•荷蘭DPA在醫療保健領(lǐng)域發(fā)布了關(guān)于大規模加工的指南。醫院、藥房、全科醫療中心和護理小組的數據處理總是被認為是大規模的。對于小型全科診所或單獨工作的藥劑師,以及專(zhuān)科醫療中心,如果超過(guò)10,000名患者在診所注冊或超過(guò)10,000名患者接受一般治療,并且所有患者檔案都維護在一個(gè)單一的歸檔系統中,則數據處理是大規模的。
•捷克《數據協(xié)議》規定了處理超過(guò)10,000個(gè)數據主體數據被視為大規模。但是,由20個(gè)以上的加工分支機構或20名以上的員工進(jìn)行加工也被認為是大規模的。最后,各組織需要考慮數據處理是在區域層面還是在(國際)國家層面,后者更有可能是大規模的。
•德國聯(lián)邦數據保護專(zhuān)員發(fā)布了受 DPIA 約束的數據處理操作概述。在本文件中,它將大規模處理定義為覆蓋超過(guò) 500 萬(wàn)人或覆蓋至少 40% 正在處理的數據類(lèi)型以及處理操作中涉及的數據主體。
•波蘭的數據保護機構GIODO發(fā)布了關(guān)于其認為大規模的指南,但選擇未明確規模發(fā)布數字。取而代之的是,給出了應被視為大規模的數據處理操作的示例,包括醫療記錄的處理;員工文件;處理者處理來(lái)自多個(gè)數據控制者的數據的系統;以及收集有關(guān)瀏覽網(wǎng)頁(yè)、完成購買(mǎi)和/或觀(guān)看/收聽(tīng)的電視或廣播節目的廣泛數據的數據庫。
•英國信息專(zhuān)員辦公室(ICO)也沒(méi)有給出大規模處理的數字。ICO在其指南中解釋說(shuō),大規模包括數據處理活動(dòng)的持續時(shí)間或持久性,涉及的數據主體的數量或比例,數據量和/或正在處理的不同數據項的范圍以及處理活動(dòng)的地理范圍。示例,包括醫院的數據處理,使用城市公共交通系統跟蹤個(gè)人以及銀行,保險公司以及電話(huà)和互聯(lián)網(wǎng)服務(wù)提供商對客戶(hù)數據的處理。
目前看來(lái),GDPR、歐盟委員會(huì )的SCC問(wèn)答指引以及EDPB等相關(guān)規定,針對于案例情況仍有些沖突與不確定性,在實(shí)踐中尤其作為控制者方,為避免相關(guān)風(fēng)險,通常會(huì )要求最嚴密的防護。建議中國企業(yè)作為數據受托處理者,在合同談判以及評估自身法律責任范圍時(shí),多要素全面判斷和論證GDPR以及SCC對自身的約束和適用范圍,確保合規以及成本效率的平衡。
注釋?zhuān)?/strong>
[1]//commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en