2021年6月4日,欧盟委员会通过了新的两组标准合同条款(Standards Contractual Clauses,以下简称为“SCCs”),其中一项适用于数据控制者与数据处理者之间的数据委托处理活动(以下简称为“委托处理SCCs”),是首个欧盟层面的数据处理协议模板;另一项则适用于向第三国传输个人数据的情形(以下简称为“个人数据跨境传输标准合同条款”或“跨境传输SCCs”)。
在本文中,我们将重点针对跨境传输SCCs的修改进行分析,同时概括委托处理SCCs的重点内容,并在此基础上总结两组SCCs可能对中国企业产生的影响,提出可供企业参考的可行性建议。
一、个人数据跨境传输标准合同条款的前世今生
1、欧盟关于个人数据跨境传输的规定
对个人数据跨境传输的监管一直是欧盟数据保护立法框架下的重点之一。相关监管制度体系早于1995年10月24日颁布的《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》(以下简称为“95指令”)中就已确立。[1]欧盟《通用数据保护条例》(General Data Protection Regulation, 以下简称为“GDPR”)于 2018年5月25日生效后,又在此基础上进行了完善。
GDPR项下的个人数据跨境传输保障机制主要包括充分性决定(Adequacy Decision)、具有约束力的公司规则(Binding Corporate Rules, BCRs)和标准合同条款(Standard Contractual Clauses)三项[2]:充分性决定适用于欧盟委员会认定某一国家、地区等具备充分的个人数据保护水平的情形,个人数据可以向此类国家或地区等传输且无需特别授权;[3]具有约束力的公司规则适用于集团内部之间的个人数据传输,须经监管机构批准[4];签订欧盟委员会制定的个人数据跨境传输标准合同条款是当前企业广为采用的传输保障机制。
2、标准合同条款的历史演进
在欧盟委员会于6月4日发布最新版标准合同条款前,已有三套有效的标准合同条款。事实上,欧盟委员会根据95指令先后以欧盟委员会决定(Commission Decision)的形式通过了4个版本的标准合同条款。2001年,欧盟委员会通过了适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款(以下简称为“SCC2001C”),和适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款(以下简称为“SCC2001P”)。2004年欧盟委员会通过对标准合同条款的应用情况进行复查,新增了一套适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款(以下简称为“SCC2004C”)。SCC2004C与SCC2001C是并行关系,可供企业根据自身情况选择其一。
SCC2004C与SCC2001C的主要区别在于数据传输方与数据接收方对数据主体的赔偿责任的承担。SCC2001C项下数据传输方与数据接收方就违约行为对数据主体承担连带责任;[5]SCC2004C项下数据传输方与数据接收方就其自身违约行为分别向数据主体承担赔偿责任,且在数据主体作为第三方向数据接收方索赔时,其必须先通过数据传输方进行索赔请求,只有在数据传输方怠于行动时(通常情况下合理期限为一个月),数据主体方可直接向数据接收方索赔。[6]2010年欧盟委员会更新了适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款(以下简称为“SCC2010P”),取代了早先颁布的SCC2001P。
SCC2001C、SCC2004C与SCC2010P均为95指令下的制度设计,因此缺乏诸多GDPR项下所要求的保护措施。为与GDPR保持一致,欧盟委员会2021年6月4日通过了最新版的标准合同条款,并于2021年6月27日生效,将取代原跨境传输SCCs。根据欧盟委员会的执行决定,原跨境传输SCCs将于2021年9月27日失效,涉及个人数据跨境传输的企业或组织可在原跨境传输SCCs失效后的15个月的过渡期间将新版跨境SCCs补充于原跨境传输协议中。
3、Schrems II案件的影响
2020年7月16日,欧盟法院(CJEU)颁布了Schrems II案的判决,正式宣布欧盟-美国有关个人数据的隐私盾协议(EU-US Privacy Shield)无效,此判决对于欧盟个人数据跨境传输的合法性评估产生了深远的影响。欧盟法院在判决中认为,美国基于国家安全等目的进行的政府监控项目【基于美国的《外国情报监控法》(“Foreign Intelligence Surveillance Act”)及相关修正案】,允许政府收集外国人用户相关信息,对于监控实施的限制有限且不明确,不满足严格必要(strictly necessary)以及与目的成比例(proportional)的要求,欧盟居民无法在美国获得与欧盟境内同等的充分保护(adequate protection),违反了《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)。
