导图社区 中国版标准合同(SCC)如何落地?
- 35
- 2
- 举报
中国版标准合同(SCC)如何落地?
中国版标准合同(SCC)如何落地?,可以从这些方向入手: ⼀、中国标准合同(SCC)概述 ⼆、中国版SCC的结构与特点 三、中国版SCC签署的难点问题 四、中国版SCC的签署流程
编辑于2023-03-21 09:00:14 重庆- PIA
- 数据法
- 个⼈信息出境
- 个人信息保护法
- 跨境电商的境外商家
- 相似推荐
- 大纲
中国版标准合同( SCC)如何落地?
⼀、中国标准合同(SCC)概述
(⼀)是否要签署?
--- 路径选择
境内个⼈信息处理者
进⾏必要性、合法性、正当性评估
⽤于评估的问题
向境外提供重要数据?
是关键信息基础设施运营者(CIIO)?
处理100万⼈以上个⼈信息?
⾃上年1⽉1⽇起累计向境外提供10万⼈个⼈信息?
⾃上年1⽉1⽇起累计向境外提供1万⼈敏感个⼈信息?
有其他需要申报数据出境安全评估的情形?
《办法》规定,个⼈信息处理者不得采 取数量拆分等⼿段,将依法应当通过出 境安全评估的个⼈信息通过订⽴标准合 同的⽅式向境外提供
评估结果
是
申报数据出境安全评估
否
⼀般情况
签署《个⼈信息出境标准合同》
特殊情形
是跨国公司或者同⼀经济、 事业实体 下属⼦公司或关联公司之间?
是境外个⼈信息处理者在境内设置的 专⻔机构或指定代表?
是
进⾏“个⼈信息跨境处 理活动安全认证”
(⼆)是否要签署?---中国版SCC的典型适⽤场景
可适⽤的场景
跨国集团出于⼈⼒资源管理、业务统筹等需求, 使⽤统⼀的系统架构、信息管理制度,将境内的 个⼈信息传输或存储⾄境外,或给予境外集团内 部主体访问境内存储的员⼯信息、客户信息等数 据的权限
中国境内企业根据业务需要,将少量个⼈信息传 输⾄境外,由境外供应商进⾏存储、分析等处理
中国境内企业根据个⼈信息主体请求或⾃身业务 情况,需要进⾏⼀次性的、⼩规模的个⼈信息出 境活动
不明确的场景
拥有⼤量个⼈⽤户的⼤型企业,需要将个⼈信息 传输⾄境外,或为境外提供访问接⼝
中国境内酒店出于客户订单的管理需要,将个⼈ 信息出境⾄境外的其他多家酒店
汽⻋企业根据业务需要,需分析⼤量⽤户个⼈信 息,将个⼈信息提供给境外的供应商或集团相关 公司访问
(三)是否要签署?---准确理解“数量拆分”
合规性存疑的“区分”
若存在完全独⽴的业务线,且所涉及系统不存在 对接、交叉,可考虑隔离独⽴业务线(如纯海外 业务和境内业务)
若⼦公司在业务经营过程中,较为独⽴,可区分 不同的个⼈信息处理者,确定相应的出境路径
违规拆分情形
将拟出境的个⼈信息数量进⾏拆分,安排不同主 体分批次传输出境,分散个⼈信息处理者的规模 和数据出境的数量
(四)对《标准合同》⾃主缔约与备案相结合的理解
个⼈信息出境
⾃主缔约
标准合同正⽂部分不可修改但可约定⽣效 机制
合同附录⼀ 要求如实说明个⼈信息出境 相关情况(包括⽬的、⽅式、规模、种类等)
合同附录⼆ 双⽅约定的其他条款
数据法律⾏为
备案管理
备案的法律意义
1.好⼈举⼿
2.不影响合同效⼒
3.不备案,可以责令停⽌传输个⼈信息
4.监管记录留痕
合同效⼒问题
备案不影响合同效⼒
违反部⻔规章具有导致合同⽆效的可能性
说明:若规章的相关条款构成公序良俗,那么⼈ ⺠法院可以适⽤《⺠法典》第153条第2款的规定 认定合同⽆效。
(五)对整改期的理解
