跨国企业互传数据,要签署哪些标准合同?(上)

摘要


我国《个人信息保护法》(“PIPL”)自2021年11月1日正式实施以后,个人数据跨境流动保护的配套规定相继出台,今年6月,国家互联网信息办公室(“CAC”)发布了《个人信息出境标准合同》(征求意见稿)与《个人信息出境标准合同规定》一起向社会征求意见,今年9月1日,《数据出境安全评估办法》正式实施。世界上许多国家和地区都有自己的数据跨境风险评估方法和标准合同条款Standard Contractual Clause(“SCC”)。

其中,SCC作为监管部门制定的官方合同模版,通用于数据出口方和数据进口方之间,旨在使个人信息出境后其保护水平不得低于本国数据保护标准要求。本文将参照英国信息专员办公室(“ICO”)发布的个人数据跨境传输指南,从实践角度出发,介绍我国数据出境风险评估和标准合同适用问题,以期帮助企业明晰个人数据跨境传输中相关的规定,确保企业合规性经营。

2021年8月,英国信息专员办公室(ICO)发布了一份由三部分组成的个人数据跨境传输指南,就个人数据从英国向第三国的跨境转移进行公开咨询,这份指南中关于英国数据跨境传输的指导意见结构分为三个部分:

(1) 国际数据传输协议International Data Transfer Agreement(“IDTA”)=英国版SCC

(2) 欧盟新SCCs的英国附录Addendum to new SCCs(“SCCs附录”);

(3) 风险评估transfer risk assessment(“TRA”)。

指导意见中除了前两个标准合同及附录外,TRA风险评估的应用场景为何?进行风险评估的考虑因素为何?另外,英国IDTA、欧盟新SCC英国附录、2018版欧盟旧SCC之间的关系为何?

受英国管辖的企业个人数据跨境传输如何与数据进口方签订IDTA、欧盟SCC附件?是否既要签订IDTA又要签订欧盟SCC附件?笔者将围绕上述问题,结合多种应用场景展开讨论。

1、 企业将受英国管辖的个人数据跨境传输时,如何完成风险评估,风险评估工具为何?

企业做TRA的本质是为了在签署IDTA之前,需要做一个详细的限制性转移的检查评估,考虑所有限制性转移的情形,以此来判断IDTA的签署是否真正能使个人数据传输到数据进口方后仍然能获得其在英国时获得的相关保护措施足够相似的保护。那么TRA需要考虑的首先是数据转移的事实情况,具体包括转移的数据类型、转移的目的、数据的格式、转移的方法、存储地点、继续转移的可能等;其次,主要考虑数据接收者的基本情况和转移数据后对数据主体的潜在影响。

风险评估工具为企业常规的数据转移提供帮助,实践中,当企业在有数据跨境转移需求时,跑完风险评估工具后得出的结果显示企业不能继续进行数据跨境传输行为,此时,转移行为超过常规数据转移,就需要引入额外的数据保护影响评估Data Protection Impact Assessment(DPIA)。

企业进行风险评估时应重点关注几个方面,第一,对传输本身的评估。如前文所述,企业在数据转移时必须满足安全保障、数据最小化等事项,如果需转移的数据复杂庞大或高风险,仅用TRA工具无法评估时,需进行DPIA。第二,国际传输协议(“IDTA”)在数据进口国是否具有可执行性。IDTA合同签署的目的是否能够实现且合同签署后保障措施的实施是否能达到英国本身对个人数据保护的安全程度,这两个问题将成为重要的考虑因素。若IDTA的可执行性不高或者数据转移的风险程度大,此时企业转移个人数据时就需要补充考虑IDTA中第二部分规定的,需要增加额外保护条款的情形。第三,如果涉及第三方访问,是否有适当措施来保护或避免。此时,需要评估数据进口方国家管理第三方数据访问的政策法律制度是否与英国法的原则足够相似,或者虽政策法律制度不足够相似,但第三方访问可能性小或第三方访问对数据主体造成的风险足够低。

综上,企业的跨国个人数据传输并不必然会带来额外的风险,但是一旦风险评估结果显示高风险,将会导致企业签署或准备的数据转移安排无法实现,此时,除了通过匿名化、最小化等方式降低风险外,在风险评估工具评估后,调整改变企业数据传输安排和计划能为其他数据的跨境传输带来可能。

2、 英国IDTA、欧盟新SCC英国附录、2018版欧盟旧SCC三者之间的关系为何?

