泰和泰研析丨初探数据传输标准合同的中国模式

一.

我国跨境数据传输标准合同的立法进程

在《个人信息出境标准合同规定（征求意见稿）》之前，网信办于2019年6月13日发布了《个人信息出境安全评估办法（征求意见稿）》，其第十三条到第十六条涉及了跨境数据传输标准合同的基本内容、网络运营者承担的责任和义务、境外接受方承担的责任和义务和将个人信息传输给第三方的限制。由于此时《个人信息保护法》尚处于立法阶段，该规定存在内容杂糅的问题。

近期，网信办于2022年7月7日公布的《数据出境安全评估办法》，该办法将于9月1日起实施。得益于《个人信息保护法》的实行，《数据出境安全评估办法》进一步优化了术语表达、细化了具体内容。相比于《个人信息出境安全评估办法（征求意见稿）》，《数据出境安全评估办法》的改进更加简明扼要、切中要害。具体表现为：

(一)《数据出境安全评估办法》延续并整合部分规则和原则。例如，《数据出境安全评估办法》第九条第一、二项是对《个人信息出境安全评估办法（征求意见稿）》第十三条第一项、第五项的进一步整合。

(二)由于《个人信息出境安全评估办法（征求意见稿）》公布时《个人信息保护法》尚未出台，其中包含了一些本应规定于《个人信息保护法》的规则。但随着《民法典》《个人信息保护法》的先后出台，法律已经对此予以了规定，本身就构成了对当事人意思自治的补充，无需作为标准合同的内容予以特别要求。如《个人信息保护法》已经规定了个人信息跨境及敏感个人信息的处理规则，则标准合同无必要如《个人信息出境安全评估办法（征求意见稿）》第十六条第三项的规定将同意作为敏感个人信息向第三方提供的条件。

值得注意的是，《个人信息出境安全评估办法（征求意见稿）》要求标准合同约定境内数据提供者的先行赔付义务（第十三条第三项、第十六条第四项），但《数据出境安全评估办法》并没有保留这一要求。这可能是因为网信办于2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第四十四条[1]已经规定，第三方产品和服务对用户造成损害时，数据主体可以要求互联网平台运营者先行赔偿。尽管《民法典》、《个人信息保护法》都为数据主体提供了救济手段[2]，这些规则一定程度上可以在功能上等同于先行赔付规则，但从保护数据主体的角度看，确立先行赔付规则仍然是必要的。因为在面对数据处理者时，数据主体大多处于弱势地位，让其向境外数据接收者主张法律救济缺乏可行性。不过，由于先行赔付义务是境内数据提供者对数据主体的义务，并无必要规定在与境外数据接收者的合同中，《数据出境安全评估办法》删除此要求也无可厚非。

(三)《个人信息出境安全评估办法（征求意见稿）》将一些数据处理者对本国监管部门的公法义务也规定为合同，如第十三条第四项规定了重新申报安全评估的合同条款；而《数据出境安全评估办法》第十四条将其作为有效期内重新申报的情形，明确区分了合同义务和公法义务的各自定位。

(四)《数据出境安全评估办法》第九条第四项和第六项是《个人信息出境安全评估办法（征求意见稿）》所不具备的内容，回应了跨境数据流通中的安全保障问题。尽管《数据安全法》第二条第二款和《个人信息保护法》第三条第二款都规定了中国法对境外数据处理者的法律适用问题，但可能仍不足以应对境外发生的安全事件。将“鞭长莫及”的数据安全保护义务转化为合同义务，通过标准合同强化对出境数据的保护，可以使得境外接收方尽可能地达到《个人信息保护法》《数据安全法》《网络安全法》的保护标准。

作为一脉相承的立法合同，《个人信息出境标准合同规定（征求意见稿）》也延续了先前有关法律、行政法规、规范性文件（包括征求意见稿）的基本内容。例如，《个人信息出境安全评估办法（征求意见稿）》第十三条第二项要求标准合同明确“个人信息主体是合同中涉及个人信息主体权益的条款的受益人”，这一规则未出现在《数据出境安全评估办法》中，但被吸收为《附件：标准合同》第二条第三项。再如，有关个人信息保护影响评估的规定和标准合同约定是对《个人信息保护法》第五十五、五十六条的细化。

二.

