歡迎關注“新浪科技”的微信訂閱號：techsina 

　　文/游云庭

　　來源：游云庭的工作生活記錄（ID:gh_82fa449f0311)

　　上個月，我國發布了《個人信息出境標準合同規定（征求意見稿）》（以下簡稱“征求意見稿”）。我們在《哪些企業簽個標準合同，就可以合法傳輸個人信息出境？》[i]一文中介紹了相關的制度，實際上，歐盟《通用數據保護準則》（GDPR）下的個人數據的跨境傳輸制度中也有一個標準合同（Standard Contractual Clause），今天我們就跟大家聊聊中國和歐盟的標準合同有哪些異同。

　　一、中國和歐盟之間跨境傳輸個人數據有哪些途徑？

　　我國向境外（包括歐盟和美國）跨境傳輸個人數據有三條途徑：1、通過政府的安全評估；2、專業機構的個人信息保護認證；3、簽訂標準合同。

　　歐盟的《通用數據保護準則》提供了多種途徑實現個人數據的跨境傳輸，主要分為三種機制，第一種是基于充分性認定機制（又稱白名單）；第二種是采取適當保障措施的機制，包括簽訂標準合同（Standard Contractual Clause 或者SCC）、通過約束性企業規則（Binding Corporate Rules或者BCR）、認證機制、行為準則（CoC）等；第三種為獲得數據主體同意、履行合同所必要等。

　　由于歐盟認定的個人數據保護充分性認定的白名單不包括中國，因此企業將歐盟的個人數據傳輸至中國則需要采取《通用數據保護準則》規定的其他豁免途徑，如簽訂標準合同、約束性企業規則、獲得數據主體同意。對于集團內數據傳輸，大中型跨國企業集團可能更愿選擇通過約束性企業規則的路徑，即提交一份保證在集團企業內部遵守歐盟數據保護法的文件或制度陳述。對于大部分企業，可能更依賴于簽訂標準合同的路徑將歐盟的個人數據傳輸到中國。

　　二、中歐跨境傳輸個人信息標準合同有哪些異同？

　　歐盟標準合同和我國的標準合同雖然均是簽訂標準合同的文本，但在側重點和適用上還是有所不同，具體而言：

　　1、適用主體及范圍

　　根據歐盟標準合同的規定，只要是負有數據保護責任的企業，將在歐盟收集的個人數據從歐盟傳輸到第三國時，均可以選擇適用歐盟《通用數據保護準則》實現數據跨境傳輸。根據主體在個人數據處理中角色的不同，標準合同將主體劃分為個人數據的數據控制者（Controller）和數據處理者（Processor）。數據控制者是收集數據的公司，而處理者則是分析或使用數據的公司，兩者的法律責任和關注重點各有不同。

　　稍微解釋一下數據控制者和數據處理者，以讓facebook被罰50億美元的劍橋數據泄露案為例[ii]，該案中，facebook公司收集控制了用戶的數據，但因其對用戶數據保護不力，導致一款僅2.7萬用戶使用的劍橋公司開發的App獲得了超過5000萬用戶的facebook數據，相應的數據分析結果甚至影響了美國大選的結果，最終致其被罰50億美元。該案中，facebook公司就是數據控制者，而對數據進行分析的劍橋公司則是數據處理者。

　　相比于歐盟區分主體處理數據的角色，我國則統稱為個人信息處理者。我國標準合同區分行業和處理個人數據的總量的目的，除了基于保障個人數據主體權益外，還有基于國家安全和公共利益的考慮。所以并不是所有的主體都可以適用標準合同來實現數據的跨境傳輸。只有同時符合四個條件，才可以通過簽訂標準合同的方式向境外提供個人信息：

　　（一）非關鍵信息基礎設施運營者；（二）處理個人信息不滿100萬人的；（三）自上年1月1日起累計向境外提供未達到10萬人個人信息的；（四）自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。而個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

