全球数据跨境流动标准合同条款研究：欧盟SCC

作者 | 北京德恒律师事务所 王一楠 全婉晴

国家互联网应急中心 张奕欣

引言：2022年06月30日，国家互联网信息办公室发布了《个人信息出境标准合同规定（征求意见稿）》（“中国标准合同”），标志着这个在国际上被广泛采用个人信息跨境流动保护性措施首次在我国开始“生根发芽”。

标准合同或称标准合同条款（Standard Contractual Clause或SCC）系监管部门为了确保个人信息在出境之后保护水平不低于本国标准而要求数据传输方与境外数据接收方签署一个官方制定的合同模板。该做法通过合同的约束力将境内的管辖权“延伸”至境外，达到一定“境内法域外适用”的效果，以保护处于相对弱势地位的个人信息主体权益。

随着数据跨境流动的数量急剧增长以及相关安全风险的不断涌现，世界上很多国家和地区也都先后推出了自己的版本。鉴于中国标准合同版本正在征求意见，笔者将世界上主要国家和地区已颁布的标准合同进行逐一研究，形成系列文章，以资借鉴。

一、欧盟SCC的出台背景

早在2001年，欧盟委员会就首次推出了基于《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》的标准合同条款SCC2001C和SCC2001P，后在2004年和2010年分别推出了两个新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

2018年生效的《通用数据保护条例》（GDPR）的第五章对于从欧盟向第三国或国际组织传输个人信息进行了规定，确保自然人数据出境后受到的保护水平不会被减损。该章节为此设置了若干适当性保障措施，其中就包括欧盟委员会制定的标准合同条款。

为了落实该章节中的要求，欧盟委员会于2021年6月4日通过“关于向第三国转移个人数据的标准合同条款的决定”（“欧委会决定”），并将最新版本标准合同条款（“欧盟SCC”）作为附件，取代之前所有的SCC版本。下文将从欧盟SCC的适用范围、四大模块、法律基石三个主要方面进行介绍。

二、适用范围

根据欧委会决定，欧盟SCC在如下情况下适用：个人数据从处理行为受GDPR管辖的个人数据控制者/处理者（数据传输方）向不受GDPR管辖的控制者/（次级）处理者（数据接收方）传输。如下图所示：

GDPR直接管辖的范围为欧洲经济区（European Economic Area），即欧盟28国，再加上冰岛、挪威、列支敦士登三个国家（为了讨论方便，下文统称“欧盟”）。如果个人数据从欧盟成员国（例如德国）向欧盟之外的国家（如印度）传输，则欧盟SCC自然适用。但是，鉴于GDPR具有域外适用的效力，所以GDPR管辖范围理论上比欧盟更广，从而导致“跨越欧盟边境”的传输不一定是构成“跨越GDPR管辖范围”，这就与GDPR第五章的““向第三国传输””产生了矛盾。

GDPR的域外适用效力来源自第3条第（2）款（与中国《个人信息保护法》第3条第（2）款类似），即发生在境外的两类数据处理活动受GDPR管辖：（a）为欧盟的数据主体提供商品或服务而进行相关的数据处理；或（b）监控欧盟数据主体在欧盟境内活动而进行的数据处理。在这种情况下GDPR管辖范围完全可以超越欧盟区域的物理边界（参见下图的虚线部分）。

具体来说，如上图所述，当数据传输方自欧盟某成员国（如德国）向同样受GDPR管辖但地处非欧盟区域（如印度）的接收方传输数据时，虽然属于GDPR第五章的“向第三国传输”，但双方皆受GDPR管辖，根据欧委会决定的字面含义欧盟SCC并不适用。而当接收方将数据再传输至同样地处印度的另外一个主体时，由于该接收方不受GDPR管辖，根据欧委会决定后两者之间应当签署欧盟SCC，虽然此时并不存在传统意义上的数据“跨境”。

针对GDPR域外管辖效力和第五章跨境传输之间衔接问题，EDPB在2021年11月发布了指南进行解答，要求同时满足如下三个条件才构成跨境传输：（1）一个控制者或处理者的个人数据处理行为受GDPR管辖；(2）控制者或处理者（数据传输方）通过将个人数据传输、披露给另一个控制者、共同控制者或者处理者（数据接收方）；（3）数据接收方在一个第三国或者是一个国际组织，无论其处理行为是否受GDPR管辖。