标准合同的适用范围——《个人信息出境标准合同规定（征求意见稿）》的体系效应

《个人信息出境标准合同规定（征求意见稿）》有诸多新增规定，其中有关适用范围的规则若保留并生效，将在我国数据安全法律体系引发体系效应。根据《个人信息保护法》第三十八条第一款，跨境数据传输标准合同仅为向境外提供个人信息的条件之一，与安全评估、专业机构认证并列。此三者之前为何种关系，跨境数据传输标准合同究竟在跨境流通管理中处于何种体系定位，尚不明确。《数据出境安全评估办法》第五、六条规定，数据传输合同是安全评估的材料以及审查对象，更加剧了此种疑惑。[3]

《个人信息出境标准合同规定（征求意见稿）》第四条规定，“个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。”这一规定基本与《数据出境安全评估办法》第四条的反对解释相符，可以认为数据出境安全评估的标准与数据传输标准合同的关系基本明晰。[4]据此，一些数据出境规模较小、数据安全级别较低的境内个人信息处理者只需根据网信办提供的标准合同制定跨境数据传输合同，合规成本较低，更为便利。

但上述理解仍然无法解释专业机构认证与此二者的关系。例如，专业机构认证的适用范围是什么？具备专业机构认证的企业是否应当按照国家网信部门制定的标准合同与境外接收方订立跨境数据传输合同？现有规则并未置喙。尽管如此，网信办有关负责人在答记者问中指出，《数据出境安全评估办法》适用范围外的个人信息处理者的数据出境情形，可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件，依法开展数据出境活动。

不过，在现有体系下，全国信息安全标准化技术委员会于2022年6月24日公布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》似乎与上述官方解读有所不同。根据该指南第一条，专业机构认证主要适用于两种情形：

1.跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

2.《个人信息保护法》第三条第二款情形中直接跨境处理境内个人信息的境外主体。若将该指南纳入观察视野，一种可能的理解是，在境内数据处理者向境外提供数据情形下，《个人信息出境标准合同规定（征求意见稿）》第四条和《数据出境安全评估办法》第四条所形成的闭环事实上挤压了专业机构认证的适用空间。相印证的是，该指南第一条的情形通常难有订立标准合同的空间。具体而言：在第一种情形下，跨国集团公司内部通常会根据GDPR第47条的约束性公司规则（Binding Corporate Rules，“BCR”），制定有关公司章程，以解决集团内部的数据合规问题。而第二种情形不存在向外提供数据的境内个人信息处理者，也无订立跨境数据传输合同的可能性，须通过设置境内专门机构或制定代表，以符合数据安全监管的要求。当然，认证并不豁免符合安全评估义务，如果达到了申请安全评估的要求，个人信息处理者仍然要进行安全评估。另一种可能的理解是，该指南只是国家标准，并不构成法律渊源。据此，《个人信息出境标准合同规定（征求意见稿）》第四条并不排除专业机构认证的适用。如果已经进行了专业机构认证，标准合同就是可选项而非必选项。

此外，由于《个人信息保护法》第四十一条要求，境内个人信息处理者须获得主管部门的批准，才可向外国司法或者执法机构提供存储于我国境内的个人信息，故标准合同的适用情景也仅限于商业活动，不适用于配合境外执法及司法活动。

三.

《个人信息出境标准合同规定（征求意见稿）》的若干问题

(一)标准合同的强制性

制定跨境数据标准合同的理论依据在于通过合同进行社会规制，即将一些具有公法目标的措施嵌入到合同中，这些公法目标通过私人合同的履行而得以实现，最终维护特定的公法秩序。[5]而数据安全与国家利益紧密相关（如《数据安全法》第一条），为维护此种公法上的数据安全秩序，标准合同也具有强制性。根据该征求意见稿第二条，这具体表现为，第一，从事跨境数据传输的个人信息处理者有义务与境外接收方应当按照标准合同订立跨境数据传输合同；第二，签订与个人信息出境活动相关的其他合同不得与标准合同相冲突。 

(二)基于约定的连带责任

《附件：标准合同》中有两处直接涉及连带责任的情形，分别是违反合同而共同造成数据主体损害（第八条第四项）和因再传输数据而给数据主体造成损害（第三条第七项第三目）。

1.第一种情形中，所谓“因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责”中的“共同”如何理解的问题，应当参照《民法典》第一千一百六十八条下的“共同”，在特定情形下可能符合《个人信息保护法》第二十条中的“共同”。首先需要明确的是，尽管本条的责任是共同违约的责任，但在责任构成上与共同侵权责任上并无本质差异[6]，可以参照共同侵权责任的构成要件加以理解。多数观点认为，《民法典》第一千一百六十八条下的“共同”不仅限于主观的共同故意，还包括共同过失。[7]鉴于，在地位方面，境外接收方仅可能为受托人或处理者。在境外接收方为受托人的情况下，其违约并不豁免提供信息的境内个人信息处理者的责任，境内个人信息处理者仍然要就因境外接收方违约所导致的损失向个人信息主体担责。并且，在境外接收方未违约的情况下，由于不违反《个人信息保护法》规定的受托人义务，不存在过失，因此不构成侵权，故应由境内个人信息处理者独立承担责任。而在境外接收方为处理者的情况下，即个人信息处理的目的和方式是由双方共同自主决定，而非一方决定、另一方遵从该决定，则符合《个人信息保护法》第二十条中的“共同决定个人信息的处理目的和处理方式”。[8]因此单方或双方共同违反合同义务而发生损害时，双方都应承担连带责任。

