标准合同条款:欧盟个人数据出境的常规路径之一
The following article is from 数据法律资讯 Author 冯坚坚 袁立志
数据隐私和网络安全
专栏
作者:冯坚坚 袁立志
GDPR的长臂管辖波及了不少中国企业,而个人数据的跨境传输则成为了这些中国企业无法绕开的重要问题。目前,大多数企业应对跨境传输问题的解决方案都是采用“标准合同条款”,但是我们在中文世界中几乎没有找到对欧盟委员会公布的“标准合同条款”进行专门研究的文章。
为此,我们尝试对“标准合同条款”进行分析,从对欧盟个人数据出境的路径选择的概况介绍开始入手,回顾了“标准合同条款”的历史沿革并分析了其基本逻辑,接下来对SCC2001C、SCC2004C以及SCC2010P三个不同的“标准合同条款”进行了内容介绍和解读,最后介绍了实务中“标准合同条款”的应用情况和关注点。不足之处,请各位同仁批评。
欧盟个人数据出境的路径选择
对个人数据跨境转移的监管是欧盟《统一数据保护条例》(以下简称“GDPR”)的重要内容之一,这一套监管制度在1995年《数据保护指令》(以下简称“95指令”)中已经成形,GDPR在细节上进行了完善。
在95指令和GDPR的语境下,个人数据的跨境转移有特定的含义。首先,受监管的转移是单向的,即只监管个人数据从欧盟的流出,不监管个人数据向欧盟的流入。其次,转移不仅仅是数据的传输,还包含传输后在欧盟境外对数据的处理。因此,个人数据仅仅经过第三国而没有实质处理操作不属于跨境转移,比如,分组转接技术(packet-switch technology,如电子邮件、网页)的技术路由可能包含分布于世界各地的服务器之间的随机数据转移,或者短期离开欧盟的旅行者在欧盟境外访问个人数据(如在欧盟境外登录位于欧盟的计算机系统)。如果为了嗣后自动处理信息的目的而交换信息,即使交换信息的方式不构成GDPR项下的对数据的“处理”,这种信息交换也可能构成跨境数据转移。比如欧盟境内的个人通过电话向欧盟境外的某人提供了个人信息,这种信息交换不是自动处理,故不属于GDPR项下的“处理”,但后者嗣后将信息录入计算机,整体上就会被认为属于数据跨境转移。
总体上,欧盟对他国的个人数据保护水平持怀疑态度,体现在立法上,就是95指令和GDPR建立的一套阶梯式数据出境路径。供数据控制者或处理者只有依循适当的路径,才能将个人数据转移出境。详见下图:
首选的个人数据出境路径是所谓的“保护水平认定(Adequacy decision)”,即经过欧盟认定的对个人数据保护充分的国家、地区或国际组织,可以直接向其传输数据,不需要任何特别授权。对企业而言,这当然是最便捷的路径,但遗憾的是,获得这种认定的国家和地区很少,目前仅有安道尔、阿根廷、加拿大(部分)、法罗群岛(属丹麦)、格恩西、以色列、马恩岛(英属)、泽西、新西兰、瑞士、乌拉圭、美国(隐私盾)。欧盟委员会已在公开文件中承认,在相当长的一段时间内,欧盟都不可能给予很多国家以“保护水平认定”。因此,上述国家和地区以外的企业想要接受来自欧盟的个人数据,必须寻找其他的路径。
在多种可选的路径中,标准合同条款(Standard Contractual Clause)是常规路径之一。
标准合同条款的历史沿革和基本逻辑
(一)标准合同条款的历史沿革
95指令建立适当保障措施制度后,欧盟委员会根据95指令第26条第4款,先后通过了4个版本的标准合同条款,都是以欧盟委员会决定(Commission Decision)的形式公布的。
2001年6月15日,欧盟委员会通过了适用于数据控制者的标准合同条款(以下简称“SCC2001C”)。同年12月27日,欧盟委员会又通过了适用于数据处理者的标准合同条款(以下简称“SCC2001P”)。