该案判决中虽未否定SCC的效力,但提出公司应当基于个案对数据跨境传输活动进行审核,确保数据接收方所在国家/地区的法律能够为欧盟个人数据提供充分的保护,不会在实质上违反SCCs中的约定。此案判决后,欧盟数据保护委员会(Europe Data Protection Board,以下简称为“EDPB”)提出数据传输方要进行个案审查,确保数据接收方所在国家可以对个人数据提供充分的保障。[7]该案及欧盟的后续措施标志着SCCs逐步从纸面落实到具体实践中,且与数据接收方所在国家的法律环境直接关联。
最新版的标准合同条款将Schrems II案的判决纳入考量,对欧盟境外的数据接收方所在国的法律、数据接收方应对其所在国政府机关提出的具有法律约束力的披露个人数据的请求等情形作出规定,对数据传输各方提出了更为严格的实质审核和安全保证要求。[8]
二、最新版个人数据跨境传输标准合同条款的重要变化与影响
1、调整为“一般条款+模块化”结构
最新版跨境传输SCCs项下划分了四类个人数据跨境传输的场景,即数据控制者至数据控制者间的传输(“C-C”),数据控制者至数据处理者间的传输(“C-P”),数据处理者至数据控制者间的传输(“P-C”),以及数据处理者至数据处理者间的传输(“P-P”)。上述不同场景在最新版跨境传输SCCs中分别对应不同的模块:
-
模块1(MODULE ONE):C-C
-
模块2(MODULE TWO):C-P
-
模块3(MODULE THREE):P-P
-
模块4(MODULE FOUR):P-C
最新版跨境传输SCCs的第一节(SECTION I)为一般性条款,规定了标准合同条款的目的与范围、效率及解释等。自第二节(SECTION II)“数据传输各方的义务”起,企业可依据其自身实际的数据传输场景在不同条款下(如第8条数据保护措施、第9条次级处理者的使用)选择适用不同的模块。最新版跨境传输SCCs“一般条款+模块化”的创新结构设计,相较于在先版本的分别条款的形式,实现了通过一套标准合同条款、单一切入点解决广泛的数据传输问题。
最新版跨境传输SCCs的另一重要创新在于其新增了P-P与P-C两类数据传输场景。该创新对当前数据流动的多样性以及日趋复杂的数据跨境流动场景作出了回应,为各方主体之间全类型的数据交互提供了全面的法律基础。
2、与GDPR保持一致
在地域适用范围上,最新版跨境传输SCCs与GDPR保持一致,同样适用于GDPR第3(2)条项下的在欧盟境外设立的数据传输方。[9]该创新为GDPR域外管辖效力下的非欧盟数据传输方的数据跨境活动提供了合法基础。
在具体内容上,以最新版跨境传输SCCs的附件为例:附件一涉及数据传输各方、数据传输本身以及监管机构的描述;附件二涉及对确保数据安全的技术和组织措施的详尽描述。附件一与附件二均对涉及次级数据处理者的情形作出了具体的披露要求;附件三涉及次级数据处理者名单,但仅适用于由数据传输方专门授权指定特定次级数据处理者的情形。附件内容更好地与GDPR的规定进行了衔接。
最新版跨境传输SCCs同步GDPR项下的规定,将域外适用情形纳入考量。同时,相较于在先版本的跨境传输SCCs,其对个人数据跨境传输的全数据处理链的透明度与可见性提出了更高的要求。为此,企业应当及早开展全面的数据映射工作,梳理已有的数据跨境传输活动、技术和组织安全措施等,为最新版跨境传输SCCs的适用做好充分准备。
3、纳入Schrems II案判决的要求
在Schrems II案的影响下,最新版跨境传输SCCs对解决数据接收方所在国的法律与实践对其遵守标准合同条款的影响,尤其对应对上述国家公共当局所提出的具有法律约束力的个人数据披露要求的情形作出了具体规定。[10]
具体而言,最新版跨境传输SCCs通过整个第三节(SECTION III)“当地法律以及公共当局访问下的义务”规定:数据跨境传输各方应当保证其有理由相信数据接收方所在国的法律和实践不会阻碍其履行本标准合同条款下的义务,各方在作出上述保证时,应当综合评估考量数据传输的具体情况、数据接收方所在国的法律和实践、相关已实施的补充性合同、技术或组织保障措施等。各方应当对上述评估进行记录并在监管机构要求时予以提供。[11]数据接收方在收到其所在国的公共当局所提出的具有法律约束力的个人数据访问要求,或知情公共当局对本标准合同条款项下的个人数据进行直接访问时,应当通知数据接收方。在法律禁止数据接收方作出相关通知的情况下,数据接收方同意通过与公共当局积极沟通等方式尽最大努力获取上述通知禁令的豁免并对其所做出的积极努力进行记录。同时,数据接收方同意对公共当局提供的数据披露要求进行合法性评估,并在认为公共当局无合理法律基础的情况下对其提出的要求进行质疑。数据接收方在回应公共当局的要求时,同意提供允许限度内的最少数据。[12]
