法国数据保护机构 CNIL 于 2024 年 1 月 8 日发布数据转移影响评估(Transfer Impact Assessment,TIA)实用指南草案并征求公众意见。该指南依据欧洲数据保护委员会(EDPB)2021 年《数据跨境转移工具补充措施建议》,给出六步分析流程,指导企业在依赖标准合同条款(SCC)等 GDPR 第 46 条工具向欧洲经济区(EEA)以外转移个人数据时,评估目的地国家的保护水平并确定是否需要补充措施。
TL;DR
根据 GDPR 的原则性规定,个人数据不得向欧盟以外的国家或地区转移,除非该地对数据主体提供与欧盟等同的保护水平。转移双方有责任确保处理符合欧盟保护水平;若数据进口方无法继续遵守承诺,出口方有责任暂停转移。
2021 年 6 月,EDPB 发布《数据跨境转移工具补充措施建议》,明确企业在依赖 SCC 向 EEA 以外转移个人数据时,必须评估目的地国家的数据保护水平以及采取补充措施的必要性。CNIL 的 TIA 草案在此基础上,为企业提供明晰的操作指引。指南适用非强制,企业可采用其他方法达到合规要求。
TIA 即数据传输影响评估,由数据控制者或处理者对向第三国传输个人数据所产生的安全与隐私风险进行分析,帮助识别转移中的潜在风险、判断转移是否合法。依赖 GDPR 第 46 条所列工具进行转移的企业,有义务评估目的地保护水平并判断是否需要额外保护措施。TIA 应包含:
指南草案提供检查清单,并按 EDPB 建议的六个步骤展开:
部分欧盟成员国监管机构已就数据跨境转移展开广泛调查与执法。2023 年 5 月,爱尔兰数据保护委员会(DPC)对 Meta Platforms Ireland 处以创纪录的 12 亿欧元罚款,并要求其在数月内停止向美国转移、存储和处理欧盟用户个人数据。该案的 SCC 有效性争议可参考Meta 12 亿欧元罚款与 SCC 失效的跨境合规新考量。类似跨境投诉还包括NOYB 因非法跨境转移数据对 Fitbit 提起申诉。各法域也在完善本地转移工具,例如巴西数据保护机构发布《数据跨境传输条例》与标准合同条款(SCCs)。
个人数据的跨境转移合规,是出海企业的核心议题之一,企业对 TIA 的落实程度将成为监管调查与执法的重要考量。即使中国企业在欧盟境内没有实体,也可能因 GDPR 的域外效力而受其约束。企业应在跨境传输前充分调研目的地的法律规定与实践现状,遵循 GDPR 第 46 条要求采取适当的合同与技术措施(例如在可能时传输匿名而非原始个人数据,并确保匿名化有效),并完成 TIA 流程。跨境合规的书面材料准备可参考数据跨境企业的隐私合规文书实务。