附中译本 | 欧盟《关于境外司法机构要求数据处理者提供数据的适用指南》征求意见

文摘 2024-12-04 23:04 上海

已结课！最后的最大优惠！扫码立享！

THUIAIL 译来源：清华大学智能法治研究院

2024年12月3日，欧洲数据保护监督机构（EDPB）发布了关于GDPR第48条适用的指南征求意见稿，征求意见至2025年1月27日。GDPR第48条规定：“任何第三国法院或法庭的判决以及任何第三国行政当局的决定，要求控制者或处理者转移或披露个人数据的，只有在基于请求国与欧盟或成员国之间有效的国际协议（如司法协助条约）的情况下，才能以任何方式得到承认或具有可执行性，且不影响本章规定的其他转移依据。”本指南的目的是澄清该条款的理由和目标，包括其与GDPR第五章其他条款的相互作用，并为可能收到第三国当局披露或转移个人数据请求的欧盟控制者和处理者提供实际建议。

GDPR第48条的主要目的是明确第三国当局的判决或决定不能在欧盟成员国中自动且直接得到承认或执行，从而强调了对第三国法律的法律主权。一般而言，外国判决和决定的承认与执行由适用的国际协议确保。无论是否存在适用的国际协议，如果欧盟的控制者或处理者收到并回应第三国当局关于个人数据的请求，这种数据流就构成了GDPR下的转移，并且必须遵守第6条和第五章的规定。

国际协议可以提供法律依据（根据第6(1)(c)或6(1)(e)条）和转移依据（根据第46(2)(a)条）。在没有国际协议，或协议未提供第6(1)(c)或6(1)(e)条下的法律依据的情况下，可以考虑其他法律依据。同样，如果没有国际协议或协议未提供第46(2)(a)条下的适当保障措施，则可以适用其他转移依据，包括第49条中的豁免条款。

以下为全文

欧洲数据保护委员会

鉴于《欧洲议会和理事会2016年4月27日关于自然人个人数据处理保护及此类数据自由流动的第2016/679/EU号条例》（以下简称“GDPR”）第70(1)(e)条，

鉴于《欧洲经济区协定》，特别是经2018年7月6日欧洲经济区联合委员会第154/2018号决定修订的该协定附件XI和议定书37，

鉴于《议事规则》第12条和第22条，

已通过以下指南：

1. 引言

GDPR第48条，标题为“未经联盟法律授权的转移或披露”，规定：“任何第三国法院或法庭的判决以及任何第三国行政当局的决定，要求控制者或处理者转移或披露个人数据的，只有在基于请求国与欧盟或成员国之间有效的国际协议（如司法协助条约）的情况下，才能以任何方式得到承认或具有可执行性，且不影响本章规定的其他转移依据。”

本指南的目的是澄清GDPR第48条的理由和目标，包括其与GDPR第五章其他条款的相互作用，并为可能收到第三国当局披露或转移个人数据请求的欧盟控制者和处理者提供实际建议。

该条款是GDPR第五章“向第三国或国际组织转移个人数据”的一部分。这意味着它必须与GDPR第44条一并解读，该条明确规定“本章的所有规定均应适用，以确保《条例》所保证的自然人保护水平不受损害”。此外，第48条还应与GDPR第102条说明一并解读，该条明确指出GDPR“不妨碍联盟与第三国之间缔结的、规范个人数据转移（包括为数据主体提供适当保障）的国际协议”。

2. 这些指南的适用范围是什么？

本指南侧重于旨在实现第三国公共当局与欧盟私营实体之间直接合作的请求（与欧盟和第三国公共当局之间直接交换个人数据的其他情况相反，例如基于司法协助条约的情况）。此类请求可能来自各类公共当局，包括监管私营部门的当局（如银行监管机构和税务机关），以及负责执法和国家安全的当局。

本指南仅涵盖向欧盟内的控制者或处理者提出的请求，且其个人数据处理受GDPR第3.1条管辖。

第48条未区分收到第三国当局个人数据请求的私营或公共控制者和处理者。然而，为了本指南的目的，以下分析侧重于向欧盟私营实体提出的直接请求，因为这似乎是第48条最常见的应用场景，而向公共当局提出的请求通常属于国际协议规定的国际合作框架。

EDPB强调，除了GDPR的要求外，与第三国公共当局的合作还可能受其他规则的管辖。这些要求不在本指南的讨论范围内。

3. 第48条的目标是什么？

根据第48条，第三国当局要求欧盟控制者或处理者转移或披露个人数据的判决和决定，只有在基于适用的国际协议（如请求国与欧盟或成员国之间的司法协助条约）的情况下，才能得到承认和执行，且不影响GDPR第五章规定的其他转移依据。该条款规范了第三国法院和当局访问受GDPR保护的个人数据。第115条说明明确指出，该条款旨在保护个人数据免受第三国法律的域外适用，这些法律“可能违反国际法，并可能阻碍《条例》在联盟内确保的自然人保护的实现”。

