【全文】
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
【研究报告】数据跨境治理国别规则(3):德国
数据跨境治理国别规则(3):德国
1.德国数据治理的规范框架
1.1《通用数据保护条例》
1.2《新联邦数据保护法》
1.3《电信和电信媒体数据保护法》
2.德国数据跨境的政策法规
2.1《欧盟通用数据保护条例》
2.2《新联邦数据保护法》
3.德国数据跨境的合规要求
3.1个人数据跨境传输合规要求
4.德国数据跨境的实务案例
4.1Adobe案
1.德国数据治理的规范框架
德国主要的数据治理法规为《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”),但GDPR允许成员国在其国家法律中实施更具体的规定,为此德国修订其原有的数据保护法律以符合GDPR,并在合理范围内为数据治理进行补充规定,制度要点阐述如下:
4.2《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)
由欧洲议会和欧盟理事会制定并于2018年5月25日起实施。该条例在欧盟范围内对其成员国具有直接的约束力和适用性。GDPR规定了多种管辖权适用范围,明确了数据控制者、数据处理者的权利义务,以及数据主体权利和限制。同时明确了成员国向第三国的数据跨境传输机制,并设立欧盟数据保护委员会(EDPB)保证GDPR在各成员国间适用的一致性。
4.3《新联邦数据保护法》(New Federal Data Protection Act)(以下简称“BDSG”)
于2018年5月25日生效,并于2021年6月23日更新。根据该法规定,当GDPR直接适用时,本法的相关规定不适用。该法与GDPR大致相同,但根据德国国情对部分规定进行了细化和补充,包括严格化设立数据保护官(DPO)的要求、适时扩大数据保护委托的适用范围、增加对企业员工的信息保护、视频监控、档案设置,为特定情况设置小额罚款,并定义非金钱损害赔偿。
4.4《电信和电信媒体数据保护法》(Act to Regulate and Privacy in Telecommunications and Telemedia)(以下简称“TTDSG”)
于2021年12月1日生效,TTDSG实施了欧盟了《电子隐私指令》(E-Privacy Directive),该指令规范cookie的使用、电子邮件营销、数据缩小以及数据隐私的保护。TTDSG主要规定数据保护原则在电信和电信媒体(明确包括over-the-top服务,如在线通信等)中的应用,该法最重要的条款为隐私设置条款——通过该条款首次将欧盟关于cookies的要求从《电子隐私指令》中移植过来——电信服务提供商在使用cookie等跟踪技术前需获得有效的用户同意。
5.德国数据跨境的政策法规
以下主要的条例、法规构成了德国现行数据跨境治理的基本法律制度架构:
5.1《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)
GDPR第五章对个人数据向欧盟以外的第三国或其他国际组织传输设立了严格的标准。其中明确个人数据原则上不得向第三国或其他国际组织传输,除非通过“充分性认定”、“适当保障措施”或“例外豁免情形”三种合规路径之一进行,并列举了五种数据跨境传输工具也即适当保障措施,以确保个人数据出境后受到的保护水平不会被减损。
5.2《新联邦数据保护法》(New Federal Data Protection Act)(以下简称“BDSG”)
BDSG对于个人数据的跨境转移规制与GDPR基本相同,该法第78至81条对个人数据向另一欧盟成员国以及向欧盟外第三国传输个人数据两种情况拟定了不同的监管要求。根据BDSG,由于欧盟成员国具有统一的数据保护水平,受该法管辖的公司有权按照与德国数据要求相同的规则向欧盟其他成员国传输个人数据;而向欧盟以外的第三国传输个人数据,则需事先评估第三国针对数据保护的充分程度,但也存在例外情况,如经数据主体的同意或经主管当局的批准。
6.德国数据跨境的合规要求
6.1个人数据跨境传输合规要求
德国对个人数据跨境的规制主要基于GDPR第五章、相关细则性规定以及BDSG中。
(1)由于欧盟成员国具有统一的数据保护水平,受该法管辖的公司有权按照与德国数据要求相同的规则向欧盟其他成员国传输个人数据。
(2)个人数据原则上不得向第三国或其他国际组织传输,除非通过以下三种合规路径进行:
(i)合规路径一:充分性认定
国家或国际组织的数据保护水平经过欧盟的认可后,个人数据即可自由地从欧盟传输至该国家或国际组织。目前获得充分性认定的国家有14个:安道尔、阿根廷、加拿大(仅适用于商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国。中国不在此“白名单”中。
