标准合同条款(SCCs)新旧版本一些重点变化分析 | Fieldfisher
Skip to main content
Insight

标准合同条款(SCCs)新旧版本一些重点变化分析

Colorful abstract data visualization with a gradient background of blue to pink. The image features complex, interconnected lines and dots, resembling peaks and valleys, representing a digital network or statistical analysis.

Locations

斐石中国

自从欧盟法院去年7月作出Schrems II案件判决后,能否以及如何通过“标准合同条款”(Standard Contractual Clauses, SCC)向欧盟以外国家传输个人数据,成为悬而未决但又亟待解决的问题。这个问题随着本月4日欧盟委员会将最终的修改后的SCC公布而得到解决(至少在欧盟法院没有做出任何类似于Schrems II案件的新判决前)。

新版和旧版SCCs的目的都是使企业可以合法地将涉及个人的数据从欧盟传输到欧盟以外的国家,如中国。新版的SCCs将取代之前的三套旧版的SCCs。新版SCCs自2021年6月25日开始生效。欧盟委员会设置了18个月的宽限期以便于企业将现有已签署的旧版SCCs替换成新版的SCCs。这18个月的宽限期从2021年6月25日开始起算。这个18个月的宽限期比之前预测的12个月宽限期长。
 
本文旨在对照旧版SCCs分析新版SCCs的一些重点变化及可能对企业数据合规方面尤其是涉及数据从欧盟传输到非欧盟国家(如中国)时的影响。

变化一:模板增多

旧版SCCs只包括数据从控制者到控制者和从控制者到处理者两种数据跨境传输模式。在以往旧版的SCCs下,遇到数据从处理者到控制者的情况就不能适用了。新版SCCs包含了旧版SCCs已经涵盖的数据从控制者到控制者和从控制者到处理者两种数据跨境传输模式外,还包括了数据从处理者到控制者以及从处理者到处理者两种数据跨境传输模式。新增的两种数据跨境传输模式也是对数据跨境传输模式越来越复杂的回应,满足了企业不同商业模式的需求。新版SCCs增加了数据跨境传输的模板对中国企业来说是好消息,毕竟很多中国企业在欧洲设立的是代表处、分公司或者子公司,用旧版SCC的数据跨境传输模式还是不能完全满足实际需求。

变化二:重点关注数据输入国法律的兼容性

新版SCCs体现了Schrems II案件的要求,要求数据跨境传输双方通过TIA评估数据输入国的法律是否会损害根据新版SCCs提供的数据保护。特别是对数据输入国政府机构获取此类数据的条件做出了规定和要求。根据新版SCCs,在某些情况下,当数据输入国某些政府机构要求访问数据时,数据输入方必须:(i)在收到上述政府机构数据访问请求时通知数据输出方(ii)评估此类请求的法律效力;以及(iii)针对此类请求寻求法律救济。
 
这个要求属于重点的变化之一。在GDPR规范下,根据欧盟成员国的法律,政府是可以要求访问一些数据的。这些访问需要有法律基础。同样,非欧盟的国家也可能有基于其所在国的法律访问所在国企业数据的需求。但是,笔者在实践中遇到过我国的地方政府仅仅通过口头通知的形式要求企业提供涉及个人的信息。显然如果这些数据是来自欧洲,而且又是通过新版SCCs来实现数据跨境传输合规的话,上述口头通知的做法很可能会导致相关企业违反新版SCCs的要求。笔者认为,这个问题可以通过我国即将出台的《个人信息保护法》来解决。因为从目前的《个人信息保护法》草稿可以看出,我国政府部门在处理个人信息的时候也是要遵守该法律规定的。因此,可以预见未来我国政府部门对于要求企业提供其掌握的个人信息也会越来越规范和合规,所以上述笔者客户经历的事情会越来越少。不过,转变也是要花时间的。因此,从这个角度看,新版SCCs的上述要求确实会给那些签了新版SCCs的中国企业带来合规上的压力。

变化三:问责制和相关义务

新版SCCs(在某些模板中)做了如下要求:(i)保留数据处理记录;(ii)将数据传输的详细情况通知数据主体;(iii)数据传输的双方是否以及如何以合同方式限制其在新版SCCs下的责任(包括根据配套商业协议);(iv)选择准据法和争议解决。这些要求都是旧版SCCs中没有的要求。

变化四:纳入GDPR第28条规定

新版SCCs的某些模板中要求,此类模块中的合同条款必需符合GDPR第28条的规定。这有助于数据传输的当事方不必单独谈判GDPR第28条的规定。遵守GDPR第28条的规定对于本来处于强势地位但因谈判处于劣势地位的企业非常有帮助。笔者曾代表中国企业多次参与跟国际公司涉及个人信息的协议谈判。对此非常有感触。此外,笔者也强烈希望我国能够尽快出台《个人信息保护法》,这样才能够对等保护从中国传输出去的个人信息。否则,一方面我国的公司在接受从欧盟输入的个人信息时要遵守GDPR的要求,对这些信息提供足够的保证。另一方面欧盟在接收从我国传输到欧盟的个人信息则不用签署类似的合同。尽管欧盟GDPR对个人信息的保护是很严格的,但是从权利义务对等的角度,目前除了合同法的角度,我国的企业是缺乏完善的个人信息保护的法律基础给对方增加法律义务的。笔者就亲身经历过这样的谈判。当时我们的中国客户和对方外国公司互相跨境(中欧)传输个人信息。对方要求我们按照旧版SCCs签署相关协议。处于权利义务对等,我们要求对方也要遵守我国的法律。但是对方律师就指出我国没有明确的法律要求。后来我们是通过合同义务来要求对方为我们传输出去的个人信息提供合理且足够的保护。这个事情再次说明我国需要尽快出台《个人信息保护法》。否则我国的个人信息出境会面临保护手段缺失的困境。

变化五:新的缔约方可以更容易地加入SCCs

新版的SCCs允许新的缔约方通过“对接”(docking)条款更容易地加入已签署的新版SCCs,而不是每次加入新的缔约方时都要求重新签署SCCs。这个变化对于将SCCs作为公司内部跨境数据传输(从欧盟到非欧盟)来讲是非常有帮助的。毕竟对于大型跨国公司而言重新签署SCCs是很麻烦且耗时的一件事。