作者 | 北京德恒律师事务所 王一楠 周望
国家互联网应急中心 张奕欣
引言:2022年06月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》(“中国标准合同”),标志着这个在国际上被广泛采用个人信息跨境流动保护性措施首次在我国开始“生根发芽”。
标准合同或称标准合同条款(Standard Contractual Clause或SCC)系监管部门为了确保个人信息在出境之后保护水平不低于本国标准而要求数据传输方与境外数据接收方签署一个官方制定的合同模板。该做法通过合同的约束力将境内的管辖权“延伸”至境外,达到一定“境内法域外适用”的效果,以保护处于相对弱势地位的个人信息主体权益。
随着数据跨境流动的数量急剧增长以及相关安全风险的不断涌现,世界上很多国家和地区也都先后推出了自己的版本。鉴于中国标准合同版本正在征求意见,笔者将世界上主要国家和地区已颁布的标准合同进行逐一研究,形成系列文章,以资借鉴。
一、英国SCC的出台背景
2022年2月2日,英国的个人数据保护机构——英国信息专员办公室(Information Commissioner’s Office)(“英国ICO”)根据英国脱欧后所制定的《英国通用数据保护条例》(“英国GDPR”)与《英国2018年数据保护法》(Data Protection Act 2018)第119A条发布了标准数据保护条款(Standard Data Protection Clauses)(“英国SCC”)。该条款已于2022年3月21日正式生效,标志着在通过标准合同进行个人数据跨境传输方面,英国走出了逐渐独立自主于欧盟的第一步。
英国GDPR脱胎于欧盟GDPR,且两者之间的差别不大。因此,英国SCC在适用范围、对签署方所起的作用以及个人数据保护的最终效果上因此也与欧盟SCC基本一致。然而,英国SCC大刀阔斧地重塑了欧盟SCC的行文逻辑与架构,在不降低或改变个人数据保护标准的前提下做到了简洁、明晰与有效。
二、英国SCC的基本架构
英国SCC目前分为国际数据传输协议(International Data Transfer Agreement)(“英国IDTA”)与欧盟委员会标准合同条款国际数据传输附件(International Data Transfer Addendum to the EU Commission Standard Contractual Clauses(“欧盟SCC英国附件”)两份相互独立的文件,供数据传输方与接收方任选其一使用。
除了上述两份文件外,英国还允许暂时继续使用旧版欧盟SCC。这主要是有鉴于英国内外有大量的个人数据控制者(Controller)与处理者(Processor)曾于英国脱欧之前在欧盟GDPR的框架下签署了旧版欧盟SCC,而且旧版欧盟SCC即使在欧盟也仍处于过渡期。因此,英国ICO并未强制要求立刻废除旧版欧盟SCC并采用英国SCC,而是给予了长达两年的过渡期。具体来说,旧版欧盟SCC在2022年9月21日之前仍然可以签署,而之后虽然不能签署,但只要个人数据跨境传输的范围、处理方式与处理目的等方面没有发生重大变化,旧版欧盟SCC的有效期可以持续到2024年3月21日(该宽限期甚至要长于欧盟的)。
图1:旧版欧盟SCC在英过渡期示意
三、英国IDTA
作为英国SCC中最重要的文件,英国IDTA对欧盟SCC在形式上进行了大幅调整,同时又在内容上与后者保持了实质性一致。
1. 四大组成部分
英国IDTA分为四大部分:表格、额外保护条款、商用条款以及强制条款。其中,前三部分可由签署方自行修改,仅需保留实质内容且不损害个人数据在境外所应获得的适当保护即可。第四部分强制条款则禁止更改或增删,签署方只允许删除其中不适用的条款或是为了确保正确引用目的而修改所引用的前三部分序号内容。
(1)表格部分
