一、标准合同规定的制度设计和适用范围
(一)制度设计
其实在主要的国家和地区如欧盟、美国、新加坡、中国香港、日本、印度、巴西等,数据出境也都是受到监管的。但可能在尺度的把握是相对宽松还是相对严格,以及对于出境合规途径的把控方面是有差异的。
整体上来看,我国采取的是相对严格的管控措施。其实欧盟也基本上是采用这样的方式和途径。我国《个人信息保护法》整个立法体系包括机制的建立,都借鉴了 GDPR 的内容,其实我国在数据出境的层面,也借鉴了很多 GDPR 的内容。GDPR 有 SCC ,即标准化合同,《个人信息保护法》也有标准化合同,即中国版 SCC ,由网信办牵头制定。
《个人信息保护法》第38条规定了出境的路径,体现了数据出境非常完整的一个框架:网信办评估、专业机构认证以及标准化合同。7月7日网信办发布了《数据出境安全评估办法》,6月底发布了《个人信息出境标准合同规定(征求意见稿)》。再之前,信息安全标准化技术委员会发布了《个人信息跨境处理活动认证技术规范》。所以,三种途径的基本框架已经构建的非常齐全。
各个国家的监管对象基本也相差不大。首先是个人信息,其次是重要数据(国内的叫法,在国外可能有其他叫法,但都是与国家安全相关的)。中国的重要数据的范畴相对来说会大一点。除此之外,日常经营当中的一些既不涉及重要数据,又不涉及个人信息的一般商业数据,在主要国家和地区基本上是自由流动的。
要理解出境的制度体系,首先要理解法律监管的思路和背景。《个人信息保护法》出台之前的征求意见稿强调了数据的「自由流动」,但在最后生效的版本中,「自由流动」删去了,当时很多人议论我国是不是要采取非常严格的管控措施,去限制数据尤其是个人信息的流动。
但《个人信息出境标准合同规定(征求意见稿)》当中,又出现了「自由流动」,但该文件的管控措施依然很严格。所以,未来是否能在实践当中体现「自由流动」的价值取向,还有待考察。
标准化合同是数据出境的一个非常重要的路径,而且未来对于作为个人的数据处理者以及中小企业,SCC可能是一个普遍用到的合规工具和路径。
(二)适用范围
标准化合同适用的场景比《个人信息出境标准合同规定(征求意见稿)》规定的范围要广。
比如可以在网信办评估的场景下使用标准合同,至少目前没有规定这是不允许的。
但标准化合同单一的适用场景,在《个人信息出境标准合同规定(征求意见稿)》中规定的非常明确。此时,标准化合同和网信办评估是互斥的关系,二者没有交叉。
标准化合同的适用需同时满足四个条件,可以从以下两个维度展开:
第一是身份维度,就是非关键信息基础设施运营者以及个人信息处理者处理的个人信息不满100万人的。
第二是时间和数量的维度,即自上一年度1月1日起累计向境外提供未达到 10 万人个人信息的以及自上一年度1月1日起累计向境外提供未达到 1 万人敏感个人信息的。所以,理论上最长是两年时间,即上一年度1月1日到本年12月31日。
《个人信息出境标准合同规定(征求意见稿)》第四条规定「可以」通过签订标准合同的方式出境。关于「可以」,有两种解读:第一,在符合签订标准合同出境的情形时,可以选择其他路径;第二,在选择签订标准合同时,可以签订除标准合同以外的其他合同版本。
所以,可以理解为,这种场景下是推荐使用标准合同进行个人信息出境,但具体还要再判断。
1. 数据量问题
(1)数据量的监控
在现实中,需要企业去证明自己符合条件,能通过 SCC 的途径进行个人信息的跨境传输。但从法理上,如果网信办认为企业不能通过 SCC 进行出境而应该评估,则应由行政机关进行举证。
实践当中,行政机关对公司的运营情况不了解,所以,数据出境的企业包括个人,要证明自己符合 SCC 的标准,这就提出了一个挑战。
如果业务类型和数据传输场景非常简单,传输量也不大,相对来讲比较好证明。挑战往往来自于比较大型或者业务比较复杂的企业,传输接口非常多,甚至一个传输的渠道都不能实时的监控。
比如业务人员随手发邮件,邮件当中可能就包含个人信息,这一类数量可能无法做到实时监控,甚至发送者自身都没有意识到这个数量理论上会占用 1 万人或 10 万人的额度。
要做到有效的监控,首先要把所有可能产生数据出境的场景进行梳理,然后每种场景下应该有对应的管控措施,让企业的员工尤其是一线员工有相关的意识。数据传输过程中应该有一定的审批和控制的节点,对于传输的内容和数量应该进行监控。
这里面也涉及员工通信自由的问题,能不能对员工所有的文件和邮件往来进行审查?合法性、合规性和合理性在哪里?审查的机制和工具会不会导致相关数据有泄露的可能?
