原創 | 全球數據跨境流動標準合同條款研究

引言：2022年06月30日，國家互聯網信息辦公室發布了《個人信息出境標準合同規定（征求意見稿）》（“中國標準合同”），標志著這個在國際上被廣泛采用個人信息跨境流動保護性措施首次在我國開始“生根發芽”。

標準合同或稱標準合同條款（Standard Contractual Clause或SCC）系監管部門為了確保個人信息在出境之后保護水平不低于本國標準而要求數據傳輸方與境外數據接收方簽署一個官方制定的合同模板。該做法通過合同的約束力將境內的管轄權“延伸”至境外，達到一定“境內法域外適用”的效果，以保護處于相對弱勢地位的個人信息主體權益。

隨著數據跨境流動的數量急劇增長以及相關安全風險的不斷涌現，世界上很多國家和地區也都先后推出了自己的版本。鑒于中國標準合同版本正在征求意見，筆者將世界上主要國家和地區已頒布的標準合同進行逐一研究，形成系列文章，以資借鑒。

一、歐盟SCC的出臺背景

早在2001年，歐盟委員會就首次推出了基于《第95/46/EC號保護個人在數據處理和此類數據自動流動中權利的指令》的標準合同條款SCC2001C和SCC2001P，后在2004年和2010年分別推出了兩個新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

2018年生效的《通用數據保護條例》（GDPR）的第五章對于從歐盟向第三國或國際組織傳輸個人信息進行了規定，確保自然人數據出境后受到的保護水平不會被減損。該章節為此設置了若干適當性保障措施，其中就包括歐盟委員會制定的標準合同條款。

為了落實該章節中的要求，歐盟委員會于2021年6月4日通過“關于向第三國轉移個人數據的標準合同條款的決定”（“歐委會決定”），并將最新版本標準合同條款（“歐盟SCC”）作為附件，取代之前所有的SCC版本。下文將從歐盟SCC的適用范圍、四大模塊、法律基石三個主要方面進行介紹。

二、適用范圍

根據歐委會決定，歐盟SCC在如下情況下適用：個人數據從處理行為受GDPR管轄的個人數據控制者/處理者（數據傳輸方）向不受GDPR管轄的控制者/（次級）處理者（數據接收方）傳輸。如下圖所示：

GDPR直接管轄的范圍為歐洲經濟區（European Economic Area），即歐盟28國，再加上冰島、挪威、列支敦士登三個國家（為了討論方便，下文統稱“歐盟”）。如果個人數據從歐盟成員國（例如德國）向歐盟之外的國家（如印度）傳輸，則歐盟SCC自然適用。但是，鑒于GDPR具有域外適用的效力，所以GDPR管轄范圍理論上比歐盟更廣，從而導致“跨越歐盟邊境”的傳輸不一定是構成“跨越GDPR管轄范圍”，這就與GDPR第五章的““向第三國傳輸””產生了矛盾。

GDPR的域外適用效力來源自第3條第（2）款（與中國《個人信息保護法》第3條第（2）款類似），即發生在境外的兩類數據處理活動受GDPR管轄：（a）為歐盟的數據主體提供商品或服務而進行相關的數據處理；或（b）監控歐盟數據主體在歐盟境內活動而進行的數據處理。在這種情況下GDPR管轄范圍完全可以超越歐盟區域的物理邊界（參見下圖的虛線部分）。

具體來說，如上圖所述，當數據傳輸方自歐盟某成員國（如德國）向同樣受GDPR管轄但地處非歐盟區域（如印度）的接收方傳輸數據時，雖然屬于GDPR第五章的“向第三國傳輸”，但雙方皆受GDPR管轄，根據歐委會決定的字面含義歐盟SCC并不適用。而當接收方將數據再傳輸至同樣地處印度的另外一個主體時，由于該接收方不受GDPR管轄，根據歐委會決定后兩者之間應當簽署歐盟SCC，雖然此時并不存在傳統意義上的數據“跨境”。

針對GDPR域外管轄效力和第五章跨境傳輸之間銜接問題，EDPB在2021年11月發布了指南進行解答，要求同時滿足如下三個條件才構成跨境傳輸：（1）一個控制者或處理者的個人數據處理行為受GDPR管轄；(2）控制者或處理者（數據傳輸方）通過將個人數據傳輸、披露給另一個控制者、共同控制者或者處理者（數據接收方）；（3）數據接收方在一個第三國或者是一個國際組織，無論其處理行為是否受GDPR管轄。

