欧盟委员会根据GDPR及欧盟法院在Schrems II案判决所确立的原则于2021年6月4日作出2021/914号执行决定[1]并发布关于向第三国传输个人数据的新版标准合同条款(Standard Contractual Clauses,简称“新版SCCs”)至今已有一年时间。在新版SCCs发布一周年之际,欧盟委员会根据相关方的使用反馈,于2022年5月25日发布了有关新版SCCs的若干问题解答(简称“Q&A”)[2],旨在就新版SCCs应用过程中的常见问题提供解答。虽然欧盟委员会强调该文件仅供参考而不构成法律意见,但其针对实际问题通过举例等方式进行详细澄清和说明,对实践仍有很强的指导价值。本文拟就结合我们协助中国企业应用新版SCCs的实践经验,并根据欧盟委员会在Q&A中所做的澄清和说明,针对新版SCCs应用过程中所遇到的常见问题进行梳理和解答。
目录
1. 新版SCCs与旧版SCCs之间是什么关系?
2. 新版SCCs的适用范围是什么?
3. 新版SCCs的四个模块的典型适用场景有哪些?
4. 当事人是否可以修改新版SCCs中的条款内容?
5. 新版SCCs中的对接条款(docking clause)的用途和适用场景是什么?
6. 数据接收方能否将其收到的个人数据再传输给EEA外的第三方?
7. 新版SCCs所要求的传输影响评估(transfer impact assessment)是指什么,应当如何开展?
8. 签约方是否可以通过责任限制条款来限制新版SCCs项下的违约责任?
9. 根据新版SCCs签订的数据传输合同如何选择适用法律与管辖法院?
10. 承诺遵从新版SCCs与遵守中国法律是否存在冲突?
1. 新版SCCs与旧版SCCs之间是什么关系?
所谓“旧版SCCs”是指欧盟委员会通过第2001/497/EC和第2004/915/EC号决定发布的两套用于从欧洲经济区(“EEA”)内的数据控制者向EEA外的数据控制者传输个人数据的标准合同条款,和欧盟委员会第2010/87/EU号决定所发布的一套用于从EEA内的数据控制者向EEA外的数据处理者传输个人数据的标准合同条款(分别称为“2001版SCCs”和“2010版SCCs”)。这三套旧版SCCs系在GDPR生效之前根据欧盟数据保护指令(Directive 95/46/EC)发布并被EEA内的数据控制者或处理者作为数据传输方(data exporter)用来向EEA外的数据接收方(data importer)传输个人数据。在GDPR生效后,发布旧版SCCs的三个决定在由欧盟委员会根据第46第2款作出必要的修正、替代或废除之前仍然有效,因而旧版SCCs被认为可以继续作为EEA内的数据传输方向EEA外的数据接收方传输受GDPR所保护的个人数据的合法基础。
但在欧盟委员会制订和发布新版SCCs后,旧版SCCs的基础文件(即发布该SCCs的决定)已经被第2021/914号执行决定所废除。因而自2021年9月27日起,不应再依照旧版SCCs来订立数据传输合同以作为数据传输方将个人数据传输给EEA外的数据接收方的合法基础,在此之后签订新的数据传输合同均应根据新版SCCs签订。
对于在2021年9月27日之前已经根据旧版SCCs签订的数据传输合同而言,欧盟委员会提供了截止2022年12月27日的过渡期,即该等已签订的合同可被视为提供了符合GDPR第46条第1款所要求的保障措施而在过渡期内继续使用,前提是该合同项下所约定的数据传输活动保持不变。这一前提的潜台词是,如果在过渡期内,所涉及的数据传输(如传输的个人数据类型和传输的目的)发生实质变化的,则依照旧版SCCs签订的既有合同也不能再作为传输的合法基础,而必须另行根据新版SCCs重新签订合同。
对于中国企业而言,如果仍使用根据旧版SCCs签订的合同而传输或接收受GDPR保护的个人数据的,并且预计该等数据传输将在2022年12月27日后持续的,应当与合同相对方协商尽早根据新版SCCs的内容签订新的数据传输合同,以确保业务活动所需的数据传输的合法基础得以平稳过渡。
2. 新版SCCs的适用范围是什么?
