数据出境100问系列 | Part6:数据出海实践关键问题与海外SCCs要点对比(二)
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第六部分内容,主要介绍数据出海实践关键问题与海外SCCS要点对比。
第六部分:数据出海实践关键问题与海外SCCS要点对比
在专题的前五部分,我们已经基本完成了对境内数据出境相关的重要法律内容进行了解读,除对国内的相关规定进行详细的研究以外,实务及业内同时也关注欧盟与我国境内数据出境规定的比较,由于本专题主要围绕《安全评估办法》、《标准合同办法》等的内容展开,我们拟在第四部分也针对欧盟地区与之相对应的部分进行分析比较,而在欧盟地区并无国家安全评估的相关要求,因此,我们将会对欧盟SCCs与国内的规定进行比对。
欧盟委员会于2021年6月4日以发布(EU)2021/91号执行决定3的方式提供的个人数据跨境传输至第三国的标准合同条款最新版本(Standard Contractual Clauses,下称“SCCs”)。此最新版本的SCCs总共分为4个部分,主要规定了个人数据跨境传输过程中数据输出方与数据接收方与数据保护相关的权利义务、数据主体的利益保护、向第三国传输的相关事项以及法律适用等方面的内容。
Q101
如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同以及签署欧盟SCCs?
我们的建议是在符合各自的适用前提的条件下,中国标准合同以及欧盟SCCs均要签署。《标准合同》以及SCCs规定的适用,都是境内输出方向境外接收方进行数据传输的情况。在问题提及的双向传输的场景内,可以理解为,在国内企业向欧盟企业向传输个人信息时受《标准合同》调整;在欧盟企业向国内企业进行个人数据传输时受SCCs调整。
同时,从数据保护目的上看,为了确保个人数据在第三国能够得到和在境内同等的保护水平,企业可以分别就中国个人数据出境以及欧盟个人数据出境事宜进行约束,可以确保中国个人数据在欧盟能得到充分保护,以及欧盟个人数据在中国能够得到GDPR规定的同等保护水平。
Q102
我国《标准合同》如何应对欧盟SCCs体现的长臂管辖?
判断该问题的重点在于关注我国对境内企业个人数据出境的保护,在欧盟GDPR的框架下,企业主体间若通过SCCs完成个人数据出境,要求企业必须配合欧盟监管部门各项安全性调查,面对欧盟SCCs的监管要求,我国《标准合同》也做出了相似的回应,同样也要求境外接收方接受并配合我国监管机构采取的各项安全性措施,从制度设计上分析,我国《标准合同》在监管内容上的回应能够很好的保护了我国境内企业及个人信息主体的利益。
Q103
作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管?
结合我们过去积累的实务来看,要妥善应对数据出境目的国的监管是一个复杂的实践课题,一方面需要对企业内部、合作方、数据本身等各维度进行颗粒度足够精细的详尽调查研究,另一方面也还需要各方人员的深度配合,才能形成契合每个企业自身情况的定制化建议。因此,我们就该问题部分先提供一个大致的方向,依据SCCs第13(b)条的约定,作为数据接收方的企业有责任服从欧盟相关监管机关的管辖,回应其询问,接受审计。因此,企业应保留在约定职责范围内进行处理活动的适当文件,按照欧盟监管机构的要求提供此类证明文件。
如想了解更详细的定制化应对策略,也欢迎联系我们。
Q104
延伸——作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管?
同样,如上问题所述,此部分我们先提供一个大致的应对方向,企业应该保存有关代表数据输出方进行数据处理活动的文件,以及能够证明企业遵守了SCCs条款下约定的义务(包括但不限于采取了技术和组织措施等)的文件。如果企业收到欧盟监管机构的要求,可以提供上述材料用于证明。除此之外,企业在日常经营活动中,也需要配合数据控制者的审计活动以及回应来自监管机构的问询。
综上,不管企业是作为控制者或者是处理者,其对处理活动的记录文件十分必要,可以用于证明企业遵守了SCCs约定的条款义务、回应可能来自监管机构的审查。
Q105
SCCs和《标准合同》的文本是否都可以删减更改?
