新的跨境传输条例将由英国数据保护监管机构的信息专员办公室(ICO)根据英国的《通用数据保护条例》(UK GDPR)向英国议会发送新的跨境数据传输机制,以供批准。并且将会在本周的议会上讨论是否通过,根据推测将于2022年3月21日生效,并要求企业和组织审查现有合同和新合同来查看是否符合新的条例要求。

新出炉的传输条例包括两部分,一部分为数据传输机制包括新的国际数据传输协议(IDTA),另一部分是欧盟标准合同条款的新国际数据传输附录。新数据传输机制的生效日期为2022年3月21日,而合规日期为2022年9月21日。因此,自2022年9月21日起,如果需要跨境传输英国个人数据的新合同,不能依赖欧盟标准合同条款(SCC),需要符合新的传输条例。

其实这项条款的诞生也经历了不短的一段时间,早在2021年1月,英国正式离开欧盟时,英国也就正式成为欧盟《通用数据保护条例》(GDPR)范围之外的"第三国"。因此,GDPR将不再适用于英国。为了应对这一转变,英国一直在确立新的数据保护条例来保护本土数据安全,最终决定修订了其原有的2018年数据保护法,以纳入GDPR的要求和原则,以形成英国独有的崭新GDPR。这两项法律(GDPR和英国GDPR)在要求企业和组织在隐私和数据保护方面所做的工作是相同的,除了GDPR适用于(并且只能由欧盟强制执行),而英国GDPR仅适用于(并且只能由)英国政府实体执行。

在条例生效之后,对于从欧盟到英国的数据传输,并没有特别大的转变,企业可以参考欧盟委员会2021年确定的条例,该条例确定英国提供了足够的隐私权和数据保护要求。

而如果对于其他的第三方国家企业和组织想要与英国跨境数据传输的话,通常就需要不得不依赖繁琐的SCC,因为很少企业能独自提供足够的数据保护和隐私法。

GDPR和英国GDPR都有类似的跨境数据传输要求。为了使受英国GDPR约束的企业和组织将个人数据从英国转移到另一个国家,有三种选择:

(1)该国必须提供足够的数据保护和隐私法

(2)必须有适当的保障措施

(3)必须适用例外情况。例外情况包括其个人数据被转移的个人本人同意,或根据公共利益或主张或法律权利进行的转移。

与GDPR下美国与欧盟的关系类似,根据英国GDPR,以美国为例,由于美国是被视为了无法提供足够的数据保护和隐私法的国家。那么此时如果企业和组织为了允许数据传输,就必须确保在另一个国家/地区(即美国)接收个人数据的实体具有适当的保护措施来充分保护个人数据。

这就是两种新的英国数据传输机制适用的地方。新的数据传输机制为企业和组织提供了两种新的途径,以遵守英国GDPR跨境数据传输要求。对于仅考虑转移英国个人数据的合同关系,IDTA提供了必须纳入的标准合同条款。IDTA本质上是英国版的欧盟新SCC,于去年夏天生效。对于考虑将英国个人数据作为包括欧盟个人数据在内的更大个人数据集的一部分进行传输的合同关系,英国所添加的附录可用作欧盟SCC的补充。英国更新的附录只能用于受新的欧盟SCC管理的合同;否则,必须使用IDTA。

新的英国数据传输机制目前定于2022年3月21日生效。但是,在要求合规性之前有一个宽限期。在2022年9月21日之前,企业和组织可以继续在新合同中使用旧的欧盟SCC,以确保采取适当的保障措施。因此,从2022年9月21日开始,企业和组织将需要在新合同中使用IDTA或英国附录,以遵守英国GDPR,除非传输到被认为提供充分数据保护和隐私法律的国家/地区,或者有例外情况。

此外,对于2022年9月21日之前签订的合同,旧的欧盟SCC可以继续作为适当保障措施的合同基础,直到2024年3月21日。2024年3月21日之后,继续依赖旧欧盟SCC的旧合同将需要进行修订,以纳入IDTA或英国更新附录。

在英国运营的企业和组织需要以其他方式处理英国个人数据的企业和组织,将需要审查其合同关系。现有合同和新合同都需要根据新的英国GDPR跨境转移要求的生效日期和合规日期进行审查,这项举措可以看出英国对于跨境数据传输的严格规定,希望出海到英国的小伙伴们一定要及时更新传输条例,不要产生不必要的麻烦。

了解更多出海资讯

出海干货铺是你最值得信赖的伙伴