根据欧盟委员会的决定文件,应在三年后对标准合同条款的运用情况进行复审。经过复审,欧盟委员会接受国际商会等机构的建议,认为有必要增加更多标准条款以供企业选择。随后,欧盟委员会于2004年12月27日通过决定,在SCC2001C的基础上增加了另一套适用于数据控制者的标准合同条款(以下简称“SCC2004C”),企业可在SCC2001C和SCC2004C两套标准条款中择一使用。另鉴于SCC2001P灵活性不足,基于国际商会的建议,欧盟委员会于2010年2月5日通过新的决定,更新了适用于数据处理者的标准合同条款(以下简称“SCC2010P”),以取代SCC2001P。
综上,目前有三套标准合同条款:SCC2001C、SCC2004C以及SCC2010P。根据GDPR,在欧盟委员会做出新的决定之前,这三套标准条款继续有效。
(二)标准合同条款的基本逻辑
对于跨境数据转移的监管,最容易想到的方式就是事先许可制度。但是,跨境数据转移的频率之高和范围之广,使欧盟很早就放弃了这一思路。GDPR非常明确地规定,在采用标准合同条款、约束性公司规则等适当保障措施的情况下跨境转移数据不需要监管机关的个案审批,只有采用非标准合同条款的情况下才需要监管机关的批准。但是,标准合同条款和公司约束规则本身需要欧盟委员会的事先批准,因此,欧盟对跨境转移数据的基本监管思路就是摈弃个案审批,采纳路径审批。
问题是,采纳标准合同条款就足以保障数据主体的权利吗?
对此,欧盟的解决思路是,通过在数据转移双方的合同中纳入标准合同条款,将95指令下的法定义务和责任转化为合同义务和违约责任,尤其是转化为合同双方对作为第三者的数据主体的合同义务和违约责任(利他合同),然后通过纳入争议解决及法律适用等条款,来确保数据主体的权利落到实处。标准合同条款虽然是数据转移双方之间的合同,但重点却是非合同方的数据主体的权利及其保护机制,至于数据转移双方之间的权利义务,自然交由双方通过商务条款自行约定。
在95指令和GDPR框架下,数据控制者和处理者既有面向数据主体的民事义务,从而需要承担民事赔偿责任;也有面向监管机关的行政法义务,从而面临行政处罚责任。标准合同条款主要着眼于前者,即通过落实对数据主体的民事赔偿责任来倒逼数据转移双方切实保护个人权利,避免标准条款落空。
为确保标准条款的刚性,数据转移双方只能选择或不选择标准合同条款,而不能选择部分标准条款,变更标准条款或者分解、另行组合标准条款。当双方可以自由拟定商务条款。
SCC2001C的主要内容
SCC2001C包含11条正文及3个附录,主要内容介绍如下:
(一)数据转移的要点(第2条及附录1)
数据转移双方需要以附录形式详细说明数据转移的细节,包括:1)数据转移双方的介绍,特别是与数据转移相关的业务活动;2)数据主体的具体类别;3)数据转移的具体目的;4)转移的个人数据的具体类别;5)敏感数据的具体类别(如有);6)数据接收者或其具体类别;7)数据存储期限。
(二)第三方受益人条款(第3条)
数据主体不是数据转移合同的一方,但是享有合同第三方的权利。依据本条规定,数据主体可以直接针对数据转移双方主张合同权利,并就此提起诉讼或仲裁。而且,如果相关国内法允许,数据主体还可以委托协会等机构代表其行使权利。这一安排的逻辑在于,数据主体多而且分散,可能缺乏足够的能力去对抗转移数据的企业,因此需要引入有关协会等机构来帮助数据主体来进行集体维权,其机制类似于著作权集体管理组织。
(三)数据输出方的义务(第4条)
根据该条,数据输出方应确保对数据的处理及转移严格遵守其所在成员国的国内法。GDPR施行以后,直接在各成员国生效,因此应当理解为,数据输出方应当确保遵守GDPR的各项规定以及GDPR授权各成员国自行立法的相关规定。
如果涉及敏感数据,数据输出方应确保已经通知数据主体,或者将在转移前通知数据主体,数据将被转移至保护水平不够充分的第三国。
在数据主体请求时,数据输出方应当向其提供标准合同条款的副本。
在监管机关或数据主体询问数据输入方处理个人数据的情况时,数据输出方应在合理时间及合理可行的范围内给予回应。
(四)数据输入方的义务(第5条)
