本文就中国数据跨境新规——《个人信息出境标准合同规定》及《标准合同》(征求意见稿)内容进行全面分析并提出相应的改进建议,具体分析包括标准合同的法律地位、合同框架和体系、境外接收者的主体范围、个人信息处理者和境外接收方的义务难点、个人信息主体的法律地位、合同解除、合同转让、合同备案以及实施流程重点等十一个重点问题,期待监管部门能够充分听取来自于实务界的声音,做出更好一版的《规定》和《标准合同》。
往期推荐:
《高云:数据出境新规的创新和不足 | 数据法评系列1》
《国家网信办发布《个人信息出境标准合同规定(征求意见稿)》(附合同模板)》
为规范个人信息出境活动,国家互联网信息办公室(下称“网信办”)于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称《规定》)和《个人信息出境标准合同》(下称《标准合同》)。作为《个人信息保护法》(下称《个保法》)的配套制度与文件,与此前网信办发布的《数据出境安全评估办法(征求意见稿)》(下称《评估办法》)《网络数据安全管理条例(征求意见稿)》(下称《网数条例》)等规范形成了一个完整的数据跨境规范和监管体系,共同确保《个保法》第三十八条得到落实执行。
本文就《标准合同》的相关重点问题、制度创新和不足进行点评,旨在与行内人士进行专业交流。
一、关于《标准合同》的法律地位和研究方法
要真正看懂和用好《标准合同》,不要着急去拿《标准合同》去对照欧盟、美国和港澳台的个人信息法律,这样只能让你明白《标准合同》条款的用意,但《标准合同》是否合法和必要,还是必须回归到我国《民法典》,《标准合同》必须符合《民法典》的相关规定方才有效。在我国《民法典》当中,合同只有典型合同、非典型合同和准合同三种分类。另外按照形式分,合同也只有格式合同和非格式合同两种,标准合同这个概念在《民法典》当中有无出现,究竟应当如何准确判断它的法律地位呢?首先我们了解一下标准合同的由来。标准合同(SCCs)这一提法最早见于欧盟,其后世界各国均有借鉴学习,标准合同在我国法律当中的出现,见于《个人信息保护法》(下称《个保法》)第三十八条规定:第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
即仅限于个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息时,个人信息处理者可以选择的四种合规路径之一。
从表面上看,《标准合同》属于依托国家法律强制力制定的合同,似乎符合《民法典》规定的格式合同形式特征,但如果深入分析后你会发现,无论是制定者(格式合同的制定者仅限于合同一方)、合同内容(未经与对方协商而反复使用)等主要特征,还有生效依据这个最根本特征,其实完全不同,标准合同依托于《个保法》,而格式合同由一方拟定。可见,标准合同与《民法典》规定的格式合同有本质区别,并非格式合同的一种。根据我国的立法原理,如果普通法和特别法有不同时,优先适用特别法。因此,标准合同依据《个保法》,正式加入中国合同的大家庭,成为了《民法典》合同编所述的典型合同、格式合同、准合同之外的另外一个新的合同物种。但是,并非说标准合同依据《个保法》出生,就可以超越中国法律尤其是《民法典》。因为《民法典》在中国属于基本大法,凡是特别法没有规定的,均应当适用《民法典》。标准合同也是如此,《个保法》仅指明除了《标准合同》的产生依据,但从合同形式到内容,从框架、体系、条款到字词,《标准合同》毫无疑问应当受到《民法典》合同编的规范和约束。所以,我们在研究《标准合同》时要注意,《标准合同》借鉴了外国不少成功经验,富有创新精神,大方向值得肯定,但我们不要动辄就将《标准合同》与欧盟、香港SCCs作对比,甚至盲目对照执行,关于《标准合同》的一切问题,还是应当回归到《民法典》上。