欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（上）

Original 数治君数据信任与治理 2022-09-08

收录于合集 #数据跨境流动治理 8个

2022年4月21日，美国率领一众经济体宣布建立“全球跨境隐私体系”，将APEC框架下的CBPR数据跨境传输机制的适用扩展至全球范围。CBPR机制具体如何运作，与欧盟GDPR中规定的数据跨境传输机制有何区别？二者优劣如何？本文编译了2019年发布的《物联网时代下关于欧盟GDPR和APEC CBPR数据跨境传输机制和个人信息保护的比较分析》

（EU GDPR or APEC CBPR? A comparative analysis of the approach of the EU and APEC to cross border data transfers and protection of personal data in the IoT era），

原文载于Computer Law & Security Review，

作者Clare Sullivan，

为保证阅读的流畅性，本文对脚注及正文内容有删减。

摘要

本文研究了当今存在的两个主要数据跨境传输机制——欧盟（EU）《通用数据保护条例》（GDPR），以及亚太经济合作组织（APEC）的跨境隐私规则体系（CBPR）。

物联网数据影响到个人信息和隐私保护，进而为企业带来国际数据流动合规有关的问题。GDPR对包括个人数据跨境传输在内的个人数据处理进行监管。GDPR作为法律直接适用于欧盟成员国。GDPR也有大量的域外监管条款，适用于数据控制者/处理者的注册地和运营地在欧盟以外的个人数据处理活动。欧盟GDPR以多种方式实现了合法的个人数据跨境传输，包括与APEC CBPR大致相似的机制。

APEC CBPR是规范APEC成员国之间个人数据传输的另一个主要区域机制。它本质上是一个自愿的问责机制，首先需要国家接受，然后由问责机构（accountability agents）进行独立认证。许多美国人认为APEC CBPR比欧盟GDPR更可取，因为CBPR比GDPR更利于商业，因此被认为是最有可能成功的计划。

虽然欧盟和APEC在数据跨境传输方面的数据保护方法有很多相似之处，但也有很大的区别。本文研究了两者的异同，以及两种模式在物联网时代的适用程度。

1.简介

欧盟模式是世界上最广泛采用的个人数据保护模式。大多数国家都以1995年《数据保护指令》（Data Protection Directive，DPD）为蓝本进行立法，该指令是2018年开始实施的现行GDPR的前身。一些国家借鉴了DPD的大部分内容，而其他国家则借鉴了关键内容。唯一的例外是美国，它没有借鉴欧盟的数据保护模式。

广泛借鉴欧盟模式是出于现实考虑。欧盟要求打算在欧盟做生意的国家有同等的数据保护标准。GDPR可望为物联网数据处理设定标准，并为欧洲以外的法律改革提供参考。GDPR的影响体现在对个人信息和隐私保护的力度加强，以及欧洲以外国家的国内立法对不遵守规定的行为处罚加重。GDPR正在通过组织实践和程序进一步增加其域外管辖权的影响，因为欧盟以外处理欧盟数据个人数据的公司意识到他们必须遵守GDPR。

这特别引起了美国跨国公司对合规成本和精简全球合规战略及程序的关注。在美国，APEC CBPR机制的方法被广泛认为是更好的数据跨境传输模式，主要是因为它没有欧盟GDPR规范和严格，因此更有利于促进国家间的数据流动。

APEC是一个成立于1989年的区域经济论坛，大致仿效欧盟，但APEC没有欧盟的立法权和管理机制。APEC的既定目标是“通过促进平衡、包容、可持续、创新和安全的增长以及加速区域经济一体化，为该地区的人民创造更大的繁荣。”根据这一目标，APEC CBPR于2012年诞生，它是一个自愿参与的区域机制，旨在促进符合该机制规定的数据保护标准的成员之间的数据跨境流动。CBPR以APEC隐私框架中规定的数据保护原则为基础。CBPR机制要求成员加入CBPR并建立必要的立法和执法规则，然后，希望运用该机制传输数据的公司必须接受独立的合规评估。2012年，美国成为第一个加入CBPR机制的国家，美国联邦贸易委员会（FTC）成为第一个国内执法机构。

