中倫視界 - 中國版標準合同條款揭開面紗，能否成為個人信息出境的通途（二）？－鑽石舞台

Aug 07 Sun 2022 03:30
中倫視界 - 中國版標準合同條款揭開面紗，能否成為個人信息出境的通途（二）？

作者：陳際紅吳佳蔚楊潤陳煜烺

本篇將聚焦標準合同條款為個人信息處理者和境外接收方設定的責任和義務，以及為個人信息主體作為第三方受益人所設定的權利，並就PIA、境外接收方再轉移以及雙方責任分配等重點問題進行探討，以期為立法及企業實踐提供借鑑和參考。

///

國家互聯網信息辦公室於6月30日公布《個人信息出境標準合同規定（徵求意見稿）》（「標準合同規定」），並公開徵求意見。我們在第（一）篇中主要從整體層面針對個人信息出境標準合同的性質進行解讀，分析了其與安全評估的適用層次，以及標準合同條款的監管抓手，並對比了GDPR SCCs機制。本篇將聚焦網信辦發布的《個人信息出境標準合同》（「標準合同條款」）中為個人信息處理者和境外接收方設定的責任和義務，以及為個人信息主體作為第三方受益人所設定的權利，並對標準合同條款中關於個人信息保護影響評估、境外接收方再轉移以及雙方責任分配等重點進行探討，以期為立法及企業實踐提供借鑑和參考。

一、個人信息處理者和境外接收方的義務設定

根據標準合同規定，標準合同條款具有優先適用性[1]，個人信息處理者還應將標準合同向所在地省級網信部門備案，而省級網信部門且有權在跨境傳輸過程中進行監督，並有權要求終止個人信息出境活動。據此，標準合同條款是一種納入強監管的合同，個人信息處理者和接收方必須履行標準合同條款的約定義務，否則將不僅面臨違約責任，更將面臨民事侵權或行政監管責任。

（一）個人信息處理者：適用個保法基礎上的責任強化

標準合同條款第一條第（四）款即明確，「個人信息處理者」與《中華人民共和國個人信息保護法》（「個保法」）所規定的含義相同，個人信息處理者首先適用個保法並需遵循個保法所設定的一系列合規義務，且標準合同條款針對跨境活動所設定的各種義務亦適用。

針對標準合同條款為個人信息處理者設定的各項合同義務，我們梳理如下表

點擊可查看大圖

由於個人信息處理者需直接適用個保法，針對上述合同義務中與個保法相一致的部分，本文不再贅述；關於其他部分，我們認為需重點關注的問題如下：

1. 合法性基礎：明確單獨同意要求

標準合同條款第二條第（二）款規定，個人信息處理者向境外提供個人信息應當取得個人單獨同意，但相關法律法規規定不需要取得個人單獨同意的除外。個保法第十三條設定了處理個人信息的七項合法性基礎，其中即包括履行合同所必需等同意之外的其他合法性基礎。然而，個保法第三十九條規定跨境提供個人信息應取得單獨同意，且未設定例外情形。

個保法第三十九條的現有表述直接導致了法律適用和理解上的爭議，即，如果企業已具備其他合法性基礎，是否在跨境個人傳輸中還必須履行單獨同意的要求？對於這一點，標準合同條款第二條第（二）款的規定或許在一定程度上已給出答案，即：如果個人信息處理者已具備「法律法規規定的例外情形」，那麼無需取得個人單獨同意。標準合同條款的上述規定是否已實質蘊含了「如已具備同意之外的合法性基礎，則無需就跨境再獲單獨同意」，目前還有待進一步明確。

2. 透明性要求：告知個人信息主體為第三方受益人

標準合同條款第二條第（三）款規定，個人信息處理者應當向個人信息主體告知其與境外接收方通過標準合同條款約定個人信息主體為第三方受益人，此乃標準合同條款就透明性要求層面在個保法第十七條和第三十九條基礎上的進一步增強告知。

實踐中，企業往往通過隱私政策等形式向用戶告知關於跨境處理個人信息的規則，考慮到標準合同條款未來可能會成為個人信息跨境處理活動中最基礎和最為普遍採用的一種合法路徑，企業或可在選用標準合同機制後，通過更新隱私政策等形式以實現此等告知義務。

3. 舉證責任：個人信息處理者應證明合同義務已履行

標準合同條款第二條第（九）款規定由個人信息處理者承擔標準合同條款已履行的舉證責任。如上文所述，根據該規定，如果個人信息處理者舉證不能，就可能要承擔監管處罰的後果，而這一舉證責任的安排，要求個人信息處理者在個人信息處理過程中，要配備必要的評估、記錄程序，做到合規看得見。