时间线
《个保法》⽣效2021.11.1
《办法》⽣效2023.6.1
过渡期结束2023.12.1
6个⽉整改期的理解
四个场景
场景1:6⽉1⽇前已经完成传输的个⼈信息出境 活动,且接收⽅已经删除或进⾏了匿名化处理的
场景2:6⽉1⽇前已经完成传输的个⼈信息出境 活动……
场景3:6⽉1⽇前已经开展的个⼈信息出境活 动,6⽉1⽇之后停⽌的
场景4:6⽉1⽇前已开始、6⽉1⽇后仍在进⾏中 的个⼈信息出境活动
提示:若企业在未来仍会有个⼈信息出境的需 求,建议最好在6个⽉整改期内完成标准合同的签 署与备案。
整改期结束后,对于分别、先后、多次触发不同 ⻔槛,如何选择合适的数据出境合规路径
四个场景
场景1:未向境外提供个⼈信息……
……开始向境外提供个⼈信息
场景2:不属于CIIO……
……被认定为CIIO
场景3:处理不⾜100万⼈以上个⼈信息……
……处理达到100万⼈以上个⼈信息
场景4:⾃2022年1⽉1⽇起,向境外提供不⾜10 万⼈个⼈信息、不⾜1万⼈敏感个⼈信息……
……向境外提供的个⼈信息达到10 万⼈,或敏感个⼈信息达到1万⼈
⼆、中国版SCC的结构与特点
(⼀)中国版SCC条款结构
1.基本信息⻚
个⼈信息处理者
境外接收⽅
2.附录⼀
个⼈信息出境说明
处理⽬的
处理⽅式
出境个⼈信息的规模
出境个⼈信息种类
出境敏感个⼈信息种类
境外接收⽅只向以下中华⼈⺠共和国境外第三⽅ 提供个⼈信息
传输⽅式
出境后保存期限
出境后保存地点
其他事项
3.附录⼆
双⽅约定的其他条款(如需要)
⾃由约定部分(待补充可约定的内容)
4.条款
第⼀条:定义
第⼆条:个⼈信息处理者的义务
第三条:境外接收⽅的义务
第四条:境外接收⽅所在国家或者地区个⼈信息 保护政策和法规对合同履⾏的影响
第五条:个⼈信息主体的权利
第六条:救济
第七条:合同解除
第⼋条:违约责任
第九条:其他
不可修订部分
(⼆)中国版SCC条款结构
合同正⽂需填写的重点内容
全⽂共有10处以上待填写的内...
列举其中三处
个⼈信息处理者需确保境外接收⽅采取的技术和 管理措施
境外接收⽅响应个⼈信息处理的联系⼈信息
争议解决的⽅式选择(含仲裁机构的选择及约 定)
(三) 中国版SCC条款结构
附录⼀、附录⼆
附录⼀:个⼈信息出境说明
参考英国标准合同、欧盟SCC,可考虑在附录 ⼆中补充商务条款
若境外接收⽅为受托⼈,可以补充约定相应条 款,需保证不与正⽂条款冲突
境外接收⽅对采取技术及管理措施的安全性说 明、安全事件的处置及责任承担的承诺
要求境外接收⽅提供证明其安全保障能⼒的证 明材料等
附录⼆:⾃由约定内容
(四)SCC的四⼤特点
简化但不简单
充分确保管辖可追踪
合同义务成为监管抓⼿
要求事后备案
(五)我国数据法规则体系对《标准合同》的履 ⾏提出系统性要求
法律
《⽹络安全法》
《数据安全法》
《个⼈信息保护法》
法规/规章
《个⼈信息保护法》
《数据出境安全评估办法》
国家/⾏业标准
《信息安全技术个⼈信息安全规范》
《信息安全技术个⼈信息安全影响评估指南》
《信息安全技术数据出境安全评估指南(征求意⻅稿)》
《信息安全技术健康医疗数据安全指南》
《信息安全技术重要数据识别指南(征求意⻅稿)》
·······
(六)标准合同与⼀般格式合同并不相同
标准合同与格式合同的区别
1.制定主体
标准合同:官⽅制订
格式合同:⼀般是企业制订
2.约束的对象
