作者 | 北京德恒律师事务所 王一楠 万千惠
国家互联网应急中心 张奕欣
引言:2022年6月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》(“中国标准合同”),标志着这个在国际上被广泛采用个人信息跨境流动保护性措施首次在我国开始“生根发芽”。
标准合同或称标准合同条款(Standard Contractual Clause或SCC)系监管部门为了确保个人信息在出境之后保护水平不低于本国标准而要求数据传输方与境外数据接收方签署一个官方制定的合同模板。该做法通过合同的约束力将境内的管辖权“延伸”至境外,达到一定“境内法域外适用”的效果,以保护处于相对弱势地位的个人信息主体权益。
随着数据跨境流动的数量急剧增长以及相关安全风险的不断涌现,世界上很多国家和地区也都先后推出了自己的版本。鉴于中国标准合同版本正在征求意见,笔者将世界上主要国家和地区已颁布的标准合同进行逐一研究,形成系列文章,以资借鉴。
一、香港RMCC的出台背景
香港特别行政区是亚洲最早全面保障个人信息的法域之一。近年来,香港的数字经济高速发展,涉港的数据跨境流通日益频繁。香港建议条文范本(Recommended Model Contractual Clauses,简称“香港RMCC”)是香港个人资料私隐专员公署(“私隐公署”)为企业准备的建议最佳行事方式(best practices),以保护跨境传输的个人信息。
(一)暂未生效的《私隐条例》第33条
早在1995年,香港便出台了《个人信息(私隐)条例》(“私隐条例”),《私隐条例》第33条“禁止除在指明情况外将个人信息移转至香港以外地方”是对个人信息(个人资料)跨境传输的专门规定,但该条款至今尚未正式实施。其中,第33(2)(f)条涉及数据跨境传输中的标准合同。根据该条款,个人信息原则上不能被传输至香港之外,除非:“该使用者已采取所有合理的预防措施并已作出所有应尽的努力,以确保该资料不会在传输目的地以违反《私隐条例》的方式收集、持有、处理或使用”。《私隐条例》通过该条款明确了保障性措施是数据出境离港的制度之一,其中数据传输方和数据接收方签订标准合同又是保障性措施中的一种主要方式。
(二)2014《指引》和2014RMCC
为完善《私隐条例》第33条配套规则,推动第33条尽快生效,私隐公署于2014年公布了《保障个人资料:跨境资料转移指引》(“2014《指引》”),鼓励数据控制者(即“Data User”或“资料使用者”,类似中国大陆《个人信息保护法》项下的“个人信息处理者”)通过2014《指引》建议的方式保护个人信息,履行企业的管理责任。2014《指引》对《私隐条例》第33条所提的可以跨境传输的例外情形作了进一步的说明,包括白名单制度、存在与《隐私条例》相似法律的地区、个人信息主体书面同意、避免针对个人信息主体的不利行动或减轻该行动所造成的影响以及其他豁免情形,并就《私隐条例》第33条适用的原则、范围和主体等进行了解读,最后以附件形式提出了根据《私隐条例》第33(2)(f)项把个人信息传输到香港以外的《建议范本条文》(“2014RMCC”)。
(三)2022《指引》和2022RMCC
随着处理个人信息日趋数码化及营商全球化,私隐公署于2022年5月又公布了《跨境资料转移指引:建议合约条文范本》(“2022《指引》”),旨在补充2014《指引》,以及其附表的2014RMCC。与广泛说明33条数据跨境的多种路径的2014《指引》不同的是,2022《指引》专注说明了其附表的《建议合约条文范本》(“2022RMCC”)如何通过采用建议标准合同模板实现个人信息的保障。本文中,2014RMCC和2022RMCC统称为“香港RMCC”。
二、香港RMCC的效力和适用范围
(一)香港RMCC是推荐性合同
在《私隐条例》第33条尚未生效的背景下,私隐公署鼓励数据控制者遵循香港RMCC的相关指引。然而,即使《私隐条例》生效,香港RMCC也非强制适用,因为:(1)作为保障个人信息安全的实务性指引,2014《指引》和2022《指引》中的“指引”和“建议”两词均表明其并非强制性规范,而是可自由组合的独立性条文;(2)根据2022《指引》,数据控制者和处理者们可在自行制定(develop)转移个人信息的协议时采纳2022RMCC,或把这些条文纳入更广泛的服务协议中,其可自由使用其他在实质上符合《私隐条例》规定的字词。
(二)香港RMCC的两类适用情形
在适用的场景方面,一改2014RMCC不区分提供模板的做法,2022RMCC为数据控制者提供了两套模板,即数据控制者转移个人信息给数据控制者的建议标准合同(Controller to Controller,“C-C模板”)和数据控制者转移数据给数据处理者(即“资料处理者”,类似中国大陆《个人信息保护法》下的“受托人”)的建议标准合同(Controller to Processor,“C-P模板”)。根据2022《指引》,需要遵守《私隐条例》第33条的是数据控制者,而非数据处理者,因此香港RMCC排除了数据传输方是数据处理者(即P-C和P-P)的两种场景。
上述模板均适用于两种出境情形:(1)由一香港机构转移个人信息至另一境外机构,或(2)两个均属香港境外的机构之间的转移而有关转移由一名香港数据控制者所控制。以上第(2)种情形在其他法域规定中并不常见。在该情形下,数据在香港境外机构之间转移,所以数据很可能由香港数据控制者直接上传至香港境外某一机构处(如云存储),而根据2014《指引》该上传存储很可能已经构成数据出境行为。因此情形(2)是否构成数据再传输(“Onward Transfer”或“继续转移”)需要私隐公署予以进一步澄清。