具體而言，企業如作為個人信息處理者，一方面自身應依法就跨境活動開展個人信息保護影響評估並記錄相關個人信息處理活動，並保留相關材料；另一方面，可充分利用標準合同條款為境外接收方所設定的義務，並確保義務履行全過程的可追溯、可記錄。例如：

1. 監督境外接收方是否履行義務，是否採取技術和管理措施（標準合同條款第二條第（四）款）；

2. 查閱境外接收方的數據文件和文檔，並對其數據處理活動開展合規審計，要求其提供已獲資質認證情況（標準合同條款第三條第（十）款）；

3. 要求境外接收方對個人信息處理活動進行記錄並保存至少3年，並根據法律法規規定要求其提供相關記錄文件（標準合同條款第三條（十一）款）。

（二）境外接收方：通過合同實現同等保護原則

相比個人信息處理者，由於境外接收方所處的政策法律環境不同，標準合同條款據此也從形式上為境外接收方設定了更多、更嚴苛的合同義務（例如自動化決策），進而從實質上使境外接收方達到個保法規定的同等保護水平。

針對標準合同條款為個人信息處理者設定的各項合同義務，我們梳理如下表。

點擊可查看大圖

關於境外接收方的義務，主要有如下問題可重點關註：

1. 改變合同範圍處理個人信息

標準合同規定第三條第（一）款和第（四）款規定，境外接收方應當在標準合同條款約定範圍內處理個人信息，除非已取得個人信息主體的事先同意；並且應當在實現處理目的所必要的最短時間內存儲個人信息，除非已取得個人信息主體關於存儲期限的單獨同意。

從個人信息權利保護的角度分析，二者在同意的方式上存在差別。針對個人信息處理行為，如果境外接收方需改變處理活動，則應取得事先的同意，我們理解此種情形下境外接收方將就改變部分的處理活動構成單獨的個人信息處理者，因此就該部分的合法性基礎應由境外接收方取得；而就處理活動中的存儲行為，實踐中往往可能出於其他業務目的而需在本合同約定的必要存儲時間之外繼續存儲，則應就此部分取得單獨同意。

從民事合同法律關係的角度考慮，如果境外接收方超過標準合同條款約定的範圍處理和存儲個人信息，但已獲得個人信息主體的有效同意，對於這部分合同之外的處理活動是否可能構成違約？從目前標準合同條款的設計來看，如果境外接收方對這部分合同之外的處理活動已取得同意，那麼也應當屬於本合同執行的預期範圍內；但如果其未履行上述要求，則可能構成違約，而個人信息處理者亦可能對其行為向個人信息處理承擔民事責任（具體見五、責任分配）。

2. 受託處理個人信息的特殊要求

相較GDPR SCCs根據數據出境方與境外接收方所形成的不同數據處理關係劃分為四種個人信息跨境傳輸模式（C-C,C-P,P-P,P-C）[2]，標準合同條款未就締約雙方的數據處理關係做進一步劃分。根據我國個保法關於共同處理、委託處理、向第三方提供（有可能構成較為獨立的處理關係）的數據處理關係設定及責任承擔機制，不同處理關係下的權利義務應當有不同。儘管未作上述區分，標準合同條款仍對其中最具特殊性——無法決定數據處理目的、方式的境外接收方受託處理情形作進一步明確。包括：

1. 在刪除或匿名化個人信息後，向個人信息處理者提供審計報告（標準合同條款第三條第（四）款）；

2. 如境外接收方受託處理時發生個人信息泄露事件，應由個人信息處理者通知個人信息主體（標準合同條款第三條第（六）款）；

3. 如欲轉委託第三方處理個人信息，則應事先獲得個人信息處理者同意，同時應確保第三方的處理活動在本合同約定範圍內，並對其進行監督（標準合同條款第三條第（八）款）。

3. 域外監管效力的設定

除上述面向個人信息處理者和個人信息主體的義務外，標準合同條款第三條第（十二）款還設定了境外接收方同意接受中國監管機構監督的承諾，包括但不限於答覆監管機構詢問，配合監管機構檢查，服從監管機構採取的措施或作出的決定，並提已採取必要行動的書面證明，我們理解上述規定實際上是對境外類似長臂管轄要求的回應。