所以,法条的表达很清晰,读起来没有那么难,但真正的挑战在于背后体现的东西:第一,国家监管的思路;第二,企业读完法条后应该尽早想之后应该做哪些合规方面的布局。
(2)跨境主体额度计算
目前来讲网信办的监管对象还是法人主体。同一法人主体比如分公司要跟总公司一起计算,而母子公司之间可能会独立计算。那是不是可以把母子公司的数据尽量分开,这样相当于额度增加了。
数据法律是成体系的,不能只考虑跨境额度的问题,这样会遇到公司内部之间的数据共享的问题。比如母公司接入数据,子公司收完这个数据后,未来如果要跟母公司进行数据交换,就存在数据共享的问题。可能要做个人信息保护影响评估,母子公司之间可能还要签合同,要向个人信息主体进行身份和目的的披露,然后再获取同意等。
所以,虽然跨境额度好像多一点,但其实多了很多合规的动作,需要内部进行评估,避免得不偿失。
(3)数据量很少时是否要签署 SCC
从法律层面来解读,回答相对来讲是比较肯定的,因为法律没有给出任何的豁免情形,但思路可以变化一下。
第一,因为数据量有限,整个的业务体量可能也有限,所以跟境外的机构达成协议的难度可能会比较低。
第二,既然出境的数据量不大,就要考虑出境的必要性问题。我国包括世界各国的主要国家和地区对数据跨境有监管的要求,提高了出境的成本,作为理性的经济人,可能会选择相对低成本的处理方式,如本地化存储等。
最后大家可能会自动削减出境数据的数量,除非真的有必要,才会选择出境。这体现出了监管的理念。
2. 做了出境安全评估,是否还要签 SCC
数据出境安全评估中要提交数据处理者和境外接收方订立的法律文件。「法律文件」是根据法律规定能够去约束数据处理者和境外接收方的文件。
什么样的文件是有约束力的。第一,合同,合同是双方订立的,对双方是有约束力的。第二,各方的承诺。因为我国数据传输机制的设立,无论是境内的数据处理者,还是境外的数据接收方,都背负了相关的合规义务,所以,单方面的承诺无法满足网信办的要求。
在《个人信息出境标准合同规定(征求意见稿)》中,网信办说可以签订其他的法律文本,但其他的法律文本的合规要求和义务不能低于标准合同。所以,理论上,可以不签 SCC , 但要签另外一份合同。
从一般的商业逻辑来理解,与其签一份要求更高、难度更大的合同,还不如签 SCC 。这未来可能还要由实践来检验,但通过法律逻辑来分析,在网信办评估中,SCC大概率也是要签署的。
SCC cover 不到重要数据的范畴,但其中对数据出境方和接收方的数据安全和数据保护义务,同样适用于重要数据,而且要求可能会更高。
3. 当事方是否可以对SCC进行修改
从商业条款来讲,当然可以有定制化的打造,比如通过附件的形式把出境的目的、双方商业合作的内容描述得更清楚。
从法律条款即双方权利义务的规定来讲,如果另行签订或者进行修订,要保证能完全 cover 到相关内容,可以给双方增加更多的义务,但不能比 SCC 的义务量有所减损。
从借鉴意义上来讲,可以参考欧盟或其他国家的 SCC 。GDPR EDPB 那套版本当中,区分了处理者和控制者这几个场景。我国目前还适用一套 SCC 。按身份来区分不同的版本,是有科学性的,而且更贴近商业实践。所以,可以参考欧盟相关的标准文本对 SCC 进行修改。
(三)注意事项
对于标准合同,要认真研读其条款包括章节设计,因为这体现出网信办对于个人信息保护和个人信息安全的考量。其中一些内容和条款,在现阶段对于企业来讲比较苛刻。