　　在適用范圍上，原則上，歐盟標準合同和我國標準合同均只適用于簽署標準合同的雙方，但是歐盟標準合同中的對接條款（docking clause）可以使得第三方后續以數據傳輸方或接收方的身份或地位加入歐盟的標準合同，受到該合同的約束。而我國標準合同則沒有該機制，若是境外接收方再向第三方提供個人數據，則必須獲得用戶的單獨同意且要達成新的書面協議。

　　2、法律適用和爭議解決條款

　　在法律適用條款上，歐盟標準合同的選擇權可能多于我國的標準合同。之所以這么說，是因為除了歐盟成員國的法律外，在特定情況下，歐盟標準合同可以允許適用非歐盟成員國的法律。相比而言，我國的標準合同只能適用中國法律。

　　在爭議解決條款上，歐盟標準合同的爭議解決更偏向于法院管轄，但可以選擇歐盟或非歐盟的法院，而我國標準合同的爭議解決則采用了民事爭議專用的解決機制：法院管轄或者仲裁管轄。法院管轄要求必須選擇國內法院，但仲裁機構則可以選擇中國國際經濟貿易仲裁委員會、中國海事仲裁委員會或北京仲裁委員會，或選擇《承認及執行外國仲裁裁決公約》（即《1958年紐約公約》）成員的仲裁機構。

　　3、數據傳輸的評估

　　歐盟和我國均需要對數據傳輸進行相應的評估，雖然歐盟《通用數據保護準則》更強調對于數據跨境傳輸活動進行風險評估及采取有效措施降低跨境傳輸風險的思路，但是，數據跨境傳輸并不屬于必須進行數據保護影響評估的場景，只有在歐盟監管機構要求時，企業才需要提供個人數據跨境傳輸評估記錄。相比而言，我國的標準合同則需要在事前進行個人信息影響評估報告，并同時向網信部門提供評估報告（該報告需要保存3年）。

　　就評估內容而言，兩個評估的內容和側重點大同小異，歐盟標準合同要求的評估包括數據傳輸的具體情況、數據接收方所在國的法律和司法實踐、相關已實施的補充性合同、技術或組織保障措施等。我國的標準合同則需要重點評估包括出境的具體情況、境外接收方所在國或者地區的個人信息保護政策法規對標準合同履行的影響、境外接收方履行責任義務的管理和技術措施、能力等能否保障出境個人信息的安全等。

　　如前所述，在歐盟監管機構要求時，企業需要提供相應的評估記錄，在這種情況下，歐盟監管機構還是有可能實質性審核該評估內容和記錄的。而由于我國的標準合同實行的是備案制度，故我國政府不會實質性審核每一份評估報告和評估記錄。

　　4、技術保障措施

　　歐盟標準合同對數據的訪問有著嚴格的限制，即在歐盟標準合同的第三節規定，數據接收方一旦收到非歐盟國家的政府提出的數據訪問請求，且有理由質疑該請求的合法性，那么應當立刻告知數據發送方。

　　相比歐盟嚴格限制訪問要求，我國標準合同則籠統地規定，個人信息處理者應盡合理的努力確保境外接收方采取有效的技術和管理措施。對于具體的技術和管理措施，我國標準合同則列舉了加密、匿名化、去標識化、訪問控制等多種措施，并要求確保“這些措施維持適當的安全水平”。而對于境外接收方所在國政府機構的訪問，我國標準合同只要求在評估時予以考慮，并沒有嚴格的限制。

　　5、責任分配方式

　　如前所述，歐盟《通用數據保護準則》將主體劃分為個人數據的數據控制者和數據處理者，根據數據控制者和數據處理者關系的不同，適用不同模式的標準合同，也就意味著在數據傳輸過程中對于數據接收方的控制力不同，因此，在不同模式的歐盟標準合同下，合同雙方所需要承擔的責任與義務是存在差異的。

　　相比而言，我國標準合同沒有區分數據處理的角色而統稱為個人信息處理者，因此個人信息處理者與境外接收方承擔的義務是相同的，只是在委托處理的場景下有所不同。

（聲明：本文僅代表作者觀點，不代表新浪網立場。）