版面导航
土耳其个人数据跨境传输规则
高蒙蒙,李录朋
□ 高蒙蒙 李录朋
土耳其是较早开启数据保护立法趋势的国家之一。《土耳其个人数据保护法》(以下简称《个人数据保护法》)于2016年4月7日颁布。2024年3月12日,土耳其对该法进行了多项修订(现已生效实施)。7月10日,土耳其个人数据保护局发布了《个人数据跨境传输程序及原则条例》(以下简称《传输条例》),对《个人数据保护法》第9条个人数据跨境传输的细节和原则进行补充规定。
法律框架构成
《个人数据保护法》是土耳其第一部在互联网时代建立个人数据处理标准做法和程序的综合性法律,在该法颁布之前,土耳其的个人数据主要是由土耳其《宪法》和《刑法》的相关条款进行规制和保护的。该法主要以《欧盟数据保护指令》以及后续的《通用数据保护条例》为基础,旨在让数据主体对其个人数据进行控制与保护人们在处理个人数据方面的基本权利和自由,特别是隐私权,并规定了对处理个人数据的自然人或法人具有约束力的义务、原则和程序。
《个人数据保护法》修正案主要规定了处理特殊类别数据所需的具体条件,以及处理此类数据时需要采取的适当措施。在数据传输方面,和欧盟保持一致,允许在保护数据主体权利的同时,采用新的方法将个人数据传输到国外。修正案对处理敏感个人数据的条件进行了扩大,如允许公司出于就业、职业健康和安全目的处理员工的敏感个人数据。
《传输条例》确定了《个人数据保护法》第9条的实施程序和原则,以规范个人数据跨境传输。条例规定数据控制者和处理者仅可依据规定进行个人数据跨境传输,数据处理者传输个人数据时,还必须遵守数据控制者的指示。此外,条例还对个人数据跨境传输的程序进行了规定,并附带发布了有关标准合同和具有约束力的公司规则文件,以确保为个人数据转移到国外提供适当保障。
主管机关
土耳其设立了专门的数据保护监管机构,由个人数据保护局和个人数据保护委员会负责监督和执行《个人数据保护法》《传输条例》。个人数据保护局是公共法人实体,具有行政和财政自主权,决策机构是董事会。其职责主要有跟踪个人数据相关立法和司法实践,并展开调查研究;在个人数据保护职责范围内与其他的公共机构、非政府组织、专业协会或大学进行个人数据保护方面的合作;向总统、土耳其议会人权调查委员会提交数据保护年度活动报告等。
个人数据保护委员会可行使确保个人数据的处理符合基本权利和自由,处理个人数据保护权利受到侵犯人的投诉,依法审查个人数据处理是否合法,并在必要时采取临时措施,确定处理特殊类别的个人数据所需的适当措施,执行监管法案,确定与数据安全相关的义务等法律赋予的职责。
相关定义及主要规则
《个人数据保护法》第9条建立了个人数据跨境传输规则的基本框架,原则上允许对个人数据进行跨境传输,但进行了较为严格的规定。《传输条例》进一步明确了个人数据跨境传输的定义、程序、保障措施等具体规则。
个人数据。《传输条例》将“个人数据”定义为有关已识别或可识别的自然人的任何信息,可用于识别该个人。例如,客户的姓名和地址、ip地址、电子邮件地址或客户电子邮件地址的数据库。
数据控制者。数据控制者是指决定处理个人数据的预期目的和手段的自然人或法人。一般数据控制者负责建立和管理数据登记系统。
数据处理者。数据处理者是指根据数据控制者授予的权限,代表数据控制者处理个人数据的真实个人或法人。
数据处理者应在数据控制者确定的目的和范围的框架内,代表数据控制者并按照数据控制者的指示行事,并根据个人数据的性质采取一切必要的技术和管理措施,确保适当的安全级别。
符合下列情形之一时,数据控制者和数据处理者能够对个人数据进行跨境传输:数据主体的明确同意;如果符合以下条件之一,个人数据也可以被转移到国外:(a)接收个人数据跨境传输的国家被土耳其个人数据保护局批准为“适当国家”;(b)若接收个人数据跨境传输的国家未获批准,数据控制者和数据处理者必须提供具有约束力的保障措施;(c)若接收个人数据跨境传输的国家既未获批准,又不能提供保障措施,则由数据控制者向土耳其个人数据保护局提出允许跨境传输的《承诺申请》,但获得《承诺申请》的机构数量极少;(d)在不损害国际协议规定的情况下,如果土耳其或相关个人的利益受到影响,则只有在征得相关公共机构或组织的意见后,经个人数据保护委员会许可,才可以将个人数据转移到国外。
根据《传输条例》第8条规定,个人数据保护委员会可以决定一个国家、该国的部门或国际组织对个人数据向国外的转移提供足够水平的保护。在作出充分性决定时,主要考量两个因素:目的地国家、国内部门或国际组织与土耳其之间个人数据传输的互惠状态,以及目的地国家的相关立法实践,国际组织的相关规则;目的地国家或国际组织是否存在独立且有效的数据保护机构、是否存在行政和司法补救措施、是否为个人数据保护国际协议的缔约方或国际组织的成员等。
资格决定一般每4年重新评估一次。若重新评估的结果认为数据传输目的地国家、该国的部门或国际组织没有提供足够的保护水平,则应当更改、暂停或撤销其资格。个人数据保护委员会参照上述标准进行资格审查时,还应征求有关机构和组织的意见,并将资格审查决定在官方公报和机构网站上公布。
《传输条例》第4章进一步详细规定了提供保障措施的要求,主要包括提供适当保证、非国际合同协议、具有约束力的公司规则等,具体如下:
提供适当保证。一是国外公共机构和组织或国际组织与土耳其境内公共机构和组织或具有公共机构性质的专业组织之间存在非国际合同的协议。二是存在有关保护个人数据的规定且具有约束力的公司规则。三是合同条款符合董事会要求,其中包括数据类别、数据传输目的、接收者和接收者群体、数据接收者应采取的技术和管理措施以及针对特殊个人数据采取的附加措施等问题。
非国际合同协议。简言之,土耳其的公共机构和组织、公共机构性质的专业组织之间可以将个人数据保护条款纳入协议(非国际合同),并提供国外公共机构和组织或国际组织的担保,在此情况下可以进行适当个人数据传输。协议中关于个人数据保护的条款应包括个人数据传输的目的、范围、性质、程序和原则,违反协议的追索方式等事项。
具有约束力的公司规则。《传输条例》第12条规定了个人数据跨境传输双方可以通过具有约束力的公司规则来提供适当的保证,且公司规则必须对参与联合经济活动的企业集团的每个相关成员具有法律约束力和可执行性。《传输条例》第13条明确了公司规则中应包括的事项,如组织结构、传输事宜、保护培训等。
标准合同。个人数据跨境传输双方可以通过签订标准合同提供适当的保证,标准合同由董事会确定并公布。合同中一般包括数据类别、数据传输目的、接收者和接收者群体、数据接收者应采取的技术和管理措施、针对特殊情况采取的附加措施等问题。
承诺书。个人数据跨境传输双方可以通过书面承诺书提供适当的保证。《传输条例》第15条规定,承诺书中应当包含个人数据传输的程序和原则等,且保证数据接收者承认发生争议时土耳其法院具有管辖权。
采用保障措施进行数据传输的均需经过个人数据保护委员会的授权许可,在整个传输过程中,数据传输者必须采取适当的安全措施保护被传输的个人数据,安全措施应符合《个人数据保护法》相关规定,并至少达到相关法律规定的最低标准。
(作者单位:江苏省淮安市淮安区人民法院)