欧盟委员会根据GDPR及欧盟法院在Schrems II案判决所确立的原则于2021年6月4日作出2021/914号执行决定[1]并发布关于向第三国传输个人数据的新版标准合同条款(Standard Contractual Clauses,简称“新版SCCs”)至今已有一年时间。在新版SCCs发布一周年之际,欧盟委员会根据相关方的使用反馈,于2022年5月25日发布了有关新版SCCs的若干问题解答(简称“Q&A”)[2],旨在就新版SCCs应用过程中的常见问题提供解答。虽然欧盟委员会强调该文件仅供参考而不构成法律意见,但其针对实际问题通过举例等方式进行详细澄清和说明,对实践仍有很强的指导价值。本文拟就结合我们协助中国企业应用新版SCCs的实践经验,并根据欧盟委员会在Q&A中所做的澄清和说明,针对新版SCCs应用过程中所遇到的常见问题进行梳理和解答。
目录
1. 新版SCCs与旧版SCCs之间是什么关系?
2. 新版SCCs的适用范围是什么?
3. 新版SCCs的四个模块的典型适用场景有哪些?
4. 当事人是否可以修改新版SCCs中的条款内容?
5. 新版SCCs中的对接条款(docking clause)的用途和适用场景是什么?
6. 数据接收方能否将其收到的个人数据再传输给EEA外的第三方?
7. 新版SCCs所要求的传输影响评估(transfer impact assessment)是指什么,应当如何开展?
8. 签约方是否可以通过责任限制条款来限制新版SCCs项下的违约责任?
9. 根据新版SCCs签订的数据传输合同如何选择适用法律与管辖法院?
10. 承诺遵从新版SCCs与遵守中国法律是否存在冲突?
误区一:在不存在GDPR第46条第2款下的其他合法基础时,只要接收方系位于EEA之外,就需根据新版SCCs签订合同来作为传输个人数据的基础。
示例1:
一家注册于中国的从事手机游戏运营的A公司,在EEA内的苹果商店和其他手机应用商店发布其游戏APP供用户下载使用,则A公司对EEA内用户个人数据的收集和处理根据GDPR第3条第2款而直接受GDPR的约束。当A公司委托一家位于EEA的广告公司B就其所运营的游戏而向EAA区域内的用户提供广告投放服务的,当B公司就与之相关服务需要向位于中国的A公司传输EEA内用户的有关个人数据时,B公司与A公司不需要,也不应当根据新版SCCs签署数据传输合同。
误区二:新版SCCs只适用于数据传输方系EEA内的控制者或处理者的情形。
示例2:
当示例1中的中国A公司(作为控制者),将其所收集EEA内用户个人数据委托同样位于中国的C公司(作为处理者)进行数据分析的,A公司应当与C公司根据新版SCCs签署数据传输合同,以满足GDPR第46条1款的要求。
示例3:
当一家位于中国从事在线市场调研业务的X公司,接受另一家计划开展欧洲业务的中国企业Y公司的委托,根据Y公司的要求通过互联网远程向EEA内的个人开展产品调研并收集他们的某些个人数据。根据GDPR第3条第2款,X公司(作为处理者)受GDPR的直接约束。而当X将包含有关个人数据的调研信息提供给Y公司(作为控制者)时,X公司应当与Y公司根据新版SCCs签署数据传输合同。
(1)控制者向控制者提供个人数据
示例4:
中国的R大学与一家德国的H大学建立长期的合作交流关系,定期互相派遣学生前往对方学校学习交流。当H大学需要将其德国学生的个人数据提供R大学以供安排他们在中国的课程、交通、食宿等安排时,H大学应使用新版SCCs的模块1来与R签署数据传输合同,因为他们在涉及这些学生的个人数据处理活动中各自均扮演的是数据控制者的角色。
示例5:
一家总部设立于中国的X公司在全球范围内开展智能手机业务,其在EEA的业务通过在爱尔兰的子公司开展。为X公司分析全球用户使用习惯的目的,需要由其爱尔兰子公司将其也运营所收集的EEA内用户的手机使用数据传输回X公司在中国的总部。为该等传输,爱尔兰子公司应当使用新版SCCs的模块1与其母公司X签订数据传输合同。
(2)控制者向处理者提供个人数据
示例6:
当一家位于法国的药品研发公司S公司为开展全球多中心临床试验,使用了一家中国N公司所提供的EDC服务,而N公司承载该EDC服务的数据中心位于香港。当S公司需要使用该EDC服务来处理其所收集的EEA内的受试者的生理数据时,S公司(作为控制者)应当采纳新版SCCs的模块2来与N公司(作为处理者)签订数据传输合同。
(3)处理者向处理者提供个人数据
示例7:
一家总部位于中国的T公司在全球范围内开展云计算服务,其在欧洲的业务由其荷兰子公司通过位于当地的数据中心负责运营,而一家丹麦客户订购了其荷兰子公司所运营的云服务来部署其HR管理系统。当为技术支持、故障处理等原因,荷兰子公司需要允许T公司中国核心技术团队远程访问在荷兰数据中心所承载的公有云资源,进而访问并协助处理丹麦客户HR系统的故障时,该荷兰子公司(作为处理者)应当确保其与母公司T公司(作为处理者)之间签订了新版SCCs模块3的数据传输合同。
(4)处理者向控制者提供数据
示例8:
位于中国的制造业企业W公司为进入东欧市场之目的,委托一家位于波兰的G公司在波兰、匈牙利等国收集和调研当地企业对特定产品的需求,当G公司将包含若干当地企业负责人联系信息的调研报告提供给W公司时,其需要根据新版SCCs的模块4与W公司签订数据传输合同,以确保合规。
1
在模块1下,作为控制者的数据接收方可另行取得相关数据主体的明确同意而将数据再传输给第三方。为此目的,该数据接收方需向所涉及的EEA内的数据主体明确告知再传输的目的、该第三方的身份以及由于缺乏数据保护保障措施而可能对个人造成的风险。并且数据接收方也必须通知数据传输方该等基于个人同意的再传输,并应数据传输方的要求向其提供一份其提供给数据主体的信息的副本。
2
在模块2和模块3下,作为处理者的数据接收方被允许将其接收到的个人数据再传输给控制者有记录的指示(documented instructions)所列明的第三方。控制者有记录的指示所列明的第三方,主要是指根据模块2和模块3下SCCs的第9条而经控制者所同意的子处理者(sub-processor),经批准的子处理者名单在SCCs的附录3中列明。
场景1:
一家开展全球业务的中国公司,根据所签署的新版SCCs从其欧洲子公司处收到了EEA内用户的个人数据。该中国公司在中国将这些EEA内用户的个人数据和该公司在中国境内用户的个人信息进行融合,并对其进行分析和处理,形成了一个新的数据库,同时包括了来自EEA的个人数据和产生自中国的个人信息。这种场景下该公司对此数据库中数据的处理将同时受到新版SCCs和《个人信息保护法》的约束。而当它需要将融合后的数据库传输回其欧洲子公司时,对于该数据库中涉及的中国的个人信息,则必须履行《个人信息保护法》及其他行政法规对数据出境的义务,例如进行个人信息保护影响评估、数据出境安全评估(自评估和/或申请网信办评估)、签署中国版的标准合同条款等。
场景2:
一家中国企业作为数据接收方根据签署的新版SCCs而接收了来自EEA区域的个人数据,并在中国存储和处理这些个人数据。而我国的国家安全机关认为这些数据中包含有某个涉嫌侵害我国国家安全的外国人的信息,而要求这家中国企业披露其所掌握的该EEA内外国人的数据。中国企业在我国《网络安全法》第28条、《数据安全法》第35条下对此等数据调取负有配合提供的义务;而另一方面该企业需要根据新版SCCs第15条的约定就此等调取承担确认其合法性、及时通知、确保披露数据最小化等义务。这种情况下该企业需要审慎评估两方面的义务要求和对其的影响,在确保符合中国法律及有权国家机关的正当要求的前提下,在可行的范围内尽可能履行其在新版SCCs第15条项下的相应义务。同时,这种目的国公权力机关调取数据的场景正是新版SCCs第14条所重点关注的风险,中国企业需要对该等调查对后续传输的不利影响(例如EEA的数据传输方可能根据新版SCCs第14条(f)节而暂停或终止传输)有所准备。
注释
邵阳法律咨询律师事务所(www.tieqiaolawyer.com/falvzixun)提供邵阳市法律咨询24小时在线免费咨询
J&T资本观察 | 注册制2.0时代的IPO股东核查要求
2025/4/15 365顾金龙:面对股权回购,创始人应当知道的谈判要点
2025/4/13 403不满补偿金额律师助力起诉,镇政府已多次提出协商沟通
2025/4/13 403春节期间法定加班计算加班费的依据是什么
2025/4/13 379新《北京市物业管理条例》亮点——业主篇(下)
2025/4/13 410关于当事人协商解决后如何追究侵权人行政法律责任的批复
2025/4/13 390最高法院:关于婚姻案件诉讼程序、共同财产等48个实务问答(收藏)
2025/4/13 4032023劳动合同范本免费,劳动合同书样本
2025/4/13 382国内养老信托的主要法律模式解析
2025/4/13 386最高院、最高人民检察院关于办理利用互联网等复制...
2025/4/13 383信•条——非法采矿罪与非罪的重构
2025/4/13 403我国首部个人破产法规在深圳施行!首家个人破产事务
2025/4/13 379【新政解读】云南新一轮征收开始!2023年玉溪政府批复,玉溪市这些地方要征地
2025/4/13 372门店合同到期租客不搬怎么办?
2025/4/13 338