英国IDTA的签署方可以利用表格填写个人数据跨境传输的相关信息,包括数据传输方与数据接收方的详情及分类(即属于控制者还是处理者),个人数据类别、数据主体类别、目的、期限,英国GDPR是否适用于数据接收方等。表格还要求签署方对某些重要事项作出选择,包括传输活动是否涉及敏感个人数据,个人数据类别等信息是否随主合同(Linked Agreement)修订而自动更新,法律适用与管辖地(英格兰与威尔士、北爱尔兰、苏格兰三地中择一),单方终止权,再传输(Onward Transfer),以及数据安全要求等。
(2)额外保护条款部分
作为第二部分的额外保护条款,是英国根据欧洲法院Schrems Ⅱ判决的要求与精神所而加入的。根据该判决,数据传输方与数据接收方在进行以标准合同作为合法性基础的个人数据跨境传输之前,都必须要先自行对数据接收方当地法律等因素完成传输风险评估(Transfer Risk Assessment,“TRA”);如果TRA的结果显示,标准合同无法完全确保个人数据在境外也能获得与境内相当的保护水平,则双方必须采取额外措施尽量补足保护水平的差异;如果确实无法补足,则应放弃跨境传输。额外保护条款要求双方列明根据TRA结果所需额外执行的个人数据保护措施。
(3)商业条款部分
商业条款是英国IDTA中灵活性最强的部分。其主要作用是在双方未签订主合同时提供一处能简短描述双方除个人数据跨境传输之外的其他权利义务的空间。
(4)强制条款部分
强制条款则是英国IDTA的正文,也是实质性约定双方权利义务的部分;其中又分为总则条款(§1—§10、§25、§36),数据传输方(§11),数据接收方(§12—§17),数据主体权利(§18—§22),第三方根据当地法获取传输数据(§23—§24),违约(§29—§31),争议解决(§32—§35)等七个小节。
2. 与欧盟SCC的区别
(1)正文架构与行文措辞
英国IDTA虽然在实质要求及内涵上与欧盟SCC保持一致,但在正文架构以及行文措辞上与后者区别很大。
英国IDTA取消了欧盟SCC一直坚持采用的模块(Module)化设计,不再略显死板地将大部分条款都分为控制者向控制者传输(C—C场景)、控制者向处理者传输(C—P场景)、处理者向处理者传输(P—P场景)、处理者向控制者传输(P—C场景)这四大模块,而是使用了“如果数据接收方是处理者或次级处理者,则……”等语句,将需要因应双方处理地位不同而变通规定的情况作为例外,其他情况按照统一适用来设计,简化了行文逻辑与架构。
此外,英国IDTA使用了更为精炼、简洁、易懂的英语去表达能与欧盟SCC各条款近乎相同的含义,并且大幅减少了英国IDTA的条款内部相互引用以及引用UK GDPR条文的情况,便于相关各方(尤其是签署方以及数据主体)理解与使用。
(2)适用范围
英国IDTA的适用范围是相较于欧盟SCC实质性变化最大的方面之一。
目前欧盟SCC仅适用于受欧盟GDPR管辖的数据传输方向不受欧盟GDPR管辖的数据接收方进行的个人数据传输,但对于位于欧盟境外且个人数据处理活动受到欧盟GDPR域外管辖的数据接收方却并不适用。也就是说,欧盟GDPR的适用范围只关注法律管辖的变化(“跨管辖境”),而不关心物理国界的变化(“跨物理境”)。针对这种情形,欧盟委员会(EU Commission)已宣布将针对仅跨越物理境而不跨越管辖境的情况发布较为简化版的欧盟SCC。
图2:欧盟SCC目前适用范围示意
而英国IDTA则毕其功于一役,对于跨越管辖境以及跨越物理境两种情况均可适用。无论数据接收方是否受到英国GDPR的域外管辖,只要数据接收方位于英国境外,数据传输方就可以与其通过签署英国IDTA进行个人数据跨境传输。而位于英国境外但受到英国GDPR域外管辖的数据传输方,向任何不位于英国境内的接收方,也可以适用英国IDTA。换句话说,只要满足了跨越物理境或跨越管辖境两项条件之一,英国IDTA即可适用。
同时,英国IDTA又规定,如果数据接收方已经受到英国GDPR的域外管辖,则某些与数据接收方义务相关的条款(§13、§15、§21)不适用,而应继续统一适用英国GDPR的规定。这种做法遵循欧盟的思路,为已经受到英国UK GDPR管辖的数据接收方提供了较为简便的标准合同版本。
图3:英国IDTA适用范围示意
(3)仲裁条款
