欧盟在其数据保护法中规定了个人数据跨境流动制度的相关规则。根据《关于个人数据处理保护与自由流动指令》(即个人数据保护95指令,以下简称《指令》),数据跨境流动分为欧盟境内成员国间和欧盟与其境外国家两个层次,其中“充分性保护”标准[3]是决定跨境数据流动的基本原则。欧盟理事会和欧盟议会赋予欧盟委员会认定第三方国家是否具备个人数据保护充分性的权利。截至2015年9月,欧盟委员会确认安道尔、阿根廷、加拿大(商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、瑞士、乌拉圭等国家和地区能够提供充分保护。对内,欧盟禁止成员国借数据保护的名义限制个人数据在欧盟境内自由流动,成员国具备同等数据保护水平是数据在成员国间自由流动的基础。
2016年4月,欧盟通过了《一般数据保护条例》(GDPR,以下简称《条例》),明确规定只要符合了跨境数据流动的条件,则成员国不得再予以限制。《条例》关于跨境数据流动的五个合法路径如下。一是充分性决定(adequate decision)。与《指令》相比,欧盟委员会除了对国家可以作出评估外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断,这进一步增加了通过“充分性”决定的灵活性。二是有约束力公司规则(binding corporate rules,BCR)。有约束力公司规则最早由欧盟第29条工作组发展而来,初衷是让跨国公司或者公司集团能够在公司内部进行跨境的数据转移,是欧盟委员会提出的标准化格式合同的一个替代选择。《条例》对该规则给予了正式的法律地位,并详细规定了该规则获得认可的程序和内容标准[4]。三是标准合同条款(standard contractual clauses)。目前欧委会通过的三个格式合同条款仍然有效。《条例》增加了成员国数据监管机构可以指定标准合同条款的渠道,但必须经过欧委会的认可[5]。四是经批准的行为准则(codes of conduct):数据控制者可以成立协会并提出遵守《条例》的详细行为准则。这种情形主要针对不适用于《条例》但从欧盟接收数据的主体[6]。五是经批准的认证机制、封印或者标识(approved certification me-chanism,seal or mark)。此类情形主要适用于公共机构之间的数据转移活动。行为准则与认证机制是条例中引入的新型的合规机制,以最大化发挥第三方监督与市场自律作用。(www.xing528.com)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
