欧盟标准合同(Standard Contractual Clauses)是由欧盟委员会审核检查通过的、将欧盟公民个人数据跨境传输到非欧盟经济区的示范合同文本,旨在从契约角度加强对个人数据向第三国转让的保护。涵盖标准合同在内的数据跨境传输机制,是欧盟构建国际数据规则体系的重要组成部分。2021年,欧盟结合行政和司法实践,对标准合同做全面更新,严格个人数据跨境监管,欧盟标准合同改革历程对我国完善数据安全监督管理机制具有较高参考价值。
发布时间:2022-04-01 09:56来源:数字化的经济杂志作者:王轶 张浩 唐琦 赛迪智库政策法规研究所
标准合同于1995年被提出,适用于向数据保护水平未获充分认定的第三国传输个人数据的情形,并先后修订形成三套标准合同。标准合同源于1995年生效的《欧盟数据保护指令》,并先后形成了三套标准合同(SCC2001C、SCC2004C、SCC2010P),用于欧盟境内数据控制者向境外第三国的数据控制者或处理者进行数据传输。后被2018年《一般数据保护条例》(以下简称GDPR)所沿用,规定对个人数据保护程度未达到“与欧盟同等程度”的国家,如存在涉欧数据跨境流动,企业需按要求使用欧盟标准合同,无需监督管理的机构单独审批。欧盟允许签署方在标准合同格式文本外附加其他条款或补充措施。标准合同执行中,如合同内容没有被实质性遵守,欧盟数据保护监督管理的机构有权暂停或终止有关数据跨境行为。目前,欧盟标准合同被普遍的使用在ICT和制造业等行业,已成为他国开展涉欧数据业务企业(特别是中小微企业)最普遍使用的数据跨境传输工具。
2021年欧盟委员会出台新版欧盟标准合同,全面更新适用情形,提高个人数据保护标准。由于GDPR对个人数据跨境传输采取了更严格保护的立场,以及2020年7月Schrems Ⅱ案欧盟法院判决对标准合同的数据保护效力提出质疑,2021年6月欧盟委员会出台了新的标准合同,对Schrems Ⅱ判例法要求做落实。新标准合同一共包括两套,按照数据跨境地域(欧盟国家之间/欧盟外的第三国)差异,分为“欧盟境内的控制者和处理者之间”的标准合同和“向第三国传输个人数据”的标准合同。其中,“欧盟境内的控制者和处理者之间”的标准合同是全新创设的,旨在减少欧盟成员国之间有的法律不协调性,从规范化角度促进欧盟内部的数据跨境流动;“向第三国传输个人数据”的标准合同则用于欧盟与他国之间的数据跨境传输,整合了旧三套标准合同内容,并且在合同文本、适用情形、签署方义务责任等方面做了实质性完善,强化数据传输全过程安全保护水平。
使用方式上,新标准合同采取“一般+重点列举”的方式,以更具普适性的方式拓展了个人数据跨境适用类型,降低行政成本的同时方便企业灵活使用。相比于旧标准合同,在适用场景方面,新标准合同在控制者控制者、控制者处理者的数据传输场景基础上,增加了处理者处理者、处理者控制者两种情形。文本使用方面,新标准合同用一套合同整合了多种数据传输类型,在设定普遍适用条款的同时,提供了四种不同场景模块选择适用。因此,企业在使用新标准合同时,根据具体数据传输场景选择特定模块,还可以附加条款细化措施以有效履行标准合同数据保护要求,无需政府再次审批。签署方式方面,新标准合同增加了签署方数量和灵活签约机制,不仅允许多个企业签署一份合同,而且允许在合同期限内加入新主体,减少合同签署频次,更加适应数据处理链条的复杂性。
适用要求上,新标准合同在数据传输全过程增设企业风险评估和实施补充措施义务,更加严格限制政府访问个人数据的行为。使用标准合同传输数据之前,数据输出方企业要“一事一议”地评估第三国数据保护水平和具体数据传输场景风险,若评估结果为标准合同无法被有效遵守,企业如果仍要接着使用标准合同传输数据,就必须补充实施技术、合同或组织措施,确保传输全过程数据保护水平达到欧盟标准(见表1)。其中,企业评估风险时,需要着重考量第三国政府的监控和强制访问数据情况。数据传输后,数据接收方需要持续监测并定期评估自身数据保护水平,对遵守标准合同情况承担证明责任,当无法遵守合同时,输出方有义务暂停传输或终止合同;增加对数据处理过程的透明度要求,数据接收方应当保存其数据处理活动文件。有必要注意一下的是,新标准合同增设了企业对第三国政府访问个人数据行为的注意义务,要求数据接收方在向其政府提交个人数据前,及时告知数据输出方和数据主体。
