走出去智庫觀察

國家互聯(lián)網(wǎng)信息辦公室于6月30日發(fā)布《個人信息出境標準合同規(guī)定（征求意見稿）》，旨在規(guī)范個人信息出境活動，保護個人信息權(quán)益，促進個人信息跨境安全、自由流動。

走出去智庫(CGGT) 特約法律專家、北京德恒律師事務(wù)所合伙人王一楠指出，隨著數(shù)據(jù)跨境流動的數(shù)量急劇增長以及相關(guān)安全風(fēng)險的不斷涌現(xiàn)，世界上很多國家和地區(qū)也都先后推出了自己的版本。歐盟委員會在2001年就首次推出了標準合同條款，后在2004年和2010年分別推出了兩個新版本。2018年生效的《通用數(shù)據(jù)保護條例》（GDPR）的第五章包括歐盟委員會制定的標準合同條款，并于2021年6月4日通過“關(guān)于向第三國轉(zhuǎn)移個人數(shù)據(jù)的標準合同條款的決定”，同時將最新版本標準合同條款（“歐盟SCC”）作為附件，取代之前所有的版本。

歐盟數(shù)據(jù)出境標準合同條款有哪些重要規(guī)定？今天，走出去智庫（CGGT）刊發(fā)北京德恒律師事務(wù)所王一楠和全婉晴的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、歐盟SCC在如下情況下適用：個人數(shù)據(jù)從處理行為受GDPR管轄的個人數(shù)據(jù)控制者/處理者（數(shù)據(jù)傳輸方）向不受GDPR管轄的控制者/（次級）處理者（數(shù)據(jù)接收方）傳輸。

2、歐盟SCC在一般性條款中規(guī)定了使用目的及范圍、效力優(yōu)先性和不可更改性、第三方受益人的權(quán)利、轉(zhuǎn)移說明和對接條款。其中特別明確條款內(nèi)容除選擇適當?shù)哪K或增加或更新附錄的信息外，均不得修改。但只要不直接或間接與條款相矛盾或者損害數(shù)據(jù)主體的基本權(quán)利或自由，雙方可將歐盟SCC納入更廣泛的合同中和/或增加其他條款或額外的保障措施。

3、歐盟SCC本質(zhì)上屬于民事合同，而其主要目的是通過約定數(shù)據(jù)傳輸方和數(shù)據(jù)接收方的義務(wù)，以保護數(shù)據(jù)主體的權(quán)利。為了實現(xiàn)該目的，其設(shè)計了兩個法律基石：（1）第三方受益人權(quán)利，和（2）連帶法律責(zé)任。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

引言：

2022年6月30日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息出境標準合同規(guī)定（征求意見稿）》（“中國標準合同”），標志著這個在國際上被廣泛采用個人信息跨境流動保護性措施首次在我國開始“生根發(fā)芽”。

標準合同或稱標準合同條款（Standard Contractual Clause或SCC）系監(jiān)管部門為了確保個人信息在出境之后保護水平不低于本國標準而要求數(shù)據(jù)傳輸方與境外數(shù)據(jù)接收方簽署一個官方制定的合同模板。該做法通過合同的約束力將境內(nèi)的管轄權(quán)“延伸”至境外，達到一定“境內(nèi)法域外適用”的效果，以保護處于相對弱勢地位的個人信息主體權(quán)益。

隨著數(shù)據(jù)跨境流動的數(shù)量急劇增長以及相關(guān)安全風(fēng)險的不斷涌現(xiàn)，世界上很多國家和地區(qū)也都先后推出了自己的版本。鑒于中國標準合同版本正在征求意見，筆者將世界上主要國家和地區(qū)已頒布的標準合同進行逐一研究，形成系列文章，以資借鑒。

