欧盟新版数据跨境标准合同条款出台的原因、内容及影响

发布时间:2021年09月28日 浏览量:9922

罗琳娜

auto_1834.png

(图片来源:中国贸易新闻网)

 

202164日,欧盟委员会颁布了两套新版数据跨境传输标准合同条款(Standard Contractual Clause,以下简称SCC”),其中一套适用于数据控制者和处理者之间,另一套适用于向第三国传输个人数据。这两套SCC将于2021627日开始生效。SCC的修订体现了不同阶段欧盟对于数据保护的要求。受新版《通用数据保护条例》(General Data Protection Regulation以下简称GDPR”)及欧法院Schrems II判决的影响,两套新版SCC细化了数据安全保护措施,进一步提升了欧盟的数据保护水平。这不仅会影响欧盟一段时间以内的国际贸易合作,还会增加国际社会在数据跨境流动中的合规成本。

 

一、新版SCC出台的原因

所谓SCC,是数据接收方和数据处理方在进行数据跨境传输前需要签进合同里面的规范合同双方权利义务的标准条款。对于这些条款,进行数据传输的双方只能选择适用或不适用,而不能选择部分适用、变更、分解或另行组合SCC创立的主要目的是保护非合同双方的数据主体的权利选择适用SCC的合同双方必须遵守规范,才能够获得欧盟的认可。早在2001年,欧盟就已经开始以使用SCC作为同意数据跨境传输重要条件之一,SCC的使用已经成为预测数据跨境传输是否可以进行的重要依据。2021年,欧盟放弃了长期实行的三套SCC,转而修订形成了新版SCC,其主要原因在于:

一方面,GDPR的部分内容无法与旧版SCC相衔接。旧版SCC都是在1995年出台《数据保护指令》(以下简称95指令”)之后制定的,其内容主要以95指令为蓝本,具体表述中也包含95/46/EC指令”的字样。GDPR生效以后,是否可以将旧版SCC中“95/46/EC指令”的字样直接替换为GDPR或通过法律解释使得95指令被GDPR替代后仍可以使用旧版SCC值得商榷。因为GDPR95指令的部分内容冲突或者其内容是95指令并没有的。比如,GDPR规定了95指令更为严格的数据主体同意进行数据跨境传输的条件数据主体必须做出声明,或者做出清晰的肯定性动作,才能被认为其已经同意进行数据跨境传输;数据主体未对是否同意进数据跨境传输进行表态的状态,如沉默,则不足以认定数据主体表达了同意。GDPR还明确了何种情况下,同意不是由数据主体自由地做出的。数据控制方还应当告知数据主体撤回同意的权利。这些都是95指令以及旧版SCC并不涉及的内容。由此可见,旧版SCC很难在GDPR全面施行以后继续沿用,欧盟需要更新SCC以使其与GDPR保持一致。

另一方面,欧盟法院做出的Schrems II案件的判决结果提出了数据跨境传输安全保护的新要求。与Schrems I案中讨论美欧安全港框架是否充分保证美欧数据跨境传输的安全性不同,Schrems II中主要关注SCC、欧美隐私盾协议以及其他数据跨境传输依据是否能提供有效保障。在Schrems II案件中,欧盟法院认为,美国企业即使加入隐私盾协议,其接收的欧盟用户的个人数据依然可能会被美国政府机构监控同时美国并未向欧盟数据主体提供可以实际行使的数据权利和相应的司法救济手段,违反了《欧盟基本权利宪章》,使欧盟居民无法在美国获得与欧盟境内同等的充分保护。基于此,欧盟法院宣布了欧盟与美国之间的隐私盾协议框架即刻无效。与此同时,欧盟法院虽并未否定SCC作为数据跨境传输合法依据的可行性但也提出公司应当基于个案对数据跨境传输活动进行审核,确保数据接收方所在国家/地区的法律能够为欧盟个人数据提供充分的保护不会在实质上违反SCC中的约定。因此,Schrems II提出的新要求也进一步推动了新版SCC的出台。

 

二、新版SCC的重要内容

新版SCCGDPRSchrems II判决的影响较多,其中体现了欧盟对于数据跨境传输一贯所持的以数据安全保护为前提进行开放的态度。因此,新版SCC的内容主要包括以下两个方面:

一是增加应用场景,衔接GDPR内容。新版SCC确认了数据跨境传输的四种模式,即数据控制者至数据控制者(以下简称C-C数据控制者至数据处理者以下简称C-P”)数据处理者至数据控制者(以下简称P-C”)数据处理者至数据处理者(以下简称P-P并对四种模式下数据保护的传输目的、透明度、处理的安全性以及后续传输等方面的要求进行了细化。新版SCC中的C-C模式列出数据接受方必须履行的义务这些义务与GDPR规定下数据控制者的义务大体一致。不同于旧版SCC两种传输模式C-C以及C-P,新版SCC增加的两种传输模式不仅可以适应新时期背景下数据流动的多样性,也更加符合GDPR相较于95指令更为广泛的管辖范围,即涉及到欧盟境内数据主体数据处理活动均在GDPR的管辖范围之内。因此,位于欧洲外的数据控制者或数据处理者可能受到GDPR管辖,他们需要新版SCC条款下作为数据提供方开展数据活动。