新版SCCs仍然是GDPR第46条第2款所规定的可作为数据控制者或处理者向EEA之外的数据接收方传输受GDPR保护的个人数据的合法基础之一。简言之,新版SCCs适用范围是:受GDPR约束的控制者或处理者将个人数据传输给EEA之外的其活动不受GDPR约束的控制者或处理者。
在考虑新版SCCs的适用范围时,需要避免两个误区:
误区一:在不存在GDPR第46条第2款下的其他合法基础时,只要接收方系位于EEA之外,就需根据新版SCCs签订合同来作为传输个人数据的基础。
出现这一认识误区的原因是忽视了位于EEA之外的接收方的数据处理活动根据GDPR第3条第2款的规定而受其直接约束的情形。如果EEA外的接收方本身直接受GDPR的约束,则向其传输个人数据并不适用新版SCCs。欧盟委员会在Q&A中指出,在这种场景下适用SCCs将导致权利义务关系的重复,并可能在一定程度上偏离该数据接收方在GDPR项下所直接承担的的义务[3]。
示例1:
一家注册于中国的从事手机游戏运营的A公司,在EEA内的苹果商店和其他手机应用商店发布其游戏APP供用户下载使用,则A公司对EEA内用户个人数据的收集和处理根据GDPR第3条第2款而直接受GDPR的约束。当A公司委托一家位于EEA的广告公司B就其所运营的游戏而向EAA区域内的用户提供广告投放服务的,当B公司就与之相关服务需要向位于中国的A公司传输EEA内用户的有关个人数据时,B公司与A公司不需要,也不应当根据新版SCCs签署数据传输合同。
误区二:新版SCCs只适用于数据传输方系EEA内的控制者或处理者的情形。
这类错误的原因同样在于忽视了EEA外的控制者/处理者可能因GDPR第3条第2款的规定而受GDPR直接约束的情形。当它们向EEA外的不受GDPR约束的接收方传输受GDPR所保护的个人数据时,也需要与接收方根据新版SCCs签署数据传输合同以作为合法传输的基础。这类典型场景包括:(i)由EEA外的控制者(其处理活动受GDPR约束)向EEA外不受制GDPR约束的控制者或处理者提供个人数据;(ii)由EEA外的处理者(其处理活动受GDPR约束)向EEA外的不受GDPR约束的子处理者或控制者提供个人数据。
示例2:
当示例1中的中国A公司(作为控制者),将其所收集EEA内用户个人数据委托同样位于中国的C公司(作为处理者)进行数据分析的,A公司应当与C公司根据新版SCCs签署数据传输合同,以满足GDPR第46条1款的要求。
示例3:
当一家位于中国从事在线市场调研业务的X公司,接受另一家计划开展欧洲业务的中国企业Y公司的委托,根据Y公司的要求通过互联网远程向EEA内的个人开展产品调研并收集他们的某些个人数据。根据GDPR第3条第2款,X公司(作为处理者)受GDPR的直接约束。而当X将包含有关个人数据的调研信息提供给Y公司(作为控制者)时,X公司应当与Y公司根据新版SCCs签署数据传输合同。
3. 新版SCCs的四个模块的典型适用场景有哪些?
