早在年,欧盟委员会就首次推出了基于《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》的标准合同条款SCCC和SCCP,后在年和年分别推出了两个新版本SCCC和SCCP(后者取代SCCP)。
年生效的《通用数据保护条例》(GDPR)的第五章对于从欧盟向第三国或国际组织传输个人信息进行了规定,确保自然人数据出境后受到的保护水平不会被减损。该章节为此设置了若干适当性保障措施,其中就包括欧盟委员会制定的标准合同条款。
一、欧盟SCC四大模块
欧盟SCC分为两大部分,分为合同正文和合同附录。在合同正文部分又分为一般性条款和应对四种不同的传输场景的四个模块,供数据传输者和数据接收者可以根据实际情况选用。合同的附录分为缔约方的名单、数据转移说明(包括转移的个人数据类型、转移的目的、个人数据将保留的期限等)、确保数据安全的技术和组织措施、次级处理者清单。
欧盟SCC四个模块分别适用于从控制者(Controller)到控制者(Controller),从控制者(Controller)到处理者(Processor),从处理者(Processor)到处理者(Processor),以及从处理者(Processor)到控制者(Controller)这四类场景。
为了方便读者理解,本文将四个场景逐一举例介绍如下:
模块1(C-C):从控制者到控制者(或共同控制者)
场景:一家瑞典旅行社与一家澳大利亚连锁酒店签订了框架合同,为欧洲游客赴澳旅游提供住宿服务。为此,瑞典旅行社(C)需要将欧洲游客数据基于欧盟SCC传输到的澳大利亚连锁预订中心(C)。
模块2(C-P):从控制者到处理者
场景:一家法国公司(C)将其雇员的个人数据提供给智利某大数据公司(P)进行处理分析。
模块3(P-P):从处理者到处理者(即次级处理者)
场景:一家比利时公司(C)委托在荷兰的公司为自己处理数据,荷兰公司(P)希望将一部分处理行为再委托给某印度公司(P)进行处理。
模块4(P-C):从处理者到控制者
场景:一家西班牙服务提供商(P)受巴西总部(C)指示将使用从巴西收到的客户数据及其在西班牙收集的客户数据进行市场研究和开发营销材料,并将两个数据包的汇总传输到巴西。
二、重要条款解读
欧盟SCC在一般性条款中规定了使用目的及范围、效力优先性和不可更改性、第三方受益人的权利、转移说明和对接条款。其中特别明确条款内容除选择适当的模块或增加或更新附录的信息外,均不得修改。但只要不直接或间接与条款相矛盾或者损害数据主体的基本权利或自由,双方可将欧盟SCC纳入更广泛的合同中和/或增加其他条款或额外的保障措施。
不同模块所对应的权利义务差异在几个重要条款中可以窥见一斑:
1.法律适用与管辖法院条款
在法律适用方面,模块1(C-C)、2(C-P)和3(P-P)下必须适用欧盟成员国的法律,而模块4(P-C)允许适用非欧盟国家的法律。其次,所有模块的法律适用前提该法律支持“第三方受益人权利”。最后,在模块2(C-P)和3(P-P)下,原则上应优先选择数据传输方所在国的法律,除非这个国家不允许第三方受益人权利。
在管辖法院方面,模块1(C-C)、2(C-P)和3(P-P)下合同双方应当选择欧盟经济区法院管辖,而数据主体也可以在其经常居住地对合同双方展开诉讼,而模块4(P-C)允许双方选择非欧盟国家法院管辖。
综合来看,在模块4(P-C)的场景下,因为可能出现根本不涉及欧盟数据主体个人数据的情形,并且身处在第三国的控制者的行为受到第三国法律的管辖,在法律适用和管辖法院时给予合同双方更多的自由选择空间。而在模块2(C-P)和3(P-P)情形下,数据传输方所在国法律显然与传输行为关系最密切,应当优先适用。
2.再传输条款与次级处理者的使用
再传输条款(OnwardTransfer)
再传输条款是指数据被传输至欧盟以外的数据接收方之后被再次传输至后续数据接收方(该数据接收方可以与首个接收方同处一个国家或另外一个第三国)(类似中国标准合同第3条第7款项下情形)。欧盟SCC在模块1(C-C)、2(C-P)和3(P-P)中约定了再传输的情形。