一、歐盟SCC的出臺背景

早在2001年，歐盟委員會就首次推出了基于《第95/46/EC號保護個人在數(shù)據(jù)處理和此類數(shù)據(jù)自動流動中權(quán)利的指令》的標準合同條款SCC2001C和SCC2001P，后在2004年和2010年分別推出了兩個新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

2018年生效的《通用數(shù)據(jù)保護條例》（GDPR）的第五章對于從歐盟向第三國或國際組織傳輸個人信息進行了規(guī)定，確保自然人數(shù)據(jù)出境后受到的保護水平不會被減損。該章節(jié)為此設(shè)置了若干適當性保障措施，其中就包括歐盟委員會制定的標準合同條款。

為了落實該章節(jié)中的要求，歐盟委員會于2021年6月4日通過“關(guān)于向第三國轉(zhuǎn)移個人數(shù)據(jù)的標準合同條款的決定”（“歐委會決定”），并將最新版本標準合同條款（“歐盟SCC”）作為附件，取代之前所有的SCC版本。下文將從歐盟SCC的適用范圍、四大模塊、法律基石三個主要方面進行介紹。

二、適用范圍

根據(jù)歐委會決定，歐盟SCC在如下情況下適用：個人數(shù)據(jù)從處理行為受GDPR管轄的個人數(shù)據(jù)控制者/處理者（數(shù)據(jù)傳輸方）向不受GDPR管轄的控制者/（次級）處理者（數(shù)據(jù)接收方）傳輸。如下圖所示：

GDPR直接管轄的范圍為歐洲經(jīng)濟區(qū)（European Economic Area），即歐盟28國，再加上冰島、挪威、列支敦士登三個國家（為了討論方便，下文統(tǒng)稱“歐盟”）。如果個人數(shù)據(jù)從歐盟成員國（例如德國）向歐盟之外的國家（如印度）傳輸，則歐盟SCC自然適用。但是，鑒于GDPR具有域外適用的效力，所以GDPR管轄范圍理論上比歐盟更廣，從而導(dǎo)致“跨越歐盟邊境”的傳輸不一定是構(gòu)成“跨越GDPR管轄范圍”，這就與GDPR第五章的“向第三國傳輸”產(chǎn)生了矛盾。

GDPR的域外適用效力來源自第3條第（2）款（與中國《個人信息保護法》第3條第（2）款類似），即發(fā)生在境外的兩類數(shù)據(jù)處理活動受GDPR管轄：（a）為歐盟的數(shù)據(jù)主體提供商品或服務(wù)而進行相關(guān)的數(shù)據(jù)處理；或（b）監(jiān)控歐盟數(shù)據(jù)主體在歐盟境內(nèi)活動而進行的數(shù)據(jù)處理。在這種情況下GDPR管轄范圍完全可以超越歐盟區(qū)域的物理邊界（參見下圖的虛線部分）。

具體來說，如上圖所述，當數(shù)據(jù)傳輸方自歐盟某成員國（如德國）向同樣受GDPR管轄但地處非歐盟區(qū)域（如印度）的接收方傳輸數(shù)據(jù)時，雖然屬于GDPR第五章的“向第三國傳輸”，但雙方皆受GDPR管轄，根據(jù)歐委會決定的字面含義歐盟SCC并不適用。而當接收方將數(shù)據(jù)再傳輸至同樣地處印度的另外一個主體時，由于該接收方不受GDPR管轄，根據(jù)歐委會決定后兩者之間應(yīng)當簽署歐盟SCC，雖然此時并不存在傳統(tǒng)意義上的數(shù)據(jù)“跨境”。

針對GDPR域外管轄效力和第五章跨境傳輸之間銜接問題，EDPB在2021年11月發(fā)布了指南進行解答，要求同時滿足如下三個條件才構(gòu)成跨境傳輸：（1）一個控制者或處理者的個人數(shù)據(jù)處理行為受GDPR管轄；(2）控制者或處理者（數(shù)據(jù)傳輸方）通過將個人數(shù)據(jù)傳輸、披露給另一個控制者、共同控制者或者處理者（數(shù)據(jù)接收方）；（3）數(shù)據(jù)接收方在一個第三國或者是一個國際組織，無論其處理行為是否受GDPR管轄。

