三十五、 欧盟是如何对法律政策环境进行评估的？

我国对于如何评估数据接收方所在法律政策环境尚无明确详细的指引，故在实践中，为了进一步提升合规水平，企业也可同步参考在数据隐私保护法治方面领先的欧盟标准。

在欧盟法院于 2020 年 7 月作出 Schrems II案件的判决后，为保证境外接收方可以达到与欧盟同等的个人数据保护水平，欧盟数据保护委员会（EDPB）于同年 11 月发布了《关于补充传输机制以确保遵守欧盟个人数据保护水平的建议》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）及《针对监控措施的关于欧盟重要保障的建议》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures），就开展数据跨境传输评估（DTIA）提供指引，尤其强调要对第三国的数据保护法律或实践进行评估

。

在评估境外接收方所在第三国法律环境时，欧盟数据保护委员会明确了四项“欧盟重要保障”，要求相关方必须遵守该等四项保障以确保对隐私权和个人数据的保护符合欧盟法院及欧洲人权法院的判例所要求的标准。当数据提供方评估第三方国家是否具备与欧盟基本相同的数据保护标准时，数据提供方应评估第三方国家赋予政府访问和要求披露数据的权力的法律是否满足上述“欧盟重要保障”要求，具体包括：

1. 应当基于清晰、准确和公开的规则处理数据：此处除了评估境外接收方第三国是否具有数据处理的法律基础之外，还应当评估数据保护相关法律规定是否完整明确、是否稳定以及是否具有可预见性；

2. 所采取的措施必须是为了达到合理目的必要且适当的，并需要说明该措施的必要性和适当性：此处特别强调第三国的立法或执法机构基于维护国家或公共安全的目的对个人权利及自由的限制是否必要且适当；

3. 应当具备独立的监督机制；

4. 数据主体应当获得有效的救济，包括行使数据主体权利、在权利受到损害时可以寻求司法及其他机构的救济。

综合前述我国及欧盟法律法规的规定，企业在评估境外接收方所在国家或区域的法律与政策环境时可以重点考虑对以下方面进行评估：

1. 法律体系。境外接收方所在地的个人信息保护、网络安全或数据安全的法律法规和标准情况，以及和我国法律体系相比的差异；

2. 国际承诺。境外接收方所在地加入区域或全球性的数据保护组织、所作出具有拘束力的国际承诺的情况；

3. 落实机制。境外接收方所在地落实个人信息、网络安全或数据安全保护的机制，如：是否具备负责相关的监督执法机构和司法机构、机构的独立性、机构的监督执法能力、数据安全事件发生后是否具有有效的追责和监督机制；

4. 机构权力。境外接收方所在地的执法机构和司法机构等部门调取数据的权力和法律程序，权力是否受到有效的约束、是否能做到公开透明、近期是否存在相关的负面案例；境外接收方是否曾收到其所在地公共机关要求其提供个人信息请求及境外接收方应对的情况；

5. 个人信息主体救济途径。境外接收方所在地是否保障了个人信息主体的各项权利、是否有专门的个人信息保护机构、是否为个人信息主体提供了完备、有效、多层次的救济渠道；

6. 国际协定。境外接收方所在地与其他国家或地区之间是否缔结有关数据流通、共享等方面的双边或多边协定，包括在执法、监管等方面数据流通、共享的双多边协定；

7. 境外接收方所在地在数据方面是否对中国采取歧视性的禁止、限制或其他类似措施等。

来源:环球律师事务所等团队