上海政法学院,上海
《个人信息保护法》(以下简称“个保法”)第三十八条第一款第三项中规定了标准合同规则,其后网信办依据授权制定颁布《个人信息出境标准合同办法》(以下简称“合同办法”)及附件《个人信息出境标准合同》(以下简称“合同条款”)实现对标准合同的具体落实。“合同办法”明确了标准合同的适用条件,“合同条款”对有关主体定义和权利义务进行了明晰,由此我国标准合同制度的具体落实。标准合同、安全评估、保护认证三种具体机制形成了我国层级分明制度完善的个人信息出境监管体系,形成了极具中国特色个人信息出境监管制度体系。[1]
标准合同制度作为全球商事实践的产物,在各国纳入法律体系之前,已经因其便捷的特点,在各种商事实践中实现大规模适用。在数据出境传输领域,合同机制更是主要手段之一。自20世纪80年代起,法国数据传输领域便开始广泛运用合同作为传输重要方式。到了20世纪90年代初,使用合同进行数据传输已经逐渐演变为全欧洲范围内的主要形式。特别是1998年德国铁路公司和花旗银行的“铁路卡(Bahn Card)案”,进一步提升合同作为数据传输形式的影响力。同多年商事实践,合同制度逐渐从国际组织规定的不具有法律效力的惯例软法,转变为法定形式。[2]1992年颁布的《欧洲理事会示范合同》(Council of Europe Model Contrac)影响极为深远,甚至使得其他国家或地区开始选择标准合同作为法定个人信息传输形式。
[1]1995年,欧盟颁布的《数据保护指令》第二十六条,首次把标准合同纳入法律规定,成为欧盟认可的法定数据传输形式。随着实践的增加,到了2018年的《通用数据保护条例》(即GDPR)时代,标准合同制度逐渐被绝大多数国家接受。[2]全球范围内有三大典型标准合同条款,《欧盟向第三国传输个人数据的标准合同条款》(SCCs)、《东盟跨境数据流动示范合同条款》(MCCs)和《英国国际数据跨境传输协议》(IDTA),[3]其他国家的标准合同条款都或多或少的受到这些典型范本的影响。[4]
我国虽然在2021年的“个保法”中最终确立了个人信息出境标准合同制度,但不论是立法模式还相关条文用语,都存在亟需解释的内容。首先,从立法模式上来看,“个保法”一开始编撰时规定的是“合同模式”,二审稿才改为“标准合同模式”并最终落实为法律规定。标准合同条款第二条、第三条对个人信息处理者(以下简称:出口方)、境外接收方(以下简称:进口方)的义务作出了细致规定,使得“个保法”等其他规范型文件中的有关责任义务在标准合同中实现了具体落实。[5]通过梳理作为我国个人信息出境监管工具的标准合同有利于理解“合同条款”中义务的来源和依据,并明晰对法定义务转化合同义务的立法逻辑,促进标准合同制度的实施,兼顾传输效率和监管效果。
标准合同与一般合同存在不同之处,首先在形式上标准合同中的义务虽表现为合同条款,但事实上义务内容先由国家预先决定并强制适用,双方主体只可在现有义务条款基础上协议增加但却不得约定排除,同时体现双重属性即个别规范和国家法规范。“个保法”规定了我国个人信息出境监管手段,[6]其中法律明确的具体措施中,只有标准合同无需国家相关机关进行事前审批,仅需进行备案审查。[7]可见,在适用标准合同制度进行个人信息出境时,国家希望通过标准合同中的义务条款来约束合同双方,发挥并实现类似审批的监管功能。