2.第二种情形中，境外接收方事实上承担了严格责任，只要是因为再传输而发生的损害，都需对数据主体负责。《个人信息保护法》并未规定此情形。由于连带责任可以由当事人约定（《民法典》第五百一十八条第二款），通过具有强制性的标准合同嵌入更有利于数据主体的责任模式，避免法律位阶上合法性争议，不失为一种办法。 

此外，根据《附件：标准合同》第八条第六、七项，若损害是由境外接收方导致的，数据主体仍然得基于该合同条款对境内数据处理者享有损害赔偿请求权，而境内数据处理者在承担责任后可对境外接收方追偿。通过明文要求约定，境外接收方的责任不得豁免，从而强化了法锁，约束境外接收方履行合同。因此，此处虽未明文“连带”，但实质上构成了不真正连带债务，前者可对后者全额追偿。

(三)备案制度

根据《个人信息出境标准合同规定（征求意见稿）》第三条，依据标准合同开展个人信息出境活动的监管模式是自主缔约与备案管理相结合。个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案，提交所订立的标准合同和个人信息保护影响评估报告，并对所备案材料的真实性负责（第七条第一款以及第二款第一句）。须注意的是，备案只是行政监管措施，并非合同的生效要件（第七条第二款第二句）。若境内个人信息处理者未履行备案程序或者提交虚假材料进行备案，则由省级以上网信部门根据《个人信息保护法》第六十六条予以行政处罚；构成犯罪的，依法追究刑事责任。 

标准合同的备案意味着合法的数据出境活动都被归集到监管部门的视界，为监管部门提供了主动监管的抓手。根据《个人信息出境标准合同规定（征求意见稿）》第十一条，省级以上监管部门发生实际出境活动不符合要求时，应当书面通知个人信息处理者终止个人信息出境活动。

(四)举证责任[9]分配条款

根据《附件：标准合同》第二条第九项，境内个人信息处理者须承担证明本合同义务已履行的举证责任。有观点认为，这是监管程序中的举证责任，如果其举证不能，就可能承担监管处罚的后果。[10]若如此理解，可能有违行政法的基本原理。在行政诉讼和行政复议程序中，行政机关都负有举证责任[11]，若在数据安全领域有必要改变这一举证责任分配格局，也应当以法律形式做出规定，而非以标准合同的形式。 

本文认为，虽然该数据传输合同是参照标准合同订立，但仍属于私人合同，由此产生的纠纷应当属于民事纠纷，所约定的举证责任分配也应当限于民事诉讼、仲裁。不过更棘手的问题是，举证责任能否被约定？根据《附件：标准合同》第九条第二项，举证责任分配规则应当适用中国法。通说认为，《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（以下简称“《民诉法解释》”）第九十一条采取了规范说，而规范说的核心内容之一就是举证责任根据实体法规范进行分配。[12]因此，举证责任原则上并无约定的余地。[13]

若这一举证责任分配条款在正式文本中被保留，则可能从诉讼和监管的角度作如下理解。

第一，当数据主体或境外接收方向境内个人信息处理者主张标准合同中的违约救济时，境内个人信息处理者须证明权利阻却的要件事实，即对自己已经履行合同项下义务负有举证责任。此时，该条款只是对《民诉法解释》第九十一条下反对规范的重述。而在境外接收方与境内个人信息处理者之间发生纠纷时，举证责任全在境内个人信息处理者，有违《民诉法解释》第九十一条，不应适用。

第二，从监管角度看，境内个人信息处理者举证负担较重，或有倒逼其积极履行跨境数据传输活动中的数据安全保护义务，并督促境外接收方遵守中国法以及合同义务的意图。尽管如此，这将导致境内个人信息处理者在与境外接收方的争议解决中处于不利地位。如果该条款最终在正式标准合同中予以保留，为避免这一条款带来的可能的不利影响，境内个人信息处理者有必要对数据处理活动的各个环节进行记录并及时予以存证。

四.

