走出去智库(CGGT)特约法律专家、北京德恒律师事务所合伙人王一楠指出,为了有效地保护个人信息主体的权利,标准合同在条款设计方面环环相扣、细致全面。另一方面,有些条款也会给个人信息处理者和境外接收方带来合规挑战,建议在合同履行过程中予以特别注意。
要点
CGGT,CHINAGOINGGLOBALTHINKTANK
1、为了确保本国的个人信息在出境之后能得到与其在境内相同的保护,各国立法专家们设计了各种数据跨境流动的保护措施。其中应用较广的一种就是“标准合同条款”(StandardContractualClause或SCC),即要求境内数据出口方与境外数据进口方签署一个由监管部门事先拟定的标准合同条款,通过合同法赋予的法律约束力来将境内的管辖权“延伸”至境外,达到一定“境内法域外适用”的效果。
2、在标准合同签署之后,如果发生《标准合同规定》第八条项下可能影响个人信息权益的“重大变化”,应当重新签署标准合同并备案。
3、相较于数据出境安全评估的流程,标准合同这种出境路径更加快捷、可预期、且低成本。
正文
2022年6月30日,国家互联网信息办公室(“国家网信办”)发布了《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。这是继去年10月29日发布的《数据出境安全评估办法(征求意见稿)》(“评估办法”)之后,国家网信办为了落实《个人信息保护法》(“个保法”)第三十八条项下三条个人信息出境路径(即安全评估、认证、标准合同)而推出的第二个具体规定,构成我国数据出境安全管理制度一个重要组成部分。
一、《标准合同规定》的适用范围
随着全球化与数字经济的发展,数据在国际间的流动越来越频繁。实践中,跨国公司的全球员工统一管理、海外云存储、海外IT技术支撑、出境商务或旅游、跨境电商等场景下,我国的个人信息都有可能被传输到境外。根据《标准合同规定》第四条(并结合《评估办法》第四条的理解),凡是未达到安全评估“门槛”的,个人信息处理者向境外传输个人信息均可以按照《标准合同规定》的处理。简而言之,“大量/高风险”个人信息出境需要进行安全评估,“少量/低风险”个人信息出境可以选择签署标准合同。
二、标准合同的“前世今生”
为了确保本国的个人信息在出境之后能得到与其在境内相同的保护,各国立法专家们设计了各种数据跨境流动的保护措施。其中应用较广的一种就是“标准合同条款”(StandardContractualClause或SCC),即要求境内数据出口方与境外数据进口方签署一个由监管部门事先拟定的标准合同条款,通过合同法赋予的法律约束力来将境内的管辖权“延伸”至境外,达到一定“境内法域外适用”的效果。
早在2001年,欧盟委员会就首次推出了基于《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》(“95指令”)的标准合同条款SCC2001C和SCC2001P,后在2004年和2010年分别推出了两个新版本SCC2004C和SCC2010P(后者取代SCC2001P)。
为了与2018年生效的《通用数据保护条例》(GDPR)保持一致,欧盟委员会于2021年6月4日公布最新版本标准合同条款(“欧盟SCC”),取代之前所有的SCC版本。
事实上,世界上很多国家和地区也都先后推出自己的SCC版本,例如,英国UKIDTA,东盟ASEANMCCs(“东盟MCC”),香港建议范本条文等。我国《标准合同规定》所附的合同条款也借鉴了国际上的一些成熟作法。
在内容方面,《标准合同规定》分为两个部分:规定正文和附件“个人信息出境标准合同”模板(“标准合同”)。规定正文介绍了标准合同在实践中的具体使用方法,而标准合同则提供一个完整合同模板,约定了各方的权利义务及其他合同条款。下文将分章对规定正文和附件进行解读。