标准合同
个⼈信息处理者(可以是个⼈)
境外接收⽅(可以是个⼈)
格式合同:企业和消费者(⼀般是个⼈)
3.制定⽬的
标准合同
规范个⼈信息出境活动
保护个⼈信息权益
促进个⼈信息跨境安全
⾃由流动
格式合同
重复利⽤
⾼效
4.法律效果
标准合同:⼀般是合法有效
格式合同
对消费者有利解释
⾃始不⽣效(对⽅可以主张该条款不成为合同的 内容)
格式条款部分⽆效
(七)中国版SCC中有欧盟SCCs的影⼦,但是也有⾃⼰独有的条款
差异点
1.⽣效时间及过渡期
中国
2023年6⽉1⽇⽣效施⾏,过渡期为⾃施⾏之⽇起 6个⽉,即企业应于2023年12⽉1⽇前完成整改
欧盟
2021年6⽉27⽇⽣效,只要传输⽅确保作为合同 标的 的数据处理操作不变,并且确保协议中所传 输的个⼈数据受到适当的保护,便可以于2022年 12⽉27⽇前继续使⽤2021年9⽉27⽇前签署的旧 版SCC。2022年12⽉27⽇后应使⽤新的SCC
2.适⽤条件
中国
不属于需要进⾏“安全评估”的处理者(即,⾮ CIIO、处理不⾜100万⼈个⼈信息、⾃上年1⽉1 ⽇起未累计向境外提供10万⼈个⼈信息或1万⼈ 敏感个⼈信息),⽅可只签署《标准合同》⽀撑 个⼈信息出境
已进⾏“安全评估”或“个⼈信息保护认证”,或满 ⾜其他法律法规、国际条约/协定允许的条件,理 论上可以不签署《标准合同》
欧盟
GDPR下签署SCCs只是⽀撑个⼈数据出欧盟的三 种选择之⼀。即,在⾮向获得欧盟委员会认可 的国家/区域转移(Adequacy decision)、未签 署BCR(Binding corporate rules)且不存在 特定例外情形(Derogations for specific situations)的情况下,才要求签署SCCs。
3.影响评估要求
中国
强制要求事先进⾏个⼈信息影响评估(PIA)
欧盟
并⾮GDPR强制要求进⾏DPIA的场景,但EDPB 发布的《关于数据跨境转移的补充措施最终建 议》则建议进⾏TIA(Transfer Impact Assessment)
4.签署模式
中国
仅规定境内⽅为个⼈信息处理者,未规定境外接 中国 受⽅的数据法⻆⾊;形成2个模型,即处理者-处 理者;处理者-委托处理者
欧盟
SCCs将传出⽅和接收⽅分别可能作为控制者或处 欧盟 理者的场景两两组合,形成4个模型,签署时可以 选择对应的条款
5.合同适⽤法律
中国
适⽤中华⼈⺠共和国相关法律法规
欧盟
在“控制者→控制者“、”控制者→处理者“、”处理 者→处理者“3种模式下,管辖法律必须是欧盟某 ⼀成员国的法律
在”处理者→控制者”的模型下,双⽅可以⾃由约 定为任意允许合同第三⽅受益⼈的国家法律
6.监管要求
中国
⽣效之⽇起10个⼯作⽇内,向所在地省级⽹信部 ⻔备案(⽣效后即可开展出境活动,⽆需等待备 案完成)
省级以上⽹信部⻔发现个⼈信息出境活动存在较 ⼤⻛险的,可以对境内处理者进⾏约谈,境内处 理者应配合整改,消除隐患
对境内处理者进⾏关于境外接收⽅的询问
对境外接收⽅进⾏监督、询问、检查
⽹信部⻔及其⼯作⼈员在履职过程中需要对个⼈ 隐私、商业秘密保密
欧盟
暂⽆直接要求。但实际监管中,欧盟各成员国数 据保护监管机构(DPA)仍可对数据跨境转移、 SCCs的签署及履⾏情况进⾏监管和执法
7.对⽬的国法律/监管的关注点
中国