因此，当欧盟内处理的数据应第三国当局请求被转移或披露时，这种披露受GDPR管辖，并构成第五章意义上的转移。这意味着，与任何受GDPR管辖的转移一样，必须有GDPR第6条规定的法律依据和第五章规定的转移依据。

EDPB重申，外国当局的请求本身并不构成处理的法律依据或转移的依据。

4. 第48条适用于哪些情况？

GDPR第48条适用于欧盟控制者或处理者收到第三国法院、法庭或行政当局要求其转移或披露个人数据的判决或决定的情况。该条款中的“法院”、“法庭”和“行政当局”指的是第三国的公共机构。EDPB认为，第三国公共机构用来将其请求定性为“判决”或“决定”的术语，对于GDPR第48条的适用并非决定性因素，只要它是来自第三国当局的正式请求。

EDPB认为，GDPR第48条中的措辞涵盖了欧盟控制者或处理者可能以任何方式使个人数据对第三国当局可用的所有情况。

第48条不限制第三国当局请求数据的目的。因此，第三国当局在不同背景下出于不同目的发出的请求均属于该条款的适用范围，例如执法或国家安全当局、金融监管机构或负责批准药品的公共当局发出的请求。

GDPR第48条未区分以下两种情况：一是第三国当局要求欧盟控制者或处理者转移或披露个人数据，且控制者或处理者可以拒绝遵守请求而无需承担欧盟或第三国法律下的不利法律后果；二是拒绝可能导致因不遵守而受到制裁。

EDPB指出，在所有情况下，当涉及向第三国转移个人数据时，都必须应用“两步测试”：“首先，必须有数据处理的法律依据以及GDPR的所有相关规定；其次，必须遵守GDPR第五章的规定。因此，处理（即转移或披露个人数据）必须遵守第5条的一般原则，并且必须依据GDPR第6条规定的法律依据。”

5. 控制者和处理者在什么情况下可以回应第三国当局的请求？

GDPR第48条是GDPR第五章“向第三国或国际组织转移个人数据”的一部分，必须与GDPR第44条一并解读，该条规定“只有在遵守本条例其他规定的前提下，并且控制者和处理者遵守本章规定的条件（包括从第三国或国际组织向另一个第三国或另一个国际组织进行的后续转移）时，才能将正在处理中或打算在处理后进行转移的个人数据转移到第三国或国际组织”。此外，GDPR第115条说明明确指出，只有在满足GDPR条件的情况下才允许进行转移。这意味着，应第三国当局请求而进行的任何个人数据转移或披露都需要有数据处理的法律依据（GDPR第6条）和遵守向第三国或国际组织转移个人数据的要求（GDPR第五章）。

如前所述，除了确保遵守GDPR外，控制者或处理者可能还需要遵守其他法律文件提出的额外要求，例如国家程序规则或规定与第三国当局合作的国际协议。

5.1 遵守GDPR第6条

根据GDPR第44条，只有在遵守GDPR其他规定的前提下，并且满足第五章的条件时，才能将个人数据转移到第三国或国际组织。因此，向第三国或国际组织转移个人数据还必须满足GDPR其他条款的条件。

GDPR第5(1)条规定了处理个人数据的一般和强制性原则。根据第5(2)条，控制者负责遵守第1款规定的义务（当处理活动由处理者进行时，同样适用此规定）。根据第5(1)条，任何个人数据处理都必须有第6条规定的法律依据。因此，需要对每个具体情况进行法律分析。

第48条所述情况假定存在第三国法院、法庭或行政当局的判决或决定，要求欧盟控制者或处理者转移或披露个人数据。此外，只有基于国际协议，第三国当局的请求才可能得到承认或具有可执行性，国际协议可能使该请求产生控制者必须遵守的法律义务，不遵守将产生法律后果。当为了履行法律义务而处理个人数据时，第6(1)(c)条提供了明确的法律依据。因此，EDPB认为，在第48条所述情况下，如果存在适用的国际协议，则第6(1)(c)条与第6(3)条相结合将是转移的适当法律依据，前提是满足这些条款的条件。

在没有国际协议为控制者产生法律义务的情况下，如果满足GDPR第五章的法律要求，仍然可以使用第6条下的其他法律依据。然而，必须根据具体情况仔细审查这些其他法律依据的适用性。由于可能的情况数量众多，因此只能在非常有限的程度上就第6条的适用性作出一般性陈述。

