正文
为了保证信息透明,我补充一点,上个月TikTok告知数据保护委员会,今年2月它发现了一个问题,导致少量欧洲经济区用户数据实际上存储在了中国的服务器上。TikTok向数据保护委员会表示,由于这个问题,在之前的调查中它向委员会提交的 “未在中国服务器上存储任何欧洲经济区用户数据” 的陈述并不准确。数据保护委员会正与欧洲经济区的其他监管机构密切关注这一问题。
需要明确的是,我们今天讨论的决定仅涉及远程访问,并不涉及那些导致数据存储在中国服务器上的转移行为。
Joe :您的解释非常有帮助。我们现在讨论的决定,新闻稿中的大部分内容,实际上都围绕纠正措施展开,而这些措施都与远程访问相关。
您明确强调了,根据《通用数据保护条例》,这种远程访问仍可能构成受限的数据转移,这也打破了一种误解,即认为数据转移必须是从A点转移到B点并存储在B点。在B点进行远程访问也可能是受限的数据转移。
新闻稿中提到的错误信息,以及您刚刚分享的部分数据实际上存储在中国的情况,数据保护委员会正在对其进行进一步调查和审查。随着时间推移,我们可能会听到更多相关消息。
罗伯特(Robert)提出了一个很有价值的问题,这是一个事实性问题,我认为了解这个问题有助于理解罚款的评估依据。您能分享一下此次针对远程访问的调查涵盖的时间范围吗?
Kian :当然可以,乔。此次调查于2021年9月启动,考察的是TikTok截至我们今天所讨论的决定初稿发布之日(为了让TikTok行使其陈述意见的权利)的所有数据转移行为,也就是截至2023年5月。在这一决定中,截至2023年5月的这些数据转移行为被认定存在侵权问题。不过,在数据保护委员会行使纠正权力(包括下达暂停数据转移的命令和要求数据处理合规化的命令)时,也考虑了TikTok自那之后所做出的改变。
事实上,TikTok通过 “三叶草项目”(project Clover)在个人数据转移方式上做出了重大调整。数据保护委员会在考虑这些改变后,仍认为有必要下达暂停令并要求其合规化处理。
这对我们很有帮助,从2021年9月到2023年5月,时间跨度一年半多一点。您已经帮我们明确了,至少远程访问部分属于受限的数据转移。
Joe:那么问题来了,TikTok依赖的是哪种或哪些机制来进行数据转移呢?从新闻稿和我们目前所了解的情况来看,TikTok实际上依赖的是标准合同条款(SCCs)。
根据《通用数据保护条例》,欧盟委员会可以并且已经针对向未被认定为具备充分数据保护水平的国家的数据转移发布了标准合同条款,中国就是其中之一。那么,数据保护委员会是如何评估像TikTok这样的组织对标准合同条款的使用情况的呢?