该条规定了输入方的各项义务,是SCC2001C最重要的内容。第5(a)条要求,数据输入方应当有理由相信,其法定义务不会与其合同义务产生冲突。如果相关立法发生变化,可能对其履行合同义务产生重大不利影响,数据输入方应当向数据输出方及其监管机关通报该等变化,此时输出方可以暂停数据转移或者提前终止合同。此处对数据输入方的要求是“有理由相信”而不是“确保”,说明此义务不是绝对刚性的。
数据输入方核心义务规定在第5(b)条,即在实际处理数据时应当遵守的各项原则。根据该条第1款,数据输入方对数据的处理应当遵守附录2列举的强制性原则,包括目的限定原则,数据质量和比例原则,透明性原则,安全和保密原则,数据主体有权访问、修改、清除及屏蔽数据原则,限制再次转移数据原则,特种数据额外保护原则、拒绝直接营销原则、不受自动化个别决策约束原则。这些原则来源于95指令,现已基本上被GDPR所继承并有所发展。在GDPR施行以后,应当理解为数据输入方应当遵守GDPR项下的各项基本原则和和义务。
除了适用上述原则之外,第5(b)条第2款还规定,数据输入方也可以明确选择适用数据输出国关于保障个人基本权利(尤其是数据隐私权利)的国内法,或者明确选择适用欧盟委员会做出的认定第三国部分行业满足保护水平的决定(相当于间接适用该第三国法律)。后者实际上主要是指欧盟与美国之间的“安全港”以及后来的“隐私护盾”。在这里,我们又一次看到欧盟对他国数据保护立法的不信任,即再次出现了一种阶梯式的适用机制:优先适用欧盟的95指令(现为GDPR),其次是输出国(欧盟成员国)国内法的相关规定(现在已在很大程度上被GDPR所覆盖),最后则是部分行业获得保护水平认定的输入国(非欧盟成员国)法律(通过欧盟委员会的决定间接采纳)。至于连部分行业保护水平认定都没有获得的输入国法律,则不在选择范围内。而且,出于对输出国和输入国国内法的不信任,第5(b)条第2款还额外施加了一个条件:必须满足附录3列举的最低要求,包括目的限定原则,数据主体有权访问、修改、清除及屏蔽数据原则,以及限制再次转移数据原则。
除了上述核心义务,数据输入方还要对输出方或数据主体的询问给予快速恰当的回应,配合监管机关询问和建议;配合数据输出方或其选定的独立适格机构对数据处理设施进行审计;在数据主体提出要求时,向其提供标准合同条款的副本,并告知处理投诉的办公点。
(五)责任(第6条)
在确立数据转移双方的义务以及数据主体的第三方权利的基础上,第6条规定,数据转移双方违反义务而致数据主体损失时,应承担赔偿责任。数据双方对自身未违反义务承担举证责任。数据转移双方对数据主体承担连带责任,一方赔偿后可向另一方追偿。
这种举证责任的分配和连带责任安排,显然是为了强化对数据主体的保护。但也招致了缺乏灵活性的批评。
(六)调解和管辖(第7条)
该条规定,数据输出方或输入方与数据主体发生争议时,数据主体可以将争议提交独立个人或监管机关调解,或者向数据输出国法院提起诉讼。
如果输出方或输入方所属国是《纽约公约》的缔约国,在数据主体与相关方达成仲裁协议的前提下,也可以将争议提交仲裁机构仲裁。
(七)准据法(第10条)
该条规定,合同的准据法是数据输出方所在国的法律。没有排除冲突法规则,理论上存在转致到其他国家法律的可能性。
SCC2004C的主要内容
SCC2004C与SCC2001C是并行关系,而不是取代关系。数据转移双方可以选择其中一套纳入合同中。SCC2004C包含前言(术语定义)、8条正文、2个附录以及一个示范性商务条款。主要内容介绍如下:
(一)数据输出方的义务(第1条)
该条规定,数据输出方应依法收集、处理和转移个人数据;应尽合理努力确定输入方有能力满足保准条款规定的义务(第1(b)条);应输入方要求向其提供数据输出国的数据保护法律及相关资料;及时回应数据主体或监管机关的询问;如果双方约定由输入方回应,则由输入方及时回应,但输入方不愿或不能回应时,输出方仍然应当及时回应。
