20世纪70年代以来,多个国家和地区开始加强个人信息保护,欧洲有的国家以其他国家的个人信息保护制度不完善为由,禁止将本国公民个人信息向境外提供。1974年,经济合作与发展组织(OECD)成立了专家组研究数据跨境流动中的数据保护问题,1980年,经济合作与发展组织理事会提出了《关于隐私保护和个人信息跨境流动的指南》。
近年来,出于个人信息权益保护、国家安全等原因,多个国家和地区逐步出台个人信息跨境流动限制性规定,包括要求个人信息在境内存储、限制向特定国家和地区转移等。有的对特定的个人信息处理者,如政府机构、社交网站、金融机构等掌握的个人信息的出境作出限制;有的对特定类型的个人信息,如通信元数据、个人健康信息的出境作出限制。在立法模式上,有的是通过个人信息保护法作出规定,有的则是在一些特定行业或领域的法律中作出规定。(www.xing528.com)
欧盟《通用数据保护条例》对个人信息跨境流动问题作出了比较全面的规定,强调个人信息从欧盟向欧盟以外传输的不得削弱对该个人信息的保护力度。《通用数据保护条例》规定了可以向欧盟以外的国家传输个人信息的情形:(1)在获得充分保护认定基础上的传输。如果一国被欧盟认定为对个人信息提供了充分保护,则个人信息可以向该国传输。评估保护水平的充分性时需要考虑的因素包括该国的法律制度、监管机构设置、参加国际公约等情况。欧盟的该认定比较严格,目前只有少数国家获得了充分性认定。(2)受到适当保障的传输。对于未通过充分性认定的国家,该国的企业等在满足下列条件之一的情况下,也可以进行数据跨境传输:其所在国与欧盟达成数据传输方面的协议;采用欧盟委员会通过或批准的标准数据保护条款;遵守有关组织编写且经欧盟监管机构批准的行为准则以及数据控制者、处理者自身关于数据保护的承诺。(3)通过“有约束力的公司规则”进行跨境传输。“有约束力的公司规则”主要是为了方便企业集团或跨国公司及其雇员内部的数据跨境传输。“有约束力的公司规则”由企业集团或跨国公司制定,经监管部门批准后有效。内容应当包括受规则约束的所有成员组织结构和详细信息,普遍数据保护原则以及详细的数据传输内容,例如,个人信息种类、处理方式、处理目的以及受影响的数据主体种类等。(4)特定情况下的例外。包括个人信息主体的知情同意,为履行个人信息主体与控制者之间的合同或先合同义务,为履行控制者与他人订立的符合数据主体利益的合同,基于欧盟或成员国认可的公共利益需要,基于法定请求权的确立、行使和抗辩,在个人信息主体无法作出同意表示的情况下为了个人信息主体的重要利益进行传输,在法律允许范围内为公众提供查询等。另外,《通用数据保护条例》还规定了兜底条款,符合以下条件也可以进行跨境传输:(1)仅涉及有限主体的非重复传输;(2)个人信息控制者追求的利益令人信服;(3)不与个人信息主体的权利相冲突;(4)个人信息控制者对传输环境进行安全评估且采取适当保护措施。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
