Fieldfisher：全球数据驻留风险管理（附下载）

报告下载：添加199IT官方微信【i199it】，回复关键词【全球数据驻留风险管理】即可

斯诺登事件造成了两个特别值得注意的结果：一是围绕美欧安全港协议的未来进行持续讨论；二是欧盟和其他地区对数据驻留实施更严格要求的发展趋势，俄罗斯和澳大利亚等国家纷纷颁布新的数据驻留法律法规。

（1）什么是数据驻留规管？（2）有多少国家实行了数据驻留规管？（3）跨境转移个人数据的最常见法律依据是什么？（4）有约束力的企业规管（BCRs）是否为满足数据驻留规管和跨境转移个人数据的公认途径？（5）数据驻留规管的执法风险有哪些？

BCRs的概念最初由欧盟的第29条工作组（Article 29 Working Party）提出，目的是允许跨国公司、国际机构和企业集团按照欧盟数据驻留要求，进行组织内部的个人数据跨境转移。BCRs必须经过欧盟数据保护有关当局的审查和批准，这意味着那些成功达成BCRs的公司已经向监管机构证明，公司上下严格遵守了数据保护法规。

还没有适当解决方案来开展数据跨境转移的企业会发现，在提出数据驻留要求的地区达成交易和做生意将变得越来越困难。很多美国企业已经遇到了这种情况。

原文翻译：

2013年夏天，美国国家安全局前雇员爱德华·斯诺登（EdwardSnowden）大爆猛料，加剧了关于跨境获取和转移机密数据的法律、政治、道德和商业争论。

这些争论对国家数据隐私法律产生了重大影响，促使政策制定者们开始评估国际数据转移的现有法律保护是否完善。斯诺登事件造成了两个特别值得注意的结果：一是围绕美欧安全港协议的未来进行持续讨论；二是欧盟和其他地区对数据驻留实施更严格要求的发展趋势，俄罗斯和澳大利亚等国家纷纷颁布新的数据驻留法律法规。

目前，个人数据的跨境转移很少（甚至于没有）受到监管机构、媒体和个体公民的监督。在这种背景下，Fieldfisher隐私与信息法律团队（在隐私从业者的帮助下）对全球重要国家的数据驻留规管现状进行了评估和分析。

我们希望借此阐明这个受到热烈讨论但很少被透彻分析的话题。我们列出了报告的编制方法，并回答了以下五个重要问题：（1）什么是数据驻留规管？（2）有多少国家实行了数据驻留规管？（3）跨境转移个人数据的最常见法律依据是什么？（4）有约束力的企业规管（BCRs）是否为满足数据驻留规管和跨境转移个人数据的公认途径？（5）数据驻留规管的执法风险有哪些？

报告的编制方法

2014年底，Fieldfisher分析了6个地区47个国家关于数据驻留和数据转移的国家法律法规，包括：欧洲（28个欧盟成员国外加冰岛、列支敦士登、挪威和瑞士）；北美（美国和加拿大）；南美（阿根廷、巴西和乌拉圭）；亚洲（中国、印度、以色列、日本、马来西亚、新加坡和韩国）；非洲（南非）；大洋洲（澳大利亚和新西兰）。

2015年初，我们多方参照、交叉比对了我们的分析，想要勾勒出真正的数据驻留规管全球图景。这份报告是正是这项工作的结晶。我们计划在未来几年继续更新这份报告以确保其准确性，并扩大报告覆盖的地理范围。

什么是数据驻留规管？

“数据驻留”这个词语在大多数国家法律中都没有得到明确定义。但从广义上讲，数据驻留规管是指在不符合某些法律标准的情况下，禁止组织机构向本国境外或本地区以外转移个人数据的国家法律。

欧盟的《数据保护条令》（Data Protection Directive）是数据驻留规管的最著名例子。该条令禁止组织机构向欧盟以外的接收者转移个人数据，除非对个人数据的保护达到“适当”的水平，比如签署“标准合同条款”（Standard Contractual Clauses），进行美欧安全港协议自我认证，或者在开展集团内部数据转移时执行BCRs。其他例子包括加拿大、澳大利亚、以色列和韩国，它们都有类似的数据驻留规管。