根据“合同办法”和“标准合同条款”中的相关规定,不难看出我国标准合同制度期待实现的规范目的,“合同办法”第一条明晰了标准合同制度的立法目的。[8][3]而附件中的标准合同条款直接规制签订合同的双方主体,规制的行为涵盖个人信息出境传输的各方面和全过程。由此不难分析出我国标准合同制度的立法目的,一方面在于减少合同双方利用合同规避、减损个人信息出境的法定标准和要求的可能性,[4]是而事先对合同双方之间的义务进行了强制性规定,合同双方只可增加细化不可约定排除;另一方面在于防止进口方取得数据后滥用个人信息,避免监管机构难以对境外主体进行监管的尴尬情形。这样规定的原因归根结底在于个人信息出境传输的过程中存在着的特殊风险和特别法益,这同时也是我国最终选择将标准合同制度而不是合同制度的主要远影。
其中,特殊风险是指:一旦个人信息安全事件发生,无论有关主体是否及时采取有效措施,其产生的损害后果都不可逆转,必将对国家安全、公共利益、个人信息权益等产生严重危害。事实上,即使的单纯在境内进行个人信息传输也不可能规避此风险,但在主权范围内监管机构相对容易进行控制。而出境后,其风险将变得难以控制。我国“个保法”中虽授权网信办通过制定“黑名单”来限制和禁止对境外违法主体再次传输个人信息,[9]但此种手段属于事后限制,对已经产生的损害无法进行救济,同时事实上也难以实现对“下一次”损害的预防。[10]
其中,特别法益是指:个人信息出境传输过程中同时涉及个人信息处理者、境外接收方以及个人信息主体的权益。三方主体中个人信息主体非合同当事人,但属于合同涉及主体中的绝对弱势方,由于合同内容实际涉及个人信息主体,且个人信息主体相对进出口双方而言没有足够能力进行自我保护,导致其最易受到侵害。若进口方处理个人信息时,存在超出目的、范围、保存时限的界限对个人信息进行处理,或在境外发生安全事件时,个人信息主体若想维护自身合法权益,不论是寻求私力救济,还是寻求公力救济即借助行政命令、司法裁决介入都难度巨大。同时合同双方都没有动力主动增加超出标准合同条款规定的第三人保护条款,是以要实现对个人信息主体的保护只能依靠国家有关机关事先对个人信息主体权益保护进行细致规定。[5]
但各国之间对如何保护第三人存在分歧,以中欧为例进行分析,标淮合同是双方都认可的法定信息出境传输手段。但两者希望依靠标准合同实现的标准不同,我国此项制度旨在确保本国法律和标准能够落实到个人信息出境传输的各方面和全过程,SCCs则希望通过合同条款中的规定实现一致境内外保护水平。[11]由此可见,境外的保护标准我国并不认可,而是通过“合同条款”要求进口方以“以我为准”相关处理能满足我国“同等保护水平”的要求。[12]但“同等保护水平”这一概念具体内涵为何?我国相关法律法规中并未进行释明,直接适用存在困境。需要进行针对性解释,可以参考欧盟“施雷姆斯第二案”中对欧盟“实质等同”要求的解释路径,[13]以“个保法”中标准为基础结合标准合同立法目的对相关条款进行解释。在标准合同条款第九条第五款中规定了如何对合同进行解释,但该规定仅涉及解释方式,即要求有关部门在解释“合同条款”时不得同上位法抵触,却未明确具体直接可适用的解释标淮。可以考虑增加相关规定,如“经标准合同传输境外的个人信息,境外接收方应保障个人信息得到的保护在实质上符合我国法标准”。[14]
我们可以对“合同办法”和标准合同条款从对人和对事两个角度进行分析,来明确其适用范围。对人,标准合同既拘束出口方也拘束进口方,但这并不代表作为标准合同制度法律依据的“个保法”也直接适用于进口方,只有进口方对传输的境内个人信息处理符合法定情形时,[15]“个保法”才有可能适用于进口方;对事,只对个人信息出境传输行为针对性适用。
从“合同办法”和标准合同条款来看,我国标准合同仅适用于个人信息出境传输,境内个人信息传输是否适用,并没有进行规定。理论上来说,境内外个人信息传输应当都可以适用标准合同。实践上,已有部分域外国家明确可以适用。[16]不论是个人信息出境还是境内传输,两者都是希望获取个人信息并进行处理,同时涉及控制方和处理方。只是境内传输重视合理配置处理者、分包处理者的处理风险。而个人信息出境传输注重对上述特殊风险进行预防,并对特殊法益提供必要保护。
