跨境數(shù)據(jù)合規(guī) | 全球數(shù)據(jù)跨境流動(dòng)標(biāo)準(zhǔn)合同條款研究（歐盟篇）【走出去智庫(kù)】-ESG跨境

走出去智庫(kù)觀察

國(guó)家互聯(lián)網(wǎng)信息辦公室于6月30日發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》，旨在規(guī)范個(gè)人信息出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，促進(jìn)個(gè)人信息跨境安全、自由流動(dòng)。

走出去智庫(kù)(CGGT) 特約法律專家、北京德恒律師事務(wù)所合伙人王一楠指出，隨著數(shù)據(jù)跨境流動(dòng)的數(shù)量急劇增長(zhǎng)以及相關(guān)安全風(fēng)險(xiǎn)的不斷涌現(xiàn)，世界上很多國(guó)家和地區(qū)也都先后推出了自己的版本。歐盟委員會(huì)在2001年就首次推出了標(biāo)準(zhǔn)合同條款，后在2004年和2010年分別推出了兩個(gè)新版本。2018年生效的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的第五章包括歐盟委員會(huì)制定的標(biāo)準(zhǔn)合同條款，并于2021年6月4日通過“關(guān)于向第三國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款的決定”，同時(shí)將最新版本標(biāo)準(zhǔn)合同條款（“歐盟SCC”）作為附件，取代之前所有的版本。

歐盟數(shù)據(jù)出境標(biāo)準(zhǔn)合同條款有哪些重要規(guī)定？今天，走出去智庫(kù)（CGGT）刊發(fā)北京德恒律師事務(wù)所王一楠和全婉晴的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、歐盟SCC在如下情況下適用：個(gè)人數(shù)據(jù)從處理行為受GDPR管轄的個(gè)人數(shù)據(jù)控制者/處理者（數(shù)據(jù)傳輸方）向不受GDPR管轄的控制者/（次級(jí)）處理者（數(shù)據(jù)接收方）傳輸。

2、歐盟SCC在一般性條款中規(guī)定了使用目的及范圍、效力優(yōu)先性和不可更改性、第三方受益人的權(quán)利、轉(zhuǎn)移說明和對(duì)接條款。其中特別明確條款內(nèi)容除選擇適當(dāng)?shù)哪K或增加或更新附錄的信息外，均不得修改。但只要不直接或間接與條款相矛盾或者損害數(shù)據(jù)主體的基本權(quán)利或自由，雙方可將歐盟SCC納入更廣泛的合同中和/或增加其他條款或額外的保障措施。

3、歐盟SCC本質(zhì)上屬于民事合同，而其主要目的是通過約定數(shù)據(jù)傳輸方和數(shù)據(jù)接收方的義務(wù)，以保護(hù)數(shù)據(jù)主體的權(quán)利。為了實(shí)現(xiàn)該目的，其設(shè)計(jì)了兩個(gè)法律基石：（1）第三方受益人權(quán)利，和（2）連帶法律責(zé)任。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

引言：

2022年6月30日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（“中國(guó)標(biāo)準(zhǔn)合同”），標(biāo)志著這個(gè)在國(guó)際上被廣泛采用個(gè)人信息跨境流動(dòng)保護(hù)性措施首次在我國(guó)開始“生根發(fā)芽”。

標(biāo)準(zhǔn)合同或稱標(biāo)準(zhǔn)合同條款（Standard Contractual Clause或SCC）系監(jiān)管部門為了確保個(gè)人信息在出境之后保護(hù)水平不低于本國(guó)標(biāo)準(zhǔn)而要求數(shù)據(jù)傳輸方與境外數(shù)據(jù)接收方簽署一個(gè)官方制定的合同模板。該做法通過合同的約束力將境內(nèi)的管轄權(quán)“延伸”至境外，達(dá)到一定“境內(nèi)法域外適用”的效果，以保護(hù)處于相對(duì)弱勢(shì)地位的個(gè)人信息主體權(quán)益。

隨著數(shù)據(jù)跨境流動(dòng)的數(shù)量急劇增長(zhǎng)以及相關(guān)安全風(fēng)險(xiǎn)的不斷涌現(xiàn)，世界上很多國(guó)家和地區(qū)也都先后推出了自己的版本。鑒于中國(guó)標(biāo)準(zhǔn)合同版本正在征求意見，筆者將世界上主要國(guó)家和地區(qū)已頒布的標(biāo)準(zhǔn)合同進(jìn)行逐一研究，形成系列文章，以資借鑒。