二、個人信息主體權利：法定權利基礎上增設第三方受益人

結合標準合同條款，個人信息主體可以要求獲得簽署的標準合同條款的副本（第二條第（八）款），亦有權（在未表示拒絕的情況下）向締約雙方行使如下權利：

1. 執行標準合同條款中關於個人信息保護義務（第五條第（一）款）；

2. 提供標準合同副本（第二條第（八）款；第三條第（二）款）；

3. 確認境外接收方所在國有關個人信息保護的政策法規對履行標準合同的影響（第四條）；

4. 通過投訴、訴訟等方式獲得救濟（第六條第（三）款）；

5. 在法定要件發生時主張解除標準合同（第七條第（三）款）。

就行權/追責對象，根據標準合同條款第五條第（二）款，個人信息主體可以向個人信息處理者或境外接收方中的任意一方行使權利，而不論締約雙方的數據處理關係。

就救濟途徑，標準合同條款第六條第（一）款要求境外接收方在組織內部確定聯繫人以答覆並及時處理個人信息主體的詢問或投訴，並通過單獨通知或在官網公告的形式告知個人信息主體該聯繫人信息。

三、個人信息保護影響評估（PIA）

與個保法第五十五條、《數據出境評估辦法（徵求意見稿）》一脈相承，標準合同條款第二條第（七）款要求個人信息處理者應當針對跨境活動開展個人信息保護影響評估（personal information protection impact assessment，PIA），並在《數據出境評估辦法（徵求意見稿）》第五條的基礎上增加了評估境外接收方當地個人信息保護政策對遵守標準合同條款可能造成的影響。結合個保法，參考《數據出境評估辦法（徵求意見稿）》等，總的來說，針對個人信息出境活動進行PIA主要需評估以下內容：1）個人信息出境活動的具體情況及相應的合法性、正當性、必要性；2）個人信息出境活動對個人信息主體權益的影響；3）個人信息處理者的數據安全保障能力；以及4）境外接收方的數據安全能力情況，包括所在國家/地區所在地的法律環境。

這一規定與Schrems II案後歐盟數據保護委員會（EDPB）所發布的建議[3]，及據此更新的GDPR SCCs中要求在依據SCCs作為數據跨境傳輸保障機制時對數據跨境傳輸進行評估（transfer impact assessment，TIA）的要求十分類似，尤其強調要評估第三國的數據保護法律或實踐，以保證數據接收方可以達到與傳輸方所在國家/地區的同等保護水平。需要注意的是，數據跨境傳輸並不屬於GDPR項下必須進行數據保護影響評估（data protection impact assessment, DPIA）的場景[4]，但TIA同樣運用了DPIA的基本原理和方法論。

對於如何評估境外接收方當地個人信息保護政策法規對履行合同的影響，標準合同第四條規定需考慮出境的具體情況、境外接收方所在國家/地區的個人信息保護政策法規以及境外接收方的安全管理制度和技術手段保障能力。結合第四條的規定，參考EDPB相關建議[5]及其生效後部分實踐，在評估境外接收方所在國家/地區個人信息保護相關法律環境時，至少需要考慮以下因素：1）當地現行的個人信息保護法律法規；2）加入區域或全球個人信息保護組織或做出相關國際承諾的情況；3）當地落實個人信息保護的機制；4）當地行政、監管或司法程序等要求調取個人信息的情況；5）個人信息主體在當地尋求司法救濟的可行性等。

四、境外再轉移

對於境外接收方可能將個人信息提供給位於中華人民共和國境外第三方的情形，標準合同在第三條境外接收方的義務中規定，境外接收方僅在同時滿足以下條件時方可將個人信息提供給相關境外第三方：1）確有業務必要；2）滿足個保法等相關法律法規對於告知及同意的要求；3）與第三方達成書面協議，確保第三方具備同等的保護水平，與第三方承擔連帶責任；4）向個人信息處理者提供協議副本；以及5）事先徵得個人信息處理者同意（僅在受個人信息處理者委託處理個人信息時轉委託第三方處理的情形下）。

對比GDPR SCCs對於境外再轉移的規定，二者間具有相似性：

再轉移的第三方位於中華人民共和國或EU/EEA境外；

本質上是要求再轉移的第三方可以保證同等的保護水平。

但與GDPR SCCs不同的是：

由於標準合同的適用並不區分個人信息處理者與境外接收方之間的數據處理關係，導致無論在何種情形下，境外接收方向第三方轉移個人數據均遵循一致的條件，即要求該第三方滿足同等保護水平（通過SCCs或充分性認定等機制），並且數據接收方需保證跨境再轉移需要滿足標準合同條款中其他合規保障措施，特別是目的限制的規定（僅在受個人信息處理者委託處理個人信息時轉委託第三方處理的情形下要求事先徵得個人信息處理者的同意）；

