在数据保护专员诉Facebook爱尔兰有限公司、Maximillian Schrems（C-311/18）（“Schrems II案”）之后，在向第三国传输数据之前进行传输影响评估（“TIA”）的要求已成为一个主要问题，不仅对许多开展国际活动的企业而言，但也适用于任何依赖外国供应商的公司，包括中小型企业（“SME”）。Linklaters的索尼娅·西塞（Sonia Cissé）、克莱门廷·理查德（Clémentine Richard）和朱莉·法夫罗（Julie Favreau）阐述了这一新的但已经广为人知的要求的具体情况，并阐述了许多公司在实施这一要求时面临的法律、组织、技术和财务难题。

在Schrems II案中，欧盟法院（CJEU）推翻了在欧洲经济区（EEA）以外转移个人数据的法律框架，裁定数据出口商必须“逐案核实[……]目的地国是否根据欧盟法律确保充分保护”转移的个人数据，具体做法是：，必要时，提供标准合同条款（“SCC”）提供的额外保障。换言之，数据出口商不能再仅仅依靠SCCs1或具有约束力的公司规则（“BCR”）将个人数据传输给位于第三国（即欧洲经济区以外的国家，且不在欧盟委员会的充分性决定范围内）的数据进口商，而无需首先在stake2对每次传输的情况进行具体评估。

TIA到底是什么？

TIA是一个评估数据处理所带来的风险以及缓解此类风险的相关措施的过程，任何数据出口商在将个人数据转移到第三国之前必须执行和记录这些风险。

其目的是确定和分析数据进口商所在国针对欧洲基本保障3适用的法律，尤其是确定第三国的法律或实践中是否存在任何允许地方公共当局访问传输的个人数据的内容，可能影响SCC或BCR提供的保障的有效性。

一旦正式完成，TIA使数据出口商能够确定预期传输是否符合欧盟数据保护法规定的保护级别，如果不符合，是否可以采取补充措施确保传输的个人数据的保密性和安全性。

进行TIA时需要采取哪些步骤？

首先也是最重要的是，数据导出者需要绘制其数据流图，并确定这些传输所依赖的传输工具4。

一旦实现，控制器和处理器必须开始执行TIA，并至少按照以下步骤准备适当的文件：

• 总结预期传输的特征：收集有关数据导出器、数据导入器和传输特征（个人数据类别、数据主体类别、格式、数量等）的所有信息。
• 评估转让工具在进口商所在国的可执行性——当地法律和实践评估：根据对第三国法律的分析收集所有相关信息。该分析是TIA的基石。数据输出方需要识别和分析数据输入国的法律和惯例（如判例法），以确定这些法律可能在多大程度上影响所选传输工具的有效性。根据欧洲数据保护委员会（“EDPB”），该评估应确定：
  • （i）国家法律规定的权力是否清晰、准确和可访问；
  • （ii）行使权力的理由是必要的和相称的；
  • （iii）有独立的监督机制；
  • （iv）相关个人可获得有效补救5。
• 确定适当的补充措施：实施任何措施，以减轻或补救第三国法律评估所揭示的有关进口国立法的风险，从而避免被迫暂停或停止转让。

一旦完成上述TIA步骤，出口商必须确保适当实施适当的补充措施，并在适当的时间间隔重新评估评估。

公司面临的主要挑战是什么？

实施TIA并非易事——出口公司面临许多不同的挑战，必须调动大量的法律、技术、人力和财力资源来满足要求。

法律挑战

缺乏清晰度

公司面临的第一个主要法律问题是数据保护机构（“DPA”）对具体要求的期望不明确。事实上，很少有DPA发布了关于TIA的详细指南。DPA出版物的罕见示例，包括TIA模板，目前可在DPA网站上在线获取。然而，国际隐私专业人士协会等协会也出版了有用的材料。

与地方法律评估相关的挑战

公司面临的另一个挑战是确保其对第三国国家立法的评估是可靠和充分详尽的。

事实上，在实践中，对此类立法的评估可能相当繁重；尤其是有联邦和州立法的国家。

分析必须涵盖各级立法，但州法律一般不规定具体公共当局的访问权。然而，以美国为例，也有必要分析纽约、新泽西、加利福尼亚和伊利诺伊等以商业为中心的州的法律。

此外，即使数据出口商有各种当地法律来源可供使用，包括EDPB在其建议中列出的来源，但法律与实践之间可能存在不一致之处，如果没有当地法律从业人员的帮助，就很难发现或掌握。