根據指南，跨境傳輸中“跨境”為一個關鍵因素，而是否受GDPR管轄并不重要。因為歐盟SCC是基于GDPR第五章的跨境傳輸制定的，結合上圖例子，傳輸方向后兩個接收方中的任何一個傳輸數據均屬于GDPR第五章的跨境傳輸，但就上圖傳輸方與接收方之間的數據傳輸目前歐盟SCC并不適用，歐盟委員會表示將出臺針對這類場景的新的SCC版本。

三、歐盟SCC四大模塊

歐盟SCC分為兩大部分，分為合同正文和合同附錄。在合同正文部分又分為一般性條款和應對四種不同的傳輸場景的四個模塊，供數據傳輸者和數據接收者可以根據實際情況選用。合同的附錄分為締約方的名單、數據轉移說明（包括轉移的個人數據類型、轉移的目的、個人數據將保留的期限等）、確保數據安全的技術和組織措施、次級處理者清單。

歐盟SCC四個模塊分別適用于從控制者（Controller）到控制者（Controller），從控制者（Controller）到處理者（Processor），從處理者（Processor）到處理者（Processor），以及從處理者（Processor）到控制者（Controller）這四類場景。

為了方便讀者理解，本文將四個場景逐一舉例介紹如下：

模塊1（C-C）：從控制者到控制者（或共同控制者）

場景：一家瑞典旅行社與一家澳大利亞連鎖酒店簽訂了框架合同，為歐洲游客赴澳旅游提供住宿服務。為此，瑞典旅行社（C）需要將歐洲游客數據基于歐盟SCC傳輸到的澳大利亞連鎖預訂中心（C）。

模塊2（C-P）：從控制者到處理者

場景：一家法國公司（C）將其雇員的個人數據提供給智利某大數據公司（P）進行處理分析。

模塊3（P-P）：從處理者到處理者（即次級處理者）

場景：一家比利時公司（C）委托在荷蘭的公司為自己處理數據，荷蘭公司（P）希望將一部分處理行為再委托給某印度公司（P）進行處理。

模塊4（P-C）：從處理者到控制者

場景：一家西班牙服務提供商（P）受巴西總部（C）指示將使用從巴西收到的客戶數據及其在西班牙收集的客戶數據進行市場研究和開發營銷材料，并將兩個數據包的匯總傳輸到巴西。

四、重要條款解讀

歐盟SCC在一般性條款中規定了使用目的及范圍、效力優先性和不可更改性、第三方受益人的權利、轉移說明和對接條款。其中特別明確條款內容除選擇適當的模塊或增加或更新附錄的信息外，均不得修改。但只要不直接或間接與條款相矛盾或者損害數據主體的基本權利或自由，雙方可將歐盟SCC納入更廣泛的合同中和/或增加其他條款或額外的保障措施。

不同模塊所對應的權利義務差異在幾個重要條款中可以窺見一斑：

1.法律適用與管轄法院條款

在法律適用方面，模塊1（C-C）、2（C-P）和3（P-P）下必須適用歐盟成員國的法律，而模塊4（P-C）允許適用非歐盟國家的法律。其次，所有模塊的法律適用前提該法律支持“第三方受益人權利”。最后，在模塊2（C-P）和3（P-P）下，原則上應優先選擇數據傳輸方所在國的法律，除非這個國家不允許第三方受益人權利。

在管轄法院方面，模塊1（C-C）、2（C-P）和3（P-P）下合同雙方應當選擇歐盟經濟區法院管轄，而數據主體也可以在其經常居住地對合同雙方展開訴訟，而模塊4（P-C）允許雙方選擇非歐盟國家法院管轄。

綜合來看，在模塊4（P-C）的場景下，因為可能出現根本不涉及歐盟數據主體個人數據的情形，并且身處在第三國的控制者的行為受到第三國法律的管轄，在法律適用和管轄法院時給予合同雙方更多的自由選擇空間。而在模塊2（C-P）和3（P-P）情形下，數據傳輸方所在國法律顯然與傳輸行為關系最密切，應當優先適用。

2.再傳輸條款與次級處理者的使用

再傳輸條款（Onward Transfer）

再傳輸條款是指數據被傳輸至歐盟以外的數據接收方之后被再次傳輸至后續數據接收方（該數據接收方可以與首個接收方同處一個國家或另外一個第三國）（類似中國標準合同第3條第7款項下情形）。歐盟SCC在模塊1（C-C）、2（C-P）和3（P-P）中約定了再傳輸的情形。