在涉及合同双方当事人权利义务,第三人权利,责任承担等合同的核心内容时,无论是SCCs还是《标准合同》都不可以删减更改,我国《标准合同》各项内容由国家网信部门官方制定,对双方主体以及受益第三人的各项事项都做出了符合我国对个人数据出境安全要求以及实现个人数据出境安全目的的条款规定,因此,我国《标准合同》除非有特别说明,一般不得删减更改,当然,《标准合同》中个人信息处理者和境外接收方允许自由磋商的部分有可以调整的空间,双方可以在谈判过程中酌情调整,如附件一的个人信息出境说明及附件二的约定其他条款的部分等。
同样,根据2022年5月欧盟委员会的官方问答。SCCs的文本不得更改,除非:
(1)为了选择模块或文本中提供的选项;
(2)为完成文本必要的,例如指明主管法院和监督机构,并制定时间段;
(3)为填写附件;
(4)为添加额外的保护措施,以提高数据的保护水平。但这些改变并不能视为改变了核心的文本内容。
Q106
欧盟SCCs与我国《标准合同》适用的管辖规则一样吗?
无论是SCCs或是我国的《标准合同》,在企业双方就合同各事项发生争议纠纷时,原则上都倾向于由本国或本地区的司法机关进行处理,我国《标准合同》第九条第(五)项中就提及个人信息处理者及境外接收方可以选择就争议事项寻求指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼。
SCCs体现的管辖内容基本与《标准合同》的约定一致,但需要注意的是,在P-C的类型(Module4)下,SCCs允许数据传输双方约定欧盟境外的法院进行争议的解决。
Q107
在使用SCCs完成个人数据传输跨境时,企业是否要考虑对第三方受益主体的保护?
SCCs的四个模块中都有较大的篇幅用以规定跨境传输双方如何保护第三方受益主体利益的内容,包括如确认双方责任承担,充分考虑境外接收方国家及地区的法律政策,规定第三方受益主体有权要求企业提供合同副本,以及规定第三方受益主体的救济方法等,这部分内容为我国《标准合同》的规定内容提供了很高的借鉴价值,从内容上比较,两份文件在第三方受益主体的保护上比较相似,也进一步体现了我国对保护个人信息保护主体权益的重视程度。因此,无论是何种场景,企业对个人信息保护的合规性都是数据出境活动中需要着重考虑的部分。
Q108
在签署SCCs后,如果企业想让额外相关方加入其已签署的SCCs,可以怎么做?
在SCCs合同签订后,如果有第三方想加入,可以根据SCCs第7条(dockingclause)的约定,在合同缔约方同意后,以数据输出方或数据接收方的身份填写附录并签署的方式加入,加入之后该第三方就享有SCCs合同约定的权利以及需要承担相应的义务。这与我国《标准合同》的规定存在差别,《标准合同》要求数据出境后再传输到第三方主体的,需要境外接收方与第三方达成书面协议,确保第三方的个人信息处理活动达到我国相关法律法规规定的个人信息保护标准。
Q109
是否有可能在SCCs中添加其他条款,或将SCCs纳入更广泛的商业合同?
如果合同缔约双方有其他事项需要在合同中约定,只要该合同条款不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突,合同缔约双方可以在SCCs中增添额外条款。
除此之外,如若合同缔约双方欲将SCCs置于缔约方之间的其他商业合同之中,也需要满足以上要求,即不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突。合同双方应当根据约定的管辖地域的法律要求,应签署并遵守SCCs,并将其纳入他们的其他合同中。
关于将SCCs合同纳入商业合同中,举例如下:SCCs国际数据传输第12(a)条规定了缔约双方的责任,其要求合同双方不得在商业合同(其中包括了SCCs的合同)中制定一般免责条款,因为这将与SCCs的本条款相冲突。故在不违反SCCs正文内容的前提下,可以将其以附件等形式纳入缔约方之间的商业合同中。
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过300多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读