考虑到数据跨境流动对国际交往的重要性,一些国家和地区对允许数据出境的情形作出了相应规定。卢森堡规定,金融机构要在境内处理信息,如果获得信息主体的明确同意也可以在境外处理;印度规定企业财务信息如果存储在境外,应当在印度存有备份。
2018年实施的欧盟《通用数据保护条例》对数据跨境流动问题作了比较全面的规定,强调个人信息从欧盟向欧盟以外传输不得削弱对该个人信息的保护力度。《通用数据保护条例》规定了可以向欧盟以外传输个人信息的情形。
一是在获得充分保护认定基础上的传输。如果一国被欧盟认定为对个人信息提供了充分保护,则数据可以向该国传输,该制度也被称为“白名单制度”。评估保护水平的充分性时需要考虑的因素包括该国的法律制度、监管机构设置、参加国际公约情况等。对于被认定为提供充分保护的国家,至少每四年定期审查评估情况,如发现不再符合要求,可以取消对其认定。欧盟的该认定比较严格,目前只有新加坡、瑞士、乌拉圭、阿根廷、安道尔等十几个国家被列入“白名单”。
二是受到适当保障的传输。对于未被列入“白名单”的国家的企业等数据控制者或处理者,在满足以下条件之一的情况下,也可以进行数据跨境传输:(1)其所在国与欧盟达成数据传输方面的协议;(2)采用欧盟委员会通过(或成员国通过但经欧盟委员会批准)的标准数据保护条款;(3)遵守有关协会或机构编写且经欧盟监管机构批准的行为准则以及数据控制者、处理者自身关于数据保护的承诺。(www.xing528.com)
三是通过“有约束力的公司规则”进行跨境传输。“有约束力的公司规则”主要是为了方便企业集团或跨国公司及其雇员内部的数据跨境传输。“有约束力的公司规则”由企业集团或跨国公司制定,经监管部门批准后有效。内容应当包括受规则约束的所有成员组织结构和详细信息,普遍数据保护原则以及详细的数据传输内容,如个人信息种类、处理方式、处理目的以及受影响的数据主体种类等。“有约束力的公司规则”强调数据控制者、处理者对数据的保护责任,确保数据跨境传输的安全。
四是特定情况下的例外。包括数据主体的知情同意,为履行数据主体与控制者之间的合同或先合同义务,为履行控制者与他人订立的符合数据主体利益的合同,基于欧盟或成员国认可的公共利益需要,基于法定请求权的确立、行使和抗辩,在数据主体无法作出同意表示的情况下为了数据主体的重要利益进行传输,在法律允许范围内为公众提供查询。
另外,《通用数据保护条例》还规定了兜底条款,符合以下条件也可以进行跨境传输:(1)仅涉及有限主体的非重复传输;(2)数据控制者追求的利益令人信服;(3)不与数据主体的权利相冲突;(4)控制者对传输环境进行安全评估且采取适当保护措施。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