第一是对境外企业配合程度的要求。境外企业要配合境内企业签署标准合同,包括提供供相关的信息和资料,比如要评估境外企业采取哪些合规措施包括安全防范的技术措施,以及数据接收方所在国和地区相关的数据保护的情况等。这对于关联公司、母子公司来讲,可能相对容易一点。
并且,即使境内外双方配合得比较好,可能都会导致工作量的增加,更何况如果双方只是一般的偶发性的商业合作。
第二, SCC 当中体现了对个人信息主体的保护,包括对权利响应的要求,甚至在个人信息主体对境外接收方直接发起权利请求时的配合义务。所以,如何满足对个人信息主体的保护要求,需要境外接收方充分认识到自己的配合和响应义务。
关于个人信息主体:
就合同签署的当事方来讲,一个是境内的传输方,另一个是境外的接收方。
从民法的理论来讲,标准合同实质上是涉他合同。个人信息主体虽然不是合同当事方,但合同的很多内容规定了个人信息主体的相关权利,个人信息主体可以主张条款当中约定的相关权利。
并且,个人信息主体可以要求披露合同的相关内容,可以直接提出相关的权利请求。所以,这也是对于个人信息处理者和境外接收方的一个挑战。
同时,虽然做合规交易,但还要有一定的诉讼思维。因为标准合同规定了相关的合同条款和内容需要向个人信息主体进行披露。
基于这样的要求,未来可能有很多的取证工作,无论是进行个人信息保护的诉讼,还是通过利用这个条款去知道境内外两方的具体交易是什么,包括在交易期间双方有没有履行好对个人信息主体权利的保护义务。
所以,要非常关注条款当中对个人信息主体权利请求的约定。这并不是中国的首创,在欧盟的 SCC 当中也有相关的内容,尤其是对于个人信息主体的保护问题。但对于中国个人信息处理者的挑战在于,之前少有一个合同会给第三方设定如此多的权利保护机制,并且其可以向合同的当事双方都提出权利请求,而且标准合同未来会普遍适用。
(四)个人信息保护影响
安全评估跟个人信息保护影响评估即 PIA 有共同之处:第一,要评估数据本身是什么数据,出境的目的、范围、正当性、必要性等。第二,要评估接收方是谁,能不能保证数据的安全,有没有相关的能力和制度等。
《个人信息保护法》第五十五条规定了做 PIA 的场景,包括处理敏感个人信息、委托处理、跨境传输等。但在 GDPR 项下,在跨境传输的情形下更多应该叫 TIA ( Transfer Impact Assessment ,数据传输影响评估)。
在其他几个场景下,如果在国内处理,有一条没有评估到的内容,是接收方所在国和地区相关的整个大的环境的评估。这个评估是 PIA 和 TIA 之间一个比较大的差异。如果做个人信息的出境和重要数据的出境,这两点都要进行评估。
如果涉及重要数据出境,还要去评估对国家安全、公众利益包括相关个人和组织的合法性带来的风险。这跟个人信息出境存在差异,因为个人信息的评估重点是对个人信息主体的权利的影响。
关于如何解决 PIA 时间周期长对业务推进的影响。
首先这是一个体系性建设的问题。自从个人信息保护影响评估的理念出台之后,就一直在呼吁企业要尽快建立相关的一套制度。因为 PIA 不是简单说能拿出一份报告,企业要去思考的是为什么能做出这个报告。
比如, PIA 的发起方可能不是法务部门,因为法务部门并不知道业务在做这件事。所以,业务部门要有相关的意识和理念,知道在特定情况下是要做PIA的。
业务部门提出需求后,下一步应该把材料交给谁审查和评估,比如交给法务部门或者数据合规的治理部门,那材料如何进行审查,材料审查全或不全内部怎么沟通,整个流程是什么,包括最后生成一个什么样的 PIA 报告。