Kian :实际上,这一决定是将 “Schrems II案”(Schrems II judgment)的判决应用于标准合同条款作为数据转移工具的具体案例的一个很好的实践范例。
特别是该判决中指出,依赖标准合同条款的实体有义务首先核查并保证数据能获得基本等效的保护水平。
在正当程序方面,近期的 “Schrems I案”(Schrems I)和 “Schrems II案” 为数据转移所需的标准带来了很多清晰的指引。例如,“Schrems I案” 的判决首次明确了基本等效性的标准,即数据转移必须为基本权利提供与欧盟所保障的水平基本相当的保护。虽然该判决涉及的是当时《数据保护指令》(现在《通用数据保护条例》第45条)下的充分性认定,但 “Schrems II案” 判决明确指出,
即便依赖标准合同条款作为数据转移工具,同样需要达到基本等效性的标准
。
无论是依据第45条做出的充分性认定,还是依据第46条使用标准合同条款,都必须保证数据保护水平基本等同于欧盟的保护水平。不过,就各实体如何达到这一要求而言,第46条下存在一些差异。数据控制者或数据处理者在进行数据转移时,可以依靠标准合同条款以及其他补充措施来达到基本等效性的标准。
在这种情况下,“Schrems II案” 的判决明确指出,相关实体必须首先核查并保证基本等效的保护水平,如果无法保证,则必须暂停或终止数据转移。所以,在进行数据转移前未能核查并保证基本等效性,会导致后续的数据转移行为不合法,不应继续进行。
这一核查和保证基本等效性的标准对于确保个人数据在传输到第三国时仍能获得高水平的保护至关重要。需要记住的是,依据《通用数据保护条例》第46条进行的数据转移,无法从欧盟委员会认定第三国具备充分保护水平的决定中获益,这类数据转移也无需事先获得数据保护机构的批准,而且必须根据每一次数据转移的具体情况进行评估。
这一要求各实体核查并保证基本等效性的标准,正是《通用数据保护条例》确保数据在转移过程中始终能获得高水平保护的方式。当然,正如你所说,乔,这也是进行数据转移评估义务的来源。
Joe:是的,除了少数国家对俄罗斯的数据流动采取了暂停措施外,如我一开始提到的,这是我们首次看到 “Schrems II案” 的标准应用于向美国以外地区的数据转移。
您刚才分享的内容,我想对我们的许多听众来说都表明,当涉及到第46条的情况,即向未被认定为具备充分保护水平的国家传输数据时,这绝非易事。
需要考虑第三国的法律和实践,同时也要对组织或公司自身的实践进行更为深入的评估。您提到了核查、评估、影响评估以及数据转移的性质等方面。综合考虑国家和组织这两个因素,我们先聚焦于国家因素。
在本案中是中国,我们目前仅看到了新闻稿,尚未看到完整决定。那么,从这一决定中,我们能了解到中国在从欧洲经济区数据转移方面的哪些法律和实践情况呢?
Kian:当然可以,乔。在调查过程中,TikTok确实提供了数据转移评估报告,对中国的法律和实践进行了宏观层面的评估。
这些评估报告指出,中国法律框架的某些方面使得认定基本等效性存在困难。然而,TikTok认为,鉴于其采用的标准合同条款以及实施的补充措施,受数据转移影响的欧洲经济区用户数据能够获得基本等效的保护。
在TikTok承认存在的差异方面,它指出中国法律在数据隐私监管、公共机构获取个人数据的监管、监管监督、救济权利以及国际条约承诺等方面,无法提供与欧盟相当的保护水平。
比如,以中国公共机构获取个人数据的监管为例,TikTok从宏观层面阐述了这与欧盟标准存在的显著差异。
在监管监督方面,TikTok同样认为中国与欧盟标准存在重大差异。TikTok表示,虽然中国公共机构获取数据需要事先获得批准,但这种批准不像欧盟要求的那样独立于政府,而且内部批准的规则和标准往往也未公开。
在数据隐私权监管、救济权利以及国际条约方面,也存在类似情况,TikTok认为这些方面都与欧盟法律的要求存在差异。
尽管TikTok在宏观层面指出了这些差异,但在其自身评估的核心观点中,强调欧洲经济区用户数据并未存储在中国的服务器上,因此认为这些数据已达到基本等效的保护水平,并且数据转移行为不在其所述的可能导致与欧盟法律缺乏基本等效性的监控法律的管辖范围内。
Joe :所以,从TikTok自身的评估来看,如果数据被转移到中国并随后存储在中国,那么依据《通用数据保护条例》,这些数据将无法获得足够标准的保护,即基本等效的保护水平。
从您的介绍中我了解到,由于存在远程访问的情况,中国的许多适用法律和政策在一定程度上否定了基本等效性的认定,或者说在远程访问情况下,这些法律政策的影响程度有所不同。所以,TikTok认为远程访问加上标准合同条款可以在一定程度上减轻影响。