关注境外接收⽅所在国家或者地区的个⼈信息保 护政策法规对标准合同履⾏的影响,尤其是当地 公共机关要求提供个⼈信息的相关情况
欧盟
主要关注公共机关要求提供个⼈信息的场景 *欧盟曾在2020年出于对该因素的考虑,推翻了 欧盟与美国之间此前达成的“隐私盾协议“的效⼒ (Schrems II案件)
8.是否允许修改
中国
国家⽹信部⻔可以根据实际情况对附件进⾏调 整,但合同签订双⽅除填写合同信息外不允许修 改
“附录⼆“留有⼀定空间,但不得与标准合同相冲突
欧盟
SCCs第⼆条明确规定,除选择适⽤的条款模型和 填写/更新附件外,不允许修改
三、中国版SCC签署的难点问题
(⼀)数据法⻆⾊与合同签署主体的映射关系
1.关系图
个⼈信息处理者
境内
受委托处理个⼈信息的受托⼈
境外
个⼈信息处理者
境外
2.三个点
(1)可以确定的点
我国个⼈信息出境场景下的各项合规义务主体, 暂时主要是境内的个⼈信息处理者;境外个⼈ 信息处理者在境内设⽴的专⻔机构或者制定的 代表⽆法作为数据传出⽅签署标准合同。
(2)有待观察的点
境外接收⽅如果是个⼈信息处理者,是否需要 受托⼈是否需要与个⼈信息处理者共同安全评 估申报、个⼈信息保护认证等程序?
(3)可以推断的点
在个⼈信息处理者履⾏相关数据出境合规义务 的过程中,受托⼈需要给予包括安全保障、数 据导出、产品隐私设计等各⽅⾯的必要配合。
(⼆)难点问题---数据链路的话题
⼆次传输的条件
业务的必要性(再次强调必要性;第三次必要)
告知义务(或者是加强告知义务)
基于同意合法性基础的单独同意或者书⾯同意
签署书⾯协议(标准合同),且达到我国数据保护⽔平
为个⼈信息主体提供合同副本的义务
(三)关键合规动作---单独同意
需注意
1、单独同意仅适⽤于以同意为合法性基础的场景
2、何时取得单独同意?
3、什么叫做单独同意?
(四)关键合规动作---PIA
1.实务中PIA的开展
2.实务中PIA的最终呈现
最终呈现的评估结果
最终呈现形式:PIA报告
⾄少保存3年
10⽇内向省级⽹信部⻔备案
(五)关键合规动作---如何做好必要性分析?
考量因素
1.法律法规
2.⾏业标准&国家标准
3.国际业务惯例
4.商业模式本身的需求及合理性
5.Common Sense
6.替代性分析
例⼦
跨境电商的境外商家,收集境内消费者收货地址 ……
必要,向消费者发货所必须
境内⼦公司员⼯信息传⾄海外总部……
有争议,需结合处理⽬的等综合判断
将境内汽⻋内⾳视频资料,⼀律传⾄海外总部服 务器存储……
不必要,⽆合理理由
(六)难点问题---境外接收⽅的义务
(七)签署注意事项:冲突条款
关于冲突条款
哪些是冲突
1.数据传输的范围“协议之间客体的约束内容冲突
个⼈信息
重要数据
其他数据
2.个⼈信息传输的范围、⽤途、规模、频率冲突
3.协议之间适⽤法律冲突
4.协议之间争议解决条款冲突
5.协议之间合同义务条款冲突
6.协议之间违约责任条款冲突
7.合同义务与当地法律冲突
当地法院、监管对个⼈信息的调取(含窃 听?),如何通知个⼈信息主体?
8.数据双向流动使⽤出境国的标准合同之间是否 会出现冲突?
规则适⽤条件:在中华⼈⺠共和国境内运营中收 集和产⽣的重要数据和个⼈信息
解决的可能性
1.终⽌协议
2.补充协议
3.个⼈信息出境标准合同之附件(附录)
4.欧盟官⽅回答
(1)争取豁免禁⽌令(尽最⼤努⼒)
(2)通知个⼈⽆法实现,寻求境内数据出⼝⽅的 帮助
5.抽屉协议?
