数据保护委员会 近期发布一项新的决定,因Amazon Turkey违反数据保护和电子商务法律,并特别因向其境外关联公司传输数据等违法跨境数据传输行为,对其处以1,100,000土耳其里拉罚款。展望未来,该决定将对土耳其的数据传输产生重大影响;为更好理解这些后果,首先需要了解导致该决定的背景。
土耳其个人数据保护
在技术公司主导并控制大量内容营销、数据被视为新型黄金的全球化经济中,限制和监督跨境数据传输变得愈发重要,数据保护委员会(DPB)的Amazon Turkey决定也强调了这一点。在这方面,土耳其通过实施第6698号《个人数据保护法》(LPPD),在数据保护方面采取了与欧洲类似的立场;该法本质上可视为土耳其版本的《通用数据保护条例》(GDPR)。
向第三方传输个人数据
个人数据传输给第三方在LPPD下受到相当严格的规制(类似于GDPR中的规定)。LPPD第5条明确规定,除第5/2条和第6/3条列明的情形外,数据控制者不得在未取得数据主体明示同意的情况下向第三方传输个人数据。第9条进一步规定,除非数据主体明确同意此类跨境数据传输,否则禁止进行跨境数据传输。第9/2条为该规则规定了例外:在第5/2条和第6/3条所列情形适用,且(i)“数据将被传输至的外国提供充分保护”,或(ii)“在未提供充分保护的情况下,土耳其境内控制者与相关外国控制者以书面形式保证充分保护,且委员会已批准该传输”时,可在未取得数据主体明示同意的情况下进行跨境数据传输。
数据传输及明示同意例外
如上所述,无论是境内还是跨境数据传输,一般规则均是事先取得数据主体的明示同意。然而,LPPD确实对该要求规定了若干豁免,分别适用于个人数据以及特殊类别个人数据,载于第5/2条和第6/3条。根据第5/2条,在以下情形下,个人数据可在未经数据主体明示同意的情况下被处理并传输给第三方:
- 法律规定或要求;
- 为保护因身体原因无法作出同意者的生命或身体完整性而必须进行;
- 为订立、履行合同或提供合同项下服务所必需;
- 数据控制者履行其法定义务所必需;
- 数据已由数据主体向公众公开;
- 为设立、行使或保护某项权利所必需;或
- 在不侵犯数据主体基本权利和自由的前提下,为控制者的合法利益所必需。
第6/3条进一步规定,除涉及健康和性生活的数据外,如法律有规定,特殊类别个人数据可在未经数据主体明示同意的情况下被处理并传输给第三方。
跨境数据传输与充分保护问题
这些关于跨境数据传输明示同意规则例外的规定本身相当明确,因为第9/2条规定,只要数据将被传输至的外国提供充分保护,即可在未取得数据主体明示同意的情况下进行跨境数据传输。考虑到LPPD几乎直接翻译自GDPR,可以合理假设,向一个或多个适用GDPR的国家进行的所有跨境数据传输均应落入该规定范围,因此可免于明示同意要求。
遗憾的是,事实并非如此。问题源于同一第9条第3款,该款规定DPB应确定并公布提供充分保护水平的国家。DPB尚未公布该清单,这意味着第9/2/a条所规定的豁免目前尚不适用于任何跨境数据传输,包括传输至适用GDPR的国家。
Amazon Turkey跨境数据传输决定摘要
针对Amazon Turkey的投诉
如本文开头所述,在一名Amazon Turkey用户就违法数据处理和传输提出投诉后,数据保护委员会因Amazon Turkey向境外关联公司违法跨境传输数据,以及未遵守数据保护和电子商务法律,对其处以1,100,000土耳其里拉罚款。该投诉中的一项主要主张是,Amazon Turkey在其隐私声明中包含如下表述:“为在本隐私声明所列目的范围内存储和处理您的个人信息,我们可能会将您的个人数据传输至欧盟和美国”。投诉人认为,该表述违反LPPD项下义务,因为Amazon Turkey并未就此类国际传输取得数据主体明示同意,而只是通知其可能将数据传输至境外。
DPB关于Amazon Turkey跨境数据传输的决定
在收到投诉后,DPB对Amazon Turkey展开调查,并认定其事实上并未就跨境数据传输从数据主体处取得明示同意,而只是向数据主体提供退出或选择不与第三方共享其数据的选项。该退出机制被认定违反LPPD,因为法律明确要求数据主体对跨境数据传输作出明示同意,因此要求数据主体明确“选择加入”此类传输,而不是默认推定数据主体已选择加入后再向其提供退出选项。
由于Amazon Turkey未取得数据主体事前明示同意,其在土耳其合法进行跨境数据传输的唯一选择,是主张该等传输属于LPPD第9/2条规定的豁免范围。
然而,如上所示,此类豁免仅在数据将被传输至的外国提供充分保护时适用于跨境数据传输,而DPB根据第9/3条有权确定具有充分保护水平的国家。问题在于,如前所述,DPB尚未公布此类豁免国家清单;由于该清单尚未提供,针对充分保护国家的豁免目前尚不适用于任何国家,包括适用GDPR的欧盟国家。
既然Amazon Turkey无法受益于该“充分保护”豁免,剩下的最后一项豁免便是第9/3条规定的机制:对于未提供充分保护的国家,如土耳其境内和相关外国的数据控制者向DPB提交书面保证函,且委员会批准该传输,则可在未取得事前明示同意的情况下进行跨境数据传输。需要指出的是,Amazon确实曾向委员会提交保证,以期适用该豁免。
然而,在投诉和决定作出时,Amazon的保证函及豁免申请仍在DPB审查中,尚待委员会最终决定和批准。第9/3条明确规定,该豁免仅在提供保证函并且DPB批准传输时方可适用;由于DPB从未批准Amazon Turkey的豁免申请,DPB最终认定Amazon Turkey实施的跨境数据传输违反LPPD规定。
展望:Amazon Turkey决定对跨境数据传输的影响
DPB决定对Amazon Turkey处以罚款,是一项极具争议的决定。争议之处在于,Amazon Turkey向欧盟国家传输个人数据,而这些国家同样受GDPR规制,本应被视为具有充分保护的国家;同时,Amazon Turkey已经向委员会提交了必要保证函,以适用第9/3条规定的第二项豁免。
尽管我们理解反对该决定的论点从何而来,但我们也认为法律关于豁免的规定相当明确、透明。LPPD明确规定,跨境数据传输豁免只有在数据接收国具有充分保护水平(由委员会确定),或在不存在充分保护时已提交保证函且传输经委员会批准的情况下,方可适用。
由于委员会尚未公布豁免国家清单,受益于跨境数据传输豁免的唯一方式,是向委员会提交保证函并等待委员会批准传输。虽然Amazon确已提交保证函,但其并未等待申请处理完成和委员会批准,而是在未取得数据主体明示同意的情况下继续进行跨境数据传输。
在这一方面,DPB已经非常明确地表明其立场:如果数据控制者希望在未取得明示同意的情况下进行跨境数据传输,其应等待豁免国家清单公布,或提交保证函并等待委员会批准。否则,LPPD要求所有数据控制者在进行跨境数据传输前,必须取得数据主体明示同意。
本译文仅供参考,可能与原文存在差异。