2.物联网数据和通信

本文研究了欧盟GDPR或APEC CBPR机制是否最适合于物联网时代的个人数据跨境传输。

本文所使用的物联网定义是最广泛的，包括广泛的联网设备和应用，还包括消费者应用。消费者应用包括联网的家用电器和设备，其中许多设备在持续、实时的基础上收集和处理个人数据。当数据被收集、传输、存储和分析以向企业提供性能和其他数据时，消费者应用也涉及商业物联网。物联网正在与OTT（over-the-top）服务、人工智能、深度学习和机器人技术快速融合，这种融合与数据跨境流动相结合，给个人数据保护带来了重大问题。

物联网时代最重大的技术挑战之一是如何有效管理前所未有的物联网数据量及其多样性。物联网设备产生了包括个人数据在内的大量数据。如果数据能够直接或间接地识别个人，那么它就是个人数据，这符合欧盟GDPR、APEC CBPR等对个人数据的定义。处理通常有广泛的含义。GDPR将处理定义为“对个人数据或个人数据集进行的任何操作或一系列操作，无论是否通过自动化手段，如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、通过传输、传播或以其他方式公开、调整或组合、限制、删除或销毁”。这一定义涵盖了所有物联网数据处理活动。

持续、快速处理个人数据对个人信息和隐私保护产生了空前的影响。在GDPR中，敏感个人数据或“特殊类别数据”通常被定义为可以揭示一个人的种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的数据，以及为唯一识别自然人而对遗传数据、生物特征数据进行的处理。有关健康的数据或关于自然人的性生活或性取向的数据也以这种方式分类。根据数据保护法，在没有数据主体同意的情况下，禁止处理这些个人数据。数据匿名化和假名化是GDPR特别提倡的一种促进物联网所需数据的处理方式。这两种技术都有缺陷，重新识别会带来侵犯个人权利的重大风险，并且数据处理者和控制者会被发现不合规。

物联网数据处理对法律法规来说是一个重大的新挑战，它们要在商业需求和物联网的社会效益与个人数据保护和电子通信保密性之间进行平衡。虽然欧盟和APEC的数据传输制度都试图平衡相互竞争的利益，但它们有根本不同的法律依据（legal basis）以及不同的数据保护方法。本文研究并比较了这两种方法，评估了APEC CBPR或欧盟GDPR是否能更好地平衡数据保护和促进数据跨境流动。作者最后提出了一个观点，即一种机制是否有可能成为占主导地位的全球方法。

3.相似但不同

APEC CBPR与欧盟GDPR的跨境传输机制有许多相似之处。根据GDPR，美国等国家的公司有一系列自愿选择，如欧盟/美国隐私盾协议（EU and US Privacy Shield）（译者注：欧美隐私盾协议已于2020年7月被欧盟法院宣判无效，欧美正在探索新的数据跨境传输机制）、标准合同条款、经批准的行为准则以及GDPR下的认证。APEC为其成员制定了一个自愿机制，即CBPR。GDPR下的大多数传输机制与CBPR有相似之处，但后者在方法上与隐私盾协议最为相似。

APEC CBPR和隐私盾协议的法律基础和应用并不同。CBPR以APEC隐私框架的数据保护原则为基础。CBPR本质上是一个区域性的数据保护标准，而GDPR是一个欧盟法规，并通过域外应用在欧盟以外的地区适用。

