過渡期資料協定與英國脫歐
有了過渡期資料協定(Interim Data Deal),歐盟和英國之間的數據資料傳輸在短期內依舊合法且簡便。
文/Dan Swinhoe 譯/酷魯
英國業已脫歐,雙方並已就資料保護達成過渡性臨時協議。因此,英國和歐盟之間的資料流可以像以前一樣自由交流,企業組織也可在一段時間內正常運作。
然而,英國與歐盟之間的協定存在有限的「保存期限」,目前尚不清楚之後的發展態勢如何,這讓英國公司在為如何適當做好長期準備上,出現潛在不定因素。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
究竟《貿易暨合作協議》對資料保護的意義為何?
英國與歐盟(European Union, EU)之間的貿易與合作協議(Trade and Cooperation Agreement, TCA)規定,從2021年1月1日起為期4個月的「過渡期」中,英國不再被視為第三國,並將自動延長六個月,除非英國或歐盟單方面反對。
在過渡期間,英國公司可以在不採取額外措施的情況下與歐盟間進行資料的往返傳送。英國在此期間不會更改現有的資料保護法。在此期間,歐盟執委會(European Commission)將決定,是否要認定英國在資料保護等議題上與歐盟「本質上平等」,進而決定資料流能否不受限制地繼續運行。但不能保證其能取得「適足性認定」(Adequacy Decision),而且更多的限制有可能會在今年稍晚之際生效。
「簡而言之,這意味著任何擁有歐盟公民資料的英國公司都必須確保資料有受到保護,並按照歐盟標準正確儲存,以符合歐盟法規要求,」法國航空航太公司Thales英國分公司安全通訊與資訊系統副總裁 Gareth Williams 表示。「要做到這點,資安長(CISO)首先應優先投資加密技術,以保護的靜態儲存資料和傳輸中的資料。不僅如此,而且按照歐盟的規定,對資料的控制也必須在歐洲濟區(EEA)內部進行。」
[CIO都在讀: 創新科技湧現 資訊長需要新思維 ]
該協定的臨時性質意味著英國的資安長們和資料保護長們(Data Protection Officers, DPOs)從現在開始將處於極度危險的局面。如果英國沒有被授予適足性認定,那麼建立法律機制以確保資料流符合法規要求,會是昂貴、費時且沒有必要的,然而,如果沒有做好這些準備,也沒有獲得適足性認定的話,那麼未來可能會臨巨額的罰款。
「對某些組織來說,採用標準合約條款(standard contractual clauses, SCC)是一項很好的預防措施,」全方位服務法律事務所Keystone Law一般資料保護規則(GDPR)和商業律師 Jimmy Desai 表示。「儘管對某些組織而言,這可能涉及廣泛大量的工作,即使英國最終被評估具備適足性,這也會極度耗費時間、成本和力氣。」
雖然英國公司可以在過渡期間繼續自由接收歐盟的資料,但英國資訊委員辦公室(Information Commissioner’s Office, ICO)表示,從歐盟接收資料的英國公司應適當建立替代性移轉機制,以作為一種「明智的預防措施」,如此才能預防未來任何潛在的中斷風險。
英國脫歐後,哪些資料法仍然適用?
儘管歐盟的GDPR規則不再適用於英國公民資料,但英國《2018年資料保護法》(Data Protection Act 2018)仍然有效,英國自家版本的GDPR規則也是如此。因此,英國公司必須確保他們能保護在英國收集的個資、能尊重隱私,能獲得同意並謹慎處理個資。在英國收集和保存的歐盟公民資料仍應遵守歐盟GDPR的要求,並受到上述同樣的保護。被列為關鍵國家基礎設施的公司也要遵守網路與資訊系統規則(Network and Information Systems Regulation, NIS Regulation)。
[CIO都在讀: 所有企業都想要的12種CIO技能 ]
隱私及電子通訊規則(The Privacy and Electronic Communications Regulations)也依舊適用,其為英國對歐盟電子通訊隱私指令(e-Privacy Directive)的具體實施規範。也因為如此,就日常資料保護的要求來說,幾乎沒有什麼改變,英國公司將需要確保它們能遵循與2020年幾乎相同的英國資料保護要求。雖然歐盟的電子身分認證與信賴服務規章(electronic IDentification, Authentication and trust Services, eIDAS)將不再適用,但據報導英國政府正在尋求將eIDAS或其他非常接近的法規納入英國法律中。