英国IDTA的仲裁条款在实质内容方面也与欧盟GDPR偏离。不同于欧盟SCC强制要求以法院诉讼解决争议,英国IDTA的各签署方以及数据主体均有权选择仲裁。而且,其仲裁条款要求适用《伦敦国际仲裁院规则》(Rules of the London Court of International Arbitration),以伦敦为仲裁地,英格兰法为仲裁地法,且必须以具备英国数据保护法律经验的律师为独任仲裁员。
四、欧盟SCC英国附件
由于英国与欧盟之间紧密的经贸联系,许多企业往往会在两地均有业务,更因为欧盟GDPR的影响力比英国GDPR更大,且后者未对前者作出实质性修改,英国ICO特意允许了自英国的个人数据出境活动仍然可以使用当前版本的欧盟SCC,仅需附加一个欧盟SCC英国附件。
欧盟SCC英国附件分为表格与强制条款两部分。表格部分主要是供使用此附件的各签字方填写相关信息,包括各方的基础信息,所签署的欧盟SCC中各签字方所选的模块(Module)、可选条款、附加信息,以及双方是否有权在新版欧盟SCC英国附件发布时中止欧盟SCC英国附件等。双方有权在不改变原文实质含义的情况下修改表格部分。
而强制条款部分则是欧盟SCC英国附件的正文,禁止任意修改。该部分主要起到调整各签字方所签署的欧盟SCC的作用。经过比较可以发现,这些强制条款也并未对欧盟SCC作出实质性的修改或调整,而仅仅规定了:如何签署与解释欧盟SCC英国附件,该附件与欧盟SCCs的效力位阶,该附件的适用范围(欧盟的个人数据跨境传输不适用),欧盟SCC中提及欧盟、欧盟机构以及法律的部分替换为英国和英国对应的机构以及法律等其他非实质性修订的内容。
值得注意的是,强制条款部分虽然允许欧盟SCC根据欧盟委员会的修订而随时修改,但同时也规定,仅有当前版本的欧盟SCC是经批准的欧盟SCC(Approved EU SCC);如果日后欧盟委员会发布的新版欧盟SCC与当前经批准的欧盟SCC不一致,除非前者能为数据主体提供更大程度的保护,否则后者的效力优先。这一规定保证了欧盟SCC英国附件相对于欧盟SCC能保持一定程度的独立性,避免出现其随欧盟指挥而走的尴尬局面。
此外,强制条款部分中关于管辖法院的内容取消了欧盟SCC第四模块(P—C场景)第18条所允许的第三国法院管辖,改为统一要求在英国英格兰及威尔士法院、苏格兰法院、北爱尔兰法院三者之中择一管辖,在这方面的修改具有一定程度的实质性。
五、评价与展望
现行英国SCC总体而言兼顾了英国主权独立、脱欧过渡期、英国与欧盟间紧密经贸关系以及英国GDPR受欧盟GDPR极深影响等几大方面因素的考量,既有过渡办法和可以与欧盟SCC共同使用的欧盟SCC英国附件,也有完全独立构建的英国IDTA。
对于刚刚完成脱欧进程的英国而言,英国IDTA尽管在实质上并未与欧盟SCC分道扬镳,却已完成了在形式与风格上脱离欧盟SCC思路的第一步,并成功将相关法律争议的解决完全收归英国境内的法院或仲裁机构,是英国在个人数据保护领域收回其立法及司法主权的第一步。
而欧盟SCC英国附件从其目前的内容与形式上来看,不仅仅是英国个人数据跨境传输的一种脱欧过渡时期的权宜之计,更将会是一项长期有效、可以与欧盟SCC共存的法律文件。同时,对于在英国与欧盟两地设有机构并需要以标准合同的途径向英国与欧盟之外传输个人数据的跨国公司来说,可以通过与数据接收方仅签署欧盟SCC外加欧盟SCC英国附件的便捷方式,来同时满足英国与欧盟两大地区的个人数据跨境传输要求。
此外,我们也可以预见英国SCC未来还会发生新的变化。这不仅是因为英国ICO即将发布英国IDTA与欧盟SCC英国附件的解释与指南以及TRA指南,更是因为英国政府已在英国下议院宣布了改革英国GDPR的立法计划,旨在赋予英国企业更大的灵活性——包括移除小企业的数据保护官(DPO)和数据保护影响评估(DPIA)要求,以及改革英国ICO等。这些举措势必将导致包括英国IDTA在内的各项英国个人数据保护制度进一步与欧盟GDPR的各项制度渐行渐远。
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。