数据跨境转移马虎不得

“数据的跨境转移是个人数据保护的重点之一”。在日前举办的欧盟与中国个人数据保护比较研讨会上，法国百能律师事务所合伙人爱丽丝·杜福表示，法国监管机构国家信息与自由委员会（CNIL）对向第三国转移信息做过定义，即借助某一网络的所有信息披露、复制、移动（对某一数据库的远程进入）或者信息从一个媒介转移到另一个媒介,无论这个媒介的形式如何（电脑存储器到服务器）。

实际上，向欧盟以外转移个人信息的情况包含以下几种：以储存信息为目的，将信息存放在欧盟以外的数据中心；公司的电子邮件借宿于一个地处于欧盟之外的公司；含有个人信息的网站或数据平台借宿于地处欧盟以外的借宿公司；公司的一部分经营活动分包、对外转移或对外分担给地处欧盟以外的地区；数字助理公司可直接进入某一公司雇员电脑或者对公司数据系统提供维修服务的公司，只要该公司地处欧盟之外；在子、母公司之间或其他地处于欧盟之外的公司对公司雇员信息的转移或者对客户信息的转移。

那么，将个人信息转移至欧盟以外需符合哪些条件？爱丽丝·杜福指出，需要有适当的信息保护水准的国家、采取适当的保障措施、有合同保障、得到信息涉及人的同意、有关《通用数据保护条例》（GDPR）第49条最后一款的要求（即人数限制/频率不高，但应向监管部门告知）。

1978年1月6日，法国《信息与自由法》制定的一个原则是禁止将个人信息从法国转移至欧盟委员会认为在欧盟以外的不具有对个人信息提供适当保护制度的国家。GDPR第45条也明确了向第三国转移信息的条件是，欧盟委员会以决定的形式认为该第三国具有适当保护信息的机制。

“在向欧盟以外国土或者向某一不被认为具有信息保护适当机制的国家转移信息时,信息控制者或者信息处理者只能在采取适当保护措施并且保障信息涉及人确实有权提出异议后才可做信息转移。”爱丽丝·杜福强调，GDPR中的适当保护可以用于无需监管部门做特殊预先允许的情况。

爱丽丝·杜福指出，一般需要证明信息转移的必要性，但也存在特殊情况。比如，合同与转移程序有根本联系，为了实现公共利益，诉讼权的建立或行使，保护某一个人的生存利益，在正常条件下参阅某一为使公众得到信息并向有权益的公众公开的公共文档。

爱丽丝·杜福强调，GDPR第49条规定，需要征得信息涉及人的明确同意，转移不应是重复的，且只可涉及一小部分人。转移需达到一定的条件，比如信息转移应该是必要的，信息控制者所追随的应该是合法的利益且不得侵害信息涉及人的利益或者权力和自由，信息控制者应对信息转移的环境做出评判，使信息转移得到适当的保障。

“在中国设立的公司将信息转移至欧盟，或在欧盟的公司将信息转移至中国都适用GDPR。由于中国不被认为是有适当的信息保护水准的国家，因此，公司需采取适当的保障措施，如通过内部制度（BCR）、格式合同条款、行为准则、认证等方式完成。”爱丽丝·杜福称。

天达共和律师事务所合伙人申晓雨建议，中企应根据业务情况，梳理自身数据流，核查是否存在重要数据、个人信息跨境传输的情形。可能被认定为关键信息基础设施运营者的企业应密切关注关键信息基础设施和重要数据相关立法动态。此外，在不会大幅增加运营成本的前提下，企业应尽量向较高的标准看齐，并及时寻求律师的专业意见。