最新版跨境传输SCCs亦延续了Schrems II案判决中所作出的通过标准合同条款实现对欧盟个人数据的实质性保护的要求。最新版SCCs规定当数据接收方认为其自身难以遵守标准合同条款时,应当通知数据传输方。各方可通过采取补充性技术或组织措施来保障数据的安全性与保密性。[13]
上述规定统一适用于最新版跨境传输SCCs下的全部模块。其通过对包含数据接收方所在国法律环境等因素在内的评估要求,对标准合同条款路径下欧盟个人数据的实质性保护的落地作出了尝试。根据最新版跨境传输SCCs的规定,企业在应对政府调取数据的要求时,应当通知欧盟数据提供方并对政府的要求作出合法性评估,这一要求无疑增加了企业的合规成本与守约难度。
事实上,一些欧盟的数据传输方已经开始了个案评估的程序,笔者收到的一些欧盟合作律所有关中国法的请求,即是这一趋势的反映。
4、灵活适用:多方签约和对接条款(Docking Clause)
数据跨境传输中的各方可对标准合同条款进行灵活适用,例如将标准合同条款内容纳入更为宽泛的协议(如用户协议)中,且各方可在标准合同条款的基础上另增条款或补充额外的保障措施,前提是上述条款或保障措施不直接或间接与标准合同条款相矛盾且不损害数据主体的基本权利或自由。[14]最新版跨境传输SCCs相较于在先版本的跨境传输SCCs明确允许多方签约,并允许随着时间的推移增加新的签署方。[15]这一创新对在多个企业之间的数据传输中实施跨境传输SCCs的情形提供了便利。
三、GDPR第28(7)条下数据控制者和处理者之间的委托处理SCCs
1、GDPR关于控制者与处理者的规定
2021年6月4日,欧盟委员会首次通过了适用于数据控制者和处理者之间的委托处理SCCs,与GDPR对数据控制者与数据处理者的义务规定相衔接一致。根据GDPR第28(1)条,当数据控制者需要数据处理者代表其进行数据处理活动时,数据控制者所选用的应当是有充分保证可采取适当技术和组织措施的、针对个人数据的处理方式充分符合GDPR的各项要求,并且可保障数据主体权利的数据处理者。同时,GDPR第28(3)条规定,若数据控制者选择将其数据处理活动外包,其必须确保数据处理者的处理活动受合同或其他欧盟或成员国法律的约束,具体约束内容应当包括数据处理活动的期限、性质、目的,所涉个人数据的类型、个人数据主体的类型、数据控制者的权利义务及数据处理者的保密义务等。根据GDPR第28(7)条规定,欧盟委员会可就GDPR第28(3)条和GDPR第28(4)条所规定内容制定标准合同条款,此次委托处理SCCs也是欧盟层面的首个基于GDPR第28条的标准合同条款。
2、委托处理SCCs条款核心要点
本标准合同条款主要通过第二节(SECTION II)对数据处理者代表数据控制者进行数据处理活动的情形下各方的义务作出了详细规定。本标准合同条款的核心要点主要包括:
-
数据控制者就处理活动向数据处理者提供指示;
-
数据处理的安全性,特别是技术和组织措施的实施;
-
敏感数据的处理;
-
次级数据处理者的使用,包含事先特定授权或一般性书面授权的情形;
-
国际数据传输;
-
数据处理者对数据控制者的协助,如在数据主体请求、数据保护影响评估(DPIA)等情形下;
-
数据泄露通知要求。
本委托处理SCCs在内容上与丹麦、德国等国数据保护机构所制定的标准合同条款基本一致,此次欧盟委员会专门发布标准合同条款体现了欧盟层面对规则数据控制者与数据处理者之间数据处理活动的充分重视。
四、启示与建议
新版跨境传输SCCs及委托处理SCCs的发布,对于中国企业而言同样会产生深刻的影响。具体而言:
1、在涉及个人数据跨境传输的场景下
对于中国出海企业而言,若其根据GDPR第3条的经营场所标准(establishment)或目标指向标准(targeting)适用GDPR,且涉及将个人数据传输至欧盟境外第三方国家或地区的[16],主要可通过以下方式确保传输的合法合规性:
(1)将个人数据传输至经欧盟充分性认定的国家、地区或国际组织。目前充分性认定的范围包括安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭[17];
(2)与位于欧盟境外的、不适用GDPR的数据接收方签署跨境传输SCCs。按照常见的数据场景举例来说:
场景1:若某中国企业A在欧盟境内有分支机构,该企业所进行的数据处理活动由于与欧盟境内分支机构的活动之间存在不可分割的联系而根据GDPR第3条第1款适用于GDPR。如果A将从欧盟境内收集的个人数据传输至欧盟境外的某技术服务商B进行分析处理,此种情形下A与B之间应该签署跨境传输SCCs;
场景2:若某中国企业A在欧盟境内无实体,企业本身由于直接面向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3条第2款适用于GDPR。如果A将从欧盟境内收集的个人数据传输至欧盟境外的某技术服务商B进行分析处理,除非由于B参与处理行为的方式而导致本身适用GDPR,A与B之间需签署跨境传输SCCs;[18]