有多少国家实行了数据驻留规管？

在我们分析的47个国家中，有44个施行了数据驻留规管。这说明，遵守这些要求是全球议题，对企业提出了重大挑战，尤其是对数据密集型企业而言，比如企业和个人云服务提供商、在线社交媒体公司、大型生命科学和医疗集团。

在被分析的国家中，只有美国、南非和新西兰还没有实施数据驻留规管。美国提出了行业限制，但没有制定出全局性的转移限制规定。南非虽然制定了有关隐私权的宪法和行业法律，但还没有落实具体的数据隐私法律。2013年11月26日，南非政府把《个人信息保护法案第四版》（POPIA）作为国家数据隐私法律。然而，南非政府还没有确定POPIA的生效日期。

新西兰的1993年《隐私法》并不禁止个人数据的跨境转移。不过，新西兰法律委员会建议引入有关个人信息跨境披露和外包的正式问责规定。南非和新西兰的事态发展似乎预示着两国将引入数据驻留规管，向其他国家看齐。

换句话说，预计这些国家（以及更多的国家）将在可预见的未来实施数据驻留规管。

跨境转移个人数据的最常见法律依据是什么？

在我们分析的47个国家中，关于个人数据转移的法律依据非常广泛。最常见的法律依据如下：

· 被转移的数据内容是否已经获得；

· 转移对数据控制者和数据主体之间的合同履行是否有必要；

· 转移对执法是否有必要（但是否应该根据外国执法要求允许跨境数据转移的问题引发了激烈讨论）。

值得指出的是，很多法律依据按照被转移的个人数据类型及其预期用途/目的而有所不同。例如，在俄罗斯，个人数据的跨境转移通常需要数据主体的书面同意。因此，在进行个人数据跨境转移时，应该始终把当地法律要求纳入考量。

BCR是否是跨境转移个人数据的公认途径？

可以把BCRs看作是企业采用的内部数据治理政策框架。在这个框架下，企业承诺按照某些规定的数据隐私标准，保护其收集和处理的数据。

BCRs通过合同、政策和纪律措施对员工产生内部约束力，同时通过集团内部协议或类似法律机制对集团公司产生外部约束力。集团公司作出的政策承诺必须通过适当的培训、供应商管理、投诉处理和审计过程加以落实。

虽然BCRs被视为从欧盟国家向非欧盟国家输出数据的合法途径，但这里存在一个疑问：其他非欧盟国家根据自己的数据驻留规管，是否接受和允许使用BCRs来输出个人数据？例如，这种接受要么通过明确的立法措辞批准BCRs的使用，要么“隐晦”承认BCRs符合当地数据驻留标准（即使当地法律没有明确指出这一点），从而被当地监管机构所容许。

在我们分析的47个国家中，有42个国家明确或隐晦承认BCRs是组织内部进行个人数据跨境转移的合法途径。对BCRs的这种广泛承认表明，BCRs为跨国企业在遵守国家数据驻留规管的前提下进行数据跨境转移提供了普适的共同标准。尽管源于欧盟，但BCRs显然已经在国际舞台上获得了更加广泛的承认和吸引力。

执法风险有哪些？

在我们分析的47个国家中，有42个国家的数据保护监管机构拥有对数据驻留违规行为实施处罚的权力。

在被分析的国家中，只有美国、印度、以色列、南非和新西兰的监管机构目前无法处罚数据驻留违规行为。在印度，监管机构没有处罚的权力。在以色列，数据库注册局的执法权力有点模糊不清，而且到目前为止，还没有相关的案例来检验其执行数据驻留规管的能力。上文已经讨论了南非和新西兰的例子。

目前，对数据驻留规管的监管执法非常有限（除了俄罗斯）。不过，由于数据跨境转移的监管敏感度上升，个人数据的跨境转移很可能将受到数据保护有关当局更加严格的审查。

或许更加值得注意的是，还没有适当解决方案来开展数据跨境转移的企业会发现，在提出数据驻留要求的地区达成交易和做生意将变得越来越困难。很多美国企业已经遇到了这种情况。在欧盟废除美欧安全港协议的背景下，美国企业越来越多地面临欧盟客户坚决要求采用其他的数据转移解决方案的情况，比如标准合同条款和BCRs。

来自：车品觉