(ii)合规路径二:适当保障措施
GDPR提供了五种适当保障措施即数据传输工具,数据输出者可任选其一。需注意,依赖这五种数据跨境传输工具并不当然满足欧盟要求,欧盟法院更注重实质判断而非形式判断——若有需要,跨境数据传输主体还须进行额外尽职调查并采取适当的补充措施。五种数据跨境传输工具如下:
(A)公共机构之间的协议或行政安排;
(B)有约束力的企业规则(BCRs);
该项工具适用于跨国集团企业内部数据跨境传输,要求集团在欧盟境内设有实体并获得数据监管机构对于该规则的批准。BCRs需体现约束力、有效性、合作义务、处理和数据流动的描述、报告和记录变更的机制、数据保护措施这六个方面,并满足各项子要求。BCRs还应明确适用范围、第三人收益权利、提出申诉的权利、数据保护原则、可问责性、并保证控制者和处理者之间的《服务协议》需包含GDPR第28条规定的所有必要内容。德国监管机构已批准来自AGCO、Allianz、AVAYA Group、BMW、Continental Group、Deutsche Post DHL、Deutsche Telekom、Giesecke & Devrient、Ledvance、Osram、Siemens Group、Simon-Kucher & Partners、Novelis Group、Luxoft Group和Internet Initiative Japan Group的具有约束力的公司规则。
(C)欧盟委员会通过或批准的标准合同条款(SCCs);
该项工具适用最为广泛,最新版也即第四版SCCs已于2021年6月4日发布,包含4节18项条款和3个附件,可被整合至数据跨境传输协议中,但签署时只能全部适用或全部不适用。一旦签署SCCs,数据保护的法定义务将转化为合同义务和违约责任,如果违反相关约定,则面临民事赔偿、行政处罚责任。
(D)经数据监管机关批准的行为准则(Approved Codes of Conduct):
该项适用于行业或部门内部进行数据跨境传输。行为守则需由代表控制者或处理者类别的协会或其他机构编制,应当包括基本原则、权利和义务、在特定传输场景下的保证、对跨境传输的说明、应当遵循的数据保护原则的说明、问责措施、数据保护义务的隐私工作人员、培训计划、数据保护审计机制、处理守则变更的机制等多项内容,最终经所在成员国的主管机关批准后由欧盟委员会通过颁布实施法案的形式来认可。
(E)基于经批准的认证机制进行传输(Approved Certification)。
该项是一种较新的传输机制。认证的对象是第三国的数据接收方,认证过程应当自愿,要基于有约束力且可执行的审查方式,要具有约束性和可执行性的承诺,认证最终应当由经国家认可机构或主管的监管机构认证的认可机构根据认证标准进行检查而完成。
(iii)合规路径三:克减情形
该路径仅适用于路径一、二无法使用的情形,在符合以下情形之一可进行跨境数据传输:
(A)获得数据主体的明示同意;
(B)履行与数据主体间的合同需要;
(C)为数据主体的利益而与其他主体缔结或履行合同的需要;
(D)行使或抗辩法律主张;
(E)跨境传输公共注册登记机构的部分数据以及保护数据主体或他人重大利益、公众利益的需要。
7.德国数据跨境的实务案例
7.1Adobe案
(1)案件简介
2016年6月7日,德国汉堡数据专员(Hamburg Data Commissioner)表示已因违法跨境传输数据对三家公司Adobe System、Punia、Unilever处以总计28,000欧元的罚款,约合32,000美元。上述三家公司自2015年10月欧盟法院(CJEU)裁定欧美间的安全港协议无效(Schrems I)后,依然根据已失效的安全港协议向美国子公司传输欧洲用户数据。
(2)分析
(i)该案中,德国数据监管机构致力于打击仍使用失效协议进行数据传输的行为,并力求对未来的侵权行为采取更严格的打击措施;
(ii)该案后美欧建立的用于进行数据跨境传输的“欧盟-美国隐私盾协议”也于2020年7月在Schrems II案中被宣告无效;
(iii)自前两者失效后,德国联邦巴登-符腾堡州数据保护局于2020年8月24日率先发布了遵循欧盟法院判决的数据跨境传输指南。对于向美国传输个人数据,该州数据保护局提出,数据控制者应设法提供额外的保障措施,以减少风险,特别是对数据采取加密,且加密的方式应当满足以下两个条件:只有数据输出者持有密钥,以及加密强度必须足够,以使得美国情报部门无法破解。此外,数据输出者还可以采取数据匿名化措施,或对数据进行假名化,确保只有数据输出者可以重新识别数据。