为了确保数据主体的权益能在再传输过程中得到同等保护,后续数据接收方需要满足如下条件之一:通过对接条款(DockingClause)加入欧盟SCC,符合GDPR第五章中其他数据出境要求(即在白名单国家、根据GDPR第46或47条采取适当性保障措施),或者符合特定例外情形(例如出于维护数据主体或其他自然人的重要利益的必要等)。
在模块1(C-C)中,因为首个数据接收方为控制者,其可以自主决定处理数据的目的与方式,因此在其他方式都不适用的情形下,其可以通过获得数据主体的明确同意的方式进行再传输。当然,其在征求数据主体同意时需要告知传输的目的,再传输接受方的身份或类别,以及再传输缺乏适当性保障措施时可能对数据主体带来的风险等。
次级处理条款(Sub-processor)
使用次级处理者是指数据被传输至欧盟以外一个身份为处理者的数据接收方(P)之后被再次传输至一个身份为次级处理者的数据接收方(P)(类似中国标准合同第3条第8款项下情形)。欧盟SCC在模块2(C-P)和3(P-P)中约定了使用次级处理者的情形。
同样,为了确保数据主体的权益能在次级处理过程中得到同等保护,欧盟SCC提出如下要求:首个数据接收方应获得数据传输方的书面授权,次级处理者进行处理活动之前必须与首个数据接收方签署书面合同(也可以通过对接条款(DockingClause)加入数据传输方和首个数据接收方之间的欧盟SCC),数据接收方与次级处理者还需要约定以数据传输方为第三方受益人的条款,以确保在数据接收方法律上不存在时,数据传输方有权终止次级处理者的合同并指示后者删除或归还个人数据。
三、两个法律基石
欧盟SCC本质上属于民事合同,而其主要目的是通过约定数据传输方和数据接收方的义务,以保护数据主体的权利。为了实现该目的,其设计了两个法律基石:(1)第三方受益人权利,和(2)连带法律责任。前者为数据主体可以根据标准合同条款向违约方直接主张权利提供了实现的路径,后者为数据主体在主张权利时提供了必要的便利。
1.第三方受益人权利
通常而言合同具有相对性,只有合同的参与者才能根据合同约定享有权利和履行义务。但是第三方受益人权利从一定程度上突破了合同的相对性,而将合同权利扩张到了未实际参与合同的第三方。例如保险公司与被保险人签订的人寿保险合同,受益人为被保险人的妻子,则若被保险人意外身亡,其妻子将有权基于保险合同受偿。这里的妻子即为保险合同的第三方受益人。随着时代和法律的发展,合同第三方受益人权利的适用场景不断扩大。
不同国家的法律对合同第三方受益权的规定略有差别,有的国家并不承认第三方受益权(如德国),有的国家区分为第三方利益而设定债权以及第三方受让债权人的债权(如美国)。但综合欧盟SCC中约定第三方受益人(即数据主体)权利的目的和相关规定,我们可以概括第三方受益人权利具有如下几个特点:(1)应当在合同中明确约定第三方受益人身份和可执行条款(欧盟SCC第3条),(2)第三方可以根据合同约定寻求救济(欧盟SCC第11条),(3)各方应就违反第三方受益权而给数据主体造成的损失向数据主体负责(欧盟SCC第12条)。
2.连带法律责任
为了方便数据主体向违约的传输方或接收方追责,欧盟SCC设计了连带法律责任条款。
首先,数据主体可以向侵害第三方受益权而使其受损的那一方追究责任,无论这一方是传输方还是接收方,在境内还是境外。其次,如果传输方和接收方都违约,则数据主体可以向任何一方追究全部责任,这违约方之间的责任通过内部追偿解决。最后,在模块2(C-P)和模块4(P-P)的情况下,因为位于境外的皆为处理者,考虑到控制者与处理者之间对数据主体履行义务的大小天然存在差异,此时传输方应就自己和接收方对数据主体造成的损失承担先行赔偿责任,然后再向数据接收方追偿。
欧盟SCC一方面通过有过错的两方的责任连带确保数据主体的权利可以得到充分实现,另一方面通过传输方(为控制者C或处理者P时)对接收方(为处理者P或次级处理者Sub-P时)的连带责任确保该权利的实现更加便利。
转载请注明:http://www.0431gb208.com/sjsbszl/1347.html