根據(jù)指南，跨境傳輸中“跨境”為一個關(guān)鍵因素，而是否受GDPR管轄并不重要。因為歐盟SCC是基于GDPR第五章的跨境傳輸制定的，結(jié)合上圖例子，傳輸方向后兩個接收方中的任何一個傳輸數(shù)據(jù)均屬于GDPR第五章的跨境傳輸，但就上圖傳輸方與接收方之間的數(shù)據(jù)傳輸目前的歐盟SCC并不適用，歐盟委員會表示將出臺針對這類場景的新的SCC版本。

三、歐盟SCC四大模塊

歐盟SCC分為兩大部分，分為合同正文和合同附錄。在合同正文部分又分為一般性條款和應(yīng)對四種不同的傳輸場景的四個模塊，供數(shù)據(jù)傳輸者和數(shù)據(jù)接收者可以根據(jù)實際情況選用。合同的附錄分為締約方的名單、數(shù)據(jù)轉(zhuǎn)移說明（包括轉(zhuǎn)移的個人數(shù)據(jù)類型、轉(zhuǎn)移的目的、個人數(shù)據(jù)將保留的期限等）、確保數(shù)據(jù)安全的技術(shù)和組織措施、次級處理者清單。

歐盟SCC四個模塊分別適用于從控制者（Controller）到控制者（Controller）,從控制者（Controller）到處理者（Processor），從處理者（Processor）到處理者（Processor）,以及從處理者（Processor）到控制者（Controller）這四類場景。

為了方便讀者理解，本文將四個場景逐一舉例介紹如下：

●模塊1（C-C）：從控制者到控制者（或共同控制者）

場景：一家瑞典旅行社與一家澳大利亞連鎖酒店簽訂了框架合同，為歐洲游客赴澳旅游提供住宿服務(wù)。為此，瑞典旅行社（C）需要將歐洲游客數(shù)據(jù)基于歐盟SCC傳輸?shù)降陌拇罄麃嗊B鎖預(yù)訂中心（C）。

●模塊2（C-P）：從控制者到處理者

場景：一家法國公司（C）將其雇員的個人數(shù)據(jù)提供給智利某大數(shù)據(jù)公司（P）進行處理分析。

●模塊3（P-P）：從處理者到處理者（即次級處理者）

場景：一家比利時公司（C）委托在荷蘭的公司為自己處理數(shù)據(jù)，荷蘭公司（P）希望將一部分處理行為再委托給某印度公司（P）進行處理。

●模塊4（P-C）：從處理者到控制者

場景：一家西班牙服務(wù)提供商（P）受巴西總部（C）指示將使用從巴西收到的客戶數(shù)據(jù)及其在西班牙收集的客戶數(shù)據(jù)進行市場研究和開發(fā)營銷材料，并將兩個數(shù)據(jù)包的匯總傳輸?shù)桨臀鳌?/p>

四、重要條款解讀

歐盟SCC在一般性條款中規(guī)定了使用目的及范圍、效力優(yōu)先性和不可更改性、第三方受益人的權(quán)利、轉(zhuǎn)移說明和對接條款。其中特別明確條款內(nèi)容除選擇適當?shù)哪K或增加或更新附錄的信息外，均不得修改。但只要不直接或間接與條款相矛盾或者損害數(shù)據(jù)主體的基本權(quán)利或自由，雙方可將歐盟SCC納入更廣泛的合同中和/或增加其他條款或額外的保障措施。