许多数据出口商找到的解决方案之一是依靠数据进口商的帮助，通过对其国家的法律和实践进行问卷调查——该文件可以在TIA过程中发挥关键作用，尤其是当第三国的立法不易获取时。然而，从数据导入器获得反馈有时可能是近似的。然而，数据导出者必须记住，他们仍然需要验证数据导入者提供的信息的准确性——近几个月来，数据导入者受到了高度批评，某些学者认为，数据保护局对数据出口商规定的进行全面审查的义务超出了《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）第46条的实际要求，并且由于缺乏对第三国的了解，数据保护机构本身无法开展这项工作法规

组织挑战：TIA和内部组织知识

进行TIA需要一个强有力的内部组织，明确分配公司内的任务和责任。这意味着能够依赖一个人或一个团队，该个人或团队不仅对组织内部进行的处理有深入的了解和理解，而且对Schrems II案后发布的不同指南和建议也有深入的理解。然而，鉴于这些文本的理论性质，仅凭这些知识不足以确保TIA要求的实际实施。

因此，处理传输的合规性可以是一项全职工作。事实上，除其他事项外，指定人员将负责公司执行的每个数据流的映射，确定和采用GDPR下的适当传输工具，以及为所有相关传输或数据导入方提供适当的TIA——这是最重要但也是最繁重的任务——并确保持续更新和监控。

无法达到的安全级别

从商业和技术角度来看，数据出口商和进口商在遵守预期安全水平方面面临障碍，并对缺乏务实指导表示遗憾。

举例来说，EDPB宣布，向需要访问纯文本数据的云服务提供商传输数据是非法的，即使在可以确保传输加密和静态数据加密的情况下也是如此。相反，除其他技术措施外，EDPB要求加密密钥仅在数据出口商或EEA中受信任的第三方的控制下保留。它还需要最先进的加密技术（根据欧盟网络安全局（“ENISA”）的指导方针“最先进的”技术和组织措施），这并非所有企业都能达到，即使是大企业。除EDPB外，法国数据保护局（“CNIL”）在最近的一项裁决中裁定，谷歌有限责任公司为谷歌分析实施的补充措施不够有效，且未提供将被视为有效的措施的说明。

尽管EDPB在其关于补充传输工具以确保符合欧盟个人数据保护水平的措施的第01/2020号建议（“EDPB建议”）中给出了有用的场景示例，它们的普遍性和许多保留在实践中不允许公司解决围绕其转让合规性的所有不确定性，而此类转让是许多公司活动的核心。

因此，在Schrems II案以来实施的所有机制的不遵守所产生的风险与企业本身之间找到适当的平衡，对于可以使用更多面向业务和实际指导的公司来说是非常具有挑战性的。

缺乏面向业务的指导

数据出口商还抱怨，现阶段提供的指导没有充分面向业务。

例如，在EDPB建议发布后，法国私人公司协会（“AFEP”）报告了对Schrems II案例产生的要求的严重关注，从商业角度来看，这些要求的适用性6。

事实上，无数公司别无选择，只能使用欧盟以外的服务提供商——因为各种因素，如所寻求的服务的性质、双方之间的长期业务关系，或者仅仅是为了盈利。从这个意义上讲，AFEP强调，目前，没有任何欧洲公司能够达到美国公司的技术效率，例如在维护或流速方面，这意味着在实践中，欧洲公司除了依赖它们之外别无选择。

财政负担

最后，执行TIA可能会变得特别昂贵，特别是当公司必须依赖外部顾问、雇佣具有特定技能的人员，甚至获得专门设计的工具来处理TIA相关任务时。

考虑到GDPR带来的成本，许多公司仍在努力遵守GDPR产生的许多义务，而且可以理解，它们还没有准备好面对和实施这些新要求。

为了应对这些挑战并减轻负担，公司正在考虑不同的解决方案，以简化TIA流程或确定任务的优先级。

哪些解决方案可以减轻公司的负担？

“批量TIAs”（'Bulk TIAs'）

数据导出器可以在映射过程中确定其各种传输之间的相似性，以减少所考虑的单个传输的数量。例如，数据导出方不仅可能不针对每个数据导入方和每个国家进行单独的TIA，而且可能决定在出于相同目的传输相同类别的数据集时，将不同数据导入方向同一国家的传输分组。当地法律评估也可以相互化，以便向位于同一国家的数据进口商进行传输，方法是确保评估的范围足够广泛，能够涵盖所有可能相关的立法，以便向同一国家进行传输。