客观地说,既然有创新,就必然有失误,《标准合同》存在不少与《民法典》冲突甚至违反之处,例如合同主体的资格判断、合同的成立、生效、解除、转让等,这些都需要立法部门引起重视和及时修正,详细分析请详见如下各点。现有版本的《标准合同》总共有9个条款,包括有定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他。从设计思路来看,《标准合同》整体框架欠缺统筹安排,例如9个条款与《民法典》合同编的典型条款有非常大差异;《标准合同》条款标题和内容之间关联度不高,例如救济条款当中混杂了通知与送达等条款;条款之间关系混乱,叙事线索不明。每个条款内容只讲单方义务,而我们常见的合同,每个条款应当同时讲述权利和义务。简而言之,《标准合同》更像是一部规定管理对象义务和责任的法规,而不是一份合同双方约定各自权利和义务的合同。什么是合同?根据《民法典》第464条规定,“合同是民事主体之间设立、变更、终止民事法律关系的协议”。所以合同条款与法条有如下区别:第一,写法上,法条应当力求抽象、简练,因为需要尽可能覆盖现实当中各种实际情况。而条款写法力求具体、详细,因为需要适合合同双方具体情况。第二,内容上,法条侧重讲述管理对象的义务和责任。而条款需要同时描述合同双方的权利和义务。缺少了权利,合同就不是合同了。按照高云总结的“合同六法”知识体系,一份规范的合同,除了合同开头的篇首模块,合同尾部的篇末模块外,合同正文通常可由如下四大部分组成:第一部分,关系模块,主要作用是对民事法律关系进行准确定性,通常包括有用语和定义条款、合同目的条款、合同主体概况、合同交易或服务内容等条款。第二部分,流程模块,主要作用是描述交易过程和双方权利义务,例如发送、接收、结算、开票和双方权利义务等条款。第三部分,保障模块,主要作用是保障合同顺利履行,例如声明与承诺条款、保密条款、知识产权条款、数据安全条款以及通知与送达等条款。第四部分,救济模块,主要作用是合同发生意外时的救济手段,例如合同组成、补充、变更、抗辩、转让、不可抗力、解除、违约责任和纠纷解决等条款。高云建议,《标准合同》的整体框架设计和条款安排,可以参考上述思路作尽一步的完善。2.《标准合同》需要澄清正文、附录和补充协议之间的关系《规定》第二条规定,“个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突”。因此,《标准合同》在开篇就写明,个人信息处理者与境外接收方依据本合同和附录一开展活动,构成本合同的组成部分。第九条再次写明,“如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用”的规定,都表达了类似的意思,即合同双方签订的其他文件不得与《标准合同》相冲突。但是,上述规定和约定仍然遗漏了现实当中存在的两种常见情形。正如我在前面对于《规定》的点评文当中所述,遗漏了《标准合同》没有规定而补充部分有规定,以及《标准合同》只有原则性规定而补充部分作了详细或扩张性解释时如何处理总共两种情况。对于这类情况,可以参考欧盟《关于向第三国转移个人数据的标准合同条款》的立法技术,即:”根据GDPR第28(7)条规定的标准合同条款,除选择适当的模块或增加或更新附录的信息外,均不得修改。这并不妨碍双方将本条款中规定的标准合同条款纳入更广泛的合同中和/或增加其他条款或额外的保障措施,只要它们不直接或间接地与本条款相矛盾或损害数据主体的基本权利或自由。”个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同以及本合同附录,不得违背本合同目的或与本合同条款约定相冲突。根据《个保法》还有《标准合同》第一条的定义条款,答案是肯定的。