一、歐盟SCC的出臺(tái)背景

早在2001年，歐盟委員會(huì)就首次推出了基于《第95/46/EC號(hào)保護(hù)個(gè)人在數(shù)據(jù)處理和此類數(shù)據(jù)自動(dòng)流動(dòng)中權(quán)利的指令》的標(biāo)準(zhǔn)合同條款SCC2001C和SCC2001P，后在2004年和2010年分別推出了兩個(gè)新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

2018年生效的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的第五章對(duì)于從歐盟向第三國(guó)或國(guó)際組織傳輸個(gè)人信息進(jìn)行了規(guī)定，確保自然人數(shù)據(jù)出境后受到的保護(hù)水平不會(huì)被減損。該章節(jié)為此設(shè)置了若干適當(dāng)性保障措施，其中就包括歐盟委員會(huì)制定的標(biāo)準(zhǔn)合同條款。

為了落實(shí)該章節(jié)中的要求，歐盟委員會(huì)于2021年6月4日通過“關(guān)于向第三國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款的決定”（“歐委會(huì)決定”），并將最新版本標(biāo)準(zhǔn)合同條款（“歐盟SCC”）作為附件，取代之前所有的SCC版本。下文將從歐盟SCC的適用范圍、四大模塊、法律基石三個(gè)主要方面進(jìn)行介紹。

二、適用范圍

根據(jù)歐委會(huì)決定，歐盟SCC在如下情況下適用：個(gè)人數(shù)據(jù)從處理行為受GDPR管轄的個(gè)人數(shù)據(jù)控制者/處理者（數(shù)據(jù)傳輸方）向不受GDPR管轄的控制者/（次級(jí)）處理者（數(shù)據(jù)接收方）傳輸。如下圖所示：

GDPR直接管轄的范圍為歐洲經(jīng)濟(jì)區(qū)（European Economic Area），即歐盟28國(guó)，再加上冰島、挪威、列支敦士登三個(gè)國(guó)家（為了討論方便，下文統(tǒng)稱“歐盟”）。如果個(gè)人數(shù)據(jù)從歐盟成員國(guó)（例如德國(guó)）向歐盟之外的國(guó)家（如印度）傳輸，則歐盟SCC自然適用。但是，鑒于GDPR具有域外適用的效力，所以GDPR管轄范圍理論上比歐盟更廣，從而導(dǎo)致“跨越歐盟邊境”的傳輸不一定是構(gòu)成“跨越GDPR管轄范圍”，這就與GDPR第五章的“向第三國(guó)傳輸”產(chǎn)生了矛盾。

GDPR的域外適用效力來源自第3條第（2）款（與中國(guó)《個(gè)人信息保護(hù)法》第3條第（2）款類似），即發(fā)生在境外的兩類數(shù)據(jù)處理活動(dòng)受GDPR管轄：（a）為歐盟的數(shù)據(jù)主體提供商品或服務(wù)而進(jìn)行相關(guān)的數(shù)據(jù)處理；或（b）監(jiān)控歐盟數(shù)據(jù)主體在歐盟境內(nèi)活動(dòng)而進(jìn)行的數(shù)據(jù)處理。在這種情況下GDPR管轄范圍完全可以超越歐盟區(qū)域的物理邊界（參見下圖的虛線部分）。

具體來說，如上圖所述，當(dāng)數(shù)據(jù)傳輸方自歐盟某成員國(guó)（如德國(guó)）向同樣受GDPR管轄但地處非歐盟區(qū)域（如印度）的接收方傳輸數(shù)據(jù)時(shí)，雖然屬于GDPR第五章的“向第三國(guó)傳輸”，但雙方皆受GDPR管轄，根據(jù)歐委會(huì)決定的字面含義歐盟SCC并不適用。而當(dāng)接收方將數(shù)據(jù)再傳輸至同樣地處印度的另外一個(gè)主體時(shí)，由于該接收方不受GDPR管轄，根據(jù)歐委會(huì)決定后兩者之間應(yīng)當(dāng)簽署歐盟SCC，雖然此時(shí)并不存在傳統(tǒng)意義上的數(shù)據(jù)“跨境”。

針對(duì)GDPR域外管轄效力和第五章跨境傳輸之間銜接問題，EDPB在2021年11月發(fā)布了指南進(jìn)行解答，要求同時(shí)滿足如下三個(gè)條件才構(gòu)成跨境傳輸：（1）一個(gè)控制者或處理者的個(gè)人數(shù)據(jù)處理行為受GDPR管轄；(2）控制者或處理者（數(shù)據(jù)傳輸方）通過將個(gè)人數(shù)據(jù)傳輸、披露給另一個(gè)控制者、共同控制者或者處理者（數(shù)據(jù)接收方）；（3）數(shù)據(jù)接收方在一個(gè)第三國(guó)或者是一個(gè)國(guó)際組織，無論其處理行為是否受GDPR管轄。