原则上，根据第6(1)(a)条的同意可以视为向第三国转移的法律依据。然而，在某些领域，尤其是当数据处理与行使权威权力相关时，使用同意作为法律依据通常是不合适的。

仅根据第6(1)(b)条的措辞，其适用似乎就被排除了。因此，EDPB认为，欧盟的私营实体不能依赖第6(1)(b)条作为回答第三国当局转移或披露请求的适当法律依据。

在基于国际协议的披露不是强制性的，但根据欧盟或成员国法律仍允许此类合作的情况下，第6(1)(e)条可以用作处理个人数据的法律依据，因为它可以被认为是为执行公共利益任务所必需的。在这种情况下，处理必须有联盟或成员国法律作为依据，如GDPR第6(3)条所要求。

关于第6(1)(d)条，EDPB承认，在特定和既定情况下，可以援引数据主体的切身利益作为第三国请求触发的个人数据转移的法律依据，前提是满足国际法规定的条件。关于其他自然人的切身利益，EDPB指出，“原则上，只有在处理不能明显基于其他法律依据的情况下，才能基于其他自然人的切身利益处理个人数据”。

根据具体情况，EDPB认为，在特殊情况下，可能可以依赖第6(1)(f)条向第三国当局转移或披露数据。为此，EDPB回顾指出，任何基于控制者或第三方合法利益的处理都必须是必要的，并且必须与个人数据主体的利益或基本权利和自由相平衡。平衡测试的结果决定了是否可以依赖合法利益的法律依据进行处理。

原则上，任何基于合法利益的处理都仅限于追求控制者或第三方具体利益所明显必要的范围内。

尽管在某些情况下，控制者可能有合法利益来遵守向第三国当局披露个人数据的请求，但作为控制者的私营业务经营者不能依赖第6(1)(f)条来预防性地收集和存储个人数据，以便在收到请求时能够与执法当局共享此类信息，以防止、发现和起诉刑事犯罪，如果此类处理活动与其自己的实际（经济和商业）活动无关。

此外，EDPB之前已就特定情况表明，在那些特定情况下，数据主体的利益或基本权利和自由将凌驾于控制者遵守第三国执法当局请求以避免因不遵守而受到制裁的利益之上。

5.2 遵守GDPR第五章

如前所述，第48条必须与第44条（即引入本章的一般原则）一并解读。第44条规定了GDPR下转移的条件：任何转移都受GDPR其他相关规定的约束，并且必须遵守第五章规定的条件（两步测试），“以确保《条例》所保证的自然人保护水平不受损害”。国际转移的规定旨在确保当数据转移到具有不同法律体系和数据保护标准的第三国时，欧盟/欧洲经济区内的个人数据高水平保护得到维护。

为此，第五章列出了转移的依据，首先是欧洲委员会根据第45条作出的充分性决定。如果没有充分性决定，则可根据第46条规定的转移工具提供适当的保障措施。在没有充分性决定或适当保障措施的情况下，第49条的豁免条款可在有限数量的特定情况下适用。

与第五章的其他条款不同，第48条不是转移的依据。该条款本身不包含数据保护保障措施，但明确指出，除非国际协议有规定，否则第三国当局的判决或决定在欧盟/欧洲经济区内不得得到承认或执行。因此，在回应属于第48条范围的第三国当局请求之前，欧盟/欧洲经济区的控制者或处理者必须在第五章的其他地方确定适用的转移依据。

根据第46(2)(a)条，适当的保障措施可能由“公共当局或机构之间的具有法律约束力和可执行性的文书”提供，即第48条意义上的国际协议。此类协议由国家缔结，传统上允许公共当局之间的合作，但也可能规定私营实体与公共当局之间的直接合作。如果国际协议涵盖欧盟/欧洲经济区的控制者或处理者与请求国当局之间的合作，并且该协议根据第46(2)(a)条提供了适当的保障措施，则该协议可作为转移的依据。

EDPB已制定了一份应包含在第46(2)(a)条范围内的国际协议中的最低保障措施清单。这些保障措施必须能够确保被转移个人数据的数据主体获得与欧盟/欧洲经济区内所保证的基本相当的保护水平。因此，提供个人数据转移的国际协议应特别要求双方保证核心数据保护原则，即确保数据主体权利具有可执行性和有效性，限制后续转移和数据共享（包括对敏感数据的额外保障措施），并提供独立的补救和监督机制。适当的保障措施可以直接包含在规定私营实体与第三国当局直接合作的国际协议中，也可以包含在单独的具有法律约束力的文书中。

第48条提及国际协议“不影响本章规定的其他转移依据”。EDPB认为，就第五章的要求而言，这一措辞可能涵盖两种情况：第一，如果没有规定控制者或处理者与第三国当局合作的国际协议，则向第三国当局的转移必须基于GDPR第6条下的其他法律依据和第五章中的其他转移依据。

