2023年2月24日,国家互联网信息办公室(“网信办”)发布了《个人信息出境标准合同办法》(“中国SCC办法”),正式颁布了《个人信息出境标准合同》文本(“中国SCC“)。这是继2022年7月7日颁布的《数据出境安全评估办法》(“评估办法”)之后,网信办针对《个人信息保护法》(“《个保法》”或”PIPL”)第三十八条项下的三项个人信息出境路径推出的又一个具体规定,对中国数据出境的管理体系以及企业的个人信息出境合规产生重要而深远的影响。2023年5月30日,网信办发布《个人信息出境标准合同备案指南(第一版)》,为2023年6月1日起执行中国SCC办法规定的备案工作提供了更为具体的指引。
由于个人信息出境具有多边性和国际化的属性,了解本国和其他重点法域个人信息出境监管规则的异同,可以有效地帮助企业高效地开展个人信息出境合规工作。在隐私和个人信息保护制度发展得较为领先并对其他法域都有重要影响的欧盟,率先使用了标准模板合同的方式对于个人信息出境活动进行规制。欧盟委员会于2021年6月4日颁布了新版数据跨境转移标准合同条款(“欧盟SCC”)。本文旨在通过比较欧盟SCC与中国SCC路径的异同,为跨国企业等相关方提供跨境数据合规的指引。
一、中国PIPL与欧盟GDPR跨境提供个人信息总体路径概述
关于数据的跨境转移,欧盟《一般数据保护条例》(“GDPR”)规定了包括充足保护认定(Adequacy Decisions)、有约束力的公司规则(Binding Corporate Rules, “BCR”)及欧盟SCC等多种合规路径,且并未对个人信息的本地化存储作出限制。而《个保法》统一将告知并取得个人的单独同意作为数据跨境传输的前提条件,在合规路径方面,提供了安全评估、个人信息保护认证、与境外接收方订立中国SCC三个方式,同时对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者施加了本地化储存的义务。
根据GDPR,从欧盟向非欧盟国家转移个人数据的方式主要有以下几种:
- 转移目的地获得欧盟委员会的充分性认定,指的是欧盟认为对于个人数据有充分保护的国家或地区,个人数据可以直接转移到这些国家,而无需采取保护措施,这一规则主要适用于经认定的特定国家 [1];
- 对于未在上述白名单上的国家、地区或国际组织的商业实体,需通过采取保护措施得到充分保护,其中最重要的是签署欧盟SCC和主要适用于跨国公司或组织内部数据跨境传输的有约束力的公司规则(BCR)。
中国的个人信息出境规则需要遵守《个保法》第三十八条规定,国内个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:
- 通过国家网信部门组织的安全评估;
- 按照国家网信部门的规定经专业机构(如中国网络安全审查技术与认证中心)进行个人信息保护认证;
- 按照国家网信部门制定的中国SCC条文与境外接收方订立合同。对于个人信息处理者而言,需要首先考虑的是自身的出境行为是否触发了出境安全评估的必要情形,如果没有,则可以在认证和根据中国SCC与境外接收方订立合同中选择一种适合自己的合规路径。
二、对比欧盟SCC与中国SCC:有共性但也有各自的特点
1. 适用的前提有所不同
欧盟SCC适用于向“未取得充分保护认定”的第三方国家,将个人数据转移到没有获得足够保护水平的第三国或地区或国际组织,无论个人数据转移的性质或业务或个人数据的规模如何。因此,欧盟监管的重点是考察跨境个人数据转移的目的地是否能够为个人信息提供足够的保护,而不是在于评估将个人数据转移出欧盟的一方和在欧盟外接收个人数据的一方的保护能力。
中国PIPL规定,个人信息处理者必须考虑到个人信息转移中涉及的个人信息类型、规模和重要程度、以及是否涉及信息关键基础设施等。走中国SCC路径的个人信息处理者必须同时满足四个条件,即不构成关键信息基础设施运营者、处理少于100万人的个人信息、自上一年1月1日起累计向境外提供少于10万人个人信息以及少于1万人敏感个人信息这四项条件。因此,与欧盟SCC不同,个人信息处理者和海外接收方必须承担的合规义务并非首先由个人信息出境的目的地决定。
2. 标准条款文本均不可修改
在应用欧盟SCC作为数据跨境传输的安全措施时,其中的条款是不能被修改的。但在不违背欧盟SCC规定的条款前提下,可以添加与欧盟SCC条款不存在冲突的额外保护措施。
