CNIL 发布 TIA 实用指南草案:数据跨境六步评估

CNIL 发布 TIA 实用指南草案:数据跨境六步评估

Kaamel Lab
Kaamel Lab 2024年1月12日

法国数据保护机构 CNIL 于 2024 年 1 月 8 日发布数据转移影响评估(Transfer Impact Assessment,TIA)实用指南草案并征求公众意见。该指南依据欧洲数据保护委员会(EDPB)2021 年《数据跨境转移工具补充措施建议》,给出六步分析流程,指导企业在依赖标准合同条款(SCC)等 GDPR 第 46 条工具向欧洲经济区(EEA)以外转移个人数据时,评估目的地国家的保护水平并确定是否需要补充措施。

TL;DR

草案背景

根据 GDPR 的原则性规定,个人数据不得向欧盟以外的国家或地区转移,除非该地对数据主体提供与欧盟等同的保护水平。转移双方有责任确保处理符合欧盟保护水平;若数据进口方无法继续遵守承诺,出口方有责任暂停转移。

2021 年 6 月,EDPB 发布《数据跨境转移工具补充措施建议》,明确企业在依赖 SCC 向 EEA 以外转移个人数据时,必须评估目的地国家的数据保护水平以及采取补充措施的必要性。CNIL 的 TIA 草案在此基础上,为企业提供明晰的操作指引。指南适用非强制,企业可采用其他方法达到合规要求。

什么是 TIA

TIA 即数据传输影响评估,由数据控制者或处理者对向第三国传输个人数据所产生的安全与隐私风险进行分析,帮助识别转移中的潜在风险、判断转移是否合法。依赖 GDPR 第 46 条所列工具进行转移的企业,有义务评估目的地保护水平并判断是否需要额外保护措施。TIA 应包含:

TIA 的六个步骤

指南草案提供检查清单,并按 EDPB 建议的六个步骤展开:

  1. 了解你的数据转移活动:梳理转移的性质、接收方资质、起始与持续时间、数据类型、传输方法与格式、频率、敏感数据类别等要素。
  2. 确定使用的传输工具:若转移基于欧盟委员会的充分性决定或属 GDPR 第 49 条例外,无需继续;若基于第 46 条工具(如 SCC),则必须开展 TIA。
  3. 评估目的地国家的法律、惯例与工具有效性:判断当地法律实践是否影响所采取的保障措施。若判定「工具有效」,可继续转移并进入第六步;若「工具失效」,进入第四步。
  4. 确定并采取补充措施:合同与组织措施本身不足以阻止第三国当局访问,必须辅以技术措施。若现有及拟实施的补充措施足以有效保护,可在措施到位后转移;若无有效补充措施,则不应转移,并须返还或删除已传输数据。
  5. 实施补充措施并履行程序步骤:按所用传输工具完成相应程序。
  6. 定期重新评估:在适当间隔后重评工具与补充措施,以应对第三国立法变化、进口方无法履约或欧盟对第三国评估变化等情形;工具或措施失效时应立即暂停或终止转移。

执法趋势:跨境转移已成监管重点

部分欧盟成员国监管机构已就数据跨境转移展开广泛调查与执法。2023 年 5 月,爱尔兰数据保护委员会(DPC)对 Meta Platforms Ireland 处以创纪录的 12 亿欧元罚款,并要求其在数月内停止向美国转移、存储和处理欧盟用户个人数据。该案的 SCC 有效性争议可参考Meta 12 亿欧元罚款与 SCC 失效的跨境合规新考量。类似跨境投诉还包括NOYB 因非法跨境转移数据对 Fitbit 提起申诉。各法域也在完善本地转移工具,例如巴西数据保护机构发布《数据跨境传输条例》与标准合同条款(SCCs)

对出海企业的启示

个人数据的跨境转移合规,是出海企业的核心议题之一,企业对 TIA 的落实程度将成为监管调查与执法的重要考量。即使中国企业在欧盟境内没有实体,也可能因 GDPR 的域外效力而受其约束。企业应在跨境传输前充分调研目的地的法律规定与实践现状,遵循 GDPR 第 46 条要求采取适当的合同与技术措施(例如在可能时传输匿名而非原始个人数据,并确保匿名化有效),并完成 TIA 流程。跨境合规的书面材料准备可参考数据跨境企业的隐私合规文书实务

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.