为解决数字时代出现的问题，欧盟出台了一套相对全面的法规。2018年生效的数据保护改革方案由GDPR和《警察和刑事司法当局数据保护指令》（Data Protection Directive for Police and Criminal Justice Authorities，DPDPC）构成。这一改革机制的一个关键部分是拟议的《欧盟关于在电子通信中尊重私人生活和保护个人数据的条例》（EU Regulation Concerning the Respect for Private Life and the Protection of Personal Data in Electronic Communications，ePrivacy Regulation）（以下简称“《电子隐私条例》”），它将适用于物联网通信。新的《电子隐私条例》预计要到2019年才会成为欧盟的法律（译者注：欧盟理事会于2021年2月通过《电子隐私条例》最新版草案，但并未生效）。拟议的新法规对现有的电子隐私指令进行了大幅修改和扩展，包括将适用范围扩大到WhatsApp等OTT服务、元数据以及物联网通信。拟议的《电子隐私条例》具有域外适用性，并规定了违规行为的严重后果，但它与GDPR有不同之处，因为它保护的是保密权（right to confidentiality），不限于保护个人。另外，新的《电子隐私条例》一般不允许基于数据主体同意、公共利益或数据控制者的合法利益进行的数据处理。拟议的《电子隐私条例》与GDPR相比适用范围有限，但它有望比GDPR更严格。

欧盟GDPR以基本人权为基础。APEC CBPR关注的是在其认为可接受的数据保护程度范围内促进数据传输。关键问题是APEC CBPR是否适当地平衡了贸易目标和对个人数据及个人隐私的适当保护；以及在实现这种平衡方面，APEC CBPR与欧盟GDPR相比孰优孰劣。

4.APEC CBPR机制概述

APEC CBPR以APEC隐私框架为基础，该隐私框架于2005年制定并在2015年更新。APEC隐私框架旨在平衡数据跨境自由流动与个人信息及隐私保护。APEC隐私框架是协商产生的标准。该框架列出了APEC成员制定或修订其国内法时数据保护最低标准的基本要素。在没有国内立法或法律对数据主体提供较少保护的情况下，该框架确立了数据保护最低要求。

CBPR机制由三部分组成：第一，规定数据保护基本要求框架；第二，问责机构的选择和认证系统，问责机构是APEC认可的独立第三方，有资格根据框架评估和认证企业隐私实践；第三，内部执行机制。

为了让APEC成员加入该机制，CBPR机制包含一些允许最低限度地执行该框架的具体要求。APEC成员还必须认可问责机构，该机构认证希望加入CBPR机制的公司的隐私实践，并为被认证公司管理争议解决。问责机构，如美国的TrustArc Inc.，通常会更详细地列出特定的认证要求。对公司和问责机构来说，CBPR评估和合规程序是全面的，也是耗时的，这可能是一个昂贵的程序。至少在短期内，这通常将CBPR局限于拥有必要资金和资源的组织。

虽然GDPR有类似的自愿机制，但CBPR通常对美国公司更有吸引力，因为它不那么复杂和规范，更有利于数据跨境流动。事实上，CBPR机制的重点与GDPR不同，后者主要关注个人信息和隐私保护的欧盟人权义务。相反， CBPR主要是为了促进数据跨境流动。

5.欧盟GDPR机制概述

GDPR关于数据跨境传输机制的主要条款在第五章（第44至49条），其中有条款规定了数据收集者和处理者必须遵守的条件。

GDPR允许将数据传输到欧盟委员会（European Commission，EC）认为提供“充分”个人数据保护的国家，充分性基本上等同于等效性，即第三国或特定实体确保“基本等同于在[欧洲]联盟内确保的充分的保护水平”。在认定充分性时，EC会考虑具体的处理活动、国家间的人权规范、国家的一般和部门法律、有关公共安全、国防和国家安全、公共秩序和刑法的立法。

