在跨境數據流動監管標準方面,主要有「以地理區域為基準」(geographically based)和「以組織機構為基準」(organizationally based)的規制路徑:前者依「充分性(adequate)」原則,後者依「問責制(accountability)」原則。<i>前者的典型代表是歐盟的「充分性決定」制度;後者的典型代表是GDPR的適當保護措施(appropriate safeguard)、行業準則(codes of conduct)與認證制度(certification mechanisms)以及APEC的跨境數據隱私規則系統(APEC Cross BorderPrivacy Rules System)。
「充分性決定」是歐盟對個人數據出境活動的一種事前安全評估方式。GDPR第45條規定,當歐盟委員會決定第三國、第三國境內的地區一個或多個特定行業或者國際組織能確保充分的保護水平時,個人數據可向該第三國或國際組織傳輸,該傳輸活動無需取得特別授權。近日被歐盟法院認定為無效的「隱私盾」(Privacy Shield)即是「充分性決定」制度的一種具體體現。同時在該案中,歐盟法院認為將個人數據轉移至境外數據控制者和/或處理者的標準合同文本制度(Standard Contractual Clause)仍然有效。[ii]在「隱私盾」被認定為無效後,籤署標準合同文本或成為歐美間進行跨境數據流動的重要途徑。此處的「標準合同文本」即是GDPR的適當保護措施之一。
1.標準合同文本的內涵
1995年指令第26(4)條寫明,歐盟委員會可「根據第31(2)條規定的程序」決定「某些標準合同文本是否滿足了第2段要求的充分保護……」在歐盟的實踐中,根據第26(2)條和第26(4)條的授權,使用兩種合同文本是允許的:
(1)標準合同,一組由歐盟委員會批准的標準化合同文本,可作為從成員國向外進行數據轉移的基礎;[iii]
(2)特別合同,通常必須通知數據輸出國的數據保護機構或有數據輸出國保護機構的特別批准。[iv]
GDPR第46(2)條規定,第46(1)條所規定的適當保障,可通過以下幾種方式提供,無須監管機構的特別授權:……(c)由歐盟委員會根據本條例第93條第2款所述的檢查程序通過的標準數據保護條款(standard data protection clauses);(d)根據本條例第93條第2款所述的檢查程序由監管機構通過由歐盟委員會批准的標準數據保護條款;……
簡而言之,位於歐盟境內的數據控制者可與歐盟境外的數據接收者基於標準合同文本籤訂合同,使跨境數據流動符合GDPR所規定的充分性保護要求,從而在無需監管機構特別授權的情況下進行個人數據的自由流動。數據控制者必須完全與不加修改地使用標準合同文本,但使用標準合同文本並不禁止數據控制者或處理者將其納入更廣泛的合同或根據實際需要對合同文本增加其他條款或附加保障措施,但增加的內容不得直接或間接與標準合同條款相牴觸。
2.標準合同文本的歷史演變
標準合同文本始於1992年11月2日,當時,歐盟理事會、歐盟委員會和國際商會共同批准了跨境數據傳輸的一組示範合同文本。但這一合同主要目的是對確保數據保護充分性必須滿足的條件進行指導,而不是滿足數據傳輸的法律要求。因此,該合同文本沒有得到歐盟委員會的正式批准,不是把個人數據轉移到歐盟境外的示範文本。[v]
2001年6月15日,歐盟委員會批准了一套適用於「數據控制者到數據控制者」的標準合同文本(decision 2001/497/EC)(以下簡稱「2001年文本」)。[vi]商界對該合同文本有所不滿,認為其不能滿足商業使用的需要。
2001年文本對數據傳輸者和數據接收者提出了連帶責任要求,實際上賦予了數據主體作為受益第三方非常廣泛而模糊的權利,據此數據主體可起訴合同雙方或任何一方。只有當合同雙方都證明其與所引起的損害無關時(如合同雙方都證明損害是由於數據主體原因或其他第三方原因引起的),才能進行責任豁免。
