跨境合規(guī)觀察 | 數(shù)據(jù)出境“綠色通道”——《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》【走出去智庫】-ESG跨境

走出去智庫觀察

6月30日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》(以下簡稱《標(biāo)準(zhǔn)合同規(guī)定》)，向公眾征求意見的反饋截止時間為2022年7月29日。

走出去智庫 (CGGT) 特約法律專家、北京德恒律師事務(wù)所合伙人王一楠指出，為了有效地保護(hù)個人信息主體的權(quán)利，標(biāo)準(zhǔn)合同在條款設(shè)計方面環(huán)環(huán)相扣、細(xì)致全面。另一方面，有些條款也會給個人信息處理者和境外接收方帶來合規(guī)挑戰(zhàn)，建議在合同履行過程中予以特別注意。

《標(biāo)準(zhǔn)合同規(guī)定》有哪些重要條款？今天，走出去智庫（CGGT）刊發(fā)王一楠律師的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、為了確保本國的個人信息在出境之后能得到與其在境內(nèi)相同的保護(hù)，各國立法專家們設(shè)計了各種數(shù)據(jù)跨境流動的保護(hù)措施。其中應(yīng)用較廣的一種就是“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clause或SCC），即要求境內(nèi)數(shù)據(jù)出口方與境外數(shù)據(jù)進(jìn)口方簽署一個由監(jiān)管部門事先擬定的標(biāo)準(zhǔn)合同條款，通過合同法賦予的法律約束力來將境內(nèi)的管轄權(quán)“延伸”至境外，達(dá)到一定“境內(nèi)法域外適用”的效果。

2、在標(biāo)準(zhǔn)合同簽署之后，如果發(fā)生《標(biāo)準(zhǔn)合同規(guī)定》第八條項下可能影響個人信息權(quán)益的“重大變化”，應(yīng)當(dāng)重新簽署標(biāo)準(zhǔn)合同并備案。

3、相較于數(shù)據(jù)出境安全評估的流程，標(biāo)準(zhǔn)合同這種出境路徑更加快捷、可預(yù)期、且低成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

2022年6月30日，國家互聯(lián)網(wǎng)信息辦公室（“國家網(wǎng)信辦”）發(fā)布了《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（“標(biāo)準(zhǔn)合同規(guī)定”）。這是繼去年10月29日發(fā)布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（“評估辦法”）之后，國家網(wǎng)信辦為了落實《個人信息保護(hù)法》（“個保法”）第三十八條項下三條個人信息出境路徑（即安全評估、認(rèn)證、標(biāo)準(zhǔn)合同）而推出的第二個具體規(guī)定，構(gòu)成我國數(shù)據(jù)出境安全管理制度一個重要組成部分。

一、《標(biāo)準(zhǔn)合同規(guī)定》的適用范圍

隨著全球化與數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)在國際間的流動越來越頻繁。實踐中，跨國公司的全球員工統(tǒng)一管理、海外云存儲、海外IT技術(shù)支撐、出境商務(wù)或旅游、跨境電商等場景下，我國的個人信息都有可能被傳輸?shù)骄惩狻８鶕?jù)《標(biāo)準(zhǔn)合同規(guī)定》第四條（并結(jié)合《評估辦法》第四條的理解），凡是未達(dá)到安全評估“門檻”的，個人信息處理者向境外傳輸個人信息均可以按照《標(biāo)準(zhǔn)合同規(guī)定》的處理。簡而言之，“大量/高風(fēng)險”個人信息出境需要進(jìn)行安全評估，“少量/低風(fēng)險”個人信息出境可以選擇簽署標(biāo)準(zhǔn)合同。

二、標(biāo)準(zhǔn)合同的“前世今生”

為了確保本國的個人信息在出境之后能得到與其在境內(nèi)相同的保護(hù)，各國立法專家們設(shè)計了各種數(shù)據(jù)跨境流動的保護(hù)措施。其中應(yīng)用較廣的一種就是“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clause或SCC），即要求境內(nèi)數(shù)據(jù)出口方與境外數(shù)據(jù)進(jìn)口方簽署一個由監(jiān)管部門事先擬定的標(biāo)準(zhǔn)合同條款，通過合同法賦予的法律約束力來將境內(nèi)的管轄權(quán)“延伸”至境外，達(dá)到一定“境內(nèi)法域外適用”的效果。

早在2001年，歐盟委員會就首次推出了基于《第95/46/EC號保護(hù)個人在數(shù)據(jù)處理和此類數(shù)據(jù)自動流動中權(quán)利的指令》（“95指令”）的標(biāo)準(zhǔn)合同條款SCC2001C和SCC2001P，后在2004年和2010年分別推出了兩個新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