(⼋)签署注意事项:抽屉协议
抽屉协议的概念
阴阳合同、真实意思表示(抽屉⾥⾯)
往往是彼此串通
构建商业模式规避责任:从数据处理协议到数据 委托处理协议(真实的情况与合同仍然不符)
VS基于个别条款的细化予以补充协议签署
VS⼀⽅虚假,另外⼀⽅不知情
VS虚假诉讼、虚假仲裁
VS多个合同先后订⽴,是否发⽣变更?冲突条款 是否可以适⽤?如何写好冲突条款?
抽屉协议规制的列举&对⽐
《中华⼈⺠共和国⺠法典》
146、153、154、 500、737、1007
1、隐藏的⺠事法律⾏为效⼒独⽴判断;
2、是否违反法律、⾏政法规强制性规定;
3、融资租赁合同⽆效情形(虚构租赁物);
4、买卖⼈体器官等⽆效
《九⺠会议纪要》
前言、69条
1、穿透式审判思维;
2、探求真意;
3、司法监管化;
4、⽆真实贸易背景的保兑仓交易:借 款合同效⼒的认定。
《合同编通则司法解释(征求意⻅稿)》
14、15、19
1、阴阳合同效⼒:隐藏合同效⼒认定;
2、名实不符:缔约背景、交易⽬的、交易结构、 履⾏⾏为、当事⼈是否存在虚构交易标的等,认 定合同效⼒;不拘泥于合同使⽤的名称;
3、地⽅性法规、⾏政规章的强制性规定。
《个保法》
5、65
1、诚信原则;
2、最⾼处罚条款
《数据出境安全评估办法》
11、18
1、故意提供虚假材料,按照不通过作为结论
2、对接个保法等条款
《个⼈信息出境标准合同办法》
11、12
省级以上⽹信部⻔发现个⼈信息出境活动存在较 ⼤⻛险或者发⽣个⼈信息安全事件的,可以依法 对个⼈信息处理者进⾏约谈。个⼈信息处理者应 当按照要求整改,消除隐患;违反本办法规定 的,依据《中华⼈⺠共和国个⼈信息保护法》 等法律法规处理;构成犯罪的,依法追究刑事责 任。
(九) 难点问题---个⼈信息主体权益响应机制
个⼈信息主体可以向个⼈信息处理者和境外接收⽅主张的权利
1.最⼩必要,境外接收⽅基本情况、拒绝成为第 三⽅受益⼈、PIA的情况、要求本合同副本、
2.个⼈信息出境说明知情权、最⼩必要、最短存 储、要求本合同副本、个⼈信息安全、采取补救 措施防⽌信息泄露进⼀步扩散损害、⼆次传输知 情同意、⾃动化决策拒绝权
3.知情权(当地法律法规对遵守本合同的影响)
4.救济、投诉、起诉的权利、适⽤中国法
(⼗)数据出境安全评估过程中SCC的⼏个法律问题
1.签署版 VS.拟签署版
2.标准合同能不能留⽩?
3.标准合同的语⾔
4.材料要不要撤回?
5.缺乏境内个⼈信息处理者如何解决?
6.境外接收⽅多且分散,暂时⽆法完成所有SCC 签署
7.合同条款原⽂如何在申报⽂件体现
8.附录⼀的填写与其他⽂件的关系
9.其他条款约定的强制性要求—有效期?
四、中国版SCC的签署流程
4.1 SCC的落地流程(全)
个⼈信息处理者
(⼀)数据出境场景识别
存储、传输⾄境外
允许远程查询、下载、调取、导出
其他场景
(⼆)数据出境筛查、整改
必要性、合法性、正当性判断
数据剥离、隔离
场景暂停、关停
其他措施
(三)数据出境规模统计
处理个⼈信息总⼈数
vs 100 万⼈?
上⼀年1 ⽉ 1 ⽇⾄今累计出境⼈数 vs 10 万 /1 万⼈?
重要数据?
CIIO
(四)数据出境合规路径选择
(五)个⼈信息出境标准合同
平⾏步骤:数据出境安全评估+...