相对于仅适用于控制者向控制者和控制者向处理者传输这两种情形的旧版SCCs而言,新版SCCs以四个模块的方式涵盖了实践中最常见的传输场景,分别为:从控制者传输给控制者(模块1),从控制者传输给处理者(模块2),从处理者传输到处理者(模块3),以及从处理者传输到控制者(模块4)。结合中国企业和机构在相关业务场景下所涉及的数据传输场景,下文以举例的方式来说明如何SCCs四个模块的典型适用场景。
(1)控制者向控制者提供个人数据
即数据传输方与数据接收方在数据处理活动中的角色均为控制者的情形。
示例4:
中国的R大学与一家德国的H大学建立长期的合作交流关系,定期互相派遣学生前往对方学校学习交流。当H大学需要将其德国学生的个人数据提供R大学以供安排他们在中国的课程、交通、食宿等安排时,H大学应使用新版SCCs的模块1来与R签署数据传输合同,因为他们在涉及这些学生的个人数据处理活动中各自均扮演的是数据控制者的角色。
示例5:
一家总部设立于中国的X公司在全球范围内开展智能手机业务,其在EEA的业务通过在爱尔兰的子公司开展。为X公司分析全球用户使用习惯的目的,需要由其爱尔兰子公司将其也运营所收集的EEA内用户的手机使用数据传输回X公司在中国的总部。为该等传输,爱尔兰子公司应当使用新版SCCs的模块1与其母公司X签订数据传输合同。
(2)控制者向处理者提供个人数据
即数据传输方为控制者,而数据接收方为处理者的情形。在示例2中,A公司向同样位于中国的C公司提供其所收集的EEA个人数据并委托其进行分析时,A公司就应当采纳新版SCCs的模块2来签署数据传输合同。
示例6:
当一家位于法国的药品研发公司S公司为开展全球多中心临床试验,使用了一家中国N公司所提供的EDC服务,而N公司承载该EDC服务的数据中心位于香港。当S公司需要使用该EDC服务来处理其所收集的EEA内的受试者的生理数据时,S公司(作为控制者)应当采纳新版SCCs的模块2来与N公司(作为处理者)签订数据传输合同。
(3)处理者向处理者提供个人数据
即数据传输方和数据接收方在数据处理活动中均扮演处理者角色的情形。
示例7:
一家总部位于中国的T公司在全球范围内开展云计算服务,其在欧洲的业务由其荷兰子公司通过位于当地的数据中心负责运营,而一家丹麦客户订购了其荷兰子公司所运营的云服务来部署其HR管理系统。当为技术支持、故障处理等原因,荷兰子公司需要允许T公司中国核心技术团队远程访问在荷兰数据中心所承载的公有云资源,进而访问并协助处理丹麦客户HR系统的故障时,该荷兰子公司(作为处理者)应当确保其与母公司T公司(作为处理者)之间签订了新版SCCs模块3的数据传输合同。
(4)处理者向控制者提供数据
即数据传输方为处理者,而数据接收方为控制者的情形。在示例3中,X公司(作为处理者)将其代表Y公司所收集的EEA内受访者个人数据提供给Y公司(作为控制者)时,所签订的数据传输合同就应当采纳新版SCCs的模块4。
适用模块4的更典型的场景是一个EEA外的控制者委托EEA内的处理者代表其收集或处理来自EEA中的个人数据的情形,例如:
示例8:
位于中国的制造业企业W公司为进入东欧市场之目的,委托一家位于波兰的G公司在波兰、匈牙利等国收集和调研当地企业对特定产品的需求,当G公司将包含若干当地企业负责人联系信息的调研报告提供给W公司时,其需要根据新版SCCs的模块4与W公司签订数据传输合同,以确保合规。
4. 当事人是否可以修改新版SCCs中的条款内容?
鉴于欧盟委员会发布的新版SCCs是作为GDPR第46条第2款项下的向EEA外传输个人数据的合法基础之一,除了如下的几种情形的改动之外,新版SCCs的条款内容不能被修改:(i)选择适用的SCCs模块;(ii)在SCCs文本中提供的具体选项或可选条款(例如“对接条款”)中进行选择;(iii)根据SCCs的要求在方括号中填入必要信息,例如管辖法院;(iv)填写SCCs附件中的信息;或(v)在SCCs文本之外补充约定更高水准的额外保障措施。
需要强调的是,如果在签署数据传输合同时在上述允许的改动之外还修改了新版SCCs的条款内容,则签约方将不能再依据该被修改后的合同作为向EEA外的接收方传输个人数据的合法基础。因此在采纳新版SCCs起草有关数据传输合同时,需要慎重处理。
此外,如果双方并非根据新版SCCs签署单独的数据传输合同,而是把新版SCCs作为一个组成部分纳入双方之间商业合同或主协议中,则需要考虑该合同的其他条款是否存在与SCCs内容冲突,或者是影响了SCCs所规定的义务与责任,特别是那些有关数据主体权利行使有关的义务与责任。
5. 新版SCCs中的对接条款(docking clause)的用途和适用场景是什么?
