全球数据跨境流动标准合同条款研究——108公约篇
2023-06-30
以下文章来源于CNCERT国家工程研究中心。
关于CNCERT国家工程研究中心
网络安全应急技术国家工程研究中心是由国家互联网应急中心运营的国家级研究中心。研究中心致力于工控物联网和数据跨境方面的基础理论研究、关键技术研发与实验验证,并为国家关键基础设施的安全建设和运行提供保障,为数据跨境安全提供监测和预警。
一、108公约MCC草案背景
2023年3月3日,欧洲委员会108公约咨议委员会通过了最新版的《个人数据传输模范合同条款》草案(Draft Model Contractual Clauses for the Transfer of Personal Data)(“108公约MCC草案”)[1],标志着这一项历史最悠久、覆盖范围最广泛的个人数据保护公约迈出了现代化的新步骤。
108公约,即欧洲委员会(Council of Europe)第108号《个人数据自动化处理中的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)是世界上历史最长的个人数据保护公约,1981年1月28日由欧洲委员会通过并开放签署。除了欧洲委员会当前的46个成员国外,还有八个国家也[2]成为了108公约的缔约国。108公约因此也是世界上覆盖范围最广的具有法律效力的个人信息保护国际公约,并被公认为是欧盟GDPR的前身。
108公约为各缔约国创设了统一的个人数据保护规则与标准;但对于缔约方管辖范围内的个人数据处理者没有直接效力,需要各缔约方自行立法将108公约的标准和规则转化为国内法。目前,所有缔约方均已通过了符合108公约标准的个人数据保护法。
108公约自通过之后,历经了多次修订,包括2001年的欧洲委员会181公约,以及2018年的欧洲委员会223公约。目前的108公约MCC草案文本基于223公约所修订的最新版108公约起草,反映了最新版108公约[3]的发展以及全球个人数据保护趋势的变化。
二、108公约的数据跨境制度及108公约MCC草案的作用
108公约第14条规定了个人数据跨境流通制度,允许缔约方之间自由传输数据,同时要求个人数据从缔约方向非缔约方传输时,必须满足一定的要求。由于欧盟国家全部属于108公约缔约方,事实上形成了欧盟国家、108公约缔约方、其他国家,共三个层级的数据跨境机制。108公约MCC草案所保护的就是从第二到第三层级(即108公约缔约方到其他国家)的个人数据跨境传输。
缔约方内部相互间的数据传输不可受到阻碍,这是108公约第14条第1款的明确规定。不过,缔约方可以在数据传输对个人数据造成严重风险,或者缔约方受到区域性国际组织的统一规则(主要指欧盟GDPR)的约束时对数据传输加以限制。
个人数据从缔约方向非缔约方传输时,缔约方必须确保个人数据在非缔约方处也能得到“适当水平保护”(appropriate level of protection)(108公约第14条第1款)。个人数据所得到的此种适当水平的保护可以来自两种途径: (1)接收方所处国家或国际组织的法律、国际条约或协议;(2)由具有法律约束力且可执行力法律文件所规定的临时性或经批准的标准化保障措施(108公约第14条第2款)。不过,108公约第14条第5款规定在如下四种情形下无需提供“适当水平保护”:(1)数据主体对传输给出了知情同意;(2)数据主体的特殊利益所需;(3)重要公共利益等合法利益的合理必要;(4)言论自由的合理必要。
缔约方向非缔约方传输个人数据时,确保个人数据受到“适当水平保护”是108公约所规定的重要义务。对于欧盟国家而言,如果遵守欧盟GDPR中关于个人数据跨境传输的规定就可以满足该项义务。但非欧盟国家则需要自行在国内立法中规定,以完善本国的数据跨境传输制度。而缔约国如果选择采用108公约MCC草案作为其保障跨境个人数据传输的法律文件,则个人数据从该国向非108公约缔约国传输也可以满足“适当水平保护”。
图 1 欧盟GDPR与108公约关于数据跨境传输的机制示意图
三、108公约MCC草案评析
欧洲委员会于1992年曾正式通过一版108公约模范合同(Model Contract)。但时至今日,该版模范合同并未得到任何一个国家的认可并成为正式数据跨境传输制度的一部分。