標準合同明確規定境外接收方與第三方承擔連帶責任，而GDPR SCCs僅在Clause 9:Use of Sub-processors中對於模式二（控制者-處理者）及模式三（處理者-處理者）下要求數據接收方須確保次級處理者（sub-processor）承擔數據接收方根據SCCs所須承擔的責任並就次級處理者對數據傳輸方義務的履行負全責；

標準合同中未提及境外接收方按照行政、監管或司法程序要求須向相關第三方轉移個人數據的情況，對於此種情形下境外接收方如何處理仍有待進一步明確。

此外，歐盟委員會在更新SCCs時加入了對接條款（docking clauses），以便於已簽署SCCs的各方在複雜的數據處理生命周期中在既有合同中加入新的簽約方（既可以是數據傳輸方也可以是數據接收方）。新的簽約方加入後，該簽約方將根據其角色承擔SCCs下的權利及義務[6]。我們理解，此條款將在一定程度上便利數據處理過程中第三方的加入，同時也可以保證第三方的數據保護水平。目前版本的標準合同中並無類似條款，且僅規定了境外接收方將個人信息再轉移給其他第三方的情形，在履行過程中若需加入其他第三方，一方面需要嚴格滿足標準合同所規定的條件，另一方面對於加入新的個人信息處理者（作為數據傳輸方）可能存在一定阻礙。

五、個人信息處理者和境外接收方的責任分配

標準合同條款第八條規定了個人信息處理者與境外接收方之間關於違約責任的分配，值得注意的是，不同於以往「合同責任限於締約雙方」的理論架構，由於本標準合同條款設定了個人信息主體作為第三方受益人，因此，個人信息處理者或境外接收方除需就自身違法行為依法對個人信息主體承擔民事侵權責任或監管責任外，還將依據標準合同條款的約定對個人信息主體承擔違約責任。

就面向個人信息主體所需承擔的責任，主要包括以下情形：

原則上，締約雙方應對自身行為承擔責任：標準合同條款第八條第（三）款規定，締約雙方因違反本合同而侵害個人信息主體作為第三方受益人而享有的權利，應當對個人信息主體承擔責任；個人信息主體有權獲得賠償。

如果共同對損害負責，承擔連帶責任：標準合同條款第八條第（四）款規定，締約雙方對因違反本合同而共同對個人信息主體造成的損害負責的，應由締約雙方承擔連帶責任；我們理解這可能主要是指共同處理的情形，此規定亦與個保法第二十條關於共同處理個人信息的規定相一致。

個人信息處理者應承擔先行賠償責任：標準合同條款第八條第（六）款、第（七）款規定，不論締約雙方是否應最終承擔連帶責任，個人信息處理者均應就個人信息主體的損害負責人並承擔賠償責任；如損害系境外接收方造成，個人信息處理者有權向境外接收方追償。

結語

伴隨《數據出境安全評估辦法（徵求意見稿）》《個人信息出境標準合同規定（徵求意見稿）》《個人信息跨境處理活動認證技術規範》的發布，儘管部分問題及實施程序仍有待網信辦進一步明確，但個保法規定的各項跨境傳輸機制的配套規則將會在近期逐次落地，以解決跨國企業面臨的「數據跨境監管有法律規定但無執行機制」的尷尬局面，跨國企業有必要着手落實符合自身特點的跨境合規管理機制，為數據跨境強監管的到來做好準備。

[注]

[1] 即標準合同規定第二條規定，個人信息處理者與境外接收方簽訂與個人信息出境活動相關的其他合同，不得與標準合同條款相衝突；標準合同條款第九條第（一）項規定，如果本合同在達成或簽訂時與合同雙方已存在的任何其他協議發生衝突，本合同的條款優先適用。

[2] 具體包括：1）控制者向控制者傳輸的「C-C模式」；2）控制者向處理者傳輸的「C-P模式」；3）處理者向處理者傳輸的「P-P模式」以及4）處理者向控制者傳輸的「P-C模式」。

[3] EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, version 2.0

[4] GDPR Art 35

WP 29 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is 「likely to result in a high risk」 for the purposes of Regulation 2016/679

[5] EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, version 2.0

EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

此外，UK ICO International transfer risk assessment and tool (draft)也具有較高的參考意義。

[6] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q11, 12, 13

點擊閱讀