國際商會(ICC)認為這對數據控制者施加了過重的義務,[vii]於是一直致力於提出自己的標準合同文本,該文本於2004年12月27日獲得歐盟委員會批准,在2005年4月1日正式生效。該標準合同文本(decision 2004/915/EC)(以下簡稱「2004年文本」)亦適用於數據控制者與數據控制者之間的個人數據流動。[viii]2004年文本與2001年文本中存在很多差異,包括責任規則、數據主體的訪問權、第三方受益人權利以及投訴的處理等等。比如,2004年文本刪除了共同和連帶責任條款,換之以對進出口商的預期要求,使得每一方只承擔因自身原因造成的損害責任。因此,2004年文本被認為比2001年文本更具商業友好性。但2001年文本仍有效,數據控制者可根據實際情況自由選擇。
2001年12月27日,歐盟委員會批准了一套適用於「數據控制者到數據處理者」的標準合同文本(decision 2002/16/EU)。2010年2月5日,歐盟修改了前述標準合同文本,允許位於歐洲經濟區以外的數據處理者在滿足以下條件時將個人數據轉移給歐洲經濟區以外的次數據處理者(sub-processor):如果(1)原數據處理者(originaldata processor)書面同意轉移;以及(2)每個新加入合同的次數據處理者均與原數據接收者(dataimporter)承擔相同的數據保護義務。但該修訂標準合同文本並未允許位於歐盟境內的數據處理者通過標準合同文本將數據轉移給位於歐盟境外的數據處理者。2010年5月15日,該修訂標準合同文本(decision 2010/87/EU)代替原有標準合同文本適用於數據控制者與數據處理者間的跨境個人數據流動。[ix]
歐盟委員會可根據法定程序通過新的標準合同條款。比如2014年3月,原第29條工作組提出了關於臨時合同條款草案的工作文件。該文件針對歐盟境內的數據處理者向歐盟境外的數據處理者傳輸個人數據的標準合同文本的制定。但歐盟委員會沒有採取該種方式,GDPR亦沒有將其納入可構成適當保障措施的範圍之內,因此目前適用於數據處理者向數據處理者跨境傳輸個人數據的標準合同文本尚未出臺。
同時,GDPR允許成員國監管機構根據GDPR第93(2)條所述的檢查程序增加其他標準合同條款(須經歐盟委員會同意),以為數據傳輸者與數據接收者提供更多符合實際需求的個人數據出境標準合同文本選擇。
3.對標準合同文本的評價
使用標準合同文本作為歐盟個人數據跨境傳輸的合法基礎的主要優點在於,這些標準合同文本可在任何歐盟成員國內使用而無需向成員國內數據保護機構一一證明這些合同文本可提供充分保護水平,這可節約大量成本。同時,標準合同文本由歐盟委員會或國際商會基於歐盟數據保護規則制定,採用該標準合同文本為基礎可保證個人數據的保護水平不會在談判中發生偏離。
但仍需看到標準合同文本制度所存在的缺陷。首先,該制度缺乏靈活性,難以滿足不同數據控制者或數據處理者的特殊需求。其次,數據傳輸者與數據接收者籤訂合同並不等於當事人可毫無障礙地進行個人數據的跨境傳輸。歐盟法院於2020年7月16日指出,雖然「標準合同文本」制度仍有效,但數據傳輸者必須確保數據接收者所在國(地區)的法律未與GDPR相關規定產生衝突,且必須採取補充措施以保證個人數據在傳輸後仍能得到充分保護。若無法達到前述要求,則應暫停或終止數據傳輸。
此外,歐盟成員國有權要求使用標準合同文本的當事各方通知相關國家的數據保護機構,提交標準合同的文本副件,並檢查標準合同是否得到完全應用。比如法國即要求數據控制者在進行個人數據出境前將標準合同文本向數據保護機關備案。[x]
4.標準合同文本與我國安全評估制度
