数据跨境传输影响评估（TIA）怎么做？
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 以下文章来源于国际数据河龟酱
 ，作者小Lynn说合规
 国际数据河龟酱
 .
 Juris Doctor，美国纽约州、新泽西州注册律师，IAPP FIP，CIPP/E，CIPP/US，AIGP，多年国际数据合规从业经验，希望通过此公众号分享一些对于国际合规、地缘政治、AI等方面的观点。
 数据跨境一直是GDPR合规里的热点话题，也是不少中国企业的合规痛点。特别是TikTok案之后，把欧盟个人数据传回中国到底怎么做才算合规，好像成了一个没有标准答案的难题。但在最终判决下来之前，对于那些暂时没法实现欧盟本地化闭环、也没法传到“充分性认定”国家、还得把数据弄回国内处理的企业来说，老老实实按GDPR要求签好SCCs、做完TIA，仍然是必须得做的合规动作。不然的话，把欧盟数据传回来却什么也不做，简直就是在“合规裸奔”，很难向监管证明咱们有半点“合规诚意”。那TIA到底该怎么做呢？TIA到底是干嘛用的？ 简单说，它就是评估数据要传到的那个国家（第三国）的保护水平怎么样，然后根据评估结果，决定要不要、以及要加哪些保护措施。最终目的就一个：确保你用的跨境传输工具真的管用，让欧盟数据传到那边后，还能享受到和欧盟差不多的保护。实操要点· 谁该来做TIA？ 是控制者吗？不一定。真正的义务方是数据出口方（也就是传数据的那一方），它可能是控制者，也可能是处理者，甚至可能是子处理者。而数据进口方（收数据的那边）得帮忙配合，比如提供他们国家的法律和执法情况。举两个例子：- 德国A公司（控制者）把数据传给中国B公司（处理者），那TIA应该由A公司来做，B公司协助。- 如果德国A公司把数据传给爱尔兰的C公司（处理者），C又转给了中国的A公司（子处理者），那这种情况下，做TIA的义务主体应该是C公司。不过A公司作为控制者，也就是GDPR问责制下最终担责的人，必须对C做的TIA进行验证：看它对接收国法律和执法情况分析得准不准，补充措施够不够等等。所以，控制者A有权让C提供详细的TIA内容，C也有义务配合。尤其要注意，C不能只给个简单结论或摘要，A完全可以要求看更完整的评估内容，并且对里面可能有问题的地方继续追问，C都得配合。· 所有跨境传输都要做TIA吗？ 并不是。简单说，只有当你选用第46条的传输工具（比如最常见的SCCs、BCR这些）时，才需要做TIA。换句话说，如果你把数据传到已经有“充分性认定”的国家，或者走第49条的例外情况，那就不用做TIA了。· 什么时候该做TIA？ 理想情况下，肯定是在数据传输开始之前就做，根据结果补上该补的措施，确保数据传到第三国也能获得同等保护，然后再传。但现实中，很多情况都是“事后补票”，不到不得不做的时候都不会动。有时候哪怕评估出来结果可能显示需要终止传输，出于业务考虑，权衡之后可能还是会继续传。这就是“法律条文理想”和“商业世界现实”之间的差距。而法务合规卡在中间，不可谓不难。但不管怎样，“迟到总比不到好”，“晚做总比不做强”。· 做完TIA就一定得加“补充措施”吗？ 不一定，得看评估结果。一般来说，结果可能是：  1. 现有措施已经够了，不用额外补充；  2. 现有措施不够，要加额外措施，加了之后能达到欧盟同等保护；  3. 就算加措施也保证不了同等保护。  对应下来，就是“可以直接传”“加了措施再传”和“不能传/得终止传输”几种结果。但这只是理论上的，现实中要是评估出来是第三种，出于保业务、控成本等等，更可能的是努力挣扎，不让业务掉地上，尽量找一些对己方有利的理由。就像TikTok案，我相信里面的法务合规人员不是不知道其中风险，替TIA背书的律师也不是不清楚欧盟对中国法律和执法的“态度”甚至“偏见”，但现实往往就是这么复杂。更何况，所谓的评估既然是人在做，就不可能真的完全“客观”。抛开这些不谈，单看法律要求本身。要注意：EDPB列出的补充措施分三大类——组织类、合同类、技术类。一般来说，光有组织和合同类措施是不够的，技术类措施往往必不可少。这一点就特别需要安全技术同事的支持。另外，EDPB指南里列的措施并不是全部，你也可以用别的有效办法。