根據(jù)指南，跨境傳輸中“跨境”為一個(gè)關(guān)鍵因素，而是否受GDPR管轄并不重要。因?yàn)闅W盟SCC是基于GDPR第五章的跨境傳輸制定的，結(jié)合上圖例子，傳輸方向后兩個(gè)接收方中的任何一個(gè)傳輸數(shù)據(jù)均屬于GDPR第五章的跨境傳輸，但就上圖傳輸方與接收方之間的數(shù)據(jù)傳輸目前的歐盟SCC并不適用，歐盟委員會(huì)表示將出臺(tái)針對(duì)這類場(chǎng)景的新的SCC版本。

三、歐盟SCC四大模塊

歐盟SCC分為兩大部分，分為合同正文和合同附錄。在合同正文部分又分為一般性條款和應(yīng)對(duì)四種不同的傳輸場(chǎng)景的四個(gè)模塊，供數(shù)據(jù)傳輸者和數(shù)據(jù)接收者可以根據(jù)實(shí)際情況選用。合同的附錄分為締約方的名單、數(shù)據(jù)轉(zhuǎn)移說明（包括轉(zhuǎn)移的個(gè)人數(shù)據(jù)類型、轉(zhuǎn)移的目的、個(gè)人數(shù)據(jù)將保留的期限等）、確保數(shù)據(jù)安全的技術(shù)和組織措施、次級(jí)處理者清單。

歐盟SCC四個(gè)模塊分別適用于從控制者（Controller）到控制者（Controller）,從控制者（Controller）到處理者（Processor），從處理者（Processor）到處理者（Processor）,以及從處理者（Processor）到控制者（Controller）這四類場(chǎng)景。

為了方便讀者理解，本文將四個(gè)場(chǎng)景逐一舉例介紹如下：

●模塊1（C-C）：從控制者到控制者（或共同控制者）

場(chǎng)景：一家瑞典旅行社與一家澳大利亞連鎖酒店簽訂了框架合同，為歐洲游客赴澳旅游提供住宿服務(wù)。為此，瑞典旅行社（C）需要將歐洲游客數(shù)據(jù)基于歐盟SCC傳輸?shù)降陌拇罄麃嗊B鎖預(yù)訂中心（C）。

●模塊2（C-P）：從控制者到處理者

場(chǎng)景：一家法國(guó)公司（C）將其雇員的個(gè)人數(shù)據(jù)提供給智利某大數(shù)據(jù)公司（P）進(jìn)行處理分析。

●模塊3（P-P）：從處理者到處理者（即次級(jí)處理者）

場(chǎng)景：一家比利時(shí)公司（C）委托在荷蘭的公司為自己處理數(shù)據(jù)，荷蘭公司（P）希望將一部分處理行為再委托給某印度公司（P）進(jìn)行處理。

●模塊4（P-C）：從處理者到控制者

場(chǎng)景：一家西班牙服務(wù)提供商（P）受巴西總部（C）指示將使用從巴西收到的客戶數(shù)據(jù)及其在西班牙收集的客戶數(shù)據(jù)進(jìn)行市場(chǎng)研究和開發(fā)營(yíng)銷材料，并將兩個(gè)數(shù)據(jù)包的匯總傳輸?shù)桨臀鳌?/p>

四、重要條款解讀

歐盟SCC在一般性條款中規(guī)定了使用目的及范圍、效力優(yōu)先性和不可更改性、第三方受益人的權(quán)利、轉(zhuǎn)移說明和對(duì)接條款。其中特別明確條款內(nèi)容除選擇適當(dāng)?shù)哪K或增加或更新附錄的信息外，均不得修改。但只要不直接或間接與條款相矛盾或者損害數(shù)據(jù)主體的基本權(quán)利或自由，雙方可將歐盟SCC納入更廣泛的合同中和/或增加其他條款或額外的保障措施。

