跳转到主要内容

文章分类

自《个人信息保护法》(“PIPL”)于2021 11月1日生效以来,PIPL第38条提及的跨境数据传输标准合同条款(“SCC”)一直悬而未决。这使公司处于一个非常棘手的境地,在没有SCC的情况下,他们有法定义务遵守SCC。幸运的是,这种情况很快就会改变。2022年6月30日,中国网络空间管理局(“CAC”)向公众提交了PIPL1下SCC规定格式的草案。公众评论的截止日期为2022年7月29日,这意味着SCC很可能很快正式推出。Taylor Wessing LLP的Michael Tan博士、Julian Sun和Kyle Tong讨论了SCC草案及其重要性。

使用范围

SCC附带了一套关于如何使用SCC的规则,即个人信息出口标准合同条款草案(“条款草案”)。条款草案明确提到了《个人信息保护法》第38条,这意味着SCC只能用于此类法律下的个人信息保护。根据《规定草案》第4条,如果满足以下前提条件,SCC可作为国内公司在中国境外传输个人信息的法律依据:

  • 该组织不是所谓的关键信息基础设施运营商;
  • 该组织处理不到一百万个数据主体的个人信息;
  • 从上一年1月1日起,该组织每年向海外转移的个人信息涉及的数据主体不到10万;和
  • 从上一年1月1日起,该组织转移到海外的敏感应计项目每年涉及的数据主体不到10000个。

应注意的是,在中国数据保护法律框架下,还有一个单独的重要概念“重要数据”,该概念的出口也受到监管,但实施情况尚不清楚。SCC草案是否可以进一步扩展,以涵盖实践中的重要数据仍有待观察。

还值得注意的是,条款草案的措辞似乎表明,任何不满足上述先决条件的个人信息出口将不允许使用SCC作为法律依据。如果这样解释,这意味着CAC偏离了《PIPL》第38条,该条没有对SCC的合法通过施加类似的先决条件。

PIIAs

条款草案重复了《个人信息影响评估法》第55条规定的个人信息在中国境外传输之前进行影响评估的法定要求。在使用SCC的情况下,条款草案进一步证实了PIIA的重点,其中应包括:

  • 个人信息输出方和国外个人信息接收方处理个人信息的合法性、正当性和必要性(如目的、范围和方法);
  • 要出口的个人信息的数量、范围、类别和敏感性,以及各自的风险;
  • 外国接收人承诺的责任和义务,以及他们履行承诺和确保个人信息安全的管理/技术能力;
  • 个人信息泄露、破坏、更改和滥用的风险(如果出口),以及数据主体的补救措施的可用性;
  • 外国接收方管辖区内数据保护法律和政策对SCC绩效的影响;和
  • 其他危及PI安全的因素。

根据SCCs,PIIA报告应至少保存三年。

与PIPL下已经确立的要求相比,条款草案提出了一项新的程序要求,即SCC应在生效后十个工作日内向CAC的地方省级对口部门提交,在此期间还应提交各自的PIIA报告。此类备案不是出口个人信息的法定先决条件,出口个人信息可能在签订的SCC生效后进行。

在下列情况下,应重新签订并提交新的SCC:

  • 个人信息输出的目的、范围、类别、敏感度、数量、方法、保留期或存储位置(包括外国接收人的处理目的或方法)发生变化,或个人信息在中国境外存储的期限延长;
  • 外国接收者管辖区内的数据保护法律和政策发生变化,这“可能”对数据主体的权利和利益产生影响;或
  • 发生“其他情况”的地方。

GDPR SCC与中国SCC

SCC的概念首先是在《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)下引入的,以监管来自欧盟的个人数据出口,目前已被中国监管机构采纳。将出现一个关键问题,即两个地区的SCC将如何合作?这不是一个纯粹的假设问题,而是一个相当实际的问题,因为欧盟和中国之间的数据交换非常频繁,尤其是总部设在欧洲并在中国运营的国际公司。

在这方面,条款草案第2条规定,国内个人信息处理人与外国接收人之间签订的任何其他合同不得与SCC相冲突。条款草案概述了SCC的一般结构,在很大程度上反映了PIIA的重点,即:

双方的详细情况;

  • 个人信息导出的目的、范围、类别、敏感性、数量、方法、保留期和存储位置;
  • 个人信息处理人和外国接收人的责任和义务,以及为防止各自的安全风险而采取的技术和管理措施;
  • 外国接收者所在地的个人信息保护法律和政策对中国SCC绩效的影响;
  • 数据主体的权益,包括保护此类权益的方式和方法;和
  • 法律救济、终止、违约责任、争议解决等。

对中国SCC的分析给人的印象是,SCC旨在规范个人信息出口,保护中国数据主体的利益。SCC不涉及从其他司法管辖区(如欧盟)输入个人信息。虽然中国的SCC以不同于GDPR SCC的方向管理数据流,但从技术上讲,两套不同的SCC可能共存,即使它们是同一方之间签订的两份不同的合同。

然而,实际情况可能要复杂得多,问题仍然可能出现,因为通过采用简单的进出口方法来明确划分双方之间的数据交换,如果不是不可能的话,也可能非常困难。与为不同数据传输场景提供不同版本条款的GDPR SCC不同,中国SCC采用一种“一刀切”的方法。这与以下事实密切相关,即PIPL并没有像GDPR那样就数据控制器和数据处理器的不同责任划出明确的界限。数据控制器和数据处理器都可能被PIPL下的个人信息处理器的广义概念所捕获,并承担责任。条款草案第2条似乎也限制了GDPR明确允许的“特别条款”的可能性。

缺乏灵活性也可以从中国SCC只接受中国法律的治理这一事实中看出。这种安排超出了中国民法的范围,在中国民法中,只有三种类型的合资企业相关合同被强制要求遵守中国法律。尽管中国SCCs下的争议解决条款显示了一定的灵活性,允许双方除了明确指定的三个中国仲裁机构之外,还选择一个属于1958年《承认及执行外国仲裁裁决公约》的仲裁机构,中国法律必须作为管辖法律适用,这一事实将使外国仲裁在实践中难以解决。

尽管存在所有这些限制和挑战,并考虑到数据出口管制日益严格的趋势,SCC草案很可能在没有实质性变化的情况下正式发布。建议公司开始准备实施中国SCC,包括在必要时与现有GDPR SCC保持一致。

本文:

文章链接

标签