根据指南，跨境传输中“跨境”为一个关键因素，而是否受GDPR管辖并不重要。因为欧盟SCC是基于GDPR第五章的跨境传输制定的，结合上图例子，传输方向后两个接收方中的任何一个传输数据均属于GDPR第五章的跨境传输，但就上图传输方与接收方之间的数据传输目前欧盟SCC并不适用，欧盟委员会表示将出台针对这类场景的新的SCC版本。

三、欧盟SCC四大模块

欧盟SCC分为两大部分，分为合同正文和合同附录。在合同正文部分又分为一般性条款和应对四种不同的传输场景的四个模块，供数据传输者和数据接收者可以根据实际情况选用。合同的附录分为缔约方的名单、数据转移说明（包括转移的个人数据类型、转移的目的、个人数据将保留的期限等）、确保数据安全的技术和组织措施、次级处理者清单。

欧盟SCC四个模块分别适用于从控制者（Controller）到控制者（Controller），从控制者（Controller）到处理者（Processor），从处理者（Processor）到处理者（Processor），以及从处理者（Processor）到控制者（Controller）这四类场景。

为了方便读者理解，本文将四个场景逐一举例介绍如下：

模块1（C-C）：从控制者到控制者（或共同控制者）

场景：一家瑞典旅行社与一家澳大利亚连锁酒店签订了框架合同，为欧洲游客赴澳旅游提供住宿服务。为此，瑞典旅行社（C）需要将欧洲游客数据基于欧盟SCC传输到的澳大利亚连锁预订中心（C）。

模块2（C-P）：从控制者到处理者

场景：一家法国公司（C）将其雇员的个人数据提供给智利某大数据公司（P）进行处理分析。

模块3（P-P）：从处理者到处理者（即次级处理者）

场景：一家比利时公司（C）委托在荷兰的公司为自己处理数据，荷兰公司（P）希望将一部分处理行为再委托给某印度公司（P）进行处理。

模块4（P-C）：从处理者到控制者

场景：一家西班牙服务提供商（P）受巴西总部（C）指示将使用从巴西收到的客户数据及其在西班牙收集的客户数据进行市场研究和开发营销材料，并将两个数据包的汇总传输到巴西。

四、重要条款解读

欧盟SCC在一般性条款中规定了使用目的及范围、效力优先性和不可更改性、第三方受益人的权利、转移说明和对接条款。其中特别明确条款内容除选择适当的模块或增加或更新附录的信息外，均不得修改。但只要不直接或间接与条款相矛盾或者损害数据主体的基本权利或自由，双方可将欧盟SCC纳入更广泛的合同中和/或增加其他条款或额外的保障措施。

不同模块所对应的权利义务差异在几个重要条款中可以窥见一斑：

1.法律适用与管辖法院条款

在法律适用方面，模块1（C-C）、2（C-P）和3（P-P）下必须适用欧盟成员国的法律，而模块4（P-C）允许适用非欧盟国家的法律。其次，所有模块的法律适用前提该法律支持“第三方受益人权利”。最后，在模块2（C-P）和3（P-P）下，原则上应优先选择数据传输方所在国的法律，除非这个国家不允许第三方受益人权利。

在管辖法院方面，模块1（C-C）、2（C-P）和3（P-P）下合同双方应当选择欧盟经济区法院管辖，而数据主体也可以在其经常居住地对合同双方展开诉讼，而模块4（P-C）允许双方选择非欧盟国家法院管辖。

综合来看，在模块4（P-C）的场景下，因为可能出现根本不涉及欧盟数据主体个人数据的情形，并且身处在第三国的控制者的行为受到第三国法律的管辖，在法律适用和管辖法院时给予合同双方更多的自由选择空间。而在模块2（C-P）和3（P-P）情形下，数据传输方所在国法律显然与传输行为关系最密切，应当优先适用。

2.再传输条款与次级处理者的使用

再传输条款（Onward Transfer）

再传输条款是指数据被传输至欧盟以外的数据接收方之后被再次传输至后续数据接收方（该数据接收方可以与首个接收方同处一个国家或另外一个第三国）（类似中国标准合同第3条第7款项下情形）。欧盟SCC在模块1（C-C）、2（C-P）和3（P-P）中约定了再传输的情形。