不同模塊所對應(yīng)的權(quán)利義務(wù)差異在幾個重要條款中可以窺見一斑：

1.法律適用與管轄法院條款

在法律適用方面，模塊1（C-C）、2（C-P）和3（P-P）下必須適用歐盟成員國的法律，而模塊4（P-C）允許適用非歐盟國家的法律。其次，所有模塊的法律適用前提該法律支持“第三方受益人權(quán)利”。最后，在模塊2（C-P）和3（P-P）下，原則上應(yīng)優(yōu)先選擇數(shù)據(jù)傳輸方所在國的法律，除非這個國家不允許第三方受益人權(quán)利。

在管轄法院方面，模塊1（C-C）、2（C-P）和3（P-P）下合同雙方應(yīng)當選擇歐盟經(jīng)濟區(qū)法院管轄，而數(shù)據(jù)主體也可以在其經(jīng)常居住地對合同雙方展開訴訟，而模塊4（P-C）允許雙方選擇非歐盟國家法院管轄。

綜合來看，在模塊4（P-C）的場景下，因為可能出現(xiàn)根本不涉及歐盟數(shù)據(jù)主體個人數(shù)據(jù)的情形，并且身處在第三國的控制者的行為受到第三國法律的管轄，在法律適用和管轄法院時給予合同雙方更多的自由選擇空間。而在模塊2（C-P）和3（P-P）情形下，數(shù)據(jù)傳輸方所在國法律顯然與傳輸行為關(guān)系最密切，應(yīng)當優(yōu)先適用。

2.再傳輸條款與次級處理者的使用

再傳輸條款（Onward Transfer）

再傳輸條款是指數(shù)據(jù)被傳輸至歐盟以外的數(shù)據(jù)接收方之后被再次傳輸至后續(xù)數(shù)據(jù)接收方（該數(shù)據(jù)接收方可以與首個接收方同處一個國家或另外一個第三國）（類似中國標準合同第3條第7款項下情形）。歐盟SCC在模塊1（C-C）、2（C-P）和3（P-P）中約定了再傳輸?shù)那樾巍?/p>

為了確保數(shù)據(jù)主體的權(quán)益能在再傳輸過程中得到同等保護，后續(xù)數(shù)據(jù)接收方需要滿足如下條件之一：通過對接條款(Docking Clause)加入歐盟SCC,符合GDPR第五章中其他數(shù)據(jù)出境要求（即在白名單國家、根據(jù)GDPR第46或47條采取適當性保障措施），或者符合特定例外情形（例如出于維護數(shù)據(jù)主體或其他自然人的重要利益的必要等）。

在模塊1（C-C）中，因為首個數(shù)據(jù)接收方為控制者，其可以自主決定處理數(shù)據(jù)的目的與方式，因此在其他方式都不適用的情形下，其可以通過獲得數(shù)據(jù)主體的明確同意的方式進行再傳輸。當然，其在征求數(shù)據(jù)主體同意時需要告知傳輸?shù)哪康模賯鬏斀邮芊降纳矸莼蝾悇e，以及再傳輸缺乏適當性保障措施時可能對數(shù)據(jù)主體帶來的風(fēng)險等。

次級處理條款(Sub-processor)

使用次級處理者是指數(shù)據(jù)被傳輸至歐盟以外一個身份為處理者的數(shù)據(jù)接收方（P）之后被再次傳輸至一個身份為次級處理者的數(shù)據(jù)接收方（P）（類似中國標準合同第3條第8款項下情形）。歐盟SCC在模塊2（C-P）和3（P-P）中約定了使用次級處理者的情形。

同樣，為了確保數(shù)據(jù)主體的權(quán)益能在次級處理過程中得到同等保護，歐盟SCC提出如下要求：首個數(shù)據(jù)接收方應(yīng)獲得數(shù)據(jù)傳輸方的書面授權(quán)，次級處理者進行處理活動之前必須與首個數(shù)據(jù)接收方簽署書面合同（也可以通過對接條款(Docking Clause)加入數(shù)據(jù)傳輸方和首個數(shù)據(jù)接收方之間的歐盟SCC），數(shù)據(jù)接收方與次級處理者還需要約定以數(shù)據(jù)傳輸方為第三方受益人的條款，以確保在數(shù)據(jù)接收方法律上不存在時，數(shù)據(jù)傳輸方有權(quán)終止次級處理者的合同并指示后者刪除或歸還個人數(shù)據(jù)。

