专业解读

为了保证国家数据安全，保护个人信息的权益，中国网信办在2023年9月起草了《规范和促进数据跨境流动规定（征求意见稿）》，该举措将会进一步推动数据出境后依法有序的自由流动。该规定的制定将平衡数据的自由流动和数据安全的双重目标。一方面，它为数据跨境流动提供了更清晰并且简洁的法律指引和规范，使得企业在数据传输过程中能够更加明确自己的法律责任和义务。另一方面，它也加强了对个人信息的保护，强调了个人信息在跨境传输过程中的合规性和安全性。

在全球范围内，数据跨境流动和信息保护已成为各国普遍关注的议题。与此同时，欧盟也在数据保护领域推出了一系列的法律规定，在实施过程中遇到的案例值得我们进一步的探讨与学习。

基本案情

商用车制造商斯堪尼亚（Scania）与德国汽车零部件贸易协会（GVA）之间存在合作关系，Scania为GVA生产其所需车辆。双方之间存在的有关GDPR的主要争议点为：Scania并未向独立运营商提供车辆识别代码（VIN）的信息。维修人员只能凭借注册文件或客户委托进行车辆保养或维修的车辆底盘上标识号来获取这些数据。Scania拒绝向GVA独立提供VIN，因为Scania认为VIN有可能被认作为GDPR中的个人数据，制造商不可以独立向运营商进行自由披露。

裁判要旨

欧盟法院认为，根据欧盟 19/2011 号条例第 2 条（2）的规定，VIN是由制造商分配给车辆的字母数字代码，以便确保车辆被正确识别。由此可以推定，单独的VIN并不能被视为个人信息。

但是，根据欧盟 1999/37 号条例附件一中规定，VIN、车辆上所有人的姓名和地址都必须出现在车辆登记证书上。此外，根据该附件规定，该证书中可指定自然人为车辆所有人，或除车主以外可合法使用车辆的人。在这些情况下，VIN 构成 GDPR 第 4 条第1款中所指的，可以与已识别或者可识别的自然人（数据主体）相关的任何数据；可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份的自然人。通过车辆登记证书的VIN，便可以识别与其相关的车辆的所有者或除所有者之外可以合法使用该车辆的人。因此，欧盟法院提出，如果独立运营商拥有可以将 VIN 与已识别或可识别的自然人联系起来的手段，VIN 便构成了个人数据。

本案中，在VIN被认作为个人数据的前提下，欧盟法院考虑了个人数据处理的合法性。根据GDPR第6条第1款（c）规定：为履行数据控制者的法定义务所必要的数据处理的行为是合法的。此外，根据第6条第3款规定：该处理必须基于欧盟法律或控制者须遵守的成员国法律，并且该法律依据必须定义处理的目的并符合公共利益目标，并与对这一目标的追求相称。根据欧盟 2018/858 号条例第 61 条第1款的规定：车辆制造商有义务向独立运营商提供车辆维修以及保养的相关信息；附件X中规定，车辆维修和保养信息应包括“车辆的明确标识”，本案中即VIN。因此，欧盟法律规定车辆制造商需要履行GDPR第6条第1款（c）的义务，向独立运营商提供 VIN。

指导意义

1.对“个人数据”的定义：本案中，根据GDPR中对于个人数据的定义，VIN并不能当然被认定为个人数据，但是在特定的条件下，结合欧盟各项专门法令间的联系，VIN被认定为个人数据，其处理办法也需要遵循GDPR的相关规定。

2.汽车制造商的义务：该判决突出了数据处理的合法性和制造商的相应义务。在GDPR框架下，为了履行法定义务，车辆制造商被要求向独立运营商提供VIN。这表明法院对于个人数据的合法处理秉持严格的态度。

3.国际数据流转的挑战：判决中欧盟法院要求车辆制造商向独立运营商提供VIN，这将增加了对于国际企业，特别是与欧盟国家业务有关的公司对于跨境数据类型辨别以及流转方式的挑战。

防范及建议

首先，从如何辨别个人数据来看，中国企业在与欧盟企业进行合作时，在有条件的情况下应当寻求专业人士的帮助，根据国内外相关法律规定来辨别哪些数据被视作个人数据。

其次，如果在判定需提供的数据中存在个人数据，需要根据我国《数据出境安全评估办法》，对数据进行评估，根据不同的情况来决定申报材料报送的部门。

另外，与欧盟企业订立合作合同时，需要就数据保护责任、数据的传输方式、数据的共享、安全措施、违约责任等方面就双方的权利义务作出明确的约定。在合同履行过程中，要注意建立储存以及保护个人数据的机制，注意尊重数据主体的权利，包括知情权、访问权、更正权、删除权等，并提供相应的投诉渠道和救济措施。

在我国，数据出境必须遵守《个人信息保护法》第三章第三十八条，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；
（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；
（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

同时，我国《个人信息出境标准合同办法》中第二条规定，个人信息处理者需要通过与境外接收方订立个人信息出境标准合同的方式向中华人民共和国境外提供个人信息。这表示，如果个人信息处理者属于非关键信息基础设施运营者，满足一定条件，并且从境内传输的信息被认定为是个人信息的情况下，境内企业还需要与境外企业签署该标准合同后才可进行信息的传输。同时，在标准合同生效之日起10个工作日内境内企业应当向所在地省级网信部门备案。

综上所述，在进行个人信息的判断以及传输时，务必将中国数据保护相关法律与境外数据保护法律相结合，以确保数据在跨境传输过程中得到充分保护，避免可能的法律风险和合规问题。同时，要持续关注国内外数据保护法律法规的更新和变化，及时调整和完善企业的数据保护策略，确保与欧盟企业的合作顺利进行，并维护数据主体的合法权益。

作者简介

张婷
道可特律师事务所高级合伙人、国际业务部主任

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱：zhangting@dtlawyers.com.cn

郭毅佳
道可特律师事务所实习律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理 

邮箱：guoyijia@dtlawyers.com.cn