对接条款(docking clause)是新版SCCs引入的一个可供双方选用的条款,该条款允许已根据新版SCCs签订数据传输合同的各方可以同意在既有合同中加入新的签约方。这一条款为各方提供了更多的灵活性,以应对在合同期限内涉及数据处理活动的实体增加的情形。
一个比较典型的适用场景是,当一个控制者根据依照根据新版SCCs签署的数据传输合同,将个人数据转移给一个EEA外的处理者。当该处理者希望就同样的处理活动使用另一个位于EEA外的处理者来处理个人数据时,经原数据传输合同的双方同意,该新的处理者(也将作为数据接收方)可以通过签署原传输合同附录I.A的方式来加入该数据传输合同,并承诺遵守该数据传输合同各条款的约束。
当新的签约方通过上述方式加入既有数据传输合同后,该新加入的一方将根据其角色承担新版SCCs项下所有的权利和义务;与此同时,其他各方同时产生相对于新加入方的相关权利和义务。
6. 数据接收方能否将其收到的个人数据再传输给EEA外的第三方?
作为一项基本原则,当数据接收方拟向一个EEA外的第三方[4]再传输(onward transfer)其根据新版SCCs而收到的个人数据的,必须确保该等个人数据继续受到与新版SCCs同等水平的安全保障。这种安全保障可通过多种方式来实现,例如:(i)由该第三方根据对接条款加入数据接收方与数据传输方之间既有的数据传输合同;或者(ii)由数据接收方与该第三方另行签署一份提供与新版SCCs的保护水平相当的保障措施的传输合同。
新版SCCs的模块1、模块2和模块3的相应条款也允许数据接收方在一些特殊场景下向EEA外的第三方提供其所收到的个人数据,包括:(i)该等数据分享是为了保护所涉及的数据主体或其他自然人的重要利益所必要;(ii)数据接收方在特定的行政、监管或司法程序中确立、行使或抗辩某个主张而有必要分享相关数据。
除此之外,在不同模块下,因为数据接收方的角色差异,不同的数据接收方还可能在满足不同条件的情况下将其收到的个人数据向第三方再次传输:
1
在模块1下,作为控制者的数据接收方可另行取得相关数据主体的明确同意而将数据再传输给第三方。为此目的,该数据接收方需向所涉及的EEA内的数据主体明确告知再传输的目的、该第三方的身份以及由于缺乏数据保护保障措施而可能对个人造成的风险。并且数据接收方也必须通知数据传输方该等基于个人同意的再传输,并应数据传输方的要求向其提供一份其提供给数据主体的信息的副本。
2
在模块2和模块3下,作为处理者的数据接收方被允许将其接收到的个人数据再传输给控制者有记录的指示(documented instructions)所列明的第三方。控制者有记录的指示所列明的第三方,主要是指根据模块2和模块3下SCCs的第9条而经控制者所同意的子处理者(sub-processor),经批准的子处理者名单在SCCs的附录3中列明。
7. 新版SCCs所要求的传输影响评估(transfer impact assessment)是指什么,应当如何开展?
