Loading…
欧盟法院(CJEU)2020 年 7 月 16 日在 Schrems II 案中的判决使 EU-US Privacy Shield 失效,并明确指出:标准合同条款(SCC)虽然原则上仍然有效,但如果目的地国家的法律削弱了其所提供的保护,则不得依赖。控制者和处理者必须针对每一次传输进行传输影响评估(TIA)。
EDPB 第 01/2020 号建议提出了一套六步方法论。若执行得当,一份 TIA 会记录该传输、目的地国家的法律制度、所采取的补充措施以及您的结论——经得起审计。若执行不当,它就只是一次走形式的勾选练习,在执法面前不堪一击。
2023 年的 EU-US Data Privacy Framework(DPF)恢复了向经认证的美国进口方传输的充分性。但它并不涵盖所有传输,可能被重新质疑(Schrems III 已提起),而且大多数非美国传输仍依赖需要 TIA 的 SCC。
该案(C-311/18)废除了 Privacy Shield,并向 SCC 使用者发出了警示。CJEU 认定:
实际上:仅有 SCC 是不够的。TIA 是证明您已完成相关工作的书面证据。
您无法对您不了解的事物进行 TIA。请清点:
以您的第 30 条 ROPA 作为起点,但要对照实际基础设施进行核实。云提供商往往默认将数据复制到或故障转移至非 EEA 区域——这算作一次传输。
TIA 的核心。对于每个目的地国家,评估:
EDPB 第 02/2020 号建议提出了“基本保障”框架。对于美国传输,FISA Section 702 和 Executive Order 12333 是关键关切。对于非美国国家:应具体评估该国法律——许多 TIA 在未经审查的情况下,对低风险国家默认套用一个笼统的“充分”,而这正是监管者所标记的问题。
三类。请组合应用每一类:
重新评估的触发因素:
2023 年 7 月 10 日,欧盟委员会就 EU-US Data Privacy Framework(DPF)通过了一项充分性决定。对于向已就 DPF 进行认证的美国公司的传输,其法律效果等同于一项完整的充分性决定——经 DPF 认证的传输无需 SCC、无需 TIA。
实用建议:在您的美国进口方已获 DPF 认证的情况下,就该传输依赖 DPF 充分性,但在后台保持已签署的 SCC,并无论如何都运行 TIA 作为面向未来的保障。
按「传输场景」——通常按目的地国家及按数据进口方制定。您可以将涉及类似数据、传输至同一进口方的传输合并为一份 TIA。针对同一国家的国家法律分析可在多项传输中重复使用。
没有——EDPB 已澄清(指南 05/2021),依据第 3(2) 条域外适用范围进行的传输仍需遵守第五章的传输机制合规要求。请勿将第 3 条用作规避途径。
在法律上是的,但向无法解密访问的进口方传输经强加密的数据是典型的补充措施。许多 TIA 正是据此得出传输可以进行的结论。
这是重要的数据点,但并非决定性因素。EDPB 已明确指出:主观做法不能替代法律制度的对等性。请将历史上零请求记录记录为佐证,但不要将 TIA 建立在此基础之上。
是的——这是 EDPB 第 6 步的明确结论。在实践中,许多控制者还会(或转而)按照 SCC 第 14(f) 条的要求通知其监管机构。请严谨地记录该决定。