该条还规定,在数据主体提出请求时,数据输出方应向其提供标准条款的副本;如果其中包含保密信息,输出方可剔除后再提供,但应向数据主体书面说明剔除理由,并告知其可提请监管机关关注该剔除行为。只要数据主体同意保密,监管机关可以要求输出方向数据主体提供全本标准条款。监管机关还可以要求输出方向其提供标准条款副本。
(二)数据输入方的义务(第2条)
根据第2(a)条,数据输入方应当采取适当的技术和组织措施保护个人数据,以防突发事件、非法破坏或意外的丢失、改写、非法披露或访问,这些措施应提供与数据处理的风险特点和数据性质相称的安全保护。
根据第2(b)条,数据输入方应设置适当程序,使其授权访问数据的第三方(包括数据处理者)确保数据保密和安全。依据输入方授权行事者(包括数据处理者)应严格按照输入方的指示处理数据。依相关法律或法规访问数据者不受此限。
根据第2(c)条,数据输入方应当保证,在签署标准条款时,其没有理由相信任何本地法律的规定会对其履行标准条款下的保证产生重大不利影响;如果嗣后出现这种法律,数据输入方应当通知数据输出方,必要时后者应转告监管机关。这一要求与SCC2001C第5(a)条相似。
根据第2(d)条,数据输入方保证将按照标准条款约定的目的处理数据,并有资格做出保证和履行承诺。
根据第2(e)条,数据输入方应向输出方确定一个联络人,授权其回应关于数据处理的询问,并善意配合输出方、数据主体和监管机关,及时回应其询问。如数据输出方解散或双方有约定时,输入方应承担前述本应由输出方承担的提供标准条款副本的责任。
根据第2(f)条,在数据输出方要求时,数据输入方应当提供证据证明其财务能力足以履行对数据主体的赔偿义务,比如购买保险。
根据第2(g)条,在数据输出方合理地提出要求时,数据输入方应提供其数据处理设施、数据文件及档案等,接受数据输出方的复核、审计或认证,以核实输入方是否遵守其保证和承诺。
第2(h)条规定了数据输入方的核心义务,即在实际处理数据时应当遵守的各项原则。与SCC2001C第5(b)条相似,SCC2004C第2(h)条也提供了三种选择,即95指令规定的基本原则(列于附录1)、输出国国内法的相关规定、欧盟委员会做出的认定第三国部分行业满足保护水平的决定。但是,不同于SCC2001C的是,SCC2004C第2(h)条改变了三种选择的顺序,95指令规定的基本原则被置于最后,而输出国国内法的相关规定被置于最先的位置,而且取消了额外的最低要求。
第2(i)条规定了数据输入方再次跨境转移数据的条件,包括通知输出方,并且满足以下条件之一:再次转移的输入国是获得欧盟保护水平认定的国家;再次转移的接受方是该标准条款的签署方,或者是经欧盟监管机关批准的另一数据转移合同的签署方;已在充分告知相关情况的前提下给予数据主体反对再次转移的机会;或者数据主体明示同意(适用于转移敏感数据)。SCC2001C也在附录2和附录3中规定再次跨境转移数据的条件,与之相比,SCC2004C第2(i)条增加了两种情形:再次转移的输入国是获得欧盟保护水平认定的国家,以及再次转移的接受方是经欧盟监管机关批准的另一数据转移合同的签署方。
(三)责任及第三方权利(第3条)
第3(a)条首先规定数据转移双方中的乙方违约时,应赔偿另一方蒙受的实际损失,惩罚性赔偿不适用。这是SCC2001C中没有的内容。另外,该条还规定,如任何一方违反第三方权利条款,应向数据主体承担赔偿责任,这不影响数据输出方在国内法下的责任。
第3(b)条列举了数据主体的第三方权利,数据主体可以依据标准条款,就数据输入方或输出方违反义务的行为,分别向输入方或输出方主张赔偿责任,并可就此向输出国法院提起诉讼。在数据输入方违反义务的情况下,数据主体必须先请求数据输出方采取适当措施向输入方索赔;如果输出方未在合理期限(通常为一个月)内采取措施,则数据主体才可以直接向数据输入方索赔。如果数据输出方未能尽合理努力以确定输入方有能力满足标准条款规定的义务,则数据主体可以直接向数据输出方索赔。数据输出方对其已尽合理努力的事实承担举证责任。