三、标准合同在实践中的使用方法
根据《标准合同规定》的正文,我们理解如果个人信息处理者因业务需要向境外提供国内的个人信息,首先应当根据《个保法》第五十五条进行个人信息保护影响评估(类似欧盟的DPIA)。同时,个人信息处理者需要对照《标准合同规定》第四条,确认该规定是否适用,即同时满足如下四个条件:(1)非关键信息基础设施运营者,(2)处理个人信息不满100万人,(3)自上年1月1日起累计向境外提供未达到10万人个人信息,(4)自上年1月1日起累计向境外提供未达到1万人敏感个人信息。
如果《标准合同规定》第四条适用,个人信息处理者应与境外数据接收方商讨标准合同签署的具体细节,包括但不限于填写其附录一“个人信息出境说明”中所要求信息,就双方约定的其他条款进行谈判并填写至其附录二,选定第九条第(五)款中的争议解决方式等。
待双方就上述事项达成一致且完成标准合同签署之后,个人信息处理者即可进行个人信息的出境活动。同时,个人信息处理者应履行《标准合同规定》第七条的备案义务,将签署的《标准合同》和《个人信息保护影响评估报告》向所在地省级网信部门备案。
在标准合同签署之后,如果发生《标准合同规定》第八条项下可能影响个人信息权益的“重大变化”,应当重新签署标准合同并备案。在标准合同履行过程中,监管部门如果发现《标准合同规定》第十一条所述的违规情形(例如实际出境的个人信息超出所备案的数量等)有权立即终止出境活动。
为了方便读者理解,本文通过如下图示说明标准合同在实践中的使用方法。
四、标准合同重要条款分析
1.第三方受益人
标准合同通过赋予个人信息主体“第三方受益人”的地位来加强对其的保护。具体的操作是:首先,个人信息处理者通过履行标准合同第二条第(三)款项下的告知义务来赋予个人信息主体“第三方受益人”的权利;其次,在标准合同中约定个人信息处理者和/或境外数据接收方需要向个人信息主体承担义务的若干条款〔详见标准合同第五条第(六)款〕;最后,标准合同第九条第(四)款明确了个人信息主体可以通过诉讼来实现其“第三方受益人”权利的路径。
“第三方受益人”借鉴了欧盟SCC中“Third-PartyBeneficiary”的制度设计(事实上,并非欧盟所有成员国法律都支撑该法律概念)。该设计的目的是突破合同相对性,让个人信息主体无需在合同上签字也可以据此起诉个人信息处理者和/或境外数据接收方。我国法律虽没有明确规定“第三方受益人”这个概念,但在《民法典》第五百二十二条中可以找到一定支撑。至于该制度设计最终是否可以“落地”,期待在未来的司法实践中予以检验。
2.单一模块化设计
标准合同在形式上与欧盟SCC和东盟MCC的一个显著区别就是没有像后者那样采用多模块设计。欧盟SCC为了适应实践中的多种场景,基于数据出口方和进口方在跨境传输时的角色不同设计了如下四种模块条款:
(1)出口方是控制者(Controller),进口方也是控制者(Controller)(“C-C场景”),
(2)出口方是控制者(Controller),进口方是处理者(Processor)(“C-P场景”);
(3)出口方是处理者(Processor),进口方也是处理者(Processor)(“P-P场景”);
(4)出口方是处理者(Processor),进口方是控制者(Controller)(“P-C场景”)。
东盟MCC虽不像欧盟SCC那么完整地设计出四种模块条款,其也根据数据出口方和进口方在跨境传输时的常见角色设计了如下两种模块条款:
(2)出口方是控制者(Controller),进口方是处理者(Processor)(“C-P场景”)。