和技术同事沟通要加什么技术措施时，可以试试先了解现有的安全“工具箱”里已经有啥，组织整体的安全策略为这次传输提供了哪些现成的“技术保障”，这些是否已经够达到“同等保护”了；如果不够，看看工具箱里有没有现成的工具能再加一把力；如果都没有，再商量新措施。这样推进最省时间、省钱，也最省沟通成本。· 每个跨境传输都得单独做一次TIA吗？不用那么死板。一份TIA报告可以只评估一次传输，也可以覆盖一系列（a set of）传输活动。· TIA做一次就能管一辈子吗？ 当然不是。法律要求，如果数据处理的相关情况发生重大变化，比如传输目的、内容、接收国法律变了，都得重新评估。就算没大变化，也建议定期重评（比如一两年一次）。· TIA到底具体怎么做？有没有模板可以抄？ EDPB在指南里写得挺清楚，一共六步：第一步：摸清楚你的传输情况 这是做TIA的事实基础，连数据怎么跨境走的都不清楚，就别谈正确评估风险了。还得提醒一句：传输的数据必须是实现目的所必要的，如果不必要，本身就已经违反GDPR了。第二步：选传输工具 只有选第46条的传输工具才需要做TIA。所以我觉得这一步其实可以往前放。第三步：评估接收国的法律和司法实践 主要是看会不会影响你所依赖的传输工具有效性（特别是公权力能不能拿到欧盟数据）。这一步做完，心里大概就该有数风险有多大了。第四步：选定补充措施 根据第三步评估出的风险高低，选合适的补充措施。第五步：落实补充措施 定了措施只是第一步，真正落地还得花时间。最好列个具体的行动计划：什么时候完成、需要多少人力和其他资源。因为现实很可能是业务等不及措施全到位就已经启动了（或者其实已经在跑了）。如果实在拦不住，至少列个详细计划，还能向监管证明我们真的在努力了（虽然严格来说可能还是在违规）。第六步：该重评时就重评 这部分可以看前面“TIA不是一劳永逸”的回答。最后，模板当然可以抄。但有模板不代表万事大吉。TIA必须是基于个案（case by case）的评估。批量生产出来的TIA很难符合欧盟监管的真实要求，也就失去了它本来的意义。不过有个模板，大家至少能对TIA长什么样、大致怎么做有个概念。所以如果需要，可以后台私信“TIA”获取模板参考。该模板仅供参考，不代表任何法律意见。若需正式评估，请联系专业律师或合规专家获取模板、提供咨询意见。以上，就是关于TIA的一个简单的要点梳理，希望对有需要的小伙伴有点帮助。END欢迎关注本公众号并点赞 + 收藏 + 转发此文发给同行～ 你们的支持就是我挖更多合规干货的动力，笔芯！【往期好文】：（1）GDPR 101系列：GDPR 101系列｜第八讲：DPIA实操指南（附模板）GDPR 101系列｜第七讲：数据泄露GDPR 101 系列｜第六讲：企业需要设置数据保护官（DPO）吗？GDPR 101系列｜第五讲：个人数据跨境传输GDPR 101系列｜第四讲：数据处理角色判断指南（基于 EDPB 指南的合规实操解析）GDPR 101 系列｜第三讲：直接营销能否依赖合法利益？GDPR 101 系列｜第二讲：同意GDPR 101 系列｜第一讲：地域适用性指南——你的业务到底要不要遵守 GDPR？（2）TikTok系列：TikTok为数据跨境传输采取的补充措施到底够不够？TikTok欧盟困境：DPC问倒TikTok的究竟是什么？（附决定书原文核心争议学习视频）194页TikTok判决书太厚？看完这3个视频就能掌握核心内容！01: TIA评估了啥？深度解读：TikTok共识背后的中美博弈与合规启示TIA、SCC 都做了，欧盟仍拒认？TikTok 案的核心启示（3）AI系列：三个问题学会判断GPAI义务的适用性护童之盾还是敛财利刃？——对Youtube刚上新的AI年龄验证机制的反思AI大模型高速发展，法律从业者能做些什么？三分钟速览美国人工智能出口管制168页规则科普：法律 AI 总出错？因为 “标注” 没做好！如何准备AIGP考试？无理工科背景的零基础小白如何入门AI？AI学习资料分享（4）科普系列：科普｜川普用行政令撤销了拜登撤销川普行政令的行政令，川普原来的行政令还有效吗？科普 | 美国为何能查封中国公司的官网？i-soon.net事件你可能想知道的五个问题