根据中国SCC办法第六条规定,中国SCC条文不得修改,数据转出方可以在中国SCC附录中与境外接收方约定其他条款,但不得与中国SCC相冲突。
由于中国SCC和欧盟SCC均不可修改,且二者间存在某些无法调和的冲突条款(例如管辖法律和争议解决机制),如果企业集团内部同时有从欧盟向中国转出个人信息和从中国向欧盟转出个人信息的需求,数据转出方无法通过在同一份文件上增加附录条款的方式,同时覆盖两个法域的要求。
3. 都要求对境外接收方所在地的个人数据保障情况进行评估以及明确数据跨境目的地数据监管法律对合同履行的影响
Schrems II案 [2] 影响了欧盟对个人数据跨境转移的合法性的评估要求。该案后,欧盟数据保护委员会(EDPB)提出数据转出方要确保数据转出方所在国家可以对个人数据提供充分的保障,数据转出方应保证其没有理由相信境外接收方所在法域的法律法规、政策、惯例等会影响合同的履行。欧盟SCC在第三节“当地法律以及公共当局访问下的义务”(Local Laws and Obligations in case of Access by Public Authorities)规定,对跨境数据转移应逐案审查,以确保外国接收者所在国的法律对欧盟境内的个人数据提供足够的保护,并且不存在对欧盟SCC的产生实质性违反的规定,影响欧盟SCC的履行。
而中国SCC制度,也配套要求提供个人信息保护影响评估(以下简称“PIA”),即SCC备案时需要将PIA报告一同提交给网信办备案。中国SCC办法中也强调了个人信息出境场景下的个人信息保护影响评估所需要包含的内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
中国SCC文本中也明确要求,个人信息处理者与境外接收方需保障,经过合理努力确认境外接收方所在国家或地区的个人信息保护政策法规不会阻止境外接收方履行本合同规定的义务。在提供以上保证时,双方应当声明已经就数据出境的具体情况、境外接收方所在国家或地区的个人信息保护政策法规以及境外接收方安全管理制度和技术手段保障能力进行了考量。
4. 均建立了第三方受益人权利保护机制
个人信息的跨境转移关系到个人信息主体的切身利益,因此为保护个人信息主体,欧盟SCC中设计了“第三方受益人”制度。这一制度突破了合同的相对性,使个人信息主体可以在其自身利益受到损害时向个人信息的处理者或境外接收方进行主张,尽管其并非SCC的签署方。
中国SCC也建立了类似的关于保护第三方受益人的规定。中国SCC第二条第(四)款中明确:“个人信息处理者应当履行下列义务:(四)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。”该条款明确了个人信息主体可以行使第三方受益人的权利,也限制了第三方受益人的范围为个人信息主体。
在欧盟SCC项下,除了个人信息主体作为第三方受益人外,欧盟SCC第9条中规定,当欧盟境外接收方将其在SCC项下的处理活动委托给次级处理者(“sub-processors”)的情形下,如境外接收方停止运营或破产,欧盟境内的数据转出方可以作为第三方受益人解除境外接收方与次级委托处理者之间的合同,并要求其销毁或退还个人数据,这一制度相比中国SCC下的第三方受益人的保护范围更广。
5. 适用的传输场景不尽相同
欧盟SCC划分了四类个人数据跨境传输的场景,即数据控制者至数据控制者间的传输(“C-C”),数据控制者至数据处理者间的传输(“C-P”),数据处理者至数据控制者间的传输(“P-C”),以及数据处理者至数据处理者间的传输(“P-P”)[3]。
但是中国SCC仅设置合同方为固定的“个人信息处理者”和“境外接收方”。基于中国SCC对"境外接收方"义务的要求,其可包含境外个人信息处理者及境外受托方两种场景。因此,中国SCC目前只涵盖中国境内个人信息处理者对海外个人信息处理者(C-C)以及中国境内个人信息处理者对境外受托方传输(C-P)这两种数据处理关系。而对欧盟SCC涵盖的另两种场景,即P-P和P-C,应如何处理的问题,还有待观察监管的进一步动向。
6. 额外条款设置与多方签约机制