三、香港RMCC条款内容介绍
总体看来,香港RMCC始终高度依附于《私隐条例》。其中,2014RMCC帮助数据传输方和数据接收方了解《私隐条例》第33条生效后其在数据跨境传输中应承担的责任,2022RMCC在此基础上进行了补充,将跨境数据转移的C-C和C-P两种场景予以区分,并基于此提供了两套模板。
(一)2022RMCC的两大模块的对比
与C-P模板相比,C-C模板的条款的数量更多,且两套模板在内容上约有20处区别。
1.条款数量的区别
在2022RMCC中,C-C模板共有6个条文,C-P模板则共有3个条文。与C-P模板相比,C-C模板额外规定的3个条文是(1)数据传输方的责任(2)个人信息主体查阅及改正个人信息的权利和(3)有关直接促销的条文。
2.条款内容的区别
除了上述3个条文是C-C模板特有的条文,C-C和C-P两个模板在共有条款内容上的区别体现在以下几个方面。
(1)定义的区别
在定义部分,两套模板对部分概念的界定存在区别。有关再传输的数据接收方,C-C模板第4.9条款中其被定义为“继续转移的接收者”。结合第4.10条可知,第4.9条的“继续转移的接收者”可被进一步划分为“数据控制者”和“数据处理者”(即C-C-C和C-C-P两种子模板),其范围广于C-P模板第3.8条规定的“次处理者”(即“分判处理者”或“Sub-processor”,也即C-P-P的子模板)。
(2)数据接收方作为处理者的地位限制
与C-C模板不同的是,C-P模板中部分条款的安排突出了数据接收方作为数据处理者时的地位限制,受到作为数据控制者的数据传输方的控制,依其指示行事。例如,在数据接收方责任条款中,有关保留个人信息的时间,C-C模板的4.4条款中约定,数据接收方向数据传输方的保证包括不会保留其接收的个人信息“超过达到传输目的所需”的时间;而C-P模板的3.4条款中约定,数据接收方向数据传输方的保证包括不会保留其接收的个人信息“超过数据传输方指示的处理所需”的时间。再如,有关删除个人信息,C-C模板的4.5条款中约定,当传输的个人信息不再需要用于达到传输目的,数据接收方应删除有关数据,没有约定按数据传输方的指示删除数据。C-P模板的3.5条款中则约定,数据接收方按数据传输方的指示删除有关数据。
(二)2022RMCC与2014RMCC的对比
作为对2014RMCC的补充,2022RMCC为数据控制者提供了更详尽的合规指引,修改并完善了2014《指引》中的规定。二者系补充和被补充的关系,即2014RMCC中包括而2022RMCC不包括的内容,应按2014RMCC适用,反之亦然,二者相互矛盾的内容根据从新原则应以2022RMCC为准。
1.2022RMCC比2014RMCC更有可操作性
在2014RMCC的基础上,2022RMCC对跨境数据传输的场景进行了区分,并提供了两套模板供数据控制者选择适用。而且,2022RMCC新增了定义、释义和有关直接促销的条文,让数据控制者能够更有针对性地采用香港RMCC或以此为基础订立清晰的完整商业协议。2022RMCC对2014RMCC的修改与完善主要体现于数据传输方的责任、数据接收方的责任和个人信息主体的权利条款。
以数据接收方的责任中的再传输条款为例,2022RMCC相较2014RMCC在表述和内容上都作了修改,这既符合场景区分下细化规定的需求,也为数据接收方提供了更为灵活的合规指引。2014RMCC的2.1.8条款对数据的再传输规定的较为笼统,仅规定数据接收方向外再传输数据需要通知数据传输方,及满足下列三个条件中的一条即可:(1)再传输法域法律的适格,(2)数据次接收方签署本协议或适格协议,和(3)适当性保障机制。而2022RMCC的两套模板分别对数据接收方是控制者或处理者的两种再传输场景分类讨论,写明了C-C-C或C-C-P(数据次接收方或继续转移的接收者),和C-P-P(数据次处理者或分判处理者)的不同要求。两种场景下,数据接收方或数据次处理者再传输数据均需要满足(1)数据转移一览表准许或(2)数据传输者的单独事前书面同意中的任意一项,而数据接收方和次处理者再传输的其他义务有所区别(见C-C模板的4.10、4.11条款和C-P模板的3.9、3.10条款)。在《私隐条例》的框架下,2022《指引》与2014《指引》共同丰富了香港数据跨境流动和区域融通的政策举措,为本地企业跨境资料转移提供了较为完善的合规指引。
2.2022RMCC和2014RMCC部分概念和表述存在差异
2022RMCC和2014RMCC存在对相同含义的概念或内容进行不同表述的情况。比如,有关这两个版本使用的中文概念,2022RMCC中对数据传输方使用的概念是“资料转移者”,对数据接收方使用的概念是“资料接收者”,而2014RMCC中相应使用的是“转移人”和“承转人”的概念。又如,在数据接收方的责任方面,2022RMCC的C-C模板的第4.1条、C-P模板的第3.1条与2014RMCC的第2.1.1条含义大致相同,但表述不同。以上文字表述问题建议企业在使用两个版本时注意。
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。