域外观察| 东盟发布《跨境数据流动合同范本》(MCC)
摘要东盟已批准《数据管理框架》和《跨境数据流动合同范本》,其中《跨境数据流动合同范本》(MCC)为企业之间跨境传输个人数据提供了合同条款模板,具体分为从控制者到处理者的数据传输、从控制者到控制者的数据传输两个合同模板。
PDPC特别强调,《数据管理框架》和《跨境数据流动合同范本》旨在促进数据相关的业务运营,减少谈判和合规成本,同时确保跨境数据传输过程中的个人数据保护。其中关于《数据管理框架》(DMF)可详见“域外观察| 东盟发布《数据管理框架》(DMF)”。
01 MCC的基本介绍
02 MCC项下的企业义务
03 MCC的两类模板
MCC根据合同双方的关系为数据传输提供了两类模板,即控制者到处理者、控制者到控制者两类,企业应根据实际情况选择适当的合同模板。合同必须包含MCC模板中关于数据保护条款的全部内容,标有【可选条款】的除外。如遇标有【选择相关条款】的,合同双方应当根据所在成员国的国内法,选择最适合的条款加以使用。
模板一:从控制者到处理者的数据传输合同
(一)定义
东盟法:数据控制者或处理者(或者两者)应当遵守的东盟成员国关于数据保护的任何或所有成文法(或与个人数据有关的法律)。 数据泄露:根据本合同传输的个人数据所产生的任何丢失、无授权使用、复制、修改、披露、破坏、访问等行为。 数据输出方:根据本合同将个人数据传输到数据接收方的一方。 数据接收方:根据该合同从数据输出方接收个人数据并进行处理的一方。 次级数据处理者:数据接收方可能会聘用的协助数据输出方导出和处理个人数据的任何个人或法人实体。 执法机构:经东盟法授权,可以实施和执行东盟法的公共机构。 个人数据:根据本合同传输的与已识别或可识别自然人(“数据主体”)有关的任何信息。 处理:对个人数据或个人数据集执行的任何操作,无论是否通过自动化手段,例如收集、使用和披露个人数据。
根据本合同收集、使用、披露、传输的个人数据符合现行东盟法的要求。在没有此类法律的情况下,已通过合理可行的方式通知数据主体并取得其对于个人数据收集、使用、披露、转让目的的同意。 【可选条款】根据本合同传输的个人数据是完整且准确的,符合数据输出方在2.1项下的传输目的。 数据输出方应采取适当的技术和操作措施,确保个人数据在传输过程中的安全性。 数据输出方应当遵守东盟法,回复数据主体或执法机构关于接收方处理个人数据的问询,包括访问和更正个人数据的请求,除非双方书面约定且东盟法允许由数据接收方负责回复。对此类查询和请求的回复应在合理的时间范围内进行,并且符合东盟法对于时限和形式的相关要求(如有)。
数据接收方应仅遵照数据输出方的指示和附录A中的目的,处理个人数据。 数据接收方不得将其从数据输出方收到的个人数据进一步披露或转让给第三方,包括自然人、执法机构、法人实体或次级数据处理者,除非已将进一步披露或转让的情况以书面形式通知数据输出方,并为数据输出方提供了反对的合理机会。 数据接收方同意,在将个人数据披露或转让给包括次级数据处理者在内的第三方之前,数据接收方应确保第三方遵守本合同项下的数据保护义务。 【可选条款】数据接收方同意采取合理方式存储和处理个人数据,使之符合数据输出方规定的安全性标准。 数据接收方应与数据输出方及时沟通,转达数据主体的查询和请求,包括访问和更正个人数据的请求。 【可选条款】应数据输出方的合理要求,数据接收方应提供对数据处理设施、数据文件和记录的访问权限【在此插入需要的通知事项和允许的时间要求】,以便审查或审核数据接收方是否遵守了本合同中规定的义务。 【可选条款】数据接收方应按照数据输出方的合理要求,更正个人数据中的任何错误或遗漏【在此插入商定的更正时间期限】,或适用东盟法的时限要求,以两者中较短者为准。 在本合同终止或按合同要求的完成数据处理后,数据接收方应当按照数据输出方的要求,将个人数据退还或者停止保留数据。数据接收方一旦停止保留数据,应立即与数据输出方以达成书面协议。 