這些規則未來可能會更改。英國已表示計劃在脫歐之後保留強大的資料保護體制,但也可能在某些方面與目前的歐盟立場背道而馳。CISO、DPO和組織法律團隊必須對任何變更保持警惕。
從歐盟發送資料到英國
藉由這個過渡性協議,英國組織可以以他們在擔任歐盟成員期間或過渡期間所採取相同的方式來接收歐盟公民資料。但是,CISO和DPO將需要注意ICO和歐盟關於過渡期結束後會發生什麼的消息。
如果歐盟裁決英國通過適足性認定,或者有進一步裁定的話,那麼就不需做什麼改變。如果在過渡期結束前沒有達成永久性資料保護協定或適足性認定的話,那麼英國將被歐盟歸類成「第三國」。這意味著英國組織將無法再以擔任歐盟成員期間或過渡期間相同的方式來接收歐盟公民資料。
接收歐盟公民資料的公司應確保其擁有適當的法律機制來確保能符合歐盟GDPR規定。最直截了當的途徑就是通過SCC條款,該條款是資料發送方和接收方之間的協議範本。根據SCC條款,歐盟公民資料應獲得與GDPR規定所直接規範之公司相同等級的保護。每個單獨的資料流都需要符合SCC條款要求。
[CIO都在讀: AI最常見的應用有哪些? ]
比起SCC條款,約束性公司規章(Binding corporate rules, BCRs)更為靈活,但這是一條漫長且成本高昂的途徑,需要歐盟資料保護機構的直接參與。BCR規章可能只對在英國和歐盟具有較大影響力的大型企業有吸引力和可行性。一些公司可能想要重新評估自身的資料流,並減少發送到英國的資料量,或想將總部/資料處理從英國搬移至歐陸,以規避某些法律障礙。
「組織應聚焦在了解自身資料流,評估與資料流相關的風險,並實施諸如假名化(pseudonymisation)之類的安全防護措施來管理這類風險,」英國資料隱私平台服務商Privitar歐洲政策負責人 Marcus Grazette 表示。「由於GDPR規則已保留在英國法律中,不論我們是處於達成協議還是未達成協議的情況下,相關從業人員(DPO、CISO等)都不會看到任何立即性的變化。」
接收歐盟公民資料的英國公司還應確保他們在歐盟設有代表,以便能按照GDPR規定的要求與資料保護當局打交道。不久後有可能會達成一項永久性貿易協定或適足性認定,其會取消其中一些要求,但這是否會發生尚不清楚。
從英國向歐盟發送資料
從英國流入歐洲的資料將不受影響。英國認為歐盟的資料保護體制是充足的,公司仍然可以在不中斷的情況下發送資料。歐盟公司將必須任命一名駐英代表,以便依要求來與ICO辦公室打交道。
「儘管歐盟GDPR規定具有域外適用效力,但英國版GDPR規定也將如此,」BLM律師事務所資料保護和隱私法專家Steve Kuncewicz指出。「有鑑於兩種制度都有共同的做法,我們可能會看駐英代表任命人數的增長,以及參考新法之契約與政策的重新審視。再次要強調的,有關適足性認定暫且還有很長的路要走,但是企業可以做很多事情來填補這一空白。」
從英國向美國發送資料
在《歐美隱私護盾》(Privacy Shield)廢除之後,從英國向美國發送資料的公司應該像從歐洲發送資料一樣,依賴SCC條款和BCRs規章之類的法定資料移轉機制。發送到美國的資料應享有和英國接收資料一樣等級的資料保護。接收英國公民資料的美國公司需要依照英國GDPR規則要求任命一名駐英代表,就像他們依照歐盟GDPR規定要求所做的那樣,以便與資料保護當局打交道。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
Kuncewicz表示,雖然Shrems II案確保了歐盟與美國間SCC條款仍然有效,但最大的關注點在於出口商能對應資料流,並確認他們所依賴的額外保護措施,進而確保資料能獲得充份的保護。未來有可能會達成新的《隱私護盾》協議,但具體時間尚不清楚。
從美國發送資料到英國
從美國流入英國的資料並不會受到影響。
現有適足性認定
英國打算在未來自行做出適足性認定,但將繼續遵守歐盟與以下國家的適足性認定:
- 安道爾(Andorra)。
- 阿根廷。
- 根西島(Guernsey)。
- 曼島(Isle of Man)。
- 以色列。
- 澤西島(Jersey)。
- 新西蘭。
- 瑞士。
- 烏拉圭。
- 日本。
加拿大取得部分的適足性認定。將資料發送到未取得適足性認定的國家/地區時,應透過SSC條款、BRCs規章或類似的法律機制來加以保護,以確保能確實履行充份的資料保護。國際隱私權專家協會(International Association of Privacy Professionals, IAPP)發布了《英國脫歐隱私檢查表》(Brexit privacy checklist),該列表將幫助組織了解他們應做的關鍵任務與檢查項目,以確保能符合英國和歐盟的法規要求。
(本文授權非營利轉載,請註明出處:CIO Taiwan)