我国个人信息出境具体监管方式一共三种,其中应当进行安全评估的具体情形在《数据出境安全评估办法》第四条一一列明,综合“合同办法”第四条,可见我国标准合同制度仅适用于小规模、数量少、非重要的个人信息出境,同时出口方应同时满足四项前提。[17]不过由于标准合同适用范围受到了严格限制,使得该项制度在我国可适用空间较小,传输内容较少,若想取得类欧盟标准合同促进个人信息流动的效果,日后有可能需要对数量阈值进行适度调整。
标准合同不可能适用于所有传输场景,一般适用于同类重复和关联性传输。明确标准合同适用的典型场景,有助于明晰典型风险,有针对性的实现对合同主体的权利义务进行公平分配。
第一种典型传输场景是同类重复传输,常见于跨国公司、企业等商业组织传输个人信息,由于这种行业的特殊性其往往需要多次获取同样性质的信息,同时由于行业敏感往往备受公众关注。[18]此种典型场景下,标准合同是兼顾效率和效果的共赢方案;合同双方可以通过多次反复适用标准合同条款实现降低成本、提高效率、获取数据等多种目的;个人信息主体可以通过合同条款实现保护自身权益;监管机构可以摆脱管辖权、企业垄断、关联公司等多方面限制,选择适用更简便高效的合同监管而不是难以执行、难以落实的行政监管。
第二种典型场景是关联性传输,在跨国公司的商事活动中较为常见,此种情况下合同双方之间存在关联或隶属关系。由于两者之间关系极为密切,此时基于双方之间的特殊地位,对于标准合同中有关责任承担规定应当适当进行重构。
对标准合同结构进行分析,明晰其传输模块的特殊结构,有助于理解进出口双方进行义务分配的依据。合同双方在对个人信息进行处理时有着不同角色,选择不同模块适配不同角色更有利于合理配置双方义务。其中合主体关系性质,双方主体身份,处理行为,传输和处理目的等因素会影响模块性质。欧盟标准合同将合同主体划分为:“控制者”及“处理者”,[19]这一概念实质上是对域外控制者的转化吸收,实际同时包含了控制者和处理者两大主体。在此概念上我国进一步区分对个人信息处理者、境外接收方,[20]但此种区分并不够细致,无法满足实践需求,可能使得我国标准合同不为域外国家虽承认,难以实现传输效果。虽然我国法律上并未对主体进行细致区分,也未制定对应模块,但实践中此种需求客观存在。[8]或可通过解释或制定专门标准合同来解决这一问题,回应实践需求。
利用标准合同制度来实现对个人信息出境传输的监管,主要是通过规定合同双方主体的权利义务来实现的。合同双方的个人信息保护义务,[9]既是标准合同的基础,也是个人信息出境中的典型义务。只是相对于其他义务,这一义务极为特殊。首先,从效果上看,该项义务对双方都具有约束力,双方既彼此之间承担此项义务,而且同时对不是合同主体的个人信息主体承担此项义务;其次,从来源上看,合同实质上是将法定的个人信息保护义务进行转化,体现出的是法定义务的合同化。
但个人信息保护义务的性质是什么,是瑕疵担保、主给付义务还是从给付义务或附随义务,我国相关法律并未作出具体规定和解释。