数据接收方应采取合理适当的技术、管理、操作和物理措施,符合东盟法对个人数据机密性、完整性和可用性的保护要求,防止数据泄露风险。 如果数据接收方意识到发生了数据泄露事件,从而影响了其对相关个人数据的控制,应当通知数据输出方【选择相关条款】【不得无故拖延】 /【在双方约定的合理时限内】。 对于本合同项下个人数据的采集、使用、转让、披露、安全或处置等环节,数据接收方应将受调查情况立即告知数据输出方并与之协商,除非法律禁止。 数据接收方应按照(二)第四条的要求,向数据输出方提供及时帮助;数据接收方书面同意负责回复的,在接到数据输出方通知时,应当回复数据主体或执法机构的相关问询。 模板中的其余合同条款可由缔约方自由修改采用,仅具有一般商业性质,并非特定用于数据保护义务,在此不予赘述。
东盟法:数据控制者或处理者(或者两者)应当遵守的东盟成员国关于数据保护的任何或所有成文法(或与个人数据有关的法律)。
数据泄露:根据本合同传输的个人数据所产生的任何丢失、无授权使用、复制、修改、披露、破坏、访问等行为。
数据输出方:根据本合同将个人数据传输到数据接收方的一方。
数据接收方:根据该合同从数据输出方接收个人数据并进行处理的一方。
执法机构:经东盟法授权,可以实施和执行东盟法的公共机构。
个人数据:根据本合同传输的与已识别或可识别自然人(“数据主体”)有关的任何信息。
处理:对个人数据或个人数据集执行的任何操作,无论是否通过自动化手段,例如收集、使用和披露个人数据。
本合同项下为数据接收方收集、使用、披露、传输的个人数据符合现行东盟法的要求。在没有此类法律的情况下,已通过合理可行的方式通知数据主体并取得其对于个人数据收集、使用、披露、转让目的的同意。
【可选条款】为数据接收方收集、处理、传输的个人数据是完整且准确的,符合本合同项下的数据传输目的。
【可选条款】数据输出方应按照数据接收方要求,提供其所在国家的数据保护法律副本或指引(如果相关,不包括法律建议)。
【可选条款】数据接收方应仅遵照附录A中的目的,处理个人数据。
数据接收方应符合东盟法要求,采取合理适当的技术、管理、操作和物理措施,防止个人数据泄露风险。
数据接收方应当为数据输出方和数据主体提供可以回复个人数据请求的联系人,该联系人须经授权并可以代表数据接收方。
如果数据接收方意识到发生了数据泄露事件,从而影响了其对相关个人数据的控制,应当通知数据输出方【选择相关条款】【不得无故拖延】 /【在双方约定的合理时限内】。
【可选条款】数据接收方明确,个人数据一经接受,数据接收方即依据东盟法和该合同,对所掌握的个人数据具有保护、处理和维护义务。
【可选条款】在本合同终止或按合同内容完成后,数据接收方应当按照数据输出方的要求,将掌握的个人数据退还或者按照其认可的方式处置。行动一旦完成,数据接收方应立即与数据输出方以达成书面协议。
双方应确认数据传输过程中的泄露风险等级,共同采取适当的数据保护措施。
双方应在个人数据存储和处理中采取适当的控制措施和安全标准。
【可选条款】数据输出方和数据接收方应在各自的负责范围内,回复数据主体或执法机构关于个人数据处理的问询,包括访问和更正个人数据的请求。
模板中的其余合同条款可由缔约方自由修改采用,仅具有一般商业性质,并非特定用于数据保护义务,在此不予赘述。
中心研究| 商务部《阻断办法》解读与“国际阻断立法”比较研究
域外观察| 数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究| 数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译| 新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理
2019年美国隐私保护立法最新动态
中心研究│个人信息保护中的“用户同意”规则:问题与解决
中心研究│人工智能发展与个人隐私保护问题
中心研究│何波:数据主权法律政策与实践
国外跨境数据流动管理制度及对我国的启示
全文翻译| 新加坡发布《个人数据保护法(修订)》