《个人信息出境标准合同规定（征求意见稿）》的未竟之事

(一)标准合同的适用场景

(二)标准合同的对象

(三)标准合同指引功能的实现方式

(四)标准合同的重新订立与交易的便利性

《个人信息出境标准合同规定（征求意见稿）》第八条规定了重新订立标准合同的情形。重新订立合同意味着交易成本的增加。如果重新订立合同的情形过于繁杂、耗费时日，将会给交易主体带来较大负担，其后果是交易主体可能发展出其他模式以规避这一规则、甚至影响交易的规模、频率。在跨境数据传输中，需要重新订立标准合同的根本原因在于，这些情形增加了数据安全的风险，很有可能导致原有合同条款不能充分促使当事人保障这些情形下的数据安全。这一点也可以从第八条第一项的体系解释得出：缩短境外保存期限无须重新订立合同，而延长境外保存期限需要重新订立合同。

可资对比的是，《数据出境安全评估办法》第十四条所规定的重新申报安全评估情形。相比于《数据出境安全评估办法》第十四条，《个人信息出境标准合同规定（征求意见稿）》第八条还多了“敏感程度、数量、保存期限、存储地点”四种导致合同重新订立的项目（“保存期限”还与后半句“延长个人信息境外保存期限”重复）。为何这些项目在理应更为严格的安全评估程序都不作为重点，而在标准合同中却作为重点？抑或是《数据出境安全评估办法》存在漏洞？退而言之，《数据出境安全评估办法》第五条第二款的自评和第八条第三款的安全评估都要求“规模、敏感程度”进行重点评估，可以作为《个人信息出境标准合同规定（征求意见稿）》第八条的支持，但也终究是在范围上存在差异。

所以，重新订立合同情形所需考虑的要点或许有三：

第一，是否有必要进行封闭式列举；

第二，是否需要与重点评估内容进行协调；

第三，项所列举的各项发生变化时，是否一律应当重新订立合同。

此外，个人信息出境前的个人信息保护影响评估须重点评估“境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全”（《个人信息出境标准合同规定（征求意见稿）》第五条第三项）。若出境个人信息发生变化时，评估对象是旧合同还是新合同，似乎有待明确。从减轻交易成本的角度看，若旧合同约定的责任义务、安全措施明细不足以应对变化带来的新安全风险，则应先重新订立合同，再进行评估。若旧合同足以应对新风险，则没有必要重新订立合同，可径直进行影响评估；当评估结果显示旧合同对数据安全“力有不逮”时，则应对重新订立合同，采取更有力的合同条款和安全措施。

(五)与域外规则的协调

跨境数据传输标准合同必然涉及与境外主体所在国的标准合同对接问题。由于欧盟、东盟均有各自的标准合同，若境内数据处理者与这些地区的主体进行数据流通活动，应采用哪一方提供的标准合同，存在疑问。这一问题直接关系后续争议解决时的准据法问题。

本文的初步观点是，通常情况下，应基于提供数据一方所在地的要求签订标准合同，即应考虑数据来源地区的数据保护要求，不致使数据保护因数据出境而降低、合规风险提高。原因载于标准合同主要是解决数据跨境流通所面临的风险，即因数据跨境流通而导致无法获取与境内存储数据保护相当的保护的风险。因此，对于可能导致数据保护义务降低、合规风险提高的部分，应优先适用数据来源地区的标准合同，以确保数据保护不低于来源地区的保护要求。换言之，应确保数据主体的权益至少获得达到本地区标准的保护。

对于传输数据混合了来源于不同地区的数据且无法区分时，考虑不采纳任何标准合同均可能导致数据主体无法获得与本地区相同的保护，故就任何事项所适用合同条款应按照标准合同中最严格的条款执行。当然，这并不解决发生纠纷时以哪一合同为依据的问题，因此不同法域规则的协调问题还有待理论与实务的进一步探讨。

（注：本文刊载于深圳市律师协会《国际法律观察》第3期）

参考文献：

[1]《互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。

第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。

移动通信终端预装第三方产品适用本条前两款规定。

[11]根据《行政诉讼法》第三十四条，行政处罚机关对其作出的行政处罚行为负有举证责任，应当提供证据。根据《行政复议法》第二十三条，被申请复议的行政处罚机关应当提交当初作出具体行政行为的证据。

[12]张卫平：《民事诉讼法》（第4版），法律出版社2016年版，第236页及第239页以下。

[13]另须说明的是，此处讨论的是客观证明责任。主观证明责任已经由《民事诉讼法》第64条予以规定，也不应由当事人约定。更不用说具有强制性的标准合同某种意义上起到类似于规范性文件、甚至行政法规的功能。

[14]网信办于2017年4月11日公布了《个人信息出境安全评估办法（征求意见稿）》，但该征求意见稿内容较为简略，未涉及到跨境数据流通标准合同，故本文不予以讨论。

[15]参见赵精武：《数据跨境传输中标准化合同的构建基础与监管转型》，《法律科学（西北政法大学学报）》2022年第2期，第158-160页。

易怀炯  合伙人

业务领域：数据合规、企业合规、刑事辩护

华东师范大学法学院在读硕士研究生高济民亦为本文作者，感谢其对本文作出的贡献。

近期文章推荐

ARTICAL