辛小天：英国数据转让风险评估（TRA）简介

目  录

•英国数据转移风险评估（TRA）制度概览

•TRA实施的场景及义务主体要求

•TRA实施过程中的评估重点及评估指引

•TRA评估所考虑的要素

•TRA、TIA与中国数据出境风险自评估和PIA的规则对比

一、英国数据转让风险评估（TRA）制度概览

2021年8月，英国信息专员办公室（ICO）发布了《跨境转移风险评估工具草案》（Draft International Transfer Risk Assessment and Tool），欲为英国独立运行自己的数据保护制度、为开展跨境传输风险评估提供指导。2022年11月17日，ICO修订了《数据国际传输协议》（International Data Transfer Agreement, IDTA）的指南，其中正式创建了转移风险评估（transfer risk assessment，TRA）的新章节，以及新的TRA工具。作为欧洲数据保护委员会（EDPB）发布的相关指南的替代方案，新指南为数据从英国传输到 欧盟以外的司法管辖区的个人提供了适当级别的保护。

TRA实质上是英国对欧盟TIA[1]的具体实施，是数据出口方在采取英国GDPR第46条转移机制中规定的保障措施实现数据从英国传输到第三国的一项前置性评估制度。具体来讲，英国GDPR包含有关向位于英国境外的接收方传输个人数据的规则，又称为“限制转让”（restricted transfers）。有三种情况可以符合限制转让规则，实现数据跨境传输：（1）数据接收国获得了英国的充分性认定；（2）该转让可能属于英国GDPR第49条规定的八项例外[2]情况之一；（3）建立第46条规定的转让机制，也就是采取“适当保障措施”，包括：ICO的国际数据传输协议（IDTA）、欧盟SCC的附录和具有约束力的公司规则（BCR）。如果相关主体想要在第三种情况，即采取第46条规定的转移机制来实现数据传输，则必须进行转移风险评估（transfer risk assessments）。该风险评估将帮助数据出口方及有关部门认定，在数据出口方所建立的转让机制下进行数据出境传输时，数据主体在英国数据保护制度下所获得的保护是否会受到损害。并且Schrems II的判决[3]进一步确认了风险评估在限制转让规则中的作用。

二、TRA实施的场景及义务主体要求

第一，在数据处理者进行限制性转移的情况下，只有数据处理者必须完成TRA。在这种情况下，数据控制者仍然必须对处理者的限制性转移是否符合英国GDPR进行合理和相称的检查，包括其执行TRA的情况。

第二，如果数据接收方将数据转移给第三方，数据出口方必须确保该转移行为符合所采取的IDTA、附录、BCR或其他第46条规定的转移机制。例如，如果使用的是IDTA，接收方可以与第三方签订一份协议，以保持IDTA的保护水平。由于采取了第46条的转移机制，因此需要进行数据接收方与第三方的TRA评估。评估义务的主体可以是数据出口方，也可以是数据接收方。

第三，如果进行一系列相关的、重复的或类似的限制性转让，数据出口方可以为每一次限制性转让进行TRA，或进行一次涵盖所有转让的TRA。

第四，如果数据出口方采取的第46条转让机制包含重复的限制性转让，或持续的限制性转让，必须定期重新评估保护水平。必须确保保护水平不会随着时间的推移而降低，并且需要定期考虑保护水平是否会受到以下因素的影响：（1）数据接收方对数据的处理是否有改变；（2）数据传输目的地国法律框架的变化；以及（3）是否有新的传输技术使得绕过安全安排变得更加容易。

三、TRA实施过程中的评估重点及评估指引

如前所述，TRA有助于数据出口方确保在采取了英国GDPR第46条转让机制中规定的 “适当保障措施”的情况下，能够为数据主体权益提供有效和充分的保护。在进行TRA时，有两大类风险作为评估的重点必须考虑：（1）在数据传输目的地国，第三方（特别是政府和公共机构）获取信息不受第46条转移机制约束，而对数据主体的权利产生风险。（2）因执行第46条转移机制的困难而对数据主体权利产生的风险。有两种方法可以进行对以上风险，尤其是风险一，进行一定程度的规避：

1、方法一：ICO的TRA工具（TRA Tool）

ICO提供了一套TRA工具来帮助有关主体评估并降低风险。TRA工具是一个带有问题和指导的模板文件，它列出了执行TRA的方法：评估比较数据留在英国与到达接收国后，数据主体权利所面临的风险状况。也就是说，与数据留在英国的风险相比，转移后是否会增加数据主体权益的风险。如果没有重大的额外风险，那么转让就可以继续进行。由于接收方有合同义务遵守第46条转移机制中的数据保护权利，该评估的主要重点是在目的地国家更普遍的人权保护现状。并且，任何有关第46条转移机制的可执行性的风险也都被考虑在内。