传输影响评估(transfer impact assessment)是指新版SCCs根据欧盟法院在Schrems II案判决中所确立的原则而新增的第14条所要求的评估。该条要求各方在根据新版SCCs签署数据传输合同之前,应事先评估目的第三国适用于数据接收方处理个人数据的法律和惯例是否会妨碍后者遵守新版SCCs的要求。
根据第14条(b)节的规定,数据传输方和接收方开展传输影响评估时应当考虑的因素包括:(i)传输的具体情形(如数据的类别和格式、接收者的类型、所在的行业、处理链条的长度);(ii)与传输的具体情形相关的目的地国的法律和惯例(包括那些要求向公共当局披露数据或授权当局查阅数据的法律和惯例)及其适用的限制和保障措施;和(iii)为补充SCCs条款的保障措施而采取的任何相关的合同、技术或组织保障措施(包括在传输过程中以及在目的地国处理个人数据时采用的措施)。特别的,新版SCCs的脚注12中强调,在对目的国法律和惯例对遵守SCCs条款的影响进行评估时,当依赖于实践经验(practical experience)来得出数据接收方对SCCs的遵守不会受到妨碍的结论时,签约方还必须要结合其他相关的客观的因素(例如公开的判例和独立机构的报告等)来佐证,并考虑这些因素的可靠性与代表性是否充分。
就如何开展评估,欧盟委员会还在Q&A中指出,应当结合EDPB的官方指南[5]来理解新版SCCs第14条的要求,特别是可以参照该指南所列明的详细步骤和评估要素来开展评估。
需要指出的是,新版SCCs第14条(d)节明确要求各方应当记录该评估的过程,并应根据监管机构的要求而提供该评估记录。因此当中国企业准备使用于根据新版SCCs而签订的数据传输合同来传输或接收EEA内数据主体的个人数据时,应当确保依照要求完成评估,并且以书面形式将评估过程和内容全面记录留存,以备查验。
8. 签约方是否可以通过责任限制条款来限制新版SCCs项下的违约责任?
根据新版SCCs第2条(a)节所确立的原则,虽然签约方被允许将SCCs文本作为一部分而纳入主协议或其他商业合同中,但前提是该等主协议或商业合同的其他条款不得直接或间接与SCCs的条款相抵触或损害数据主体的基本权利或自由。新版SCCs第5条进一步规定,当SCCs的条款与签约方在订立SCCs时既存的或此后签订的相关协议的规定有冲突的,则应以SCCs的条款为准。
因此,欧盟委员会在Q&A中指出,签约方不能通过在主协议或其他条款中加入责任限制条款来限制在新版SCCs条款下所承担的违约责任,无论这些责任是在签约方之间的还是签约方对数据主体所负有的。
9. 根据新版SCCs签订的数据传输合同如何选择适用法律与管辖法院?
新版SCCs第17条要求签约方选定适用于根据该SCCs所签订的数据传输合同的适用法律。在模块1、模块2和模块3下,适用法律均必须是某个欧盟成员国或其他EEA国家[6]的法律。在模块4下,则允许选择非EEA国家的法律。但无论哪种情况下,新版SCCs均要求该选定的适用法律应承认第三方受益人权利(third party beneficiary rights),即该适用法律应当允许签约方通过协议约定的方式创设可由作为第三方的个人(个人数据的数据主体)行使的合同权利。
此外,在模块2和模块3下,第17条约定,适用法律应当是数据传输方所在(established)的EEA国家的法律,除非该国法律不承认第三方受益人权利,此等情况下签约方应当另行选定一个EEA国家的法律。但该条规定存在一个漏洞:其忽略了在模块2下和模块3下可能存在的数据传输方并非EEA内主体的情形(例如本文的示例2)。此等情况下,显然无法根据数据传输方所在的国家来选定适用法律,但可以考虑通过选择与该等数据传输关联性最紧密的EEA国家(例如该数据传输方在欧盟境内指定的代表所在的国家,或所收集的个人数据来源最多的EEA国家)的法律来满足要求。
