宁宣凤、吴涵等：中欧个人信息出境标准合同（条款）对比分析

知识力量

　　为规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，国家互联网信息办公室于2022年6月30日发布了《个人信息出境标准合同规定（征求意见稿）》（下称“《规定》”），并附《个人信息出境标准合同》（下称“标准合同”）。作为《个人信息保护法》（下称“《个保法》”）的配套制度与文件，《规定》与此前发布的《数据出境安全评估办法（征求意见稿）》（下称“《评估办法》”）《网络数据安全管理条例（征求意见稿）》（下称“《网数条例》”）等规范中有关数据跨境的规制内容互为补充，提高《个保法》第三十八条有关个人信息跨境规的可执行性。甄零一诺的最新消息欢迎进入网站了解，网站有专业的客服人员进行详细的解答！

　　考虑到涉及个人信息出境的场景通常涉及多司法个人信息保护交叉要求，本文在初步总结《规定》与标准合同内容的基础上，拟以比较法的观察角度，浅析《规定》与标准合同的内容与欧盟《通用数据保护条例》（下称“GDPR”）下规定的标准合同条款的异同，以为国际化企业提供参考。

　　01、《规定》及标准合同的要点总结

　　为对标准合同的适用搭建一整套合规机制，《规定》就标准合同的适用情形与主要内容、与个人信息保护影响评估的协作、向网信部门进行事前备案及确立主管部门与监管职权等内容进行了规定。

　　1. 明确标准合同的适用情形

　　《规定》第四条明确了标准合同的适用前提，如果个人信息处理者不构成关键信息基础设施运营者、处理个人信息不满100万人、自上年1月1日起累计向境外提供未达到10万个人信息或1万敏感个人信息，方可以签署标准合同作为满足《个人信息保护法》第三十八条有关个人信息跨境传输的要求。

　　而针对未落入以上适用情形的个人信息跨境传输场景，个人信息处理者仍应当依据《个保法》《评估办法》等相关规范，以向相关网信部门申报数据出境安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证等方式作为合规路径。

　　2. 强调标准合同与个人信息保护影响评估的协作机制

　　《个人信息保护法》第五十五条规定，向境外提供个人信息时，个人信息处理者应当事前就个人信息跨境传输所涉及的处理目的、处理方式的合法性、正当性与必要性；对个人权益的影响及安全风险；以及所采取的保护措施是否合法、有效并与风险程度相适应等维度进行个人信息保护影响评估。

　　《规定》第五条不仅重申了个人信息处理者在实施跨境传输应当进行个人信息保护影响评估的义务，且第七条还要求个人信息处理者在履行标准合同备案义务时同步提交相关个人信息保护影响评估报告的要求。

　　3. 设立标准合同的备案义务

　　我们理解，为便于主管部门就个人信息跨境传输实现敏捷监管，及时对个人数据跨境传输过程所可能产生的安全风险进行掌控，作为一种典型的事前监管手段，《规定》第七条提出了个人信息处理者在标准合同生效后向所在地省级网信部门进行备案的义务。但值得注意的是，备案与个人信息跨境传输的开展并不具备直接关联，后者仅以标准合同的生效为前提。此外，《规定》第八条还以个人信息跨境传输情况的“变化”为关键词，就缔约双方应当重新签订合同并再次履行备案义务的情形进行了列举。

　　同时，因向监管部门履行备案或涉及到个人信息跨境传输中相关个人隐私、个人信息、商业秘密、保密商务信息的对外披露，《规定》第九条对应就参与标准合同备案的机构及人员在履行职责过程中应当遵守的保密义务进行了规定。

　　4. 明确标准合同的主要内容

　　《规定》第六条明确了标准合同所应当具有的内容，包括但不限于缔约双方的基本信息、个人信息跨境传输的基本情况、所采取的技术与管理的安全保障措施、境外接收方所在国家相关政策法规对履约的影响、个人信息主体的权利保护以及作为民事合同的部分标准条款，如救济、合同解除、违约责任与争议解决等。前述内容与《评估办法》第九条规定的，数据处理者与境外接收方订立的合同所应当包含的内容具有较高协同性，是对《评估办法》的承继与呼应。

　　而具体就标准合同的具体内容而言，该合同共有九大条款，以个人信息处理者的义务、境外接收方的义务、个人信息主体的权利保护及事先确认个人信息出境目的地政策法规对合同影响等内容为关键维度，对个人信息跨境场景下的各方角色（如个人信息处理者、境外接受与个人信息主体）的权利义务进行约定：

