在欧盟委员会于6月4日发布最新版标准合同条款前,已有三套有效的标准合同条款。事实上,欧盟委员会根据95指令先后以欧盟委员会决定(CommissionDecision)的形式通过了4个版本的标准合同条款。2001年,欧盟委员会通过了适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款(以下简称为“SCC2001C”),和适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款(以下简称为“SCC2001P”)。2004年欧盟委员会通过对标准合同条款的应用情况进行复查,新增了一套适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款(以下简称为“SCC2004C”)。SCC2004C与SCC2001C是并行关系,可供企业根据自身情况选择其一。
SCC2004C与SCC2001C的主要区别在于数据传输方与数据接收方对数据主体的赔偿责任的承担。SCC2001C项下数据传输方与数据接收方就违约行为对数据主体承担连带责任;[5]SCC2004C项下数据传输方与数据接收方就其自身违约行为分别向数据主体承担赔偿责任,且在数据主体作为第三方向数据接收方索赔时,其必须先通过数据传输方进行索赔请求,只有在数据传输方怠于行动时(通常情况下合理期限为一个月),数据主体方可直接向数据接收方索赔。[6]2010年欧盟委员会更新了适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款(以下简称为“SCC2010P”),取代了早先颁布的SCC2001P。
点击可查看大图
SCC2001C、SCC2004C与SCC2010P均为95指令下的制度设计,因此缺乏诸多GDPR项下所要求的保护措施。为与GDPR保持一致,欧盟委员会2021年6月4日通过了最新版的标准合同条款,并于2021年6月27日生效,将取代原跨境传输SCCs。根据欧盟委员会的执行决定,原跨境传输SCCs将于2021年9月27日失效,涉及个人数据跨境传输的企业或组织可在原跨境传输SCCs失效后的15个月的过渡期间将新版跨境SCCs补充于原跨境传输协议中。
该案判决中虽未否定SCC的效力,但提出公司应当基于个案对数据跨境传输活动进行审核,确保数据接收方所在国家/地区的法律能够为欧盟个人数据提供充分的保护,不会在实质上违反SCCs中的约定。此案判决后,欧盟数据保护委员会(EuropeDataProtectionBoard,以下简称为“EDPB”)提出数据传输方要进行个案审查,确保数据接收方所在国家可以对个人数据提供充分的保障。[7]该案及欧盟的后续措施标志着SCCs逐步从纸面落实到具体实践中,且与数据接收方所在国家的法律环境直接关联。
最新版的标准合同条款将SchremsII案的判决纳入考量,对欧盟境外的数据接收方所在国的法律、数据接收方应对其所在国政府机关提出的具有法律约束力的披露个人数据的请求等情形作出规定,对数据传输各方提出了更为严格的实质审核和安全保证要求。[8]
最新版跨境传输SCCs项下划分了四类个人数据跨境传输的场景,即数据控制者至数据控制者间的传输(“C-C”),数据控制者至数据处理者间的传输(“C-P”),数据处理者至数据控制者间的传输(“P-C”),以及数据处理者至数据处理者间的传输(“P-P”)。上述不同场景在最新版跨境传输SCCs中分别对应不同的模块:
模块1(MODULEONE):C-C
模块2(MODULETWO):C-P
模块3(MODULETHREE):P-P
模块4(MODULEFOUR):P-C
最新版跨境传输SCCs的第一节(SECTIONI)为一般性条款,规定了标准合同条款的目的与范围、效率及解释等。自第二节(SECTIONII)“数据传输各方的义务”起,企业可依据其自身实际的数据传输场景在不同条款下(如第8条数据保护措施、第9条次级处理者的使用)选择适用不同的模块。最新版跨境传输SCCs“一般条款+模块化”的创新结构设计,相较于在先版本的分别条款的形式,实现了通过一套标准合同条款、单一切入点解决广泛的数据传输问题。
最新版跨境传输SCCs的另一重要创新在于其新增了P-P与P-C两类数据传输场景。该创新对当前数据流动的多样性以及日趋复杂的数据跨境流动场景作出了回应,为各方主体之间全类型的数据交互提供了全面的法律基础。
在地域适用范围上,最新版跨境传输SCCs与GDPR保持一致,同样适用于GDPR第3(2)条项下的在欧盟境外设立的数据传输方。[9]该创新为GDPR域外管辖效力下的非欧盟数据传输方的数据跨境活动提供了合法基础。
最新版跨境传输SCCs同步GDPR项下的规定,将域外适用情形纳入考量。同时,相较于在先版本的跨境传输SCCs,其对个人数据跨境传输的全数据处理链的透明度与可见性提出了更高的要求。为此,企业应当及早开展全面的数据映射工作,梳理已有的数据跨境传输活动、技术和组织安全措施等,为最新版跨境传输SCCs的适用做好充分准备。
在SchremsII案的影响下,最新版跨境传输SCCs对解决数据接收方所在国的法律与实践对其遵守标准合同条款的影响,尤其对应对上述国家公共当局所提出的具有法律约束力的个人数据披露要求的情形作出了具体规定。[10]