所以,所谓的理念和方法,更多是一个标准化的流程。其实在国外已经有非常成熟的一些工具,如 OneTrust 等。对于企业来说,这个工具是有必要的,无论是通过传统表单的形式,还是通过自动化线上处理的形式。第二,企业应该有一套制度和流程,保障 PIA 能够顺利进行。
二、标准合同规定为当事方带来的现实挑战
(一)连带责任
从法律上看,连带责任是法定的责任,无法通过合同的约定屏蔽掉。连带责任的规定,意味着无论对任何一方发起法律行动和权利主张,都可能会导致另一方的相关权益受到影响。
第一,对于集团内部来讲,母子公司之间相关责任的内部分配问题,要去进行内部的沟通和协调,包括做一些布局。
第二,对于体外公司之间合作的情况,选择一个靠谱的合作方非常重要。中国的数据传出去后,如果境外主体导致了侵犯个人信息主体权利情况的发生,则可能导致中国境内的企业要承担相应的连带责任。
所以,这就提出了一个合规挑战,即要对境外的机构有足够的了解。在选择供应商或者合作伙伴的过程中,前期应该做合规尽调。合规尽调的清单跟标准合同的条款内容、网信办评估的事项很大程度上是重合的。
(二)争议解决方式
如果境内的个人信息处理者和境外的个人信息接收方之间发生争议,难免成为一个跨境的争议。根据我国的要求,跨境争议要么是通过仲裁机构进行仲裁,要么是在中国法院进行诉讼。这就涉及跨境争议解决,尤其在执行层面,可能遇到挑战。
(三)境外方面临的挑战
境外的数据接收主体可能会直面中国境内的个人信息权利主体的挑战包括权利请求,可能会直面网信办的问询包括跟网信办进行沟通。无论从语言还是相关要求的理解上,对于境外的企业都是一个很大的挑战。
三、个人信息出境的其他路径探索
首先,网信办的评估企业没得选,如果落入评估范围之内,只能走网信办评估。那会不会出现没有落入网信办评估的范畴,但就要走网信办评估的情况?这不太可能,因为成本基本上不太会低,实践中网信办也不会去受理。
所以,更多是在专业机构认证和签署 SCC 之间进行选择。
专业机构认证推荐了两种场景。第一是境外主体直接处理境内个人信息,直接为境内的权利主体提供服务,这种场景也没得选,只能走专业机构认证的路径,因为这种情况下没有境内数据处理者的概念,没有对应的主体签订标准合同。
第二是关联公司之间的个人信息传输,这种场景可以在专业机构认证和签署 SCC 之间进行选择。
这有一点像 GDPR 下的 SCC 和 BCR 的问题,差异可能在于,在 GDPR 项下, BCR 本身也要经过 EDPB 审查,难度本身也大。而未来中国的专业机构认证可能相对来讲会宽松一点,不会像欧盟审查得那么严格,这是第一点。
第二点,要看是什么样的数据出境,如果是惯常性、连续性、日常经常能遇到的数据出境的话,专业机构认证的成本更低。专业机构认证当中也要签署相关的法律文本。
如果是偶发性的数据出境,比如跟境外一个不是长期合作的数据接收方进行跨境传输, SCC 可能是成本更低的方式,而且对境外主体有一定约束力。
整体来说,第一,数据出境的这几种途径,对于企业来讲,选择的余地不是很大。第二,选择 SCC 还是选择专业机构认证,更多是看出境的具体场景和形式,重点是评估在集团内部传输数据是签 SCC 还是走专业机构认证。
中国个人信息出境标准合同之制度设计及现实挑战
作者:陈文昊来源:iLaw合规

一、标准合同规定的制度设计和适用范围 (一)制度设计 其实在主要的国家和地区如欧盟、美国、新加坡、中国香港、日本、印度、巴西等,数据出境也都是受到监管的。