　　就个人信息处理者的权利义务而言，标准合同精准反映《个保法》等相关法规对个人信息处理者在跨境传输个人信息所施加的一般性及特殊性的法定义务，包括但不限于履行境外接收方信息披露义务、获得单独同意的法定基础、保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准等内容。

　　就境外接收方而言，标准合同未区分其具体数据处理角色，但原则上要求接收方履行按照约定处理个人信息、采取有效的技术和管理措施、发生信息泄露时向个人信息主体及监管部门进行告知与报告、配合个人信息主体履行义务及接受中国监管机构的监督管理等义务。

　　就个人信息主体而言，标准合同主要是通过确立“第三方受益人”角色以保护其权益，在此身份下，个人信息主体可直接向个人信息处理者或境外接收方要求获取合同副本、主张合同中约定权利与《个保法》下的各项个人信息权利。

　　02、我国标准合同与欧盟标准合同条款的对比

　　与我国出台的《规定》及标准合同具有较强比较法意义的域外法规定，主要包括欧盟标准数据保护条款。根据欧盟《一般数据保护条例》（GDPR）第46条的规定，签署欧盟委员会认可的标准数据保护条款作为一种适当的保护措施，是为将个人数据跨境传输至欧盟经济区外第三方国家的合规要件之一。在此基础上，欧盟委员会于2021年6月4日以发布（EU）2021/91号执行决定的方式（下称“《决定》”）提供了最新版本的向第三国转移个人数据的标准合同条款（Standard Contractual Clauses，下称“SCC”）。此最新版本的SCC总共分为4个部分、18大条款，主要内容围绕个人数据跨境传输过程中数据出境方与数据进口方各自应当采取的数据保护措施、数据主体的权利保护、转委托处理者的注意事项、合同终止条件与法律适用等方面。

　　纵观我国标准合同与SCC的内容及形式，我们理解，我国标准合同在吸收各司法辖区共识的同时，也结合中国个人信息保护的特点，提出新的理念和要求。

　　1. 共识与呼应

　　（1）确认第三方受益人权利保护

　　个人信息跨境传输事关个人信息主体的相关利益，因此，除对数据出境方与数据进口方的权利义务进行规定外，SCC与标准合同均制定了有关第三方受益人保护的条款，相关内容具有较高一致性。具体内容对比如下：

　　（2）通过合同承诺接受长臂司法管辖

　　我们理解，GDPR与《个保法》均未就数据跨境传输下境外数据进口方是否直接受制于前述法律提供明确规定，实务中不乏关于二者域外适用力的探讨。当前，SCC与标准条款均在此问题提供了可借鉴的规定，即境外数据进口方将通过签署SCC与标准合同承诺受制于数据出境方所在地的监管要求。具体内容对比如下：

　　（3）确认数据跨境目的地数据监管法律对合同履行的影响

　　为确保数据跨境过程中有关数据的安全性保障要求得到贯彻与落实，SCC与标准合同均以专章形式，就数据出境方与数据进口方在开展个人信息跨境传输过程前，应当对目的国关于个人信息保护的法规政策对SCC或标准合同履行所产生的影响进行审慎判断的义务进行了规定。具体内容对比如下：

　　2. 对比下的中国特色

　　（1）设定缔约主体权利义务的不同基础

　　最新版SCC分别以GDPR下有关数据控制者及处理者的角色划分为维度，根据数据出境方与数据进口方所可能形成的不同法律关系为基础划分了四种个人数据跨境传输的模式，分别为：1）控制者向控制者传输的“C-C模式”；2）控制者向处理者传输的“C-P模式”；3）处理者向处理者传输的“P-P模式”以及4）处理者向控制者传输的“P-C模式”。在此基础上，根据SCC签署双方在不同模式下所形成的具体数据处理法律关系，数据出境方与数据进口方将面临不同种类的合同权利义务。

　　而我国标准合同并未就个人信息跨境场景下数据出境方与境外接收方所形成的数据处理法律关系做进一步划分，而是以统一将数据出境方归纳为“个人信息处理者”、数据进口方定义为“境外接收方”的方式作为构建基础，对缔约双方在个人信息跨境过程中所享有和承担的权利义务进行了一致性的规定。具体内容对比如下：

　　（2）开展事前监管的不同路径

　　《决定》允许SCC的缔约方对SCC进行个性化的修订，但其效力前提为获得数据保护机构的批准。实践中，这种基于对SCC的进一步修订所形成的合同条款通常被称之为定制合同（“Hoc contract”）。目前，如微软、谷歌、亚马逊等科技公司均采用此种定制后的、经过相关数据保护机构批准的数据传输协议模板，此种定制化的传输协议可使得公司在SCC的基础上设置灵活性更高的数据保护条款，一方面以更好地保护个人数据，另一方亦可降低自身的违约风险。