為了與2018年生效的《通用數(shù)據(jù)保護(hù)條例》（GDPR）保持一致，歐盟委員會于2021年6月4日公布最新版本標(biāo)準(zhǔn)合同條款（“歐盟SCC”），取代之前所有的SCC版本。

事實上，世界上很多國家和地區(qū)也都先后推出自己的SCC版本，例如，英國UK IDTA，東盟ASEAN MCCs（“東盟MCC”），香港建議范本條文等。我國《標(biāo)準(zhǔn)合同規(guī)定》所附的合同條款也借鑒了國際上的一些成熟作法。

在內(nèi)容方面，《標(biāo)準(zhǔn)合同規(guī)定》分為兩個部分：規(guī)定正文和附件“個人信息出境標(biāo)準(zhǔn)合同”模板（“標(biāo)準(zhǔn)合同”）。規(guī)定正文介紹了標(biāo)準(zhǔn)合同在實踐中的具體使用方法，而標(biāo)準(zhǔn)合同則提供一個完整合同模板，約定了各方的權(quán)利義務(wù)及其他合同條款。下文將分章對規(guī)定正文和附件進(jìn)行解讀。

三、標(biāo)準(zhǔn)合同在實踐中的使用方法

根據(jù)《標(biāo)準(zhǔn)合同規(guī)定》的正文，我們理解如果個人信息處理者因業(yè)務(wù)需要向境外提供國內(nèi)的個人信息，首先應(yīng)當(dāng)根據(jù)《個保法》第五十五條進(jìn)行個人信息保護(hù)影響評估（類似歐盟的DPIA）。同時，個人信息處理者需要對照《標(biāo)準(zhǔn)合同規(guī)定》第四條，確認(rèn)該規(guī)定是否適用，即同時滿足如下四個條件：（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，（2）處理個人信息不滿100萬人，（3）自上年1月1日起累計向境外提供未達(dá)到10萬人個人信息，（4）自上年1月1日起累計向境外提供未達(dá)到1萬人敏感個人信息。

如果《標(biāo)準(zhǔn)合同規(guī)定》第四條適用，個人信息處理者應(yīng)與境外數(shù)據(jù)接收方商討標(biāo)準(zhǔn)合同簽署的具體細(xì)節(jié)，包括但不限于填寫其附錄一“個人信息出境說明”中所要求信息，就雙方約定的其他條款進(jìn)行談判并填寫至其附錄二，選定第九條第（五）款中的爭議解決方式等。

待雙方就上述事項達(dá)成一致且完成標(biāo)準(zhǔn)合同簽署之后，個人信息處理者即可進(jìn)行個人信息的出境活動。同時，個人信息處理者應(yīng)履行《標(biāo)準(zhǔn)合同規(guī)定》第七條的備案義務(wù)，將簽署的《標(biāo)準(zhǔn)合同》和《個人信息保護(hù)影響評估報告》向所在地省級網(wǎng)信部門備案。

在標(biāo)準(zhǔn)合同簽署之后，如果發(fā)生《標(biāo)準(zhǔn)合同規(guī)定》第八條項下可能影響個人信息權(quán)益的“重大變化”，應(yīng)當(dāng)重新簽署標(biāo)準(zhǔn)合同并備案。在標(biāo)準(zhǔn)合同履行過程中，監(jiān)管部門如果發(fā)現(xiàn)《標(biāo)準(zhǔn)合同規(guī)定》第十一條所述的違規(guī)情形（例如實際出境的個人信息超出所備案的數(shù)量等）有權(quán)立即終止出境活動。

為了方便讀者理解，本文通過如下圖示說明標(biāo)準(zhǔn)合同在實踐中的使用方法。

四、標(biāo)準(zhǔn)合同重要條款分析

1.第三方受益人

標(biāo)準(zhǔn)合同通過賦予個人信息主體“第三方受益人”的地位來加強(qiáng)對其的保護(hù)。具體的操作是：首先，個人信息處理者通過履行標(biāo)準(zhǔn)合同第二條第（三）款項下的告知義務(wù)來賦予個人信息主體“第三方受益人”的權(quán)利；其次，在標(biāo)準(zhǔn)合同中約定個人信息處理者和/或境外數(shù)據(jù)接收方需要向個人信息主體承擔(dān)義務(wù)的若干條款〔詳見標(biāo)準(zhǔn)合同第五條第（六）款〕；最后，標(biāo)準(zhǔn)合同第九條第（四）款明確了個人信息主體可以通過訴訟來實現(xiàn)其“第三方受益人”權(quán)利的路徑。