本条的规定是SCC2001C与SCC2004C最主要的区别。根据SCC2001C第6条,合同双方对数据主体承担连带赔偿责任。而根据SCC2004C第3(b)条,数据输入方和输出方就自身的违约行为,分别向数据主体承担赔偿责任,并且规定,如果数据主体要向数据输入方索赔,必须先通过输出方提出,只有在输出方怠于行动时,数据主体才可以直接向输入方索赔。如果数据输入方自身资产不足以承担赔偿责任,输出方原则上不用承担连带责任,但有一个例外,即如果输出方没有尽合理努力对输入方履行义务的能力进行确认,则数据主体可以向输出方索赔。相对于SCC2001C,SCC2004C对于数据输出方更加有利。
(四)准据法(第4条)
该条规定,合同准据法为数据输出国的法律,但有一点例外,如果双方明确选择适用欧盟委员会根据95指令第25条第6款做出的决定,或者选择适用附录1列明的基本原则,则就个人数据的处理而言,应当适用其明确选择的法律。换句话说,对于处理个人数据时应当遵循的基本原则或要求,当事人可以在95指令基本原则、数据输出国法律以及欧盟与他国达成的协议中选择,但是除此以外的事项,包括合同的解释和履行等,应当适用数据输出国的国内法。
与SCC2001C第10条相比,该条增加了上述例外情形,实际上应当理解为修复了SCC2001C在准据法问题上的一处自相矛盾的地方。
(五)与数据主体或监管机关之间争议的解决(第5条)
该条规定,对于数据主体或监管机关提起的主张或争议,合同双方应当互相通报,并相互配合妥善解决;合同双方同意参与调解,可以选择远程方式;并同意考虑参与仲裁等其他争议解决方式。合同双方同意服从数据输出方或监管机关所在的成员国的法院作出最终判决。
与SCC2001C相比,SCC2004C第5条增加了监管机关提起诉讼的规定,并特别提到了远程调解,还增加规定了监管机关所在国的法院的管辖权。
(六)合同终止(第6条)
根据第6(a)条,如果数据输入方违反标准条款规定的义务,数据输出方可以暂停数据转移,直至输入方纠正违约行为或者合同被解除。
根据第6(b)条,数据输出方在以下情形可以解除标准条款:1)根据第6(a)条暂停转移数据超过一个月;2)输入方的合同义务与其所在国的法定义务冲突;3)输入方重大地或持续地违反标准条款下的保证或承诺;4)数据输出方或监管机关所在成员国的法院作出最终判决,认定数据输入方或输出方违反标准条款;5)依据相应的法律,输入方卷入接管或清盘等程序中。在第1)、2)、4)项情形中,数据输入方也可以解除标准条款。
根据第6(c)条,如果数据输入国通过欧盟的保护水平认定或者成为欧盟成员国,任何一方都可以解除标准条款。
根据第6(d)条,不管何时、在何种情况下和因何种原因(第6(c)条规定的原因除外)标准条款被解除,对于已经转移的数据的处理而言,都不免除合同双方的义务。
SCC2010P的主要内容
SCC2010P是在SCC2001P的基础上更新而来,并完全取代SCC2001P。SCC2010P包括12条正文、两个附录以及示范性赔偿条款。主要内容介绍如下:
(一)第三方受益人条款(第3条)
该条规定,作为合同第三方,数据主体可以针对数据输出方强制执行涉及数据主体的标准条款。
(二)数据输出方的义务(第4条)
第4(a)条规定,数据输出方应保证对个人数据的处理(包括转移)遵守相关的数据保护法律;应指示输入方仅以输出方的名义依法处理数据;保证采取技术性和组织性的安全措施,并确保其采取的安全措施足以保护个人数据免遭非法破坏、非法处理等风险;在跨境转移特种数据的情况下,数据输出方应保证及时将转移情况告知数据主体;在收到数据输入方或分包处理方关于法律变动的通知时,如果输出方决定继续转移数据,则应将法律变动情况转告监管机关;应数据主体要求,数据输出方应向其提供标准条款的副本、对安全措施的简介以及分包处理服务合同副本,如果这些文件中包含商业信息,则可在剔除商业信息后再提供;在分包处理的情况,确保分包处理商对个人数据给予与数据输入方同等水平的保护。