　　《规定》与标准合同本身均为就个人信息处理者与境外接收方是否可以对标准合同进行个性化修订进行说明，亦未说明经过个性化修订的标准合同应当以履行何种程序作为生效前提。其次，针对已经实际投入使用的标准合同，《规定》采取了具有自身特色事前监管方式，即要求个人信息处理者在标准合同生效之日起的10个工作日内向所在地省级网信部门进行备案。

　　在此基础上，我们理解，与欧盟数据保护机构对定制合同进行事前审批的监管方式相比，我国网信部门对标准合同的备案应当被视为一种形式审查机制，其主要目的在于为监管部门后期开展数据跨境治理铺垫基础，并不直接或间接地表明标准合同具有可被修订的空间，亦未在此基础上建立定制化合同的审批机制。

　　（3）对目的国监管行为的不同监督态度

　　SCC第15条约定了数据进口方在面临当地监管部门根据目的国法律所提出的执法要求时所应当履行的义务。而标准合同第四条第五款规定，在境外接收方所在国家或地区更改法律或者采取强制性措施导致境外接收方无法履行本合同的情况下，境外接收方方具备立即通知个人信息处理者的义务。我们理解，该通知义务是以“结果”而非“行动”为基础，换言之，《规定》与标准合同并未以境外接收方所在地监管部门实施的数据监管行为本身为基础，规定境外接收方所应当实时采取的、与中国境内个人信息处理者进行及时沟通与协作的相关措施。

　　我们理解，我国《个保法》第四十一条在原则上提出了“非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”的要求。但是，从文本释义的角度出发，本限制性条款仅适用于个人信息处理者，并不直接适用于境外接收方。因此，可以合理推测的是，在境外接收方实际上作为个人信息受托处理者从中国境内获取了个人信息的情形下，如果境外接收方所在国监管机构根据当地法律向境外接收方开展了数据监管行动，位于中国境内的个人信息处理者可能难以实时知悉和评估相关执法过程个人信息跨境传输所造成的影响。

　　（4）对约定适用法律与境外司法管辖权的不同态度

　　就适用法律而言与境外司法管辖权归属上，SCC在区分四种个人数据跨境传输模式的基础上，附条件允许缔约双方就适用法律与境外司法管辖地进行约定。而我国标准合同第九条第（一）款列明“本合同适用于中华人民共和国相关法律法规”，对于缔约双方是否可选择其他国家法律作为法律适用法未置可否。并且，标准合同第（五）款表明个人信息处理者与境外接收方在产生合同纠纷时，仅可就争议解决的方进行式是为仲裁或诉讼进行选择，但可选择的仲裁机构与司法机构亦基本限缩在中国境内。

　　以上，我们理解，根据《中华人民共和国涉外民事关系法律适用法若干问题的解释（一）》第六条规定：“中华人民共和国法律没有明确规定当事人可以选择涉外民事关系适用的法律，当事人选择适用法律的，人民法院应认定该选择无效”。因此，由于《个保法》等个人信息监管规定并不存在允许个人信息处理活动中相关法律主体在涉外民事关系中自主选择适用法律的相关规定，我们理解，作为下位法的《规定》及标准合同将适用法与司法管辖限制于中国境内，且体现出我国个人信息监管整体环境对涉外司法管辖权所持有的强限制性态度。

　　结语

　　各国数据跨境传输制度不仅是保护个人信息主体权益与社会利益的重要举措，并逐渐成为各国争夺数据主权的国家策略，因此，包括个人信息在内的数据出境活动已不再是以局限于以民事主体自主决策为主的商事活动，其亟待成为我国自上而下的重要监管领域。

　　作为我国数据跨境传输治理工具的《规定》与标准合同，呈现出我国对数据跨境传输开启“事前-事中-事后”的全流程监管模式与合理排斥域外法适用及司法管辖的强监管态度。我们期待在征求意见期间，各界能进一步就标准合同的内容与形式提出更多补充性意见，让标准合同更为饱满和充实。

　　来源：金杜律师事务所

　　作者

　　宁宣凤，合伙人，合规业务部，susan.ning@cn.kwm.com，业务领域：反垄断与反不正当竞争，以及网络安全与数据合规

　　吴涵，合伙人，合规业务部，wuhan@cn.kwm.com，业务领域：网络安全、数据合规与治理

　　徐梦悦，律师助理，合规业务部

　　感谢实习生王储对本文作出的贡献。