欧洲委员会发布个人数据跨境传输示范合同条款C-C模块
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间2023年6月27日,欧洲委员会(The Council of Europe)发布基于《个人数据自动化处理中的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,下称“《第108号公约》”)的《个人数据跨境传输示范合同条款》(Model Contractual Clauses for the Transfer of Personal Data,下称“MCCs”)模块一,适用于数据控制者(Controller)之间的数据跨境传输场景(下称“MCCs(C-C)”)。
《第108号公约》被认为是最为重要的关于个人信息保护的国际公约性法律文件之一。公约第14条明确,仅在“适当的个人数据保护水平”得到保障的情形下,公约缔约国[注1]可向非缔约国传输个人数据。公约第14条进一步明确了两种确立“适当的个人数据保护水平”的方式:(1)法律(含可适用的国际条约或协议),(2)具有法律约束力和可执行性的特设或经批准的标准化保障措施(尤其是合同条款或具有约束力的公司规则)[注2]。
鉴于欧盟成员国在遵循《通用数据保护条例》(General Data Protection Regulation, 下称“GDPR”)要求时进行的个人数据跨境传输活动已满足《第108号公约》第14条要求,因而,MCCs主要适用于非欧盟成员国的公约缔约国向非缔约国传输个人数据的情形。MCCs非强制性适用,缔约国可自主决定是否批准其作为数据跨境传输的标准合同。
除在适用范围与强制力上存在区别外,MCCs(C-C)与GDPR下适用于数据控制者之间的数据跨境传输活动的标准合同条款相比,主要还有如下特点:
提出类似于对接条款(Docking Clause)的适用;
个人信息主体或可通过仲裁方式保障权益;
必须适用数据出口方所在国的法律,除非该国法律不承认第三方受益权(此时,应适用承认第三方受益权的法律);
争议解决方式包含仲裁管辖(国际商会(ICC)仲裁规则)。
后续,MCCs还将增加其他模块。
下载MCCs(C-C)pdf版,请点击文末“阅读原文”。
[注]
1. 除欧洲委员会成员国外,亦有阿根廷、俄罗斯等非欧洲委员会成员国批准/加入《第108号公约》,详细名单参见:
https://www.coe.int/en/web/conventions/full-list?module=signatures-by-treaty&treatynum=223。
2. 《第108号公约》第14条第5款规定在如下四种情形下无需提供“适当的个人数据保护水平”:(1)数据主体对传输风险知情且给予自愿、明确、具体的同意;(2)传输为数据主体的特殊利益所需;(3)传输为符合法律设定的普遍性合法权益(特别是重要公共利益)的民主社会中的合理必要措施;(4)传输为民主社会中为言论自由目的所采取的合理必要措施。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