实施机制上,政府发布指导性文件解释标准合同适用条件,细化数据跨境审查和评估机制,为企业和行业实践提供更为明确的指导。针对Schrems Ⅱ案判决指出标准合同中安全保障措施的有效性会受到第三国立法和实践影响,欧盟数据保护机构结合行业和公众意见,及时出台“软法”细化数据跨境审查和评估机制并提供实践案例指导。一方面,细化对第三国监控措施的评估标准。针对美国政府根据《外国情报监控法》采取监控措施访问已传输数据的行为,欧盟法院判决该行为侵犯了个人数据保护和隐私权。欧洲数据保护委员会(EDPB)进一步发布了“关于监控措施的建议”指南,从数据处理规则制定、权利限制程度、监督机制、救济措施方面,为判断第三国法律干涉数据保护和隐私权情况提供具体标准。另一方面,明确企业采取补充措施的流程。在GDPR和法院并未对完善标准合同效力的补充措施予以界定或规定的情况下,EDPB发布“关于补充措施的建议”,提出“了解、识别、评估、确认、实施、监管”六步骤方法和多个案例,为企业评估第三国立法或法律实施对标准合同有效性的影响,以及确定补充措施提供参考。
对于我国正在制定的数据跨境传输标准合同,建议有关部门在充分借鉴欧盟标准合同制定和实施方式的同时,注意与我国法律政策和行业实践相协调。目前,国家网信部门依据我国《个人信息保护法》,正在起草用于数据跨境传输的中国版标准合同。在标准合同制定和落实方面,我国应当充分借鉴欧盟标准合同的文本结构、适用类型、签署方式、权利义务、安全保障措施、评估和审查方式、监督机制等方面,并且政府及时发布适用指南和案例参考,为企业和行业提供详细指导。在制度协调方面,即将出台的标准合同中有关隐私和安全合规的内容应当与现有数据监管法律政策要求保持一致。
欧盟数据标准条款中的数据保护原则和权利义务规定,反映的是欧盟数据保护法律立场以及行业实践情况。我国在借鉴欧盟标准合同的同时,也应当充分吸纳企业和行业意见,并且遵守落实《民法典》《网络安全法》《数据安全法》《个人隐私信息保护法》等法律和法规中关于隐私、数据保护和安全的相关规定。
对于全行业数据安全监管,欧盟的“政府预先批准+市场主体自主适用”治理模式同样适用。欧盟新标准合同采用了“政府预先批准+市场主体自主适用”的监督管理模式,一方面节约了行政成本,另一方面通过安全监督管理要求细化条款嵌入至示范合同文本,增加了行业治理规范性。我国《工业和信息化领域数据安全管理办法》即将出台,欧盟的上述模式,对于中国工业和信息化领域数据安全管理同样适用,特别是对工业互联网、供应链、网络站点平台等领域进行数据安全监督管理时,可以先行研究制定示范合同文本,审批后供企业自主适用,从而为企业和行业具体实施提供相对统一和明确清晰的标准,促进全行业数据安全合规水平。
对于企业自主进行数据保护,我们应当鼓励企业和行业自我风险评估并改良业务流程。根据欧盟标准合同,数据安全风险在数据传输的全过程的任何一环都有几率发生,企业在数据传输之前和完成后均需要评估数据保护水平。我国《数据安全法》要求发挥行业自律在数据安全保护中的作用,一方面,我们应当在数据传输全过程加强企业监测评估数据安全风险的义务;另一方面,探索建立“充分技术保障责任减免机制”,带领企业在技术和组织等方面创新数据保护方案。
对于未来中欧数字经贸合作,我们应在数据安全产品和服务以及认证体系等方面做前瞻性布局。随着2020年中国取代美国成为欧盟最大贸易伙伴以及中欧投资协定谈判的完成,中欧关系和务实合作将提升至新水平。然而,欧盟标准合同提高了向第三国数据跨境的保护标准,特别是对企业技术和组织等补充措施提出了更明确要求,无形中提升了中欧数字经贸合作的门槛。
在此背景下,一方面,我国企业接着使用欧盟标准合同开展涉欧业务,一定要采用更有效的技术措施保障数据安全;另一方面,标准合同使用门槛的提高,也将会催生市场对其他便利数据跨境传输工具的需求,例如GDPR法定但实践中尚未使用的认证机制(certification mechanism)等,我国有必要在开发安全技术和产品、发展数据安全咨询服务与培训、建设大型数据中心、构建安全认证体系等方面前瞻性布局,培育壮大数据安全产业,为促进国际数字贸易发展保驾护航。
聚焦数智融合 驱动生态创新——2023数字化的经济领航者大会暨2023创新影响力年会在京召开
聚焦数智融合 驱动生态创新——2023数字化的经济领航者大会暨2023创新影响力年会在京召开
聚焦数智融合 驱动生态创新——2023数字化的经济领航者大会暨2023创新影响力年会在京召开