同样，数据输出方可以对所有转让进行汇总分析，并就向特定国家的所有转让制定一套基线技术和组织措施。在这方面，（这是最重要的），法律团队、IT部门和IT安全团队应共同努力，以评估已实施或将实施的技术措施的稳健性和有效性。

基于风险的方法

考虑到达到完全符合Schrems II要求所需的时间和资源，几位作者和企业主张TIA的“基于风险的方法”，这是GDPR的核心概念，涉及控制人需要识别“对自然人权利和自由的风险，并考虑这些风险的可能性和严重性，与任何数据处理前处理7’的性质、范围、情况和目的有关。

更准确地说，这种方法得到了责任和安全原则的支持，这些原则仅在数据主体的权利和自由可能发生“高风险”时才对数据控制者施加义务。例如，数据保护影响评估就是这种情况，每当处理“可能对数据主体的权利和自由造成高风险8”时，或在数据管理员有义务就此通知数据主体9的情况下，都需要进行这种评估。

到目前为止，EDPB已经否定了这种方法。进行TIA时考虑的唯一决定性因素是第三国的法律状况是否具有足够的保护水平和/或数据处理是否可以通过其他措施得到保护10。

然而，鉴于许多企业面临诸多挑战，它们似乎别无选择，只能在此基础上进行现有转让。

奥地利数据保护局（“DSB”）最近在对谷歌分析进行全球调查的背景下做出决定，确认这种基于风险的方法是一条死胡同。事实上，DSB明确裁定，“这种基于风险的方法[不能]源自GDPR11第44条的措辞”，从而关闭了这一替代解决方案的大门。

法律框架的快速演变

此外，必须考虑到欧盟委员会和白宫最近宣布的新跨大西洋数据隐私框架，旨在为美国数据传输制定新的充分性决策12。尽管该框架的通过对所有利益相关者来说都是好消息，这很可能会使那些在实施TIA和实施补充措施方面投入大量资源的公司望而却步，这些措施的效用在短期或中期可能会受到损害。

不过，这一充分性决定尚未准备好公布，因为讨论仍在进行中，而且在欧盟委员会做出任何决定之前，欧洲开发银行将必须审查美国的承诺。

然而，值得注意的是，为美国转让起草TIA的努力并没有白费——公司不能忘记，这些TIA对于向美国以外的国家转让总是有用的。

参考资料

• 1. See the European Commission implementing decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council: "The Parties must warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer (…) prevent the data importer from fulfilling its obligations under these Clauses" (Clause 14).
• 2. See: Frequently Asked Questions on the Schrems II Case and the EDPB Recommendations 01/2020 on measure that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0), 18 June 2021.
• 3. See: The EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, 10 November 2020.
• 4. See: The EDPB, Recommendations 01/2020 on measure that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0), 18 June 2021, p. 10 et seq. for more details about these two steps.
• 5. See: The EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, 10 November 2020.
• 6. See: https://afep.com/wp-content/uploads/2021/01/AFEP-01-2020-CEDP-REPONSE-21122020-Finale.pdf
• 7. See: Nina Diercks and Heiko Markus Roth, ‘Data Transfer to unsafe Third Countries'.
• 8. Article 35 of the GDPR.
• 9. Article 34 of the GDPR.
• 10. See: Nina Diercks and Heiko Markus Roth, ‘Data Transfer to unsafe Third Countries'.
• 11. See: https://noyb.eu/sites/default/files/2022-04/Bescheid%20geschw%C3%A4rzt%20EN.pdf
• 12. See: Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework Adopted on 6 April 2022.
• 13. Ibid.

本文：https://cioctocdo.com/international-how-are-companies-dealing-transfer-…