而在模块4下,签约方被允许选择非EEA国家的法律,如数据接收方所在国的法律,前提是该国法律承认第三方受益人权利。在中国企业系模块4下的数据接收者的情况下,相关方可以考虑选择中国法为适用法,这是因为我国的《民法典》第522条被认为允许当事人订立为第三人利益的合同,即承认第三方受益人权利。建议集合签约方之间的主协议的适用法律的选择来决定基于新版SCCs的数据传输合同/条款的适用法律。
在确定适用法律的基础上,新版SCCs第18条允许数据传输方和接收方就与之有关的争议选择管辖法院所在的国家。在模块1、模块2和模块3下,管辖法院必须是EEA国家的法院,为审理的便利,建议与所选择的适用法律的国家保持一致。此外,在这三个模块下,无论签约方之间如何选择法院所在国,数据主体均可以在其长期居住地的EEA国家的法院提起对数据传输方和/或数据接收方的诉讼。
在模块4下,签约方也被允许选择非EEA国家的法院。当中国企业系数据接收方时,中国法院显然可以作为管辖法院的一个选项,但签约方仍然需要综合考虑数据传输所涉及的交易的具体情况,包括主协议所选择的争议解决方式、中国法院对于新版SCCs条款的熟悉程度、可能的诉讼成本等因素来慎重决定。
需要指出的是,第18条提供给签约方的是对法院地的选择,而不允许签约方选择法院以外的争议解决方式(例如仲裁)来处理有关争议。唯一的例外是第11条的可选条款中允许数据接收方自愿指定一个独立的争议解决机构[7]来接受数据主体对其处理活动提出的主张,但不能强迫数据主体使用该机制;第11条同时规定,当数据主体行使第三方受益人权利时,他/她仍可以根据第18条的规定而在其长期居住地的EEA国家的法院起诉数据传输方和/或数据接收方。同时,该机制也不适用于签约方之间的争议解决。
10. 承诺遵从新版SCCs与遵守中国法律是否存在冲突?
由于新版SCCs规制的传输活动是从EEA向EEA外的个人数据传输,其保护对象是产生自EEA内的个人数据,而中国的《个人信息保护法》针对的是对中国境内自然人个人信息的处理活动,关注将在中国境内所收集或产生的个人信息传输到境外时可能造成的风险;二者的保护对象不同,规制的数据流动也是不同的方向,因此中国企业在相应场景下签署新版SCCs并承诺对其遵守一般不会与包括《个人信息保护法》在内的中国法律项下的义务直接产生冲突。
但在某些场景下,可能会存在新版SCCs与中国法律的同时适用,甚至出现冲突的情形,需要慎重对待,例如:
场景1:
一家开展全球业务的中国公司,根据所签署的新版SCCs从其欧洲子公司处收到了EEA内用户的个人数据。该中国公司在中国将这些EEA内用户的个人数据和该公司在中国境内用户的个人信息进行融合,并对其进行分析和处理,形成了一个新的数据库,同时包括了来自EEA的个人数据和产生自中国的个人信息。这种场景下该公司对此数据库中数据的处理将同时受到新版SCCs和《个人信息保护法》的约束。而当它需要将融合后的数据库传输回其欧洲子公司时,对于该数据库中涉及的中国的个人信息,则必须履行《个人信息保护法》及其他行政法规对数据出境的义务,例如进行个人信息保护影响评估、数据出境安全评估(自评估和/或申请网信办评估)、签署中国版的标准合同条款等。
场景2:
一家中国企业作为数据接收方根据签署的新版SCCs而接收了来自EEA区域的个人数据,并在中国存储和处理这些个人数据。而我国的国家安全机关认为这些数据中包含有某个涉嫌侵害我国国家安全的外国人的信息,而要求这家中国企业披露其所掌握的该EEA内外国人的数据。中国企业在我国《网络安全法》第28条、《数据安全法》第35条下对此等数据调取负有配合提供的义务;而另一方面该企业需要根据新版SCCs第15条的约定就此等调取承担确认其合法性、及时通知、确保披露数据最小化等义务。这种情况下该企业需要审慎评估两方面的义务要求和对其的影响,在确保符合中国法律及有权国家机关的正当要求的前提下,在可行的范围内尽可能履行其在新版SCCs第15条项下的相应义务。同时,这种目的国公权力机关调取数据的场景正是新版SCCs第14条所重点关注的风险,中国企业需要对该等调查对后续传输的不利影响(例如EEA的数据传输方可能根据新版SCCs第14条(f)节而暂停或终止传输)有所准备。
注释