场景3:若某中国企业A在欧盟境内无实体,企业本身由于直接面向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3条第2款适用于GDPR。如果A企业直接从数据主体处收集数据并存储在位于中国的服务器上,此种情形下无需签署跨境传输SCCs。
对于中国本土企业而言,在接收从欧盟境内传输的数据时,则首先需要结合具体情况判断在个人数据跨境传输所涉场景下是否会导致自身适用GDPR,如不适用,则需要与数据传输方签署跨境传输SCCs。
若企业涉及从中国境内向境外提供个人数据,在我国《个人信息保护法(草案二审稿)》对于个人数据跨境传输的监管框架下,企业在向中国境外提供个人数据时应当签署国家网信部门制定的标准合同[19]。国家网信部门在制定标准合同时,也可能会参考新版SCCs的内容,区分不同的传输模式,明确传输双方义务与责任。
2、在涉及个人数据委托处理的场景下
对于中国企业而言,不论是否会适用GDPR,在涉及个人数据委托处理时,均可参考委托处理SCCs的内容。在中国法框架下,企业与受托方所签署的协亦可以参考委托处理SCCs的内容,明确约定委托处理的具体情况及双方权利义务。
整体而言,此次新通过两组SCCs对于企业而言具有较大的实用意义。需要注意的是,自Schrems II案以来,关于跨境传输SCCs的实际有效性及落地执行一直是讨论的热点问题,由于多项因素的影响,欧盟对我国法律环境的评估也可能会影响涉欧个人数据跨境传输的合法性。笔者建议企业及时关注数据跨境流动相关立法和司法动态,及时调整数据传输策略,最大程度地防控风险。
注释
[1] Directive 95/46/EC, CHAPTER IV.
[2] GDPR项下的个人数据跨境传输指向欧盟/欧洲经济区以外的国家或地区传输个人数据,包括个人数据在物理上跨越国境发生转移的情形以及个人数据在境外被远程访问的情形。
[3] GDPR, Article 45, para. 1.
[4] GDPR, Article 47.
[5] Commission Decision 2001/497/EC, Clause 6.
[6] Commission Decision 2004/915/EC, III.
[7] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.
[8] Commission Implementation Decision C (2021) 3972 final, (18), (19), (22).
[9] Commission Implementation Decision C (2021) 3972 final, (7).
[10] Commission Implementation Decision C (2021) 3972 final, (18).
[11] Annex to the Commission Implementation Decision C (2021) 3972 final, Clause 14.
[12] Annex to the Commission Implementation Decision C (2021) 3972 final, Clause 15.
[13] Commission Implementation Decision C (2021) 3972 final, (21).
[14] Annex to the Commission Implementation Decision C (2021) 3972 final, Clause 2 (a).
[15] Annex to the Commission Implementation Decision C (2021) 3972 final, Clause 7.
[16] 需要注意的是,若中国企业本身适用于GDPR,且直接从欧盟个人数据主体处收集个人数据,此种情形下企业应当满足GDPR第一至第四章的内容,而无需适用第五章关于个人数据跨境传输的要求。
[17] https://ec.europa.eu/info/law/law-topic/data-protection/international-d… 此外,请注意韩国正在通过充分性认定的最后流程。
[18] Commission Implementation Decision C (2021) 3972 final, (7) “…The standard contractual clauses may be used for such transfers only to the extent that the processing by the importer does not fall within the scope of Regulation (EU) 2016/679…”.
[19] 《个人信息保护法(草案二审稿)》第三十八条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四)法律、行政法规或者国家网信部门规定的其他条件。
本文:
- 登录 发表评论