(六)个⼈信息保护影响评估(PIA)
评估内容
① ⽬的、范围、⽅式等的合法性、正当性、必要 性
② 规模、范围、种类、敏感程度、⻛险
③ 境外接收⽅承诺承担的义务,数据安全能⼒
④ 个⼈信息出境后遭到篡改、破坏、泄露、丢 失、⾮法利⽤等的⻛险,个⼈信息权益维护的渠 道是否通畅等
⑤ 境外接收⽅所在国家或者地区的个⼈信息保护 政策和法规
⑥ 其他
归档要求:保存⾄少3年
准备提交备案
场景梳理 、评估阶段
(七)出境场景确认
双⽅数据法⻆⾊
数据出境⽬的
出境数据类型、范围
(⼋)签约主体选择
境内处理者(传出⽅)
境外接收⽅
(九)合同协商谈判
标准合同条款
新增条款
与境外法律冲突的条款
与双⽅原有、已签署协议的冲突条款
(⼗)合同填写
正⽂
合同主体
订⽴时间、地点、份数
安全措施
联系⼈、联系⽅式
通知信息
争议解决⽅式选择
附录⼀
个⼈信息出境说明
完整填写
与其他⽂件(如PIA )保持⼀致
附录⼆
补充其他条款(如需要)
不得与标准合同模板条款冲突
协商、谈判阶段
(⼗⼀)合同评审
业务部⻔
技术/IT
法务/合规
(⼗⼆)合同订⽴
(⼗三)合同备案
所在地省级⽹信部⻔
(⼗四)持续监测、预警
(⼗五)重新评估、重新/补充签署
订⽴、备案阶段
4.2 企业内部各部⻔的协同⼯作
业务部⻔
梳理业务活动中涉及到的个⼈信息出境场景,进 ⾏必要性分析
梳理境外接收⽅
确认业务场景中个⼈信息出境所涉及到的系统
······
法 务 / 合规部⻔
统筹或协调各部⻔梳理个⼈信息出境活动、对个 ⼈信息出境活动进⾏PIA
对标准合同⽂本进⾏解读、审阅
对境外接收⽅的安全措施、法律环境进⾏分析
持续监督标准合同履⾏情况
······
信息安全部⻔
确保员⼯个⼈信息出境的安全性,制定个⼈信息 出境信息安全相关的制度
监督员⼯个⼈信息出境活动
及时预警、处置个⼈信息出境活动的安全事件
······
HR
落实员⼯个⼈信息出境合法性基础的获取
将员⼯个⼈信息出境的相关要求在各业务部⻔进 ⾏落地
······
I T 部 ⻔
从系统的⻆度,统计个⼈信息出境的规模、类型 等
依据各业务部⻔的需求及个⼈信息出境合法性基 础获取的路径,调整数据出境业务系统
确认员⼯个⼈信息出境的⽅式
······
4.3 最后划重点!
1.材料⼀致性:所有提交⽹信部⻔备案的材料, 公司内部建议同步留底,且确保提交的版本和内 部留存的⼀致;
2. 经办⼈员记录:所有参与PIA、SCC谈判签署、 备案材料制作的内部⼯作⼈员,建议提前记录和 留痕,防⽌因⼈员离职导致的材料丢失、评估记 录⽆法回溯等问题;
3. “数量拆分”红线:谨慎对待可能被认定为以“数 量拆分”为⼿段,规避数据出境安全评估申报 义务的操作;
4. 多部⻔配合、持续监测:虽然采⽤SCC进⾏数 据出境,仍然建议公司持续关注⾃身数据出境规 模(尤其是处理100万⼈以上个⼈信息、⾃上⼀ 年1⽉1⽇起累计的10万/1万⼈的数据统计)、实 时监测触发安全评估⻔槛的可能,提前留⾜申报 周期的提前量;
5. 持续提升数据治理能⼒:标准合同形式上是⼀ 份合同,但其场景梳理、评估、签署、备案的全 流程背后,是⼀家企业的数据治理能⼒、数据合 规⽔平的体现,建议企业不断提升⾃身的数据安 全能⼒和治理成熟度。