不同模塊所對(duì)應(yīng)的權(quán)利義務(wù)差異在幾個(gè)重要條款中可以窺見一斑：

1.法律適用與管轄法院條款

在法律適用方面，模塊1（C-C）、2（C-P）和3（P-P）下必須適用歐盟成員國(guó)的法律，而模塊4（P-C）允許適用非歐盟國(guó)家的法律。其次，所有模塊的法律適用前提該法律支持“第三方受益人權(quán)利”。最后，在模塊2（C-P）和3（P-P）下，原則上應(yīng)優(yōu)先選擇數(shù)據(jù)傳輸方所在國(guó)的法律，除非這個(gè)國(guó)家不允許第三方受益人權(quán)利。

在管轄法院方面，模塊1（C-C）、2（C-P）和3（P-P）下合同雙方應(yīng)當(dāng)選擇歐盟經(jīng)濟(jì)區(qū)法院管轄，而數(shù)據(jù)主體也可以在其經(jīng)常居住地對(duì)合同雙方展開訴訟，而模塊4（P-C）允許雙方選擇非歐盟國(guó)家法院管轄。

綜合來看，在模塊4（P-C）的場(chǎng)景下，因?yàn)榭赡艹霈F(xiàn)根本不涉及歐盟數(shù)據(jù)主體個(gè)人數(shù)據(jù)的情形，并且身處在第三國(guó)的控制者的行為受到第三國(guó)法律的管轄，在法律適用和管轄法院時(shí)給予合同雙方更多的自由選擇空間。而在模塊2（C-P）和3（P-P）情形下，數(shù)據(jù)傳輸方所在國(guó)法律顯然與傳輸行為關(guān)系最密切，應(yīng)當(dāng)優(yōu)先適用。

2.再傳輸條款與次級(jí)處理者的使用

再傳輸條款（Onward Transfer）

再傳輸條款是指數(shù)據(jù)被傳輸至歐盟以外的數(shù)據(jù)接收方之后被再次傳輸至后續(xù)數(shù)據(jù)接收方（該數(shù)據(jù)接收方可以與首個(gè)接收方同處一個(gè)國(guó)家或另外一個(gè)第三國(guó)）（類似中國(guó)標(biāo)準(zhǔn)合同第3條第7款項(xiàng)下情形）。歐盟SCC在模塊1（C-C）、2（C-P）和3（P-P）中約定了再傳輸?shù)那樾巍?/p>

為了確保數(shù)據(jù)主體的權(quán)益能在再傳輸過程中得到同等保護(hù)，后續(xù)數(shù)據(jù)接收方需要滿足如下條件之一：通過對(duì)接條款(Docking Clause)加入歐盟SCC,符合GDPR第五章中其他數(shù)據(jù)出境要求（即在白名單國(guó)家、根據(jù)GDPR第46或47條采取適當(dāng)性保障措施），或者符合特定例外情形（例如出于維護(hù)數(shù)據(jù)主體或其他自然人的重要利益的必要等）。

在模塊1（C-C）中，因?yàn)槭讉€(gè)數(shù)據(jù)接收方為控制者，其可以自主決定處理數(shù)據(jù)的目的與方式，因此在其他方式都不適用的情形下，其可以通過獲得數(shù)據(jù)主體的明確同意的方式進(jìn)行再傳輸。當(dāng)然，其在征求數(shù)據(jù)主體同意時(shí)需要告知傳輸?shù)哪康?，再傳輸接受方的身份或類別，以及再傳輸缺乏適當(dāng)性保障措施時(shí)可能對(duì)數(shù)據(jù)主體帶來的風(fēng)險(xiǎn)等。

次級(jí)處理?xiàng)l款(Sub-processor)

使用次級(jí)處理者是指數(shù)據(jù)被傳輸至歐盟以外一個(gè)身份為處理者的數(shù)據(jù)接收方（P）之后被再次傳輸至一個(gè)身份為次級(jí)處理者的數(shù)據(jù)接收方（P）（類似中國(guó)標(biāo)準(zhǔn)合同第3條第8款項(xiàng)下情形）。歐盟SCC在模塊2（C-P）和3（P-P）中約定了使用次級(jí)處理者的情形。

同樣，為了確保數(shù)據(jù)主體的權(quán)益能在次級(jí)處理過程中得到同等保護(hù)，歐盟SCC提出如下要求：首個(gè)數(shù)據(jù)接收方應(yīng)獲得數(shù)據(jù)傳輸方的書面授權(quán)，次級(jí)處理者進(jìn)行處理活動(dòng)之前必須與首個(gè)數(shù)據(jù)接收方簽署書面合同（也可以通過對(duì)接條款(Docking Clause)加入數(shù)據(jù)傳輸方和首個(gè)數(shù)據(jù)接收方之間的歐盟SCC），數(shù)據(jù)接收方與次級(jí)處理者還需要約定以數(shù)據(jù)傳輸方為第三方受益人的條款，以確保在數(shù)據(jù)接收方法律上不存在時(shí)，數(shù)據(jù)傳輸方有權(quán)終止次級(jí)處理者的合同并指示后者刪除或歸還個(gè)人數(shù)據(jù)。

