如前文《GDPR與〈個人信息保護(hù)法〉視角:個人信息跨境傳輸合規(guī)機(jī)制比較》所述,標(biāo)準(zhǔn)合同是個人信息跨境傳輸?shù)暮弦?guī)路徑之一,無論歐盟《通用數(shù)據(jù)保護(hù)條例》( Data ,下稱“GDPR”)還是我國《個人信息保護(hù)法》對此均有明確的規(guī)定。
在2018年GDPR正式生效前,歐盟委員會就已發(fā)布施行了個人信息跨境傳輸標(biāo)準(zhǔn)合同( ,下稱“舊版SCCs”),不過因缺乏與GDPR合規(guī)要求相對應(yīng)的條款,難以適用復(fù)雜的數(shù)據(jù)跨境需求,歐盟委員會于2021年發(fā)布了新版?zhèn)€人信息跨境傳輸標(biāo)準(zhǔn)合同條款(下稱“新版SCCs”),并于2021年6月27日起生效。根據(jù)新舊版本SCCs過渡期的規(guī)定,2022年12月27日起,舊版SCCs將完全失效。
2022年6月30日數(shù)據(jù)傳輸?shù)膯挝挥心男?/strong>,中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》,個人信息處理者依據(jù)《中華人民共和國個人信息保護(hù)法》第三十八條第一款第(三)項,與境外接收方訂立合同向中華人民共和國境外提供個人信息的,應(yīng)當(dāng)按照該規(guī)定簽訂個人信息出境標(biāo)準(zhǔn)合同(下稱“標(biāo)準(zhǔn)合同”)。
歐盟新版SCCs與中國標(biāo)準(zhǔn)合同都適用于個人信息跨境傳輸場景,在個人信息保護(hù)的切入角度和條款設(shè)置上存在一定共性,不過各有側(cè)重點。個人信息處理者應(yīng)當(dāng)關(guān)注兩份個人信息跨境傳輸標(biāo)準(zhǔn)合同項下異同,根據(jù)實際業(yè)務(wù)場景開展合規(guī)工作。
一
新版SCCs與標(biāo)準(zhǔn)合同的共性認(rèn)知
1. 訂立合同作為數(shù)據(jù)跨境路徑之一
GDPR第46條規(guī)定,控制者或處理者只有提供適當(dāng)?shù)谋U洗胧约盀閿?shù)據(jù)主體提供可執(zhí)行的權(quán)利與有效的法律救濟(jì)措施,才能將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織。在不要求監(jiān)管機(jī)構(gòu)提供任何具體授權(quán)的情形下,“適當(dāng)?shù)谋U洗胧笨梢酝ㄟ^公共機(jī)構(gòu)或?qū)嶓w之間簽訂的具有法律約束力和可執(zhí)行性的文件提供。
《個人信息保護(hù)法》將“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù)”作為個人信息處理者向境外提供個人信息的條件之一,《個人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》明確前述標(biāo)準(zhǔn)合同即《個人信息出境標(biāo)準(zhǔn)合同》。
歐盟GDPR與中國《個人信息保護(hù)法》均以能夠提供同等水平的數(shù)據(jù)安全保障為基礎(chǔ),允許數(shù)據(jù)傳輸方和境外數(shù)據(jù)接收方訂立合同作為數(shù)據(jù)跨境傳輸?shù)暮弦?guī)路徑之一,該合同中應(yīng)當(dāng)約定數(shù)據(jù)傳輸和接收雙方保障數(shù)據(jù)安全的權(quán)利義務(wù),具備法律約束力和可執(zhí)行性。
2. 個人信息主體權(quán)利與第三方受益人條款
新版SCCs和標(biāo)準(zhǔn)合同均規(guī)定,數(shù)據(jù)主體享有的一般權(quán)利包括查詢權(quán)、知情權(quán)、刪除權(quán)、拒絕權(quán)、更正或補(bǔ)充的權(quán)利、限制或拒絕第三人處理個人信息的權(quán)利、撤回同意的權(quán)利、提出異議的權(quán)利等。
此外,數(shù)據(jù)主體可以作為第三方受益人向數(shù)據(jù)出境方/個人信息處理者,或數(shù)據(jù)接收方/境外接收方主張部分條款中賦予個人信息主體的權(quán)利。第三方受益人權(quán)利是個人信息跨境傳輸中數(shù)據(jù)主體重要的權(quán)利基礎(chǔ),也是新版SCCs和標(biāo)準(zhǔn)合同對數(shù)據(jù)主體權(quán)利的共同關(guān)切。