有觀點認為我國於2019年7月13日發布的《個人信息出境安全評估辦法(徵求意見稿)》(以下簡稱「《徵求意見稿》」)通過審查合同來實現出境活動中個人信息保護的做法借鑑了歐盟的標準合同文本制度。[xi]在《徵求意見稿》中,與合同直接有關的共有7條,佔了全稿近三分之一的內容。其第十三條至第十六條從合同的基本條款、網絡運營者的義務條款、接收者的義務條款以及接收者的再次傳輸條件四個方面詳細列明了合同的必備內容。該稿既要求對合同內容進行實質性審查以評估合同條款是否能為個人信息主體合法權益提供充分保護,亦要求從合同執行角度評估合同能否有效落實。但不同的是,《徵求意見稿》所構建的安全評估制度為「一事一議」模式,即對每一次個人信息出境活動所涉及的合同文本進行個案評估。
將《徵求意見稿》與歐盟的2001年文本對比,可發現《徵求意見稿》所規定的合同必備內容與2001年文本有很多相似之處。我國可在已有基礎上發展具有中國特色的「標準合同文本」制度:有權部門制定並發布標準合同文本,地方各級網信部門和行業主管部門可提交標準合同文本提案,經有權部門評估通過後予以發布。當網絡運營者對外傳輸個人信息選擇適用標準合同文本時,可免除另行進行安全評估的程序,但需向有權部門備案,提交包括標準合同文本在內與個人信息出境活動相關的所有合同及個人信息出境安全風險及安全保障措施分析報告。同時,網絡運營者需確保境外接收者所在國(地區)的法律不會影響境外接收者對其合同義務的履行,且必須採取必要措施保證個人數據出境後的保護水平不會發生減損。
當然,標準合同文本可只是網絡運營者個人信息出境活動一系列合同中的一部分,網絡運營者可根據自身需求與境外接收者就權利義務關係籤訂更具體的合同,但注意不得修改標準合同文本的條款,增加條款亦不得與標準合同文本衝突。
結語
在歐美「隱私盾」被歐盟法院認定為無效後,籤署標準合同文本或成為歐美間進行跨境數據流動的重要途徑。然而,歐盟法院也對標準合同文本的籤署和履行提出了要求,歐美間必要的跨境數據流動活動能否保持正常仍有待觀察。這一事件也反映出歐美在個人數據保護觀念不同的背景下,對政治、外交、國力的多方博弈。中國也可從中得到借鑑,完善自身的跨境數據流動規則架構。
<i>韓靜雅:《跨境數據流動國際規制的焦點問題分析》,載《河北法學》2016年第10期。
[ii]吳沈括:《重磅|歐盟法院判定歐美隱私盾協議無效認可標準合同條款效力(附60頁判決書)》.(2020-07-16)[2020-07-23].https://mp.weixin.qq.com/s/2D763nF-NPCc-fVtipZO_w.
[iii]1995年指令第26(4)條:「根據第31(2)規定的程序,委員會決定那些符合第2段要求的充分保護標準的合同文本,成員國應採取必要的措施遵守委員會的決定」。
[iv]1995年指令第26(2)條:「與第1段不矛盾,成員國政府可授權向第三國進行一次或一批個人數據轉移,儘管該國不符合第25(2)條規定的充分保護標準,該國的數據控制者提出充分保護的辦法,保護隱私和基本人權及個人自由,以及這些權利的實施;這些實施可來自於某個專門的合同條款」。
[v][德]克里斯多福·庫勒:《歐洲數據保護法》,曠野,楊會永譯,法律出版社2008年版,第203頁。
[vi]decision 2001/497/EC,https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497.
[vii]前注Ⅴ,第204頁。
[viii]decision 2004/915/EC,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32004D0915.
[ix]decision 2010/87/EU,https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087.
[x]前注Ⅴ,第517頁。
[xi]許可:《個人信息出境安全評估辦法》的憂慮:真與偽.(2019-07-15)[2020-07-23].https://mp.weixin.qq.com/s/ct8tQUA32pMBLhFpgtTjaA.
本文為作者授權發布,不代表行動支付網立場,轉載請註明作者及來源,未按照規範轉載者,行動支付網保留追究相應責任的權利。