五、兩個(gè)法律基石

歐盟SCC本質(zhì)上屬于民事合同，而其主要目的是通過約定數(shù)據(jù)傳輸方和數(shù)據(jù)接收方的義務(wù)，以保護(hù)數(shù)據(jù)主體的權(quán)利。為了實(shí)現(xiàn)該目的，其設(shè)計(jì)了兩個(gè)法律基石：（1）第三方受益人權(quán)利，和（2）連帶法律責(zé)任。前者為數(shù)據(jù)主體可以根據(jù)標(biāo)準(zhǔn)合同條款向違約方直接主張權(quán)利提供了實(shí)現(xiàn)的路徑，后者為數(shù)據(jù)主體在主張權(quán)利時(shí)提供了必要的便利。

1.第三方受益人權(quán)利

通常而言合同具有相對(duì)性，只有合同的參與者才能根據(jù)合同約定享有權(quán)利和履行義務(wù)。但是第三方受益人權(quán)利從一定程度上突破了合同的相對(duì)性，而將合同權(quán)利擴(kuò)張到了未實(shí)際參與合同的第三方。例如保險(xiǎn)公司與被保險(xiǎn)人簽訂的人壽保險(xiǎn)合同，受益人為被保險(xiǎn)人的妻子，則若被保險(xiǎn)人意外身亡，其妻子將有權(quán)基于保險(xiǎn)合同受償。這里的妻子即為保險(xiǎn)合同的第三方受益人。隨著時(shí)代和法律的發(fā)展，合同第三方受益人權(quán)利的適用場(chǎng)景不斷擴(kuò)大。

不同國(guó)家的法律對(duì)合同第三方受益權(quán)的規(guī)定略有差別，有的國(guó)家并不承認(rèn)第三方受益權(quán)（如德國(guó)），有的國(guó)家區(qū)分為第三方利益而設(shè)定債權(quán)以及第三方受讓債權(quán)人的債權(quán)（如美國(guó)）。但綜合歐盟SCC中約定第三方受益人（即數(shù)據(jù)主體）權(quán)利的目的和相關(guān)規(guī)定，我們可以概括第三方受益人權(quán)利具有如下幾個(gè)特點(diǎn)：（1）應(yīng)當(dāng)在合同中明確約定第三方受益人身份和可執(zhí)行條款（歐盟SCC第3條），（2）第三方可以根據(jù)合同約定尋求救濟(jì)（歐盟SCC第11條），（3）各方應(yīng)就違反第三方受益權(quán)而給數(shù)據(jù)主體造成的損失向數(shù)據(jù)主體負(fù)責(zé)（歐盟SCC第12條）。

2.連帶法律責(zé)任

為了方便數(shù)據(jù)主體向違約的傳輸方或接收方追責(zé)，歐盟SCC設(shè)計(jì)了連帶法律責(zé)任條款。

首先，數(shù)據(jù)主體可以向侵害第三方受益權(quán)而使其受損的那一方追究責(zé)任，無論這一方是傳輸方還是接收方，在境內(nèi)還是境外。其次，如果傳輸方和接收方都違約，則數(shù)據(jù)主體可以向任何一方追究全部責(zé)任，這違約方之間的責(zé)任通過內(nèi)部追償解決。最后，在模塊2（C-P）和模塊4（P-P）的情況下，因?yàn)槲挥诰惩獾慕詾樘幚碚?，考慮到控制者與處理者之間對(duì)數(shù)據(jù)主體履行義務(wù)的大小天然存在差異，此時(shí)傳輸方應(yīng)就自己和接收方對(duì)數(shù)據(jù)主體造成的損失承擔(dān)先行賠償責(zé)任，然后再向數(shù)據(jù)接收方追償。

歐盟SCC一方面通過有過錯(cuò)的兩方的責(zé)任連帶確保數(shù)據(jù)主體的權(quán)利可以得到充分實(shí)現(xiàn)，另一方面通過傳輸方（為控制者C或處理者P時(shí)）對(duì)接收方（為處理者P或次級(jí)處理者Sub-P時(shí)）的連帶責(zé)任確保該權(quán)利的實(shí)現(xiàn)更加便利。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。