五、兩個法律基石

歐盟SCC本質(zhì)上屬于民事合同，而其主要目的是通過約定數(shù)據(jù)傳輸方和數(shù)據(jù)接收方的義務(wù)，以保護數(shù)據(jù)主體的權(quán)利。為了實現(xiàn)該目的，其設(shè)計了兩個法律基石：（1）第三方受益人權(quán)利，和（2）連帶法律責(zé)任。前者為數(shù)據(jù)主體可以根據(jù)標準合同條款向違約方直接主張權(quán)利提供了實現(xiàn)的路徑，后者為數(shù)據(jù)主體在主張權(quán)利時提供了必要的便利。

1.第三方受益人權(quán)利

通常而言合同具有相對性，只有合同的參與者才能根據(jù)合同約定享有權(quán)利和履行義務(wù)。但是第三方受益人權(quán)利從一定程度上突破了合同的相對性，而將合同權(quán)利擴張到了未實際參與合同的第三方。例如保險公司與被保險人簽訂的人壽保險合同，受益人為被保險人的妻子，則若被保險人意外身亡，其妻子將有權(quán)基于保險合同受償。這里的妻子即為保險合同的第三方受益人。隨著時代和法律的發(fā)展，合同第三方受益人權(quán)利的適用場景不斷擴大。

不同國家的法律對合同第三方受益權(quán)的規(guī)定略有差別，有的國家并不承認第三方受益權(quán)（如德國），有的國家區(qū)分為第三方利益而設(shè)定債權(quán)以及第三方受讓債權(quán)人的債權(quán)（如美國）。但綜合歐盟SCC中約定第三方受益人（即數(shù)據(jù)主體）權(quán)利的目的和相關(guān)規(guī)定，我們可以概括第三方受益人權(quán)利具有如下幾個特點：（1）應(yīng)當在合同中明確約定第三方受益人身份和可執(zhí)行條款（歐盟SCC第3條），（2）第三方可以根據(jù)合同約定尋求救濟（歐盟SCC第11條），（3）各方應(yīng)就違反第三方受益權(quán)而給數(shù)據(jù)主體造成的損失向數(shù)據(jù)主體負責(zé)（歐盟SCC第12條）。

2.連帶法律責(zé)任

為了方便數(shù)據(jù)主體向違約的傳輸方或接收方追責(zé)，歐盟SCC設(shè)計了連帶法律責(zé)任條款。

首先，數(shù)據(jù)主體可以向侵害第三方受益權(quán)而使其受損的那一方追究責(zé)任，無論這一方是傳輸方還是接收方，在境內(nèi)還是境外。其次，如果傳輸方和接收方都違約，則數(shù)據(jù)主體可以向任何一方追究全部責(zé)任，這違約方之間的責(zé)任通過內(nèi)部追償解決。最后，在模塊2（C-P）和模塊4（P-P）的情況下，因為位于境外的皆為處理者，考慮到控制者與處理者之間對數(shù)據(jù)主體履行義務(wù)的大小天然存在差異，此時傳輸方應(yīng)就自己和接收方對數(shù)據(jù)主體造成的損失承擔(dān)先行賠償責(zé)任，然后再向數(shù)據(jù)接收方追償。

歐盟SCC一方面通過有過錯的兩方的責(zé)任連帶確保數(shù)據(jù)主體的權(quán)利可以得到充分實現(xiàn)，另一方面通過傳輸方（為控制者C或處理者P時）對接收方（為處理者P或次級處理者Sub-P時）的連帶責(zé)任確保該權(quán)利的實現(xiàn)更加便利。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。