根据我国相关法律法规,将其解释为主合同主给付义务更为符合我国立法目的。原因在于:首先,从产生方式来看。个此项义务实质上是将“个保法”中的法定义务转化为合同义务,合同双方主体之间以合意选择合同机制进行个人信息出境,是双方适用标准合同条款的前提。第二,类比其他合同。如:货运合同,这一典型合同标的为运输行为,主合同义务是货物对安全保障义务。[10]进行类比我们不难发现标准合同和货运合同有着异曲同工之妙。标准合同标的为传输(运输)无形的个人信息,以保护个人信息主体权益为主给付义务。第三点从合同性质来进行分析。主给付义务对于确定合同性质具有决定作用,但标准合同性质并不是个人信息安全义务一项可以决定的,在个人信息委托处理、保管合同中同样也存在这种义务。对于合同性质进行判断应当综合考量,不可能仅仅因为具有某种特殊合同义务就以此确定合同性质,这种标准是明显不合理的,因为同一义务可能回同时出现在不同合同之中。[11]例如,在买卖、中介、保管、仓储等有偿合同都有付款义务,但这种付款义务都不难决定合同性质和类型。同时从另一个角度来看,不管合同性质如何,在这些合同中的主给付义务都是买受人的付款义务。由此我们分析买卖合同的性质特征时,既要考量所有权移转,也要考量支付价款,是以对标准合同类型特征进行分析时也应当综合考量。只有同时考虑个人信息出境传输、个人信息权益保护义务,才能对标准合同类型特征进行明确界定。
实际上,需要重点关注的是在明确个人信息保护义务是标准合同的主给付义务后,其上位法是如何被转化吸收为标准合同内容的。
标准合同条款中的个人信息保护义务其依据来源于“个保法”,是对原则性法律规定的细化。个人信息安全保护义务一般有两种模式,[21]我国采取的是单一模式。欧盟也适用单一模式,欧盟标准合同SCCs中则被规定为强制适用效力性条款,义务源于欧盟法律法规。而在我国,个人信息保护义务有着极为明确的法定义务根据,亦为单一模式。
此种义务必然需要遵循“原则—主体义务/权利—合同义务”的具体转化过程。我国“个保法”中确立的基本原则,构成了合同义务的法定依据,合同双方主体法定义务和个人的法定权利,作为直接来源限制着标准合同条款的规定。
“个保法”中规定了个人信息出境定义,[22]并对出境传输中应当遵守的个人信息处理基本原则作出了明确,[23]但这些基本原则相对抽象难以直接适用,只能称之为相关义务的法理依据。是以“个保法”对相关规定进行了细化,[24]规定更为明确可以直接适用,是以最终“合同办法”和标准合同条款中直接转述了相关规定。例如,告知义务、[25]准确度义务、[26]删除义务。[27]告知义务实质上是公开、透明原则的具体体现,要求合同双方应在传输中确保个人信息主体能够知悉处理目的、规制、方式和范围。
另一方面,由于双方主体在个人信息出境传输过程中存在角色、利益格局、风险能力等多方面的差异,使得合同既规定的双方义务又规定了单方义务,两种义务之间既有交叉又有不同。具体类型如下。
(1)信息安全义务
该义务属于双方义务,是合同双方主体均应负担的主给付义务。[28]进口方则是获取后的安全保障义务,要求进口方定期检查,并长期持续保持稳定的安全水准,并对相关内容和处理情况保密。[29]必要时进口方可能被视为个人信息处理者,[30]根据“个保法”的要求进口方需要建立严密高效的内部管控体系和处理操作规范制度,实现处理系统的长期稳定,落实个人信息安全保障义务,确保仅有授权主体可以处理个人信息。
(2)安全事件通知义务
该项义务是典型单方义务,仅针对进口方,原则上由进口方承担,进口方发现泄露事件后,应立即采取必要措施并将情况告知出口方。SCCs中该义务作为子义务被规定在“处理安全性义务”之下,IDTA则在进口方义务单独规定了关于个人信息泄露的条款。[31]其实质属于信息安全义务的延伸义务。[32]单从法律规定来看,“个保法”和《数据安全法》仅对处理者施以通知义务,具体处理者为何者并未明确。但个人信息出境同境内传输不同,进口方必出口方更了解风险的可能性和现实紧迫性,由此将通知义务施加到进口方是十分必要的。从性质来看,此项义务属于真正义务,虽然“个保法”没有明确违法律后果,[33]但在后续关于法律责任的条文中明确“未履行个人信息保护义务”属于构成要件中必不可少的一项。[34]