二是落实数据跨境传输的安全性,反映Schrems II判决精神。欧盟法院Schrems II一案中反复强调向欧盟外流动的数据接收方必须采取各种合理的方式保护可能涉及欧盟利益的数据,新版SCC则对欧盟法院反复强调的这一内容进行了较为全面的细化:首先,数据接收方必须保证对数据提供方国家法律以及实践是否阻止双方履行义务进行评估,并对评估进行记录。如果数据接方认为其受到可能改变上述评估结果法律管辖,数据接受方必须立刻告知数据提供方。其次,数据接收方收到政府的数据访问请求并且以“有合理基础认为该请求不合法”为由对该请求提出质疑时,数据接受方必须立刻告知数据提供方。最后,新版SCC还要求数据接受方在任何模式下都必须向数据主体提供可行的救济方式。这些规定无疑在原有基础上加重了数据接收方的义务,显示出欧盟在面对数据向欧盟外流动这一问题上依然保持着较为谨慎的态度。

 

三、新版SCC出台的影响

目前国际上并无统一的数据跨境流动规则,而欧盟相对保守式的数据跨境流动规则体系和美国较为开放的数据跨境流动规则体系影响着大多数国家的数据跨境流动。加之经济全球化的影响,其他国家在与欧盟国家进行数字贸易时必然会受到欧盟数据跨境流动规则的管辖。因此,作为GDPR的配套措施,新版SCC的出台也必然会对欧盟自身和国际社会产生深远的影响。

就对欧盟的影响而言,新版SCC完善了欧盟数据安全保护措施,但也会影响欧盟一段时间以内的国际贸易合作。新版SCC在与GDPR相衔接的基础上,进一步细化了GDPR中的数据准确性原则,加强了GDPR的实际可操作性,提升了欧盟的数据保护水平。然而,欧盟的数据保护水平目前已经超过了大部分国家和地区的数据保护水平,这就导致欧盟数据向外流动时会产生重重阻碍,增加数据接收方获取数据的难度。此外,新版SCC还纳入了“问责制”要求据控制者和处理者必须同意证明其对新SCC条款的遵守。虽然新版SCC尚未规定“问责制”具体如何进行,但这也足以体现欧盟数据跨境流动规则愈严的趋势。一旦合规成本超过了企业预估所能承担的成本,企业可能减少与欧盟之间的贸易,转而选择与数据合规成本较小的国家的企业进行贸易。因此,欧盟涉及数据跨境传输的国际贸易合作在一段时间内可能会逐渐减少。

就对国际社会的影响而言,新版SCC在提升交易国数据保护水平的同时,也增加了数据跨境流动的成本。新版SCC要求数据接收方能够对政府数据访问请求做出合理判断,合理判断的前提是数据接收方所在国家存在相关的法律依据以及符合一定的程序。这将倒逼数据接收方所在国家完善数据跨境传输立法、减少灰色地带、提升本国的数据安全保护水平。但就现阶段而言,国际上存在着欧盟和美国的两大数据跨境流动体系,两大体系之间在数据开放程度上的选择并不一致。数据开放程度越高,数据安全面临的风险越高,二者很难进行平衡。新版SCC在细化双方的数据传输义务的过程中,减少了开放与风险保障之间的模糊地带,加剧了二者之间的对立。这就意味着倾向于数据开放的国家在与倾向于数据安全的国家进行数字化贸易时,必须有一方以部分安全或者开放为代价换取数据跨境传输的可能。因此,数据保护水平不一致的两个国家如果使用新版SCC进行数据跨境传输,至少有一方的合规成本会增加。

 

作者是武汉大学中国边界与海洋研究院2019级硕士生)

(责任编辑:苗丹丹,关蕴珈)

 

参考文献:

[1]黄志雄,韦欣妤.美欧跨境数据流动规则博弈及中国因应——以《隐私盾协议》无效判决为视角[J].同济大学学报(哲学社会科学版),2021(38):38-39.

[2]许可,罗嫣,于智精.新版欧盟数据跨境标准合同:变化与影响[EB/OL].https://mp.weixin.qq.com/s/P4i-At571LQ2xoMehcVv0g,2021-06-08.

[3]鸿鹄律师事务所.深度解读:欧盟委员会发布最新数据跨境传输标准合同条款(SCC)(上篇)[EB/OL].https://mp.weixin.qq.com/s/wK2EIS5IkEUNW cqxp84Kmw,2021-06-11.

[4]管嘉.数据跨境流动法律规制之比较——以欧盟、美国、中国为考察对象[D].山东大学,2020:46-48.



Reasons, Content and Influences of the New EU Standard Contractual Clauses

LUO Linna 

On 4 June 2021, the European Commission published two new sets of standard contractual clauses for cross-border transfers of data, one for the transfer of data between controllers and processors, and the other for the transfer of personal data to third countries. They will come into force on 27th Jun. 2021. The revision of SCC reflects the requirements of EU for data protection in different stages. The two new SCCs, influenced by the new General Data Protection Regulation (GDPR) and the European Court of Justice's Schrems II judgment, further enhance the level of Data Protection in the EU by refining data security protection measures. This will not only affect the EU's international trade cooperation for a period of time, but also increase the compliance costs for the international community in the cross-border flow of data.


地址:湖北武汉市武汉大学珞珈山武汉大学国际问题研究院  E-Mail: whuiis@whu.edu.cn

联系电话:027-68756726  传真:027-68755912

Copyright 2016-2019 ALL Rights Reserved     ©版权所有 :本网站所刊登文章版权均归属武汉大学国际问题研究院    未经协议授权禁止下载使用