目前,108公约的作用在欧盟范围内已经被欧盟GDPR取代。108公约在2018年也迎来了新一轮修订,数据跨境传输制度得到进一步细化。新推出的108公约MCC草案整体上采用了与欧盟SCC类似的内容和规定,有助于非欧盟国家的108公约缔约方提升自己的数据保护水平,维护108公约范围内数据跨境传输制度的一致性和数据保障水平,整体上在108公约缔约国范围内起到了对欧盟SCC的补充作用。
虽然108公约所规定的跨境传输制度允许并鼓励各缔约方采用法律文件的形式规范个人数据向非缔约方传输的行为,但可能受限于各国的立法水平和资源,非欧盟成员国的23个缔约方中[4],除阿根廷、北马其顿、塞尔维亚、瑞士、土耳其和英国这6国之外,大多数国家未创设可用于该国个人数据跨境传输的标准化法律文件。不仅如此,许多缔约方还规定,所有向非缔约方传输个人数据的行为都必须获得该国数据保护机构的事先批准。这事实上导致108公约各缔约方与其他国家的数据传输受到严重阻碍,不利于数据的自由流通与发展。但如果非欧盟国家的108公约缔约方采用108公约MCC作为该国的个人数据跨境传输制度,上述阻碍问题将得到有效改善。
与欧盟SCC相比,108公约MCC草案较为具有特色的条款包括:
延续了欧盟SCC的模块化设计,目前的草案是控制者(Controller)向控制者(Controller)传输模块。
没有对接条款(Docking Clause),不允许第三方直接加入合同。
在个人同意的情况下,数据主体也可以通过仲裁向数据跨境传输的双方追偿。这扩展了个人保护其个人信息权益的渠道,但并不一定适用于那些法律中禁止或裁或审条款的国家。
适用的法律必须为数据出口方所在国法律,但如果数据出口方所在国法律不允许第三方受益权,则可以任选适用法律。
(5)数据出口方及数据进口方之间的争议可选择仲裁管辖,仲裁规则为世界知识产权组织(WIPO)仲裁规则和国际商会(ICC)仲裁规则之一。
为了方便读者快速了解108公约MCC草案的内容,我们将其主要条款与欧盟SCC和中国SCC在如下一览表中进行对比。
四、对我国的借鉴意义
近年来,我国个人信息保护相关法规制度发展迅速且日益完善,并积极参与全球数据跨境流动治理,近年来先后提出了《全球数据安全倡议》、《中国-阿拉伯联盟数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》等国际性倡议。
为了进一步提升我们在国际数据跨境流动规则制定的话语权,我们下一步可以考虑提出类似108公约MCC草案的国际法律文件,为希望与中国保持个人信息互通但又无法接受与中国SCC相同标准的国家提供示范性文件,打造具有一致标准的国际数据保护高水平区域。
参考文献:
[1]Consultative Committee of The Convention for The Protection of Individuals with Regard to Automatic Processing of Personal Data, Model Contractual Clauses for the Transfer of Personal Data, https://rm.coe.int/t-pd-2022-1rev7-contractual-clauses-transborder-flows-23nov22-en-2773-/1680a93907 .
[2]分别为俄罗斯、阿根廷、佛得角、毛里求斯、墨西哥、塞内加尔、乌拉圭和突尼斯。其中,俄罗斯原本是欧洲委员会成员国但后来退出欧洲委员会,但其仍然是108公约的缔约国。
[3]下文所述“108公约”均为最新版108公约。
[4]目前,属于108公约缔约方、不适用欧盟GDPR但已获得欧盟充分性认证、可以与欧盟无阻碍地传输个人数据的国家有:安道尔、阿根廷、瑞士、英国、乌拉圭;属于108公约缔约方、不适用欧盟GDPR且未获得欧盟充分性认证的国家有:阿尔巴尼亚、亚美尼亚、阿塞拜疆、波斯尼亚和黑塞哥维那、格鲁吉亚、摩纳哥、黑山、北马其顿、俄罗斯、圣马力诺、塞尔维亚、土耳其、乌克兰、佛得角、毛里求斯、墨西哥、塞内加尔和突尼斯。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