(三)数据输入方的义务(第5条)
根据该条,数据输入方只能以输出方的名义并根据其指示处理数据;如果不能遵守这一点,应迅速通知输出方,输出方可以暂停转移数据或解除合同。
数据输入方应保证没有理由相信任何本地法律的规定会对其履行标准条款下的保证产生重大不利影响;如果嗣后出现这种法律,数据输入方应当通知数据输出方,必要时后者应转告监管机关。
数据输入方应确保在处理数据时已执行附录2列明的技术性和组织性的安全措施。如果执法机关要求披露个人数据(除非依据刑法禁止披露),发生意外或未经授权的访问,以及收到数据的主体的直接请求而没有回应,数据输入方应当迅速通知输出方;还应迅速且适当地回应数据输出方的各种询问,遵守监管机关的建议。应数据输出方的要求,数据输入方应提供数据处理设施以供输出方或其选定的独立检查机构对数据处理活动进行审计。
应数据主体的要求,数据输入方应向其提供标准条款副本和分包处理合同副本,如果含有商业信息,则可在剔除后提供。例外情况下,应提供安全措施的简介。
如果有分包处理,数据输入方应事先通知输出方并取得其事先书面同意,并迅速向数据输出方提供分包处理合同的副本。
(四)责任(第6条)
如果因为合同任何一方或分包处理方违反标准条款规定的义务而导致数据主体蒙受损失,数据主体有权要求数据输出方赔偿损失。这是SCC2010P与适用于控制者之间的两套标准条款的重大区别,数据输出方需要“代人受过”,即为数据输入方(仅作为数据处理者)和分包处理方的违约行为承担赔偿责任,数据输出方是第一责任人。
在数据输入方或分包处理方违约的情况下,如果因为数据输出方实际上消失、停止存续或无力偿债,且没有机构承继输出方,导致数据主体无法依据上述规定向输出方索赔,则数据主体可以直接向输入方索赔,此时应将输入方视同输出方。如果有机构承继输出方,则数据主体还是应向该承继者索赔。输入方不能以分包处理方违约来主张免除自身责任。根据这一规定,在数据输出方无法承担责任的情况下,数据输入方作为第二责任人,就要“递补”承担赔偿责任,但是数据输入方只需就其自身和分包处理方的违约行为承担责任,而不需为数据输出方的违约行为承担责任。
在分包处理方违约的情况下,如果因为数据输出方和输入方实际消失、停止存续或无力偿债,且没有机构承继输出方或输入方,导致数据主体无法依据上述规定向输出方或输入方索赔,则数据主体可以直接向分包处理方索赔,此时应将输入方视同输出方或输入方。如果有机构承继输出方或输入方,则数据主体还是应向该承继者索赔。分包处理方的责任以其实际承担的处理工作为限。分包处理方作为最后责任人,只需就其自身的违约行为承担责任。
(五)调解和管辖(第7条)
如果数据主体根据标准条款提出索赔,则数据输入方同意将争议提交独立人士或监管机关(如果适用)进行调解;或将争议提交在数据输出国的法院裁决。
(六)配合与监管机关(第8条)
根据该条,如果监管机关要求备案,或者相关数据保护法要求备案,数据输出方需向监管机关备案合同副本。监管机关有权对数据输入方和分包处理方进行审计,审计范围和所依据的条件与对数据输出方的审计相同。如果这种审计与适用于数据输入方或分包处理方的法律相冲突,则数据输入方应立即通知数据输出方。在此情况下,数据输出方应有权暂停转移数据或解除合同。
(七)准据法(第9条)
该条规定,合同准据法为数据输出国的法律。在准据法的问题上,三套标准条款都规定以数据输出国的法律为准据法。
(八)分包处理(第11条)
如未事先获得数据输出方的书面同意,数据输入方不应将数据处理分包。若获得同意,必须与分包处理方签署书面协议,该协议应规定分包处理方应承担与标准条款下输入方同等的义务。如果分包处理方无法履行分包协议约定的数据保护义务,数据输入方应向数据输出方履行该等义务。该协议中关于数据保护方面的内容应以数据输出国的法律为准据法。