但从《标准合同》的设计样式来看,似乎只考虑了组织这一种主体,例如《标准合同》第六条救济条款规定,“(一) 境外接收方应在组织内部确定一个联系人”,还有合同签署位要求境外接收方的法定代表人签名,几处内容设计特点都显示,目前《标准合同》版本只适应组织这一种主体,尚欠适应个人的版本。目前《规定》和《标准合同》都没有明确规定,但根据《标准合同》内容特点来分析,属于平等主体之间的约定,所以应当不包括。所以由此理解为什么欧盟关于SCCs的问答,也明确SCCs仅限于商业场景。3.境外接收方是否包括中国港澳台地区的组织和个人?现有《规定》和《标准合同》都无明确,但参考我国的司法实践和香港地区已有SCCs的实际情况下,港澳台地区组织和个人应当也参考境外接收方主体性质做同样的待遇处理。4.境外接收方向第三方转提供个人信息的行为,是否需要纳入《标准合同》体系当中监管?现有的《规定》和《标准合同》给这种情况开了一个口子,就是能够同时满足四个条件即为允许,不需要备案。四个条件分别是:仔细推敲一下这四个条件,其实都是比较容易的。可以预见,这对于境外接收方而言,应该是一个比较明显的逃脱监管的漏洞。将来这个问题可能会引发何种影响,还需要进一步观察。5.境外接收方的内部某个部门或关联方,例如部门、办事处、分公司、子公司、合资公司或合作伙伴等,应当包括在境外接收方之内呢还是视为一个独立的转提供方?有人可能会觉得这个不是问题,以该主体是否具有独立法人资格为准——不具有独立法人资格的就包括在境外接收方之内,如果具有就视为独立的转提供方。问题是,中国法律和外国法律大相径庭,对于法人的定义和承担法律责任的能力判断标准差异很大,应当如何判断这个关联方的法人资格呢?有人会说,《标准合同》第九条不是已经写明“本合同适用于中华人民共和国相关法律法规”了吗?其实,上述约定因为过于简短,容易被作狭义理解,即仅限于合同发生争议时选择中国法管辖,但在没有发生争议时,对主体资格认定就不一定需要选择中国法了,尤其是境外接收方按照外国法律登记成立,不适用中国法律完全有理由。还有,上述法律适用条款甚至可能被解读为只包括实体法,不包括程序法。凡是涉及本合同主体资格判断、合同签订、解释、履行和纠纷解决过程当中的一切实体和程序问题和事项,均适用中华人民共和国法律法规(不包括中国香港、中国澳门和中国台湾地区),不考虑一切冲突法规范。《标准合同》对于个人信息处理者赋予了若干义务,其中最容易产生歧义的是第二条第四款的规定,如何判断个人信息处理者“已尽合理的努力确保境外接收方能够履行本合同规定的义务”?仔细阅读《标准合同》前后规定,你会发现一个有趣现象,就是《标准合同》对个人信息处理者和境外接收方的要求程度不同,第二条对个人信息处理者的义务程度要求为“尽合理的努力”,而第四条对境外接收方的义务程度要求提高到“尽最大努力”,《标准合同》其实已经对个人信息处理者比较照顾了。问题是,这种从“最大努力”降到“合理努力”的照顾,其实是没有意义的,因为无论“合理”或“最大”,个人信息处理者都无法做到。第一,“最大”或“合理”,这个标准都非常主观,没有可度量、客观的标准,实务当中难以落地执行。第二,后面要求“确保另一方能够履行合同的义务”,这个问题更加无法实现。因为在中文语境当中,“确保”等同于“保证、承诺”,等于一方为另一方的守约行为下保证。按照常理,合同一方是否能够履行合同,除了客观条件是否具备外,主观意愿也是必不可少的。例如,境外接收方无论从历史、资金、资源、企业规模和综合实力来看,都完全具备履行本合同规定义务的客观能力,但因为股东会、董事会有异议或者甚至是国外政府决定(与个人信息保护无关的)等意外因素,境外接收方就是迟迟不愿意履行合同。个人信息处理者有什么能力或手段,能够确保对方一定守约呢?所以,《标准合同》问题不在于“合理”还是“最大”,而是后面“确保”这个担保性的要求无法实现。高云建议,删除“确保”,将之改为“证明”,完整条款修改如下:个人信息处理者已尽合理的努力证明境外接收方具备履行本合同义务的客观条件。
