20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
前言
GDPR是欧盟(EU)制定的一套关于数据隐私和保护的法规,于2018年5月25日正式生效。该法适用范围极广(长臂管辖原则):它不仅适用于所有欧盟成员国的组织,也适用于任何处理欧盟居民(数据主体)个人数据的全球任何地方的组织。是否需要遵守GDPR规则?GDPR规则具体有哪些?实务中的常见“坑”有哪些?违反之后将面临什么样的法律后果?上述问题对于中国电商企业之盈利、发展无一不至关重要,因此本号将推出一系列GDPR规则解读文章,希望能助中国跨境电商企业对GDPR的理解,规避法律风险。
01
GDPR对数据出境规制
三个阶梯条件
GDPR第五章集中规定了数据跨境流动的形式。总的来说给出了三种个人数据出境的条件:
▪ 基于充分决定的数据传输;
▪ 基于采取适当保障措施的数据传输;
▪ 基于特殊情况的减损条款。
分别对应的是第45条、46条和49条。但其并不是并列的,而是呈阶梯式,及上一级条件不满足时才适用下一级条件。对企业而言,困难程度逐渐增加。下文将对三层级的出境条件予以一一分析:
1
原文
2
译文与要点
译文:
GDPR第45条:当欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织只有在提供充足保护时,才可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。
要点:
1.只要数据接收国或国际组织得到欧盟委员会的认定,认为对其数据具有充足保护,就不需要特别授权。这些获得欧盟委员会认定的数据接收国或国际组织相当于一个欧盟的“数据出境白名单”。
2.数据出境白名单内容如下:
1
原文
2
译文与要点
译文:
在依据第45(3)条未作出决定的情况下,控制者或处理者仅可在以下条件下将个人数据传输至第三国或国际组织:控制者或处理者提供了适当的保障措施,并且数据主体享有可执行的权利以及有效的法律救济途径。
要点:
何为适当保障措施?GDPR第46条第2款规定主要有以下几种:
①公共机构或实体之间签订的具有法律约束力和可执行性的文件;
②约束性企业规则(BCRs);
其全称为Binding Corporate Rules,是一种跨国集团内部制定的“数据保护章程”,对集团内所有实体具有法律约束力,需经成员国DPA进行EDPB审批。
③标准合同条款(SCC);
其全称为Standard Contractual Clauses,其性质上是由欧委会预先拟定的标准合同模板,不可实质性修改条款,只能填充附件(数据类型、目的、保存期、接收方地址、补充措施),这样可以确保欧洲居民数据被传域外后可以享受不低于欧洲地域能够享受的保护。
④经批准的行为准则(CoC);
⑤经批准的认证机制等。
1
原文
2
译文与要点
译文:
在未根据第45(3)条做出充分性决定,或未根据第46条采取适当保障措施(包括具有约束力的企业规则)的情况下,将个人数据转移至第三国或国际组织或一组此类转移,仅能在以下条件之一满足时进行:
要点:
GDPR第49条规定的减损条件包括:
①获得数据主体的明示同意
②企业与数据主体签订、履行合同之必要条件
③保护数据主体或他人重大利益、公共利益
④为了建立、行使或抗辩法律主张
02
中国企业之启示与选择
根据GDPR 第46条:未获充分性认定的第三国,必须用“适当保障措施”才能传个人数据。
中国未取得充分性认定,因此中国只能靠 SCC/BCR/认证+减损条款传输数据。
以下对各种渠道的含义、成本、条件予以简单介绍:
1
核心内容
SCC是欧盟委员会预先批准的标准化合同条款,用于确保数据从EEA传输至第三国时,接收方提供与GDPR相当的数据保护水平。
适用于企业间(控制者-控制者、控制者-处理者、处理者-处理者)的数据传输。
最新版本为2021年发布的模块化SCC,覆盖多种数据关系场景。
2
优势
适用广泛:无需监管机构审批,企业可自主签署。
成本较低:无需建立复杂内部制度,适合中小企业。
灵活性高:可嵌入现有商业合同中。
3
劣势
执行责任重:企业需自行评估第三国法律是否影响条款履行(如中国政府数据调取权)。
文档化要求高:需详细记录数据类型、处理目的、数据流等。
法律冲突风险:若中国法律要求企业提供数据,可能违反SCC义务。
1
核心内容
BCR是跨国企业集团内部制定的数据保护规则,用于规范集团内部跨境数据传输。
需经欧盟成员国数据监管机构审批,具有内部法律效力。
必须包含数据主体权利、数据处理目的、安全保障措施、争议解决机制等内容。
2
优势
一次性审批,集团通用:适用于全球集团内部数据流动。
提升企业信誉:体现企业对数据保护的高度重视。
法律稳定性强:一旦获批,数据传输不受外部合同变更影响。
3
劣势
审批周期长、成本高:通常需6-12个月,涉及大量法律、技术和管理文档。
适用范围有限:仅适用于集团内部,不适用于外部合作方。
法律冲突风险:如中国法律要求数据本地化或强制披露,可能影响BCR执行。
1
核心内容
根据GDPR第42条和第43条,企业可通过获得欧盟认可的数据保护认证(如ISO 27701、GDPR-Cert等),作为数据传输的保障措施。
需由独立认证机构评估企业的数据保护能力。
2
优势
增强信任:可作为对外展示合规能力的工具。
灵活性高:适用于多种数据关系场景。
可与SCC结合使用:增强整体合规性。
3
劣势
认证标准尚不成熟:目前欧盟尚未大规模推广统一认证机制。
适用范围有限:通常作为补充性保障措施,不能单独作为传输依据。
认证维护成本高:需定期复审,持续投入资源。
1
优势
应急可用:在特殊情况下提供合法路径。
无需审批:无需监管机构事先批准。
2
劣势
适用范围极窄:不能用于大规模、常规性数据传输。
举证责任重:企业需证明传输的必要性和合法性。
高风险:如被认定为滥用,可能面临高额罚款。
中国企业的合规建议
1
路径选择
优先考虑SCC,适用于大多数商业场景;若为大型跨国集团,可考虑申请BCR;认证机制可作为补充手段;减损条款仅用于例外情况。
2
法律冲突评估
在签署SCC或BCR前,必须评估中国法律是否可能阻碍条款履行(如《数据安全法》《个人信息保护法》下的数据出境安全评估、强制数据调取等)。
{ 典型情形 }
3
总结
中国企业在面对GDPR数据出境合规要求时,不能简单依赖单一工具,而应结合自身业务规模、数据类型、接收方所在地法律环境,构建多层次、模块化的合规体系。在中国未被列入充分性决定名单的背景下,SCC是最现实的选择,但必须认真对待法律冲突问题,避免因“形式合规”而陷入“实质违法”的风险。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。