“第三方受益人”借鑒了歐盟SCC中“Third-Party Beneficiary”的制度設(shè)計（事實上，并非歐盟所有成員國法律都支撐該法律概念）。該設(shè)計的目的是突破合同相對性，讓個人信息主體無需在合同上簽字也可以據(jù)此起訴個人信息處理者和/或境外數(shù)據(jù)接收方。我國法律雖沒有明確規(guī)定“第三方受益人”這個概念，但在《民法典》第五百二十二條中可以找到一定支撐。至于該制度設(shè)計最終是否可以“落地”，期待在未來的司法實踐中予以檢驗。

2.單一模塊化設(shè)計

標(biāo)準(zhǔn)合同在形式上與歐盟SCC和東盟MCC的一個顯著區(qū)別就是沒有像后者那樣采用多模塊設(shè)計。歐盟SCC為了適應(yīng)實踐中的多種場景，基于數(shù)據(jù)出口方和進(jìn)口方在跨境傳輸時的角色不同設(shè)計了如下四種模塊條款：

（1）出口方是控制者（Controller），進(jìn)口方也是控制者（Controller）（“C-C場景”），

（2）出口方是控制者（Controller），進(jìn)口方是處理者（Processor）（“C-P場景”）；

（3）出口方是處理者（Processor），進(jìn)口方也是處理者（Processor）（“P-P場景”）；

（4）出口方是處理者（Processor），進(jìn)口方是控制者（Controller）（“P-C場景”）。

東盟MCC雖不像歐盟SCC那么完整地設(shè)計出四種模塊條款，其也根據(jù)數(shù)據(jù)出口方和進(jìn)口方在跨境傳輸時的常見角色設(shè)計了如下兩種模塊條款：

（1）出口方是控制者（Controller），進(jìn)口方也是控制者（Controller）（“C-C場景”），

（2）出口方是控制者（Controller），進(jìn)口方是處理者（Processor）（“C-P場景”）。

標(biāo)準(zhǔn)合同雖然沒有明確采用多模塊的設(shè)計，但在條款表述上兼顧了不同場景下的義務(wù)區(qū)別?？傮w而言，標(biāo)準(zhǔn)合同第三條第（四）款，第三條第（六）款第5項款，第三條第（八）款這三處均為境外接收方“受個人信息處理者委托處理個人信息”的情況（即C-P場景）匹配了合適的義務(wù)條款，準(zhǔn)確地體現(xiàn)境外接收方作為受托人的從屬地位。這種單一模塊設(shè)計更類似于英國的UK IDTA，即并不明確羅列多種模塊，而是使用“如果接收方是處理者或次級處理者”等語句，體現(xiàn)該場景下相應(yīng)義務(wù)或權(quán)利所對應(yīng)的變化。

至于標(biāo)準(zhǔn)合同在P-P場景和P-C場景下的適用問題，標(biāo)準(zhǔn)合同條款本身并未給出明確答案。筆者認(rèn)為《個保法》第三十八條雖規(guī)定標(biāo)準(zhǔn)合同僅在個人信息處理者向境外提供個人信息時適用，但從立法目的解釋的角度來說，個人信息受托人向境外提供個人信息也應(yīng)當(dāng)簽署標(biāo)準(zhǔn)合同。

3.合同雙方面臨的挑戰(zhàn)

為了有效地保護(hù)個人信息主體的權(quán)利，標(biāo)準(zhǔn)合同在條款設(shè)計方面環(huán)環(huán)相扣、細(xì)致全面。另一方面，有些條款也會給個人信息處理者和境外接收方帶來合規(guī)挑戰(zhàn)，建議在合同履行過程中予以特別注意。

對于個人信息處理者而言，標(biāo)準(zhǔn)合同要求其對境外接收方的處理行為進(jìn)行一定監(jiān)督〔如第二條第（四）款和第（十）款〕以及對境外接收方所在國的相關(guān)政策法規(guī)進(jìn)行某種程度的盡職調(diào)查〔如第四條第（一）款和第（二）款〕。相較于標(biāo)準(zhǔn)合同中約定的其他義務(wù)而言（如告知），這對于個人信息處理者提出更高要求，不僅需要其與境外接收方建立持續(xù)的互動關(guān)系，而且需要其具有一定的國際視野。