《标准合同》第三条赋予境外接收方若干义务,其中有如下几条值得重点关注:义务1:确保出境个人信息范围仅限于实现处理目的所需的最小范围。
义务2:确保存储个人信息的期限为实现处理目的所必要的最短时间。
义务3:确保对数据访问者仅授予最小授权的访问控制策略,使前述人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。
值得注意的是,这些义务都有“最小、最短、最少”等极限要求。其实,在中文语境当中,尤其是规定双方权利义务的中文合同当中,这些极限词通常极少几率出现,因为过于主观,无法评判和实现,而非很容易引起双方争议。在中国实务当中,这些极限词大几率会出现在海归律师摘抄、翻译自外国的各种合同版本当中,因为外文语境很喜欢这些极限词,而这点,与中文合同有非常大的区别。我在前面已经说过,《标准合同》遵守的是《民法典》,而不是美国、欧盟或港澳台的SCCs。因此,高云建议《标准合同》当中应当尽量少用或者不用这些沿袭于外文合同的极限词。如果将来《标准合同》当中依然存在这些极限词,用户应当怎么面对?高云建议的解决方案是,首先应当要求境外接收方自证其要求提供个人信息的正当性、必要性说明,最好能够提供第三方的评估或审计报告,而境内的个人信息处理者对上述说明、评估或审计报告进行适当复核,即可解决问题。
《标准合同》第二条第(三)款规定,个人信息主体依据本合同约定为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。
上述条款吸取了欧盟立法的先进经验,将个人信息主体定义为《标准合同》的“第三方受益人”,系借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的先进经验,在中国现行法律对于此类立法尚属空白的情况下,这种积极探索创新的态度值得表扬。
但需要注意的是,并非《标准合同》当中写明“沉默即代表同意”的内容,即可对合同主体之外的第三人生效,我们需要做更多工作。
因为根据《民法典》第140条规定,“……沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时,才可以视为意思表示”,所以,如果仅仅是《标准合同》有约定授予合同之外第三方个人信息主体拥有的合同权利,这是不足够的,仍然可能存在个人信息主体有异议的问题。
所以,高云建议用户应该分别在个人信息主体与个人信息处理者之间的协议,还有与境外接收方之间的协议当中,补上相应的同意约定,取得个人信息主体的认可更为稳妥。
《标准合同》开头的合同主体信息、以及正文当中的联系人信息部分,都要求写明联系人的具体情况,此举为保证个人信息主体方便联系和投诉所设,这个初衷是好的,但需要兼顾降低实际操作繁琐度的问题。
因为《标准合同》需要备案,如果将某个联系人信息固定到《标准合同》当中,就意味着联系人不能轻易更换,否则企业就可能因为更换联系人这个小事情,又需要对《标准合同》重新办理备案,这种工作其实非常浪费人力和时间。
高云建议比较简单的解决方法,是在《标准合同》当中仅作出要求合同双方都指定相应的联系人的内容即可。对于具体联系人的姓名、电话和邮箱等具体信息,不必写入《标准合同》,可以在网信部门网站上开设个人信息处理者的联系人公示栏目。如果将来企业因为工作变更或联系人离职需要更换,企业自行登录该公示栏目直接修改即可,既简单省事又能够满足要求。
1.《标准合同》对于个人信息主体授权过宽,容易引起误读
《标准合同》条款第七条指的是合同解除权,即守约方可以在发生约定情形时宣布解除合同。而《标准合同》第五条第(六)款规定了个人信息主体有权向个人信息处理者和境外接收方任何一方主张并要求履行第七条的权利,两个条款结合起来,容易引起误读的结果是,第三方受益人有权宣布解除《标准合同》。