根据GDPR，在没有充分性认定决定的情况下，如果控制者或处理者使用第49条规定的其他保障措施，则允许数据跨境传输，这些保障措施包括：

公共当局或机构之间具有法律约束力和可执行的文书
第47条规定的具有约束力的公司规则（Binding Corporate Rules，BCRs）
EC根据第93条（2）款所述的审查程序通过的数据保护标准合同条款（standard data protection contractual clauses）
由监管机关采用并由EC根据第93条（2）款所述的审查程序批准的数据保护标准合同条款
第40条规定的经批准的行为准则，以及第三国的经营者或处理者作出的应用适当的保障措施保护数据主体权利的具有约束力和可执行的承诺
第42条规定的经批准的认证机制，以及第三国的控制者或处理者应用适当的保障措施保护数据主体等的权利的有约束力和可执行的承诺

欧盟认为美国的法律没有提供充分的数据保护。为了解决这个问题并促进欧盟和美国之间的数据流动，欧美于2016年达成隐私盾协议。隐私盾协议通过一个与CBPR非常相似的自愿加入机制，实施欧盟要求的数据保护标准。隐私盾协议包括美国政府对有限访问数据的保证，以及针对美国的合规和执法制度。美国商务部（Department of Commerce，DoC）监督合规情况，FTC负责执行。美国国务院的数据隐私监察员是欧盟公民的联系人，根据隐私护盾应对个人数据处理方面的投诉。参与隐私盾协议的美国组织必须遵守处理个人投诉的强制性截止日期，欧盟数据主体可以获得替代性的争端解决方案。此外，欧盟成员国的数据保护机关（Data Protection Authorities，DPAs）可以将投诉直接提交给美国DoC和FTC。隐私盾协议每年审查一次，以确保它们符合欧盟的隐私标准。欧盟委员会监督合规情况。然而，隐私盾协议可能被质疑没有提供充分的数据保护；这些质疑已被提交给欧洲法院（European Court of Justice，ECJ），可能影响隐私盾协议的未来。

在第49条的其他选项中，与美国公司最相关的是标准合同条款，包括示范条款（model clauses），BCRs，经批准的行为准则和认证。GDPR下的标准合同条款和BCRs可以在没有事先通知数据保护机关和获得其批准的情况下使用。GDPR在第46条中明确将BCRs作为一种充分的保障措施，并在第47条中对通过BCRs的方式进行传输规定了详细条件。GDPR规定了BCRs必须包含的内容，包括数据和传输过程信息等。因此，BCRs与CBPR有相似之处。

经批准的行为准则和认证也是可行的。行为准则可以处理GDPR规定的许多方面，包括数据跨境传输。GDPR称行为准则在跨境传输方面具有“约束力和可执行性”。采用BCRs的控制者必须证明它们具有约束力。不受GDPR约束但参与向欧盟以外地区传输个人数据的控制者或处理者遵守行为准则，有助于受监管的控制者证明其符合GDPR的规定。

GDPR第40和41条允许使用监管机关或“代表控制者或处理者的协会或其他机构”制定的行为准则，以执行GDPR的要求。第99条要求制定行为准则的私人协会“咨询利益相关者，并参考收到的材料和意见”。准则草案必须提交给相应的监管机关。经批准的行为准则必须能够“对其规定的合规情况进行监督”；监督机构（the monitoring body）必须得到主管监督机关的认证，证明其“具有适当的专业水平”。当控制者或处理者“违反”行为准则时，经认证的机构应“采取适当行动”。经认证的监督机构如果没有“采取适当的行动”，将面临高达100万欧元的罚款。经认证的机构的行动并不能取代监管机关对不遵守行为所采取的行动。监督机构必须通知监管机关，监管机关也可以采取执法行动。

GDPR下的新认证程序与美国公司处理和传输个人数据特别相关。认证涵盖GDPR第25条规定的义务，该条规定了隐私设计和默认情况下的数据保护。只有GDPR下的认证可以用来证明遵守了第25条，根据该条款，数据控制者有义务实施“如假名化等的适当技术和组织措施”。然而，尽管已知匿名化和假名化存在缺陷，GDPR不包含保护组织在发生数据主体识别或重新识别的情况下免于承担该法规定的或更广泛的责任的条款。

