原文标题:《中国数据跨境传输标准合同和欧盟的有何不同?》,作者:游云庭(上海大邦律师事务所高级合伙人,知识产权律师)、汪婷(上海大邦律师事务所顾问),题图来自:视觉中国
一、中国和欧盟之间跨境传输个人数据有哪些途径?
我国向境外(包括欧盟和美国)跨境传输个人数据有三条途径:
1.通过网信部门的安全评估;
2.专业机构的个人信息保护认证;
3.签订标准合同。
欧盟的《通用数据保护准则》提供了多种途径实现个人数据的跨境传输,主要分为三种机制:
第一种是基于充分性认定机制(又称白名单);
第二种是采取适当保障措施的机制,包括签订标准合同(StandardContractualClause或者SCC)、通过约束性企业规则(BindingCorporateRules或者BCR)、认证机制、行为准则(CoC)等;
第三种为获得数据主体同意、履行合同所必要等。
由于欧盟认定的个人数据保护充分性认定的白名单不包括中国,因此企业将欧盟的个人数据传输至中国则需要采取《通用数据保护准则》规定的其他豁免途径,如签订标准合同、约束性企业规则、获得数据主体同意。
对于集团内数据传输,大中型跨国企业集团可能更愿选择通过约束性企业规则的路径,即提交一份保证在集团企业内部遵守欧盟数据保护法的文件或制度陈述。对于大部分企业,可能更依赖于签订标准合同的路径将欧盟的个人数据传输到中国。
二、中欧跨境传输个人信息标准合同有哪些异同?
欧盟标准合同和我国的标准合同虽然均是签订标准合同的文本,但在侧重点和适用上还是有所不同,具体而言:
1.适用主体及范围
稍微解释一下数据控制者和数据处理者,以让facebook被罚50亿美元的剑桥数据泄露案为例[ii],该案中,facebook公司收集控制了用户的数据,但因其对用户数据保护不力,导致一款仅2.7万用户使用的剑桥公司开发的App获得了超过5000万用户的facebook数据,相应的数据分析结果甚至影响了美国大选的结果,最终致其被罚50亿美元。该案中,facebook公司就是数据控制者,而对数据进行分析的剑桥公司则是数据处理者。
相比于欧盟区分主体处理数据的角色,我国则统称为个人信息处理者。我国标准合同区分行业和处理个人数据的总量的目的,除了基于保障个人数据主体权益外,还有基于国家安全和公共利益的考虑。所以并不是所有的主体都可以适用标准合同来实现数据的跨境传输。只有同时符合四个条件,才可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。而个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
在适用范围上,原则上,欧盟标准合同和我国标准合同均只适用于签署标准合同的双方,但是欧盟标准合同中的对接条款(dockingclause)可以使得第三方后续以数据传输方或接收方的身份或地位加入欧盟的标准合同,受到该合同的约束。而我国标准合同则没有该机制,若是境外接收方再向第三方提供个人数据,则必须获得用户的单独同意且要达成新的书面协议。
2.法律适用和争议解决条款
在法律适用条款上,欧盟标准合同的选择权可能多于我国的标准合同。之所以这么说,是因为除了欧盟成员国的法律外,在特定情况下,欧盟标准合同可以允许适用非欧盟成员国的法律。相比而言,我国的标准合同只能适用中国法律。
在争议解决条款上,欧盟标准合同的争议解决更偏向于法院管辖,但可以选择欧盟或非欧盟的法院,而我国标准合同的争议解决则采用了民事争议专用的解决机制:法院管辖或者仲裁管辖。法院管辖要求必须选择国内法院,但仲裁机构则可以选择中国国际经济贸易仲裁委员会、中国海事仲裁委员会或北京仲裁委员会,或选择《承认及执行外国仲裁裁决公约》(即《1958年纽约公约》)成员的仲裁机构。
3.数据传输的评估
欧盟和我国均需要对数据传输进行相应的评估,虽然欧盟《通用数据保护准则》更强调对于数据跨境传输活动进行风险评估及采取有效措施降低跨境传输风险的思路,但是,数据跨境传输并不属于必须进行数据保护影响评估的场景,只有在欧盟监管机构要求时,企业才需要提供个人数据跨境传输评估记录。相比而言,我国的标准合同则需要在事前进行个人信息影响评估报告,并同时向网信部门提供评估报告(该报告需要保存3年)。
如前所述,在欧盟监管机构要求时,企业需要提供相应的评估记录,在这种情况下,欧盟监管机构还是有可能实质性审核该评估内容和记录的。而由于我国的标准合同实行的是备案制度,故我国网信部门不会实质性审核每一份评估报告和评估记录。
4.技术保障措施
欧盟标准合同对数据的访问有着严格的限制,即在欧盟标准合同的第三节规定,数据接收方一旦收到非欧盟国家的政府提出的数据访问请求,且有理由质疑该请求的合法性,那么应当立刻告知数据发送方。
相比欧盟严格限制访问要求,我国标准合同则笼统地规定,个人信息处理者应尽合理的努力确保境外接收方采取有效的技术和管理措施。对于具体的技术和管理措施,我国标准合同则列举了加密、匿名化、去标识化、访问控制等多种措施,并要求确保“这些措施维持适当的安全水平”。而对于境外接收方所在国政府机构的访问,我国标准合同只要求在评估时予以考虑,并没有严格的限制。
5.责任分配方式
如前所述,欧盟《通用数据保护准则》将主体划分为个人数据的数据控制者和数据处理者,根据数据控制者和数据处理者关系的不同,适用不同模式的标准合同,也就意味着在数据传输过程中对于数据接收方的控制力不同,因此,在不同模式的欧盟标准合同下,合同双方所需要承担的责任与义务是存在差异的。
相比而言,我国标准合同没有区分数据处理的角色而统称为个人信息处理者,因此个人信息处理者与境外接收方承担的义务是相同的,只是在委托处理的场景下有所不同。