欧盟SCC允许合同各方灵活运用合同条款,以将欧盟SCC条款纳入更广泛的协议(如商业合同、用户协议),也可以在欧盟SCC条款中增加额外条款,只要该等条款不直接或间接地与欧盟SCC条款相抵触,不侵犯数据主体的基本权利或自由。同时欧盟SCC可以多方签约,并允许随着时间的推移增加新的签署方。
但中国SCC下个人信息处理者仅可在中国SCC附录中与境外接收方约定其他与SCC不冲突的条款。同时中国SCC也没有设置多方签约机制,因此按照目前的中国SCC版本,实践中如涉及多个主体之间存在数据跨境行为的,可能需要进行多次签署和备案。
7. 备案要求
欧盟SCC没有进行备案的强制要求,但欧盟SCC第14(d)条规定,合同各方应对已进行的转移影响评估进行记录,如监管有要求则需向其提交。
中国SCC办法规定了对个人信息跨境传输的事前监管手段。中国SCC办法第七条规定,数据转出方应在中国SCC生效之日起10个工作日内向所在地省级网信部门备案。中国SCC办法第八条还要求如果个人信息跨境传输情况发生变化,缔约双方应当重新签订合同并再次履行备案义务。虽然企业自主订立中国SCC生效后可开展个人信息出境活动,而无需等待备案的完成,但是监管部门仍然有权在发现个人信息出境活动存在较大风险或者发生个人信息安全事件时,依法对个人信息处理者进行约谈并要求整改等。
8. 长臂管辖、管辖法律与争议解决
标准合同作为一种出境合规机制,其本质是以合同双方共同商定的合同形式,基本规制逻辑为将一国境内数据出境相关法律的法律义务通过合同固定下来,从而使境外接收方接受长臂管辖,保证个人信息出境后受到的保护标准不低于该国国家法律的最低限度规定。欧盟SCC中要求境外接收方同意与欧盟相关监管机构合作,同意回应询问,接受审计并遵守监管机构要求的保护措施(如损害赔偿和其他补偿措施)。根据欧盟SCC第17条,合同双方可以在有限的范围内选择适用的司法管辖(大多数情形下为欧盟成员国法律),但选择适用的法律必须承认数据主体的第三方受益人的权利。关于争议解决,欧盟SCC第18条规定,合同方之间的争议应通过在缔结合同时选择的欧盟成员国法院通过司法程序解决。
中国SCC在相关方面与欧盟SCC的上述规定相似,规定境外接收方必须同意接受中国监管机构的监督和管理,包括但不限于回应监管机构的要求、配合监管机构的检查、遵守监管机构采取的措施或作出的决定、接受个人信息主体在中国就其进行主张等条款。在适用法律上,中国SCC第九条第(二)款规定,必须选择中国法律作为适用法律。关于争议解决方式,中国SCC第九条第(四)款规定当事人可以选择在缔结合同时将争议提交给有管辖权的中国法院,也可以选择将争议提交至纽约公约成员国的仲裁机构。
[注]
[1] 到目前为止,欧盟委员会已对安道尔公国、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国(根据GDPR和LED)、美国(参加《欧盟-美国数据隐私框架》的商业组织)和乌拉圭的充分保护做出认定。See https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
[2] 2020年7月16日,欧盟法院在“Schrems Ⅱ案”中认为美国的监控立法违反了《欧盟基本权利宪章》,也没有为欧盟个人提供有效的司法救济,因此欧美之间的“隐私盾”协议无效。判决结果强调,在使用标准合同条款等保障措施进行数据传输时,也需确保提供了“与欧盟同等的保护水平”,强调需要进一步分析和逐案评估。See https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf
[3] 数据控制者,是指法人或自然人、机构、公共当局或任何其他机构,他们单独或与其他人一起决定任何个人数据的目的和处理方式。数据处理者,是指代表数据控制者处理个人数据的法人或自然人、机构、公共当局或任何其他机构。
来源:中伦视界
作者:
- 严静安,律师,上海办公室 合伙人,业务领域:跨境投资并购, 劳动人事, 合规和反腐败
- 叶筝,上海办公室 公司业务部
特别声明:以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
信息内容来源于贸法通平台 ,报告内容仅供预警与风险提示,供参考之用,不能将其视为做出决策的唯一依据。如有任何意见与信息反馈,请与我们联系。
北京市贸促会法律部
联系人:田博文
电话:010-88070495;13718609060