对于何种事由需要通知,“个保法”仅明确指出了三类情形,[35]《数据出境安全评估办法》也仅仅模糊列举带过。[36]“个保法”中规定了“个人信息安全事件”,但对具体类型并未释明,直接适用存在较大困难,同时在实践中,随技术快速发展、迭代风险源在短时间内就可能会出现较大变化,个人信息泄露、篡改或丢失只称之为安全事件的典型情形,而无法涵盖所有安全事件。为实现对个人信息的全面保护,确有必要对“个保法”中安全事件的范围进行适当扩张,除法律列举的典型情形外还应当为未来对有关情况扩充留下空间。[37]如有必要或可对条款进行如下建构:在知悉风险或现实危险出现时,合同双方应立即通知各方主体,具体通知内容应涵盖安全事件的性质、危害、补救措施等。[14]
(3)补救、减损义务
该项义务只有在发生个人信息发生泄露后才会产生,是安全义务的衍生义务。“个保法”规定仅有在发生个人信息安全事件时,处理者才应履行补救、减损义务,[38]可见这一义务并非一直存续,《数据安全法》亦固定了类似的补救义务。[39]从实际实施角度来进行分析时,不难发现相对于出口方,进口方更能有效履行法定义务。为完善相关义务实现全方位保护,可将进口方的相关义务构造为:(1)发生或可能发生个人信息安全事件时,进口方应采取合理的措施降低损害。(2)合同履行终结前,任意一方若有合理理由且已无法履行合同,应及时告知他方,他方应收到或应当收到通知后应及时采取补救措施,并通知相关部门和个人信息主体。与通知事由类似,合同条款中的补救、减损义务,仅限于出现数据泄露情形时才会产生,导致这一义务无法包含所有类型安全事件,义务范围过窄。
(4)告知义务
又称透明度要求,其实际是“个保法”中规定的公开、透明原则及告知规则的具体化规定[40]另一方面应及时在传输主体经营变动时重新获取个人信息主体的同意,[41]并在个人信息主体要求查阅、复制个人信息等后及时回应。[42]告知应当采取一定手段使得个人信息主体及时知悉,如:提供合同等条款副本。我国普遍认为这项义务的承担主体仅限于出口方,但从实践来看,告知义务的承担主体为合同双方。该项义务的应当如何分配,既考虑承担能力,又有结合传输特征判断,故对告知义务分配时应当进行细致考量。在域外,不同传输模块下告知义务各有特色:或双方共同承担一般告知义务,进口方实际履行,出口方辅助履行;[43]或出口方实际履行,进口方辅助履行。[44]但在我国,并未细分实际处理方和实际控制方,所以合同中实际处理方和实际控制方的具体主体难以直接确定。当均为控制方时,都有能力履行告知义务,此时应当共同承担。当实际处理方是进口方时,出口方一直控制个人信息,告知义务自然应当归属于出口方。不过单从“个保法”来看,我国相对更偏好由出口方一直承担此义务,[45]进口方进行必要辅助方。从“合同办法”和“合同条款”来看标准合同进行了调整,但依然不够。[46]对告知义务条款应当进行适当调整:未传输出境的个人信息,应由出口方履行告知义务。已经传输出境的个人信息由进口方履行告知义务,出口方应当提供必要帮助,辅助进口方履行告知义务。
(5)目的限制义务
“个保法”将目的限制规定为个人信息处理的最基本原则,[47]处理者应当向个人信息主体表面收集和处理个人信息的目的,同时不得超出目的进行收集和处理。[48]
目的限制原则既转化为普通义务,又可以规定为特别义务。一般情况下,约定的处理目的将对进口方的处理行为产生全面约束。特别情况下,首先要进行处理必须获得个人信息主体的同意,[49]若想超出初始目的进行进一步处理则需获得“二次许可”。另一方面,为避免这一规定可能产生不利影响,故而规定了履行法定义务、法定制止时无需同意的豁免情形。[50]
