作者 | 北京德恒律师事务所 王一楠 万千惠
国家互联网应急中心 张奕欣
引言:2022年06月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》(“中国标准合同”),标志着这个在国际上被广泛采用个人信息跨境流动保护性措施首次在我国开始“生根发芽”。
标准合同或称标准合同条款(Standard Contractual Clause或SCC)系监管部门为了确保个人信息在出境之后保护水平不低于本国标准而要求数据传输方与境外数据接收方签署一个官方制定的合同模板。该做法通过合同的约束力将境内的管辖权“延伸”至境外,达到一定“境内法域外适用”的效果,以保护处于相对弱势地位的个人信息主体权益。
随着数据跨境流动的数量急剧增长以及相关安全风险的不断涌现,世界上很多国家和地区也都先后推出了自己的版本。鉴于中国标准合同版本正在征求意见,笔者将世界上主要国家和地区已颁布的标准合同进行逐一研究,形成系列文章,以资借鉴。
一、东盟MCC的出台背景
2021年1月22日,东南亚国家联盟(“东盟”)批准发布东盟版SCC,即《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows)(“东盟MCC”)和《数据管理框架》(ASEAN Data Management Framework)(“DMF”)。
东盟共有10个成员国(印度尼西亚、马来西亚、菲律宾、新加坡、泰国、文莱、老挝、缅甸、柬埔寨和越南),其范围内的网络安全和个人信息保护水平发展不一,新加坡的个人信息保护的立法和网络安全建设都十分领先,而老挝、柬埔寨、缅甸等国家在此方面仅属于起步阶段。为了统一联盟内的网络安全和数据流动标准,以整体增强数据保护水平和取得更多全球竞争优势,东盟近年来在该领域进行诸多制度建设, 如2016年《东盟个人数据保护框架》(ASEAN Framework On Personal Data Protection)、2018年《东盟数字一体化框架》(ASEAN Digital Integration Framework)、《东盟数字数据治理框架》(ASEAN Framework on Digital Data Governance)和2021年《东盟数字总体规划2025》等。
东盟MCC出台源于2019年11月通过的《东盟跨境数据流动机制的关键方法》,其建议重点发展两个数据跨境流动机制,即“东盟示范合同条款”和“东盟跨境数据流动认证”。东盟将该东盟MCC作为实施东盟跨境数据流动机制的第一步,鼓励企业在成员国之间进行数据传输时广泛使用,以期建立区域性数据传输的最低标准,而无论相关成员国是否有数据保护法。遵守东盟MCC及其项下的基本义务可以使数据主体及其数据受到2016年《东盟个人数据保护框架》的充分保护。
除了东盟MCC以外,东盟也承认其他的数据跨境流动机制,如自评估、个人信息主体的同意、行为规范(Codes of Conduct)、有约束力的企业规则(BCR)、其他认证,如ISO体系或APEC跨境隐私规则(CBPR)和处理者隐私识别体系(PRP)等。
二、东盟MCC的适用范围
与欧盟SCC不同,东盟MCC的采用并不要成员国引入额外的法规或修改现有的法规,是一种灵活的且仅仅作为最低要求的非约束性条款,而且成员国企业可以自愿采用。尽管东盟MCC是为了东盟成员国之间的数据传输而设计,企业也可以通过适当调整将其用于东盟成员国以外。这样可广泛适用的制度设计为东盟与区域和全球合作伙伴的合作铺平了道路。
在东盟MCC使用时,合同双方可根据2016《东盟个人数据保护框架》中规定的原则或任何东盟成员国法律的要求,通过书面协议采用或修改东盟MCC,也可以通过书面协议自由协商添加商业条款,只要这些条款不与东盟MCC相矛盾。
三、东盟MCC两大模块
东盟MCC采用两大模块设计合同条款,对应如下两个传输场景:从控制者到处理者(C-P)和从控制者到控制者(C-C),但缺少欧盟SCC的另外两类场景的模块:从处理者到处理者(P-P)和从处理者到控制者(P-C)。对此,东盟MCC解释到,现有的两大模块是实践中常见的业务场景。
模块1:从控制者到处理者(C-P)
该模块的适用场景是:仅为了处理数据之目的或者由数据接收方提供相应商业服务之目的而进行的跨境数据传输。
东盟MCC规定合同双方在使用该模块时需要具备如下三项条件:(1)通过履行东盟MCC项下义务来保护数据;(2)数据向任何其他方后续传输(类似欧盟SCC的再传输条款Onward Transfer)时适用于相同的合同条款,并遵守相同的数据保护和安全要求;(3)在数据主体提出相关问询时能提供应答,并约定具体由哪一个合同进行迅速应答。
为了方便使用者理解,东盟MCC给出两个具体例子:
(1)在线配送/物流
新加坡某电商平台向马拉西亚的客户卖货,其需要联系一家马来西亚当地的物流公司该向客户配送,因此新加坡电商平台作为控制者需要把客户个人信息提供给处理者马来西亚物流公司,物流公司代表电商平台处理数据。
(2)人力资源/薪资管理
某人力资源公司总部在印尼雅加达,其为东盟不同国家的数个机构提供薪资管理服务,因此其仅为了提供该服务的目的收集这些机构员工的个人信息。数个机构作为控制者与作为处理者的印尼人力资源公司签订东盟MCC。
模块2:从控制者到控制者(C-C)
该模块的适用场景是:为了购买数据之目的或其他为完全将数据转移给数据接收方而进行的跨境数据传输,在这种情况下数据接收方希望最终取得数据的控制权。
东盟MCC规定合同双方在使用该模块时需要具备如下两项条件:(1)通过履行东盟MCC的义务来保护数据;(2)数据接收方需具有一定独立性,即接收方无需接受对所传输数据进行处理的限制,而可以拥有数据传输方的同等权利和义务(除非另行约定)。
为了方便使用者理解,东盟MCC给出两个具体例子:
(1)广告数据库的销售
柬埔寨的某服装零售商希望在老挝扩大市场,所以拟购买老挝某鞋子制造商的市场数据库,由于服装零售商向鞋子制造商购买数据后无需持续履行义务,数据传输方鞋子制造商作为数据出售时的控制者和服装零售商作为数据购买完成后的控制者之间应该签订东盟MCC模块2。
(2)数据跨境许可
菲律宾某呼叫中心希望购买新加坡的一家广告机构的客户市场数据库,但该广告机构限制呼叫中心将该数据库转售给其他竞争者。因为呼叫中心有权决定该数据库的处理方式和目的,其地位系数据控制者,新加坡的广告机构也可以通过东盟MCC的8.1条款限制数据转售,因此其地位也属于数据控制者,所以适用东盟MCC模块2
本文将两大模块条款之间的主要区别通过表格进行对比并简析如下:
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。