如果欧盟以外的控制者和处理者能够通过合同或其他有约束力的法律文书表明愿意实施规定的数据保护保障措施，则可获得认证。符合GDPR一般规定以及第25条规定的认证可以由一个可信的认证机构、“主管监督机关”或欧洲数据保护委员会颁发，进行认证的机构必须进行“适当的评估”，以便授予认证，并在不符合规定的情况下撤销认证。这就是“欧洲数据保护印章”。当认证机构授予或撤销对控制者或处理者的认证时，必须通知监管机关。违反GDPR规定职责的认证机构将受到最高1000万欧元的处罚。

认证是自愿的，认证的过程是透明的，认证后不“减轻控制者或处理者遵守GDPR规定的责任”。非欧盟的控制者和处理者也必须“通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺，以应用这些保障数据主体权利的保障措施”。合规的数据跨境传输可能需要经批准的认证机制的认证，但必须具备“在第三国”有约束力和可执行的承诺。在评估对控制者或处理者违规行为的行政罚款时，要考虑认证机构的认证。

允许在没有充分保护的情况下将个人数据转移到欧盟以外，此即一般禁令的减损或例外。GDPR中的减损大致与指令中的减损相同，但为了控制者“令人信服的合法利益”，有一个新的减损事项允许数据跨境传输。

在下列情况下，允许减损：

在被告知由于缺乏充分性决定和适当的保障措施而导致的此类传输可能给数据主体带来的风险后，数据主体明确同意拟议的传输。
为了履行数据主体与控制者之间的合同，或执行应数据主体要求而采取的合同前措施，该传输是必要的。
为了数据主体的利益，控制者和另一个自然人或法人之间缔结或履行一项合同，传输是必要的。
出于公共利益的重要原因，传输是必要的。
传输对法律诉讼成立、进行或辩护是必要的。
在数据主体没有能力给予同意的情况下，为了保护数据主体或其他人的重要利益，这种传输是必要的。
登记者根据欧盟或成员国法律进行传输，该登记者旨在向一般公众或任何能证明有正当利益的人提供信息，但仅限于在满足欧盟或成员国法律规定的特定咨询条件下。

在非常有限的情况下，最后一个减损事项也是可用的，该事项为：传输是“非重复性、仅涉及有限数量的数据主体，对于控制者追求的令人信服的合法利益是必要的，而这种合法利益不违背数据主体的利益或权利、自由，并且控制者已经评估了与数据传输有关的所有情况，提供了保护个人数据的适当保障措施”。

GDPR第13条要求控制者在获取数据主体的信息时向其提供控制者打算将个人数据传输到第三国或国际组织等的信息。该通知必须说明，该传输是根据欧共体的充分性决定进行的，或指出充分或适当的保障措施，以及数据主体获得这些保障措施的途径。这些信息必须以清晰、通俗的语言及简明、透明、易懂和易于获得的形式提供。

在执法方面，违反GDPR第44-49条的数据传输规定可能会导致高额行政罚款。确定罚款时考虑的因素包括侵权的性质、严重程度和持续时间、侵权是否为故意、为减轻损害而采取的行动、责任程度或任何相关的先前侵权行为、监管机关了解侵权行为的方式、对针对控制者或处理者的命令、行为准则的遵守情况以及任何其他加重或减轻因素。

（本文下篇将详细分析欧盟GDPR与APEC CBPR的数据跨境传输机制在个人信息保护规则中的区别，敬请期待。）

往期文章：

1.数据跨境流动治理

数据跨境流动的规则监管与多元治理

2.国际数据空间

合作发布|国际数据空间IDS China Reaserch Lab正式启动

合作发布|IDS-数据自主权的标准

国际数据空间在欧洲数据战略中的作用

3.全球数据治理观察

国内外数据交易模式对比分析

数据交易治理：中国、欧盟和印度的发展（附报告全文）

数据访问治理：中国、欧盟和印度的发展（附报告全文）作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）