首先,在厘清英国IDTA和欧盟SCC之间关系前,需要引入一个背景知识,即英国在2020年1月31日正式脱欧以前,对于数据保护合同及制度沿用的是2018版欧盟旧SCC以及欧盟《通用数据保护条例》General Data Protection Regulation(“欧盟GDPR”)。脱欧以后,英国在欧盟SCC基础上,结合英国制度法律推出了本国的IDTA,也就是说,英国IDTA在某种程度上就是英国的SCC。

那么,英国IDTA签署目的及主要内容包括哪些呢?归纳起来,IDTA作为一份英国的特殊模版合同,目的在于为企业,特别是中小型企业在进行个人数据限制性跨境传输时提供协议模版的签订,以保护数据跨境传输的安全性。其主要内容分为四个部分:第一部分罗列了四张表格,主要包含各方的基本信息、数据转移的细节问题,例如适用于各方的法律、需要转移的数据、安全性要求等;第二部分规定了需要增加的额外的保护条款;第三部分允许各方引入商业条款,值得注意的是,各方引入的商业条款不能降低IDTA所提供的整体保护水平,若该商业条款无意中降低IDTA保护水平,则企业跨境数据传输可能会违反英国GDPR);第四部分包括强制性条款,强制性条款对各方均有约束力,目的在于为转移的个人数据提供统一的保护标准条款。

另外,欧盟SCC英国附录的产生是因为英国和欧盟之间的贸易往来比较紧密,且欧盟GDPR影响力大于英国GDPR,在英国脱欧前曾长时间使用欧盟GDPR,脱欧后发展出的英国GDPR对于欧盟GDPR没有做实质性修改,因此英国ICO特别允许来自英国的个人数据出境活动依然可以使用欧盟SCC,但是需要在欧盟SCC后附上UK Addendum to the EU SCCs(欧盟SCC的英国附件)。

3、 受英国管辖的企业进行个人数据跨境传输时,如何选择签署英国IDTA,或签署欧盟新SCC及欧盟SCC英国附录?

在回答这个问题之前,首先需要弄清英国IDTA和欧盟SCC适用范围上的差别,进而判断究竟是签署英国IDTA还是欧盟SCC及欧盟SCC英国附录。

(1)英国IDTA和欧盟SCC中个人数据的流动模式

英国IDTA中数据的流动模式:数据出口者(the exporter)指受英国《一般数据保护条例》(英国GDPR)约束的组织和个人,其将转移的英国个人数据转移至不在英国的独立法律实体,即数据进口者(the importer)。

欧盟SCC中数据的流动模式:数据出口者(the exporter)指受欧盟《一般数据保护条例》(欧盟GDPR)约束的组织和个人,其将转移的英国个人数据转移至不受欧盟GDPR管辖的数据进口者(the importer)。

(2)英国IDTA和欧盟SCC适用区分

a) 英国IDTA注重法律管辖的变化,也注重物理国界的变化

当英国的个人数据被英国GDPR不适用的数据接收者或者位于英国以外的国家的接收者接受或访问转移时,就需要用到限制性转移协议。也就是说,数据出口方即使在英国境外,只要受到英国GDPR的域外管辖,其向任何不位于英国境内或者不适用英国GDPR的数据接收者传输时,就满足签署英国IDTA的条件。

同时,数据接收者无论是否收到英国GDPR的域外管辖,只要数据接收者位于英国境外,就可以通过签署英国IDTA来进行个人数据跨境。例如,假设企业本身是一个数据处理者,其数据处理行为受到GDPR的约束,但是企业的控制者不受到GDPR的约束,这就不是限制性转移协议,不包括IDTA。除非企业将数据打包发送给GDPR不适用的子处理者时,将符合限制性转移协议,由IDTA涵盖。

b) 欧盟SCC更注重法律管辖的变化

相较于英国IDTA关注数据向英国国境之外的数据进口方转移数据,欧盟SCC则更重视数据的接受方是否不受欧盟GDPR管辖。

根据欧盟GDPR第3.1条:数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;第3.2条:1.本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b) 是对数据主体发生在欧盟内的行为进行的控的。3. 本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。可以明确该数据接受方是否属于欧盟GDPR管辖,若符合不受欧盟GDPR管辖的条件,则欧盟SCC将需要被签署。