标准合同虽然没有明确采用多模块的设计,但在条款表述上兼顾了不同场景下的义务区别。总体而言,标准合同第三条第(四)款,第三条第(六)款第5项款,第三条第(八)款这三处均为境外接收方“受个人信息处理者委托处理个人信息”的情况(即C-P场景)匹配了合适的义务条款,准确地体现境外接收方作为受托人的从属地位。这种单一模块设计更类似于英国的UKIDTA,即并不明确罗列多种模块,而是使用“如果接收方是处理者或次级处理者”等语句,体现该场景下相应义务或权利所对应的变化。
至于标准合同在P-P场景和P-C场景下的适用问题,标准合同条款本身并未给出明确答案。笔者认为《个保法》第三十八条虽规定标准合同仅在个人信息处理者向境外提供个人信息时适用,但从立法目的解释的角度来说,个人信息受托人向境外提供个人信息也应当签署标准合同。
3.合同双方面临的挑战
为了有效地保护个人信息主体的权利,标准合同在条款设计方面环环相扣、细致全面。另一方面,有些条款也会给个人信息处理者和境外接收方带来合规挑战,建议在合同履行过程中予以特别注意。
对于境外接收方而言,标准合同要求其在很多情况下直接向个人信息主体履行义务〔如第三条第(二)款、第五条第(二)至(三)款、第六条第(一)款等〕和直接接受监管机构的监督管理〔如第三条第(十一)和(十二)款〕。同样,相较于标准合同中约定的其他义务而言(如处理合规),这些要求对于境外接收方更具挑战。因为其身处境外,需要为履约配备一定的人员和资源来解决语言、文化、时差等差异。
对于双方而言,标准合同多处提到记录留存的义务〔如第二条第(九)款和第(十)款、第三条第(十一)款、第四条第(四)款〕,这与《个保法》第六十九条所确定的过错推定责任一脉相承。这也从另一角度凸显了个人信息处理者和境外接收方在日常经营过程中建立完善合规体系的重要性。
4.争议解决与行政监督
为了确保上述义务的有效履行,标准合同还设计了一套争议解决与行政监督相结合的机制来规范个人信息处理者和境外接收方(特别是后者)的行为。
首先,根据标准合同第六条第(三)款,个人信息主体有权基于其“第三方受益人”的身份向法院起诉追究个人信息处理者和/或境外接收方的违约责任,或者向监管机构提出投诉。监管机构基于投诉或者独立信息渠道了解到的违规行为后对个人信息处理者和/或境外接收方采取行政监管措施。虽然境外接收方不在监管机构的管辖范围内,但该措施可以依据第三条第(十二)款直接或者通过对个人信息处理者的适用而间接“传导”到境外接收方。
对于个人信息处理者和境外接收方在对外向个人信息主体承担的赔偿责任或因双方之间的违约行为,双方可以通过标准合同第九条第(五)款来解决争议。该条款设计较为开放,不仅允许双方在诉讼和仲裁之间自由选择,而且在仲裁机构选择方面也未禁止双方选择国际仲裁机构。这样的安排即解决了国内法院判决在境外承认和执行的困难,又增加境外接收方对标准合同的接受程度,有利于标准合同的执行和签署。
为了方便读者理解,本文通过如下图示说明争议解决与行政监督的工作机制。
五、标准合同的重要意义
如前文所述,标准合同签署后个人信息处理者即可开展个人信息出境活动。相较于数据出境安全评估的流程,标准合同这种出境路径更加快捷、可预期、且低成本。作为我国数据出境安全管理制度的一个重要组成部分,标准合同为个人信息处理者和境外接收方提供一个个人信息出境活动的“绿色通道”。
即使在个人信息出境活动适用数据出境安全评估的场景下,标准合同也具有重要的参考价值。根据《评估办法》,数据处理者所需要提交的申报资料,除了申报书和自评估报告以外,还包括其与境外接收方订立的合同。虽然这个“合同”与标准合同并非一个文件(前者是在满足安全评估要求的前提下自由约定的文件,而后者是国家网信部门制定文本),数据处理者与境外接收方在准备安全评估申报材料时完全可以参照标准合同(特别是出境的数据仅限于个人信息时)拟定类似内容。
《标准合同规定》的出台标志标准合同,这个国际上应用最广的个人信息出境保护性措施,首次在我国“生根发芽”。我们有理由相信,随着我国数据出境安全管理制度的不断完善,它将以其灵活便捷的特点体现出越来越强的“生命力”。