最新版跨境传输SCCs亦延续了SchremsII案判决中所作出的通过标准合同条款实现对欧盟个人数据的实质性保护的要求。最新版SCCs规定当数据接收方认为其自身难以遵守标准合同条款时,应当通知数据传输方。各方可通过采取补充性技术或组织措施来保障数据的安全性与保密性。[13]
上述规定统一适用于最新版跨境传输SCCs下的全部模块。其通过对包含数据接收方所在国法律环境等因素在内的评估要求,对标准合同条款路径下欧盟个人数据的实质性保护的落地作出了尝试。根据最新版跨境传输SCCs的规定,企业在应对政府调取数据的要求时,应当通知欧盟数据提供方并对政府的要求作出合法性评估,这一要求无疑增加了企业的合规成本与守约难度。
事实上,一些欧盟的数据传输方已经开始了个案评估的程序,笔者收到的一些欧盟合作律所有关中国法的请求,即是这一趋势的反映。
2021年6月4日,欧盟委员会首次通过了适用于数据控制者和处理者之间的委托处理SCCs,与GDPR对数据控制者与数据处理者的义务规定相衔接一致。根据GDPR第28(1)条,当数据控制者需要数据处理者代表其进行数据处理活动时,数据控制者所选用的应当是有充分保证可采取适当技术和组织措施的、针对个人数据的处理方式充分符合GDPR的各项要求,并且可保障数据主体权利的数据处理者。同时,GDPR第28(3)条规定,若数据控制者选择将其数据处理活动外包,其必须确保数据处理者的处理活动受合同或其他欧盟或成员国法律的约束,具体约束内容应当包括数据处理活动的期限、性质、目的,所涉个人数据的类型、个人数据主体的类型、数据控制者的权利义务及数据处理者的保密义务等。根据GDPR第28(7)条规定,欧盟委员会可就GDPR第28(3)条和GDPR第28(4)条所规定内容制定标准合同条款,此次委托处理SCCs也是欧盟层面的首个基于GDPR第28条的标准合同条款。
本标准合同条款主要通过第二节(SECTIONII)对数据处理者代表数据控制者进行数据处理活动的情形下各方的义务作出了详细规定。本标准合同条款的核心要点主要包括:
数据控制者就处理活动向数据处理者提供指示;
数据处理的安全性,特别是技术和组织措施的实施;
敏感数据的处理;
国际数据传输;
数据处理者对数据控制者的协助,如在数据主体请求、数据保护影响评估(DPIA)等情形下;
数据泄露通知要求。
本委托处理SCCs在内容上与丹麦、德国等国数据保护机构所制定的标准合同条款基本一致,此次欧盟委员会专门发布标准合同条款体现了欧盟层面对规则数据控制者与数据处理者之间数据处理活动的充分重视。
新版跨境传输SCCs及委托处理SCCs的发布,对于中国企业而言同样会产生深刻的影响。具体而言:
对于中国出海企业而言,若其根据GDPR第3条的经营场所标准(establishment)或目标指向标准(targeting)适用GDPR,且涉及将个人数据传输至欧盟境外第三方国家或地区的[16],主要可通过以下方式确保传输的合法合规性:
(1)将个人数据传输至经欧盟充分性认定的国家、地区或国际组织。目前充分性认定的范围包括安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭[17];
(2)与位于欧盟境外的、不适用GDPR的数据接收方签署跨境传输SCCs。按照常见的数据场景举例来说:
场景1:若某中国企业A在欧盟境内有分支机构,该企业所进行的数据处理活动由于与欧盟境内分支机构的活动之间存在不可分割的联系而根据GDPR第3条第1款适用于GDPR。如果A将从欧盟境内收集的个人数据传输至欧盟境外的某技术服务商B进行分析处理,此种情形下A与B之间应该签署跨境传输SCCs;
场景2:若某中国企业A在欧盟境内无实体,企业本身由于直接面向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3条第2款适用于GDPR。如果A将从欧盟境内收集的个人数据传输至欧盟境外的某技术服务商B进行分析处理,除非由于B参与处理行为的方式而导致本身适用GDPR,A与B之间需签署跨境传输SCCs;[18]
场景3:若某中国企业A在欧盟境内无实体,企业本身由于直接面向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3条第2款适用于GDPR。如果A企业直接从数据主体处收集数据并存储在位于中国的服务器上,此种情形下无需签署跨境传输SCCs。
对于中国本土企业而言,在接收从欧盟境内传输的数据时,则首先需要结合具体情况判断在个人数据跨境传输所涉场景下是否会导致自身适用GDPR,如不适用,则需要与数据传输方签署跨境传输SCCs。
若企业涉及从中国境内向境外提供个人数据,在我国《个人信息保护法(草案二审稿)》对于个人数据跨境传输的监管框架下,企业在向中国境外提供个人数据时应当签署国家网信部门制定的标准合同[19]。国家网信部门在制定标准合同时,也可能会参考新版SCCs的内容,区分不同的传输模式,明确传输双方义务与责任。
对于中国企业而言,不论是否会适用GDPR,在涉及个人数据委托处理时,均可参考委托处理SCCs的内容。在中国法框架下,企业与受托方所签署的协亦可以参考委托处理SCCs的内容,明确约定委托处理的具体情况及双方权利义务。