第二，如果存在为第6条提供法律依据的国际协议，但该协议未根据第46(2)(a)条和EDPB《2/2020号指南》提供适当的保障措施，则控制者必须在第五章中确定其他转移依据。在没有适用的充分性决定或适当保障措施的情况下，GDPR第49条在有限数量的特定情况下提供了转移的可能性，例如，如果转移对于出于公共利益的重要原因或为了确立、行使或捍卫法律权利而言是必要的。然而，正如EDPB之前发布的指南所解释的那样，第49条的豁免条款必须作限制性解释，并且主要涉及偶尔和非重复性的处理活动。

。。。。。。

全部AI及数据中译本及资讯请加入

数据保护官

何渊老师主理的DPOHUB数据保护官俱乐部：一个聚焦数据隐私和数据安全的非营利性高端学术平台；一个整合法律、技术及管理的专业数据合规生态体；一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。合作WX：heguilvshi

平台无法披露注销账号个人信息，法院：保存期限满后删除不存在过错｜附判决书

拼多多招聘商品合规法务（跨境业务）

OpenAI被意大利罚款1500万欧元：涉及六大数据违法行为？

全国首家数据科技央企正式成立！注册资金100亿

个人养老金莫名“被开户”？

美国拟彻底封禁中国电信……

某数据局公开转让1.08亿数字资产，或已被叫停

附全文 | TikTok向美国最高法院提交紧急禁止令，特朗普会见周受资：我对TikTok有好感

国务院：审议通过《公共安全视频图像信息系统管理条例（草案）》

安盛保险因滥用客户数据在韩国面临超27亿罚款

水门事件与美国 1974 年《隐私法案》

26岁OpenAI举报人疑自杀！死前揭ChatGPT训练黑幕

因非法收集共享用户隐私数据，这家医疗公司赔偿超1.8亿元

网友称被陌生人用字节跳动旗下豆包AI搜出微信号？

北京互联网法院“搜索提示词”算法侵权案生效

国家网信办集中整治网上金融信息乱象

直播预约 | 何渊：英伟达为何成为全球公敌？中国反垄断案的罚款可能超210亿？| DPOHUB何谈第39期

美国数据安全小巨头市值逼近千亿元：业绩暴涨年化收入破10亿美元

广州发布公共数据授权运营管理暂行办法

英伟达在中国遭反垄断调查，此前收购迈络思被附加限制性条件 | 附全部资料

GDPR框架下的个人数据处理合法利益评估全流程解析

前沿译文 | 美国法院TikTok败诉判决（全文）

江西发布《数据资源公证登记规范》《数据资产质押公证登记规范》地方标准

“史上最严车检来了”？真相是→

突发！证监会决定对广道数字立案！

中办、国办：探索建立支撑新型城市基础设施建设的数据共享、交换、协作和开放模式

数据安全：105个必备词汇定义解读！

附中译本 | 欧盟《关于境外司法机构要求数据处理者提供数据的适用指南》征求意见

浙江发布20个数据知识产权典型案例

警惕！98万部老人机被远程控制，每月莫名扣费……

反制！商务部：原则上不予许可镓、锗、锑、超硬材料相关两用物项对美国出口

上海对滥用人脸识别说“不”

拼团 | 何渊《欧盟人工智能法》12讲：原理、规则及合规落地

结课大优惠 | 何渊《欧盟人工智能法》12讲：原理、规则及合规落地

国家数据局部署2025年数据系统投资重点任务

点击网站内链接跳转至非法网站，湖南一网络科技公司被罚1万元

意大利外卖小哥困在算法里：Foodinho因处理骑手生物识别和地理定位数据被处罚 500 万欧元

欧盟法院：“不是所有个人数据违法行为都要标配处罚！”

上海网信办《网络平台履行未成年人网络保护义务合规指引（试行）》发布！附全文图解

这个国家“立法”：16岁以下禁用社交媒体！家长同意也不行！

历史首次：香港终审法院就同性作出里程碑意义判决

健身房强制“刷脸”行为？上海检察机关通过公益诉讼治理侵犯个人信息权案件

重磅！上汽华为达成合作？

欧洲数据法案：2024 年的发展及其未来

全球首份！360《大模型安全漏洞报告》：曝光近40个相关安全漏洞

“比未来汽车集团”？蔚来：已报警！

中译本 | 英国ICO：如何共享个人信息以支持防范欺诈和诈骗

附全文 |《工业和信息化领域数据安全合规指引》正式发布

国家数据局围绕数据特性及其作用机制等 12 个核心理论议题召开研讨会

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