这样的解读其实经不起推敲,因为根据《民法典》第563条规定,合同解除只能由当事人一方在发生五种法定情形之一时提出,即有权解除合同的主体不包括合同之外其他人。
高云估计,《标准合同》第五条所述的真正意思是,个人信息主体有权主张的仅仅是第七条当中的第(四)款权利,即“经双方当事人同意解除合同,但本合同的解除并不免除其在个人信息处理过程中的个人信息保护义务”,而非有权宣布解除《标准合同》。
高云认为,上述错误主要是因为合同写作技术存在问题,条款引用范围不清所致。在合同写作方法当中,避免此类错误的应对方法是尽量减少甚至杜绝条款之间的互相引用,解决错误的最好方法就是让错误的前提不存在。
2.《标准合同》当中的合同解除条款约定范围不妥,而且遗漏约定境外接收方解除权和违约方解除权两种情形
现在的《标准合同》规定较为宽广的个人信息处理者合同解除权,境外接收方的合同解除权很狭窄,这种方式不妥。在实务当中,出现上述方式的原因通常是因为合同系强势一方起草,所以内容偏向强势方。
但是,《标准合同》为政府部门所写,应当考虑同时兼顾双方利益,现在有所偏向的写法,容易予人不够公平的印象和口实,其实也没有必要。
因为数据跨境传输属于超高风险业务场景,任何一方违约都可能导致海量的个人信息外泄,影响面非常大,赋予双方尽量宽广的合同解除权,显然比赋予一方能够给予个人信息更强有力的保护,更能体现《个保法》的立法宗旨。
建议《标准合同》强化境外接收方解除权的约定。此外,《民法典》当中已有明确规定,违约方也拥有相应的合同解除权,因此《标准合同》也应当补充相应的内容。
由于个人信息跨境提供属于超高风险业务场景,合同被转让就会导致境外接收方变动,如果变动频繁就容易增加个人信息泄露的风险。因此,限制甚至是禁止合同转让,是非常关键的一步。
但是,现在的《标准合同》版本没有对于合同转让事宜作出约定,这是比较大的一个漏洞。
不要以为在补充合同当中简单写一句“合同未经一方同意不得转让”的类似约定即可解决问题。因为根据《民法典》第545条规定,“当事人约定非金钱债权不得转让的,不得对抗善意第三人”。换而言之,如果你在合同当中没有充分阐述写明禁止合同转让给第三方的合理理由和第三方所面临的违约和被拒绝履行等法律后果,合同双方均无权阻止合同转让发生。
如果第三方依据《民法典》规定受让了合同的权利义务,法律上即可有权要求个人信息处理者提供个人信息,这显然是非常危险的。
还有,合同转让这种行为甚至连合同备案都无法阻止,因为依据《规定》和《标准合同》,合同是先生效后备案,而且仅为形式备案,所以合同是否备案均可被转让。
按照《规定》,个人信息处理者可以先提供数据再备案,备案只是形式备案。《标准合同》因而写明,合同在双方签订后即生效。由此推断,似乎《标准合同》、补充协议以及备案都只是规定动作,没有太大实质意义。
其实不然,综观我国的数据安全立法,涉及数据的所有行为和内容都要求必须遵循合法性、正当性和必要性。所以,《标准合同》以及补充内容绝不能仅仅符合形式要求,还应当符合实质要求,如果有所懈怠,将给合同双方埋下一系列不可预测的地雷。如果将来一旦发生安全审查、认证评估或泄露事故,需要倒查责任时,情况就会变得一发不可收拾了。
为了帮助当事人拥有更好的风险控制能力,建议《标准合同》将合同成立和生效的约定权还给当事人,让当事人根据实际情况另行处理。
根据《民法典》第502条关于“依法成立的合同,自成立时生效,但是法律另有规定或者当事人另有约定的除外”的规定,个人信息处理者可以视风险高低程度,与境外接收者作出不同约定:
对于低风险的数据跨境流动,可以约定合同在双方签订之日成立且生效。
对于高风险的数据跨境流动,可以约定合同在签订之日成立,但在完成备案之日才生效。
无论是《规定》和《标准合同》,显然都没有对一旦发生《标准合同》轻微变化,例如增加多个境外接收者、基于不同目的出境、变更联系人等等,如果严格执行,则需要反复签署、评估和备案,这容易让企业浪费大量的时间精力。