為了確保數據主體的權益能在再傳輸過程中得到同等保護，后續數據接收方需要滿足如下條件之一：通過對接條款(Docking Clause)加入歐盟SCC，符合GDPR第五章中其他數據出境要求（即在白名單國家、根據GDPR第46或47條采取適當性保障措施），或者符合特定例外情形（例如出于維護數據主體或其他自然人的重要利益的必要等）。

在模塊1（C-C）中，因為首個數據接收方為控制者，其可以自主決定處理數據的目的與方式，因此在其他方式都不適用的情形下，其可以通過獲得數據主體的明確同意的方式進行再傳輸。當然，其在征求數據主體同意時需要告知傳輸的目的，再傳輸接受方的身份或類別，以及再傳輸缺乏適當性保障措施時可能對數據主體帶來的風險等。

次級處理條款(Sub-processor)

使用次級處理者是指數據被傳輸至歐盟以外一個身份為處理者的數據接收方（P）之后被再次傳輸至一個身份為次級處理者的數據接收方（P）（類似中國標準合同第3條第8款項下情形）。歐盟SCC在模塊2（C-P）和3（P-P）中約定了使用次級處理者的情形。

同樣，為了確保數據主體的權益能在次級處理過程中得到同等保護，歐盟SCC提出如下要求：首個數據接收方應獲得數據傳輸方的書面授權，次級處理者進行處理活動之前必須與首個數據接收方簽署書面合同（也可以通過對接條款(Docking Clause)加入數據傳輸方和首個數據接收方之間的歐盟SCC），數據接收方與次級處理者還需要約定以數據傳輸方為第三方受益人的條款，以確保在數據接收方法律上不存在時，數據傳輸方有權終止次級處理者的合同并指示后者刪除或歸還個人數據。

五、兩個法律基石

歐盟SCC本質上屬于民事合同，而其主要目的是通過約定數據傳輸方和數據接收方的義務，以保護數據主體的權利。為了實現該目的，其設計了兩個法律基石：（1）第三方受益人權利，和（2）連帶法律責任。前者為數據主體可以根據標準合同條款向違約方直接主張權利提供了實現的路徑，后者為數據主體在主張權利時提供了必要的便利。

1.第三方受益人權利

通常而言合同具有相對性，只有合同的參與者才能根據合同約定享有權利和履行義務。但是第三方受益人權利從一定程度上突破了合同的相對性，而將合同權利擴張到了未實際參與合同的第三方。例如保險公司與被保險人簽訂的人壽保險合同，受益人為被保險人的妻子，則若被保險人意外身亡，其妻子將有權基于保險合同受償。這里的妻子即為保險合同的第三方受益人。隨著時代和法律的發展，合同第三方受益人權利的適用場景不斷擴大。

不同國家的法律對合同第三方受益權的規定略有差別，有的國家并不承認第三方受益權（如德國），有的國家區分為第三方利益而設定債權以及第三方受讓債權人的債權（如美國）。但綜合歐盟SCC中約定第三方受益人（即數據主體）權利的目的和相關規定，我們可以概括第三方受益人權利具有如下幾個特點：（1）應當在合同中明確約定第三方受益人身份和可執行條款（歐盟SCC第3條），（2）第三方可以根據合同約定尋求救濟（歐盟SCC第11條），（3）各方應就違反第三方受益權而給數據主體造成的損失向數據主體負責（歐盟SCC第12條）。

2.連帶法律責任

為了方便數據主體向違約的傳輸方或接收方追責，歐盟SCC設計了連帶法律責任條款。

首先，數據主體可以向侵害第三方受益權而使其受損的那一方追究責任，無論這一方是傳輸方還是接收方，在境內還是境外。其次，如果傳輸方和接收方都違約，則數據主體可以向任何一方追究全部責任，這違約方之間的責任通過內部追償解決。最后，在模塊2（C-P）和模塊4（P-P）的情況下，因為位于境外的皆為處理者，考慮到控制者與處理者之間對數據主體履行義務的大小天然存在差異，此時傳輸方應就自己和接收方對數據主體造成的損失承擔先行賠償責任，然后再向數據接收方追償。

歐盟SCC一方面通過有過錯的兩方的責任連帶確保數據主體的權利可以得到充分實現，另一方面通過在傳輸方（為控制者C或處理者P時）對接收方（為處理者P或次級處理者Sub-p時）的連帶責任確保該權利的實現更加便利。