對于境外接收方而言，標(biāo)準(zhǔn)合同要求其在很多情況下直接向個人信息主體履行義務(wù)〔如第三條第（二）款、第五條第（二）至（三）款、第六條第（一）款等〕和直接接受監(jiān)管機(jī)構(gòu)的監(jiān)督管理〔如第三條第（十一）和（十二）款〕。同樣，相較于標(biāo)準(zhǔn)合同中約定的其他義務(wù)而言（如處理合規(guī)），這些要求對于境外接收方更具挑戰(zhàn)。因為其身處境外，需要為履約配備一定的人員和資源來解決語言、文化、時差等差異。

對于雙方而言，標(biāo)準(zhǔn)合同多處提到記錄留存的義務(wù)〔如第二條第（九）款和第（十）款、第三條第（十一）款、第四條第（四）款〕，這與《個保法》第六十九條所確定的過錯推定責(zé)任一脈相承。這也從另一角度凸顯了個人信息處理者和境外接收方在日常經(jīng)營過程中建立完善合規(guī)體系的重要性。

4.爭議解決與行政監(jiān)督

為了確保上述義務(wù)的有效履行，標(biāo)準(zhǔn)合同還設(shè)計了一套爭議解決與行政監(jiān)督相結(jié)合的機(jī)制來規(guī)范個人信息處理者和境外接收方（特別是后者）的行為。

首先，根據(jù)標(biāo)準(zhǔn)合同第六條第（三）款，個人信息主體有權(quán)基于其“第三方受益人”的身份向法院起訴追究個人信息處理者和/或境外接收方的違約責(zé)任，或者向監(jiān)管機(jī)構(gòu)提出投訴。監(jiān)管機(jī)構(gòu)基于投訴或者獨(dú)立信息渠道了解到的違規(guī)行為后對個人信息處理者和/或境外接收方采取行政監(jiān)管措施。雖然境外接收方不在監(jiān)管機(jī)構(gòu)的管轄范圍內(nèi)，但該措施可以依據(jù)第三條第（十二）款直接或者通過對個人信息處理者的適用而間接“傳導(dǎo)”到境外接收方。

對于個人信息處理者和境外接收方在對外向個人信息主體承擔(dān)的賠償責(zé)任或因雙方之間的違約行為，雙方可以通過標(biāo)準(zhǔn)合同第九條第（五）款來解決爭議。該條款設(shè)計較為開放，不僅允許雙方在訴訟和仲裁之間自由選擇，而且在仲裁機(jī)構(gòu)選擇方面也未禁止雙方選擇國際仲裁機(jī)構(gòu)。這樣的安排即解決了國內(nèi)法院判決在境外承認(rèn)和執(zhí)行的困難，又增加境外接收方對標(biāo)準(zhǔn)合同的接受程度，有利于標(biāo)準(zhǔn)合同的執(zhí)行和簽署。

為了方便讀者理解，本文通過如下圖示說明爭議解決與行政監(jiān)督的工作機(jī)制。

五、標(biāo)準(zhǔn)合同的重要意義

如前文所述，標(biāo)準(zhǔn)合同簽署后個人信息處理者即可開展個人信息出境活動。相較于數(shù)據(jù)出境安全評估的流程，標(biāo)準(zhǔn)合同這種出境路徑更加快捷、可預(yù)期、且低成本。作為我國數(shù)據(jù)出境安全管理制度的一個重要組成部分，標(biāo)準(zhǔn)合同為個人信息處理者和境外接收方提供一個個人信息出境活動的“綠色通道”。

即使在個人信息出境活動適用數(shù)據(jù)出境安全評估的場景下，標(biāo)準(zhǔn)合同也具有重要的參考價值。根據(jù)《評估辦法》，數(shù)據(jù)處理者所需要提交的申報資料，除了申報書和自評估報告以外，還包括其與境外接收方訂立的合同。雖然這個“合同”與標(biāo)準(zhǔn)合同并非一個文件（前者是在滿足安全評估要求的前提下自由約定的文件，而后者是國家網(wǎng)信部門制定文本），數(shù)據(jù)處理者與境外接收方在準(zhǔn)備安全評估申報材料時完全可以參照標(biāo)準(zhǔn)合同（特別是出境的數(shù)據(jù)僅限于個人信息時）擬定類似內(nèi)容。

《標(biāo)準(zhǔn)合同規(guī)定》的出臺標(biāo)志標(biāo)準(zhǔn)合同，這個國際上應(yīng)用最廣的個人信息出境保護(hù)性措施，首次在我國“生根發(fā)芽”。我們有理由相信，隨著我國數(shù)據(jù)出境安全管理制度的不斷完善，它將以其靈活便捷的特點(diǎn)體現(xiàn)出越來越強(qiáng)的“生命力”。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。