在这点上,我们完全可以参考国内关于集采合同的模式设计,允许合同任何一方的关联方,以《合同加入通知》等方式,宣布加入已签署的《标准合同》项目当中,在相关主体资质和承诺要求均符合原有《标准合同》要求的前提下,豁免签订和备案《标准合同》,如此做法可以大幅简化程序,提高效率。
可以预见到在《规定》生效之后,将有大量企业在短期内,一起拥到网信部门办理《标准合同》备案登记。对于此类数量多、重复性强的工作,建议由国家网信部门牵头开发《标准合同》线上人工智能审查和备案登记系统提高工作效率。高云根据开发类似人工智能系统的经验认为,类似系统难度不高,开发时间不长,但能够显著提高工作效率,非常值得。高云建议客户应当围绕《标准合同》为中心制定整体实施方案,特别需要注意如下要点:1.千万不要把《标准合同》当中一个合同模板,以为简单签名盖章了事,双方想写什么内容就贴入附件即可,正确态度是将《标准合同》作为数据出境合规工作的的关键节点和核心,围绕它开展如下三项重点工作:第一,向前回溯,考虑如何开展个人信息影响评估、境外接收主体和委托代理人资格判断等事宜,确保合同签订的前提条件充分成就。
第二,向下深化,考虑如何对合同内容进行补充、细化、扩充、备案、成立和生效等。
第三,向后延伸,构思清楚《标准合同》签订之后如何执行保护措施、应对泄露事件、应对投诉等问题。
第一,对于境外接收方、委托代理人的主体资格进行合法性和充分性认定。
第二,在产品前端加上相关的单独同意、告知说明和附件下载,例如“向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一个人信息出境说明中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意”等相关功能页面。还有,将《标准合同》、双方签订副本(经适当遮蔽)、有效摘要等在内容展示并允许下载。
第四,要求境外主体做好响应个人的DSR权利和救济的相应配套开发、设计和实现工作。
第五,合同双方都要做好对个人信息的日常维护保护措施、应对泄露事件、应对投诉等问题的制度和应对流程。
3.在合同内容写作和签订阶段,要注意做好如下工作:
第一,聘请专业律师团队,对于《标准合同》的内容进行适当的补充、扩张和解释,在确保补充合同内容符合欧盟等外国SCCs的同时,不要忘记更重要的是,补充合同内容必须符合我国《民法典》的相关规定。
第二,在合同签订方式上,灵活选择书面签和电子签两种方式。考虑到因为疫情原因,国际快递来回的在途时间较长,而标准合同要求在合同生效之日起10日内向省级网信部门备案,这就可能面临合同还没有寄回时已经超过生效10日的尴尬局面,所以最好选择电子签的方式。综上所述,《规定》和《标准合同》使得数据跨境监管措施的靴子终于落地,高云期待监管部门能够充分听取来自于实务界的声音,做出更好一版的《规定》和《标准合同》,大家一起为打开中国数据合规新局面共同努力。
高云
「合同六法」体系创始人
高云,本名汪宏杰,30年法律从业经验,“合同六法”、“中国高质量合同范本库”创始人,擅长不良资产、并购重组、企业合规和法律顾问等业务,服务客户覆盖金融、互联网、房地产、服务、快销等行业。多年来先后出版《思维的笔迹》《公司法实务指南》《民法典时代合同实务指南》等14本法律实务类畅销榜冠军书籍,在中国法律界享有较高的知名度。
声明:本文来源于“高云合同”,已获转载授权,转载请联系原出处。本文仅代表作者的观点,不代表本公众号观点,仅供学习参考之用。欢迎首创稿件,如有投稿意向请联系小编。
法律行业,是注重积累的行业,是注重学习的行业。加入「高云合同写审改突破营」,两天课程助你重建合同写审改系统!深圳站、上海站7月份火热开营,快报名学习合同写审改技能吧!