欧盟《数据法》已经非常接近通过。其中第27条专门规制非个人数据的跨境流动。很长一段时间内,第27条第1款表述为数据处理服务提供者应当采取“合理”(reasonable)措施,防止特定类型的非个人数据跨境流动。之后,第1款修改为要求提供者采取“充分”(adequate)措施。作为厘清这一修改的内涵和意义的尝试,首先概览本款,然后解释“充分”,最后说明采取何种措施。

第27条第1款:概论

根据2023年7月19日版本的《数据法》,第27条第1款要求:如果国际或第三国政府对欧盟内非个人数据的访问或传输,可能造成与欧盟或成员国法律间的冲突,则相应的数据处理服务提供者应当采取一切充分措施阻断访问或传输。就此,尝试对提供者、政府传输和访问以及法律冲突三者的含义加以解释。

首先,《数据法》第3条第12项界定了数据处理服务——普遍可用、按需访问的集中式或分布式的计算资源共享池服务,可以快速供给和释放。表述得非常文绉绉,实际指的就是云服务。数据处理服务提供者,实际就是云服务提供者。鉴于第71条、第71a条和第71ba等各条有更具体的展开。数据处理服务包括各类IT资产和数据资产。IaaS、PaaS和SaaS的提供者都属于这里的提供者。

其次是政府传输和访问。既包括行政机关也包括司法机关,既涵盖传输也涵盖访问。对司法机关宜采取相对宽泛的理解。此外没有太多的特殊之处。

最后是与欧盟和成员国法律间的冲突。鉴于第77条列举了可能造成冲突的法律类型。主要包括三类保护非个人数据的欧盟和成员国法律。一是保障个人基本权利的法律,包括保障有效的司法救济权利的法律。二是事涉国防事务或国家安全的法律。三是保护商业秘密或者知识产权的法律,包括根据此类法律做出的保密承诺。欧盟层面的冲突梳理相对简易。成员国层面的情况则相对冗杂。

什么样的“充分”?

有待解释的还有“一切充分措施”中的“充分”。既然《数据法》同样采用了“充分”的表述,也就很难完全否定这一表述和《通用数据保护条例》(GDPR)的关系。GDPR同样要求个人数据在跨境传输中保有“充分”的,或者说与GDPR等价的保护水平。有必要说明两个“充分”之间有何联系,又有何差异。

为了认定一个法域在GDPR意义下的保护水平是否充分,需要考虑三类因素。一是法治状况,特别是与基本权利和自由有关的法治状况。二是独立监管机关存在与否及其运作状况。三是与个人数据保护有关的国际法义务。如果综合考虑这些因素之后,无法认定充分的保护水平,控制者应当通过采取适当的保障措施和/或补充措施来保持充分的保护水平。这些保障和补充措施都是熟知的。

两者间有联系,也有差异。联系很明显。特别是,在和保障个人基本权利的法律发生冲突时,甚至可以将此处视为对GDPR相对“隐蔽”的引致。进而言之,就涉及个人基本权利和/或国防事务与国家安全的非个人数据跨境传输而言,同样可以解释为与欧盟和成员国保护水平始终等价、不可减损的要求。

两者的差异同样明显。《数据法》中非个人数据充分性保障的体系安排和具体写法留下了开阔的回旋余地。尽管第27条第1款和鉴于第77条结合起来当然可以解释为暗含充分性的要求,相比单列一章、且反复明示没有减损的GDPR而言,以有所退让的方式来解释《数据法》显然要容易得多。对商业秘密或知识产权领域的法律冲突来说更是如此。成比例的充分,或许也可以是必要或合理。

什么样的“措施”?

有待解释的还有“一切充分措施”中的“措施”。根据第27条第1款,这包括技术、法律和组织三个层面的措施,需要分别予以说明。鉴于第77条初步给出了不同类型的充分措施的示例。技术措施主要是加密等常见的安全措施。法律措施主要是合同。组织措施主要是政策。认证对遵从本款非常重要。

首先,根据鉴于第77条,技术措施主要包括加密、技术审计和安全认证。这些很大程度上都是熟知的。尽管如此,和GDPR不同的是,安全认证可以发挥更加重要的作用。在个人数据的跨境传输中,安全认证发挥的作用相对有限。与此相比,《数据法》对ISO标准认证的认可程度更高。可以猜测,在27001和27017下采取的技术措施及其审计和验证,足以构成本款所要求的技术措施。

其次,根据本款,合同是重要的法律措施,很可能也是日后裁量是否遵从本款时最为重要的考量因素。参照非个人数据的特点调适甚或“弱化”标准合同条款,当已足够。根据法域特点,需要重点关注争议解决和约定管辖条款。此外,欧盟机关很可能为非个人数据的跨境流动颁布类似的标准合同条款。

最后,根据鉴于第77条,组织措施的典型实例是修改政策。结合实践,主要包括组织内部的分类分级和数据安全政策。对数据处理服务提供者而言,在《数据法》下完善相应政策本身就需要投入一定的工作量。为了确保组织政策和技术、法律措施共同构成充分措施,还要注重组织政策和技术实践与订立合同的彼此对齐。如果已有个人数据跨境传输的专责部门或人员,亦可加强其统筹作用。(朱悦

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。