为了确保数据主体的权益能在再传输过程中得到同等保护，后续数据接收方需要满足如下条件之一：通过对接条款(Docking Clause)加入欧盟SCC，符合GDPR第五章中其他数据出境要求（即在白名单国家、根据GDPR第46或47条采取适当性保障措施），或者符合特定例外情形（例如出于维护数据主体或其他自然人的重要利益的必要等）。

在模块1（C-C）中，因为首个数据接收方为控制者，其可以自主决定处理数据的目的与方式，因此在其他方式都不适用的情形下，其可以通过获得数据主体的明确同意的方式进行再传输。当然，其在征求数据主体同意时需要告知传输的目的，再传输接受方的身份或类别，以及再传输缺乏适当性保障措施时可能对数据主体带来的风险等。

次级处理条款(Sub-processor)

使用次级处理者是指数据被传输至欧盟以外一个身份为处理者的数据接收方（P）之后被再次传输至一个身份为次级处理者的数据接收方（P）（类似中国标准合同第3条第8款项下情形）。欧盟SCC在模块2（C-P）和3（P-P）中约定了使用次级处理者的情形。

同样，为了确保数据主体的权益能在次级处理过程中得到同等保护，欧盟SCC提出如下要求：首个数据接收方应获得数据传输方的书面授权，次级处理者进行处理活动之前必须与首个数据接收方签署书面合同（也可以通过对接条款(Docking Clause)加入数据传输方和首个数据接收方之间的欧盟SCC），数据接收方与次级处理者还需要约定以数据传输方为第三方受益人的条款，以确保在数据接收方法律上不存在时，数据传输方有权终止次级处理者的合同并指示后者删除或归还个人数据。

五、两个法律基石

欧盟SCC本质上属于民事合同，而其主要目的是通过约定数据传输方和数据接收方的义务，以保护数据主体的权利。为了实现该目的，其设计了两个法律基石：（1）第三方受益人权利，和（2）连带法律责任。前者为数据主体可以根据标准合同条款向违约方直接主张权利提供了实现的路径，后者为数据主体在主张权利时提供了必要的便利。

1.第三方受益人权利

通常而言合同具有相对性，只有合同的参与者才能根据合同约定享有权利和履行义务。但是第三方受益人权利从一定程度上突破了合同的相对性，而将合同权利扩张到了未实际参与合同的第三方。例如保险公司与被保险人签订的人寿保险合同，受益人为被保险人的妻子，则若被保险人意外身亡，其妻子将有权基于保险合同受偿。这里的妻子即为保险合同的第三方受益人。随着时代和法律的发展，合同第三方受益人权利的适用场景不断扩大。

不同国家的法律对合同第三方受益权的规定略有差别，有的国家并不承认第三方受益权（如德国），有的国家区分为第三方利益而设定债权以及第三方受让债权人的债权（如美国）。但综合欧盟SCC中约定第三方受益人（即数据主体）权利的目的和相关规定，我们可以概括第三方受益人权利具有如下几个特点：（1）应当在合同中明确约定第三方受益人身份和可执行条款（欧盟SCC第3条），（2）第三方可以根据合同约定寻求救济（欧盟SCC第11条），（3）各方应就违反第三方受益权而给数据主体造成的损失向数据主体负责（欧盟SCC第12条）。

2.连带法律责任

为了方便数据主体向违约的传输方或接收方追责，欧盟SCC设计了连带法律责任条款。

首先，数据主体可以向侵害第三方受益权而使其受损的那一方追究责任，无论这一方是传输方还是接收方，在境内还是境外。其次，如果传输方和接收方都违约，则数据主体可以向任何一方追究全部责任，这违约方之间的责任通过内部追偿解决。最后，在模块2（C-P）和模块4（P-P）的情况下，因为位于境外的皆为处理者，考虑到控制者与处理者之间对数据主体履行义务的大小天然存在差异，此时传输方应就自己和接收方对数据主体造成的损失承担先行赔偿责任，然后再向数据接收方追偿。

欧盟SCC一方面通过有过错的两方的责任连带确保数据主体的权利可以得到充分实现，另一方面通过在传输方（为控制者C或处理者P时）对接收方（为处理者P或次级处理者Sub-p时）的连带责任确保该权利的实现更加便利。

声明：本文来自网络安全应急技术国家工程实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。