数据输入方和分包处理方的协议还应规定第三方受益人条款,使数据主体可以依据第6条向分包处理方索赔。
数据输出方应制定一份分包处理协议清单,至少每年更新一次,并提供给数据输出方所属的监管机关。
(九)个人数据处理服务终止之后的义务(第12条)
在数据处理服务的规定终止之后,数据输入方和分包处理方应根据数据输出方的选择,向数据输出方退回所有传输的个人数据和副本,或者应销毁所有个人数据并向数据输出方证明其已销毁,除非相关法律规定其不得退回或销毁数据。在后一种情况下,数据输入方应对数据保密,并且保证不会再主动处理数据。
数据输入方和分包处理方保证,其将按照数据输出方和/或监督机构的请求,提交其数据处理设备以便对退回和销毁等措施进行审计。
标准合同条款的实务运用和关注点
个人数据的跨境流动对于扩展国际贸易和国际合作是必要的,但这也引发了对个人数据保护新的挑战和忧虑。95指令和GDPR要求,当个人数据从欧盟转移至位于第三国时,必须选择适当的合规路径,以确保对个人数据的保护水准不降低。没有通用的最优路径,不同的企业应根据自身的数据流、业务模式和风险特点选择适当的合规路径。对互联网企业来说,可以通过用户点击来寻求用户同意,因而获取用户同意是最便捷的路径;对于拥有大量子公司的大型集团企业而言,制定适用于集团内部的统一规则并寻求欧盟监管机关认可是最优方案;而对于大量中小企业而言,标准合同条款可能是最好的选择。预先拟定的标准条款可以减少缔约成本,也有助于提升国际数据保护规定的一致性和可预知性。在全球数据保护统一规则缺失的情况下,标准条款合同成为了不同国家之间在共同规则下进行数据移转的重要工具。
标准合同条款不是一份完整的合同,需要将数据转移的详情填写完整,这就需要事先对数据类型、数据主体类型、数据处理目的、数据流等事项进行梳理,以便准确填写。
在实务中,标准合同条款的应用方式多样。比如目前微软直接把SCC2010P放在了服务协议的附件之中,另有企业通过一个框架选择协议来决定是用控制者版本还是处理者版本,还有一些企业则是签署多对多的协议,把整个集团内所有可能涉及到跨境的企业都囊括进来,避免每个场景下单独签订标准合同条款。这些做法虽然在95指令下已经长期存在,但是在GDPR下是否有变化,是否有更好的应用方法,有待我们进一步观察和研究。
最后需要注意的是,目前三个版本的标准合同条款都是在95指令下制定的,随着GDPR的实施,标准合同条款中一些来源于95指令的内容(主要是数据处理的基本原则等)如何适用值得关注。由于标准条款不能变更,这些内容是通过法律解释自动替换为GDPR项下的相应内容,还是继续延续原来的内容,有待进一步观察。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人,竞天公诚网络安全与数据隐私团队负责人。
隐私权专家国际协会(International Association of Privacy Professionals)会员,上海市律师协会互联网业务研究委员会委员,长期专注于网络安全、数据合规及个人信息保护领域。
合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年底作为合伙人加入竞天公诚律师事务所。在此之前,袁律师先后在两家全国知名的律师事务所执业。
袁律师的执业领域为公司与证券、投融资、并购重组、破产清算、商事仲裁及诉讼。袁律师曾先后主办数十个私募投融资、并购重组、挂牌上市、破产清算等项目。值得一提的是,袁律师曾主办某大数据企业在全国中小企业股份转让系统(即新三板)挂牌项目,协助该企业从合规角度梳理数据获取、数据处理及数据应用等整个业务流程,在当时国内相关法规尚不明确的情况下,得到股转系统对数据安全合规的认可,顺利实现挂牌。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.