2、方法二：EDPB的建议措施

欧盟数据保护委员会（EDPB）为数据出口方提供了一系列需要遵循的步骤、潜在的信息来源，以及可以采取的补充措施的一些示例。[4]其中，其建议数据出口方将包括英国GDPR在内的英国法律和惯例与数据传输目的国的法律进行比较，以评估上述风险。这涉及到对第三方（尤其是政府）获取信息的保障措施，必须与英国政府所采取的保障措施充分类似。

四、TRA评估所考虑的要素

数据出口方在履行TRA义务时，可以使用ICO的TRA工具来进行，也可以通过EDPB发布的建议措施来进行，或者可以自行进行评估。根据ICO发布的指南，TRA实施过程中可以重点考虑如下要素[5]：

要素1：限制转让的具体情况有哪些？

要素2：传输的个人信息对数据主体的风险水平有多高？

要素3：考虑到个人信息的总体风险水平和所在组织的性质，合理和相称的TRA评估能力水平？

要素4：数据的转移是否会显著增加数据传输目的国人民人权被侵犯的风险？

要素5：（a）是否确信数据出口方和所涉及的人员都能够在英国对数据接收方实施第46条的转让机制？（b）如果可能需要在英国境外采取执法行动，是否确信数据所涉及的人员能够在数据传输目的国（或其他地方）执行第46条的转移机制？

要素6：限制转让规则中规定的任何例外情况是否适用于“重大风险数据”？（“重大风险数据”是指，在要素4和5中确定的，根据第46条转移机制没有或无法提供所有适当的保障的数据。）

如果通过以上要素，数据出口方所采取的第46条转移机制不能为所有个人数据提供适当的保障和有效且可执行的数据主体权利，则不得进行限制性转移。相关主体可以设置额外的步骤和额外的保护，并再次使用TRA进行评估。同时，可以寻求专业的数据保护建议来审查评估。

五、TRA、TIA与中国数据出境风险自评估和PIA的规则对比

2022年9月1日，《数据出境安全评估办法》（以下简称“《办法》”）正式生效实施，《办法》第五条规定，数据处理者在申报数据出境安全评估前，需开展数据出境风险评估工作（以下简称“风险自评估”）。此外，《个人信息保护法》（以下简称“《个保法》”）第五十五条规定，个人信息处理者在向境外提供个人信息前应当进行个人信息保护影响评估（以下简称“PIA”）。可以看出，我国对数据出境的自评估进行了分类规范，一是符合《办法》第四条所规定的条件[6]，面临的评估义务是风险自评估；二是，个人信息处理者向境外提供个人信息需要进行PIA。二者之间存在着一定的区别，并且与欧盟TIA和英国的TRA也有不同之处，四种评估制度的对比研究见下表：

注释：

[1] 欧盟对于与欧盟/欧洲经济区以外接受国法律法规隐私保护的评估

[2]根据英国GDPR第49条第一款规定，八种例外包括： 

(1) 在被告知由于缺乏适当的决定和适当的保障措施，这种转移对数据主体可能产生的风险后，数据主体明确同意拟议的转移。

(2) 转移对于履行数据主体与控制者之间的合同或执行应数据主体要求采取的合同前措施是必要的。

(3) 转移是为了控制者与另一自然人或法人之间为了数据主体的利益而缔结或履行的合同所必需。

(4) 转移是出于公共利益的重要原因而必须的。

(5) 转移是建立、行使或捍卫法律要求所必需的。

(6) 转移是为了保护数据主体或其他人的重要利益，而数据主体在身体上或法律上没有能力给予同意。

(7) 转移来自于一个登记册，根据国内法律，该登记册旨在向公众提供信息，并向公众或任何能够证明其合法利益的人开放咨询，但仅限于国内法律规定的咨询条件在特定情况下得到满足的情况。

(8) 如果转移不能基于第45条或46条的规定，包括有约束力的公司规则的规定，并且前七项例外都不适用，那么只有在转移不是重复性的，并只涉及有限数量的数据主体的情况下，才能向第三国或国际组织转移。

[3] Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, C-311/18, 16 July 2020. 法院认为，在数据出口方依靠第46条的转移机制进行限制性转移之前，必须进行风险评估。

 [4]Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0, EDPB, 18 June 2021.

 [5]Transfer risk assessments, International data transfer agreement and guidance, ICO, 下载于https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/，最后访问时间：2022年12月20日。

[6]《办法》第四条规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

❈段佳葆对本文亦有贡献

作者简介

辛小天

北京德和衡（深圳）律师事务所合伙人

数字经济与人工智能业务中心总监，网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。

曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。

手机：13911159437

邮箱：xinxiaotian@deheheng.com