亚太简评 | 东盟示范合同条款(MCCs)vs欧盟标准合同条款(SCCs),企业如何选择适用?(文末附《指南》原文)
文/ 王捷律师团队
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
背景
01
2024 年 2 月 2 日,东南亚国家联盟(简称“东盟”)在 2024 年第四届东盟数字部长会议(ADGIM)上发布了更新版本的《东盟示范合同条款和欧盟合同条款联合指南(Joint Guide to ASEAN Model Contractual Clauses and EU Contractual Clauses)》。
02
指南包括哪些内容?
02
该指南确定了企业在东盟和欧盟之间分别根据东盟示范合同条款(Model Contractual Clauses,MCCs)和/或欧盟标准合同条款(Standard Contractual Clauses,SCCs)传输数据时可考虑实施的最佳做法。
此外,指南还概述了公司在实施保障措施时可考虑的最佳做法的非详尽示例。指南还针对不同的数据传输提供了建议,如控制者到控制者的传输和控制者到处理者的传输。
具体而言,该指南概述了各方必须描述根据MCCs或SCCs进行数据传输和后续处理的目的。同样,在安全性和保密性方面,无论是MCCs或SCCs,各方都必须采取适当措施确保数据安全,包括防止数据泄露。
此外,还提供了使用MCCs和SCCs的实例,以说明透明度、再传输、敏感数据、存储限制和数据最小化等问题。
03
MCCs和SCCs有哪些不同?
03
虽然各方可以约定一项选择性条款要求数据传出方必须同意MCCs下的数据准确性,但在SCCs下,数据准确性是一项强制性条款。
根据MCCs,各方可以依赖适用于数据传出方和接收方的法律框架所规定的权利;但根据SCCs,各方可以明确商定数据接收方确保个人的某些权利,并可对其强制执行。
至于控制者向处理者的传输,指南提出了与子处理(sub-processing)有关的建议,明确指出,根据SCCs,使用子处理者需要签订书面合同,而MCCs则要求数据接收方只有在“通知数据传出方并提供合理的反对机会”后,才能向子处理者披露或传输个人数据。
04
企业应该注意什么?
04
《东盟示范合同条款和欧盟标准合同条款联合指南》对欧盟和东盟之间以及东盟内部的数据流动均极具参考价值,除上一版本原有的参考指南(比较MCCs和SCCs的异同)部分外,本次指南的更新增加了实施指南部分(提供符合两类合同条款保障措施要求的参考案例),从而为企业提供了从合同的成立到实施全面的数据跨境传输合规指引。
根据不同的传输场景与需求,企业可以选择指南中提供的各模块(module),选择采用不同的合同条款,但同时应注意合规性要求,如MCCs和SCCs均要求在条款附件中说明传输的目的和随后的处理。
此次指南的出台可使欧盟和东盟之间的数据跨境流动再上一个台阶,有助于企业在跨境数据传输时符合国际数据传输的适用法律要求、降低企业的违规风险及合规成本。
点击阅读原文可获取《东盟示范合同条款和欧盟标准合同条款联合指南》。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州联合创始人、执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读