3.關(guān)注目標(biāo)國家監(jiān)管法律的影響
新版SCCs要求數(shù)據(jù)傳輸方和接收方在數(shù)據(jù)跨境流動中作出基本保證,即目標(biāo)國家適用于數(shù)據(jù)接收方處理個人數(shù)據(jù)的法律和慣例,包括披露個人數(shù)據(jù)的任何要求或授權(quán)主管機(jī)關(guān)查閱的措施,不會妨礙數(shù)據(jù)接收方履行SCCs項下的義務(wù)。
標(biāo)準(zhǔn)合同要求個人信息處理者和境外接收方經(jīng)過合理努力排除境外接收方所在國家或地區(qū)的個人信息保護(hù)政策法規(guī)阻止境外接收方履行合同規(guī)定的可能性。應(yīng)當(dāng)納入考量的個人信息保護(hù)政策法規(guī)包括,現(xiàn)行個人信息保護(hù)法律法規(guī)、普遍適用的標(biāo)準(zhǔn),已加入的區(qū)域或全球性個人信息保護(hù)組織、作出的有約束力的國際承諾,落實個人信息保護(hù)的機(jī)制等。
在對目標(biāo)國家法律和慣例的尊重方面,新版SCCs規(guī)定如果目標(biāo)國家法律允許拒絕數(shù)據(jù)主體的請求數(shù)據(jù)傳輸?shù)膯挝挥心男?/strong>,在不違反GDPR目標(biāo)與原則的情況下,數(shù)據(jù)接收方可以拒絕數(shù)據(jù)主體請求。標(biāo)準(zhǔn)合同沒有類似規(guī)定,僅要求境外接收方所在國家或地區(qū)的個人信息保護(hù)政策法規(guī)發(fā)生變化導(dǎo)致無法履行本合同時,境外接收方在知道前述變化后立即通知個人信息處理者。
二
新版SCCs與標(biāo)準(zhǔn)合同的個性化規(guī)定
1. 簽署主體和使用場景
4.新締約方加入
新版SCCs特別規(guī)定了新締約方加入的“對接條款”(條款),即非SCCs締約方的實體可在任何時候作為數(shù)據(jù)傳輸方或數(shù)據(jù)接收方,通過填寫和簽署相關(guān)附錄、附件,經(jīng)締約方同意加入數(shù)據(jù)跨境傳輸合同,新締約方自加入合同起即擁有數(shù)據(jù)傳輸方或數(shù)據(jù)接收方的權(quán)利義務(wù)。中國標(biāo)準(zhǔn)合同中不包括類似的新締約方加入條款。
三
合規(guī)建議
1.判斷簽訂場景
建議企業(yè)梳理自身業(yè)務(wù)流,判斷是否涉及個人信息跨境傳輸問題,根據(jù)前文所述新版SCCs和中國標(biāo)準(zhǔn)合同的適用場景、域外效力,選擇適當(dāng)?shù)膫鬏敼ぞ撸袛嗍欠襁x擇簽署新版SCCs或《個人信息保護(hù)標(biāo)準(zhǔn)合同》作為個人信息跨境傳輸機(jī)制。如涉及歐盟境內(nèi)實體將數(shù)據(jù)傳輸給歐盟境外實體的場景,建議檢查是否已經(jīng)與境外接收方簽訂了舊版SCCs,關(guān)注新舊版本SCCs過渡期的規(guī)定,在舊版SCCs失效前按照新版SCCs要求與境外接收方重新簽署合同。
2.確定簽署方式
跨國企業(yè)內(nèi)部不同子公司、分支機(jī)構(gòu)間跨境傳輸數(shù)據(jù)時,可以考慮通過新版SCCs的條款加入新締約方,簡化數(shù)據(jù)跨境傳輸合同的復(fù)雜程序。
簽署中國標(biāo)準(zhǔn)合同時,建議個人信息處理者審查與境外接收方簽訂的其他合同,不得與個人信息出境標(biāo)準(zhǔn)合同相沖突,雙方就個人信息出境的其他約定可以在個人信息標(biāo)準(zhǔn)合同附錄二中詳述,但不得與合同其他約定相沖突,不得通過其他約定條款減免數(shù)據(jù)傳輸雙方數(shù)據(jù)保護(hù)責(zé)任和義務(wù)。
深圳辦公室
主要業(yè)務(wù)領(lǐng)域:
爭議解決、
合規(guī)管理和知識產(chǎn)權(quán)
劉潤興高級顧問
深圳辦公室
主要業(yè)務(wù)領(lǐng)域:
常年合規(guī)、
數(shù)據(jù)合規(guī)和新經(jīng)濟(jì)