(6)删除义务
此项义务是典型的进口方义务,“合同条款”中明确要求对传输的个人信息保存期限应当以最短期限为限,超出期限后应当及时删除从出口方处获取的个人信息,并及时向有关主体提供书面说明。[51]同时也规定了例外情形,指出在特殊情况下,若技术上难以删除,则可以不删除但不得采取除存储和必要安全维护措施以外的行为,更不能进行处理。但此时如何确定未删除的数据没有被使用,并没有作出具体规定。违反相关规定的法律后果,也并未直接释明。是以适当引入第三方独立主体,由双方选定并向双方提交有关应当删除数据的相关报告,证明进口方都遵守了合同义务不失为一个较好的解决方案。
(7)合规审计义务
此项义务实为审计权限。要求出口方关注进口方是否遵守了“个保法”和“合同条款”,但从文意来看,处理者应定期考察审计处理行为,此为自律性对己义务。[52]但我国并未具体规定审计对象、审计主体以及审计方式。若合同双方无条件无能力履行合规审计义务,将使得“个保法”的个人信息保护目标成为空中楼阁。未避免出现这一情况,域外转向合同合规审计即由出口方对进口方是否遵守“合同条款”予以审计。[53]就合规审计义务,“合同条款”第三条第十一项仅规定合同合规审计,并未纳入法律合规审计义务。[54]或可规定由出口方直接审计进口方,但这真的是一个最优方案吗?尽管域外一些标准合同中确有资此类规定,即要求进口方允许出口方访问有关数据处理设施,向出口方开放个人信息传输过程中涉及设备的访问权限,但这很容易导致侵犯进口方知识产权、商业秘密等。同时实践中,出口方传输的个人信息可能来源于数个控制者,出口方实质仅是传输代理人。若单纯为落实合规审计义务而放开访问权限,可能在出现纠纷后难以确定责任。相较之下,由双方事先选定引入第三方独立主体,并进行第三方独立审计提交审计报告,证明双方都遵守了合同义务不失为另一条道路。
在个人信息收集、使用、处理实践中,数据处理外包是降低成本的有效手段。同时为来降低成本,外包方往往进行二次甚至三次外包使得处理链变得极为复杂,一些处理者之间的商业关系更是频繁更迭,部分外包处理者甚至并非合法商事主体。正是因为这些种种原因,个人信息主体作为弱势一方确有必要进行特殊保护,在合同中规定第三人权益行驶和保护相关规定,可以有效保护弱势主体。标准合同中最特殊对涉他条款就是受益第三人条款。[17]
该条款的主旨是保护个人信息权益。[55]出境传输中由于存在特殊风险和特别法益,个人信息主体易受损害,一旦出现个人信息安全事件短时间内无法确定过错方,受害人通过主张救济实现保障自身权利的目的。在标准合同中规定受益第三人事项,突破了合同相对性原则,给予第三人直接请求权。标准合同条款第五条明确规定了个人信息主体的权利,明晰“第三方受益人”概念,明确享有“第三方受益人”身份的主体,表面在立法层面上,认可“合同条款”具有第三人保护功能。此项条款下会产生两类请求权:一是访问、查询、更正、删除等权利,[56]二是违约损害赔偿请求权。[57]
个人信息主体得以主张查询权、复制权、更正权、补充权和删除权,这实际上是“个保法”中法定权利的合同化,主要体现的是消极权能。[18]例如,告知义务的主要承担者是出口方,进口方为辅助方履行方,但若出现出口方变更、合并等情形时,出口方恐无法履行义务,为保护个人信息主体权益给予其一定权利,使其在特殊情况下可适当介入合同,故标准合同条款中第五条规定了“双方约定个人信息主体作为本合同第三人享有以下权利:……”
违约损害赔偿请求权是实现对个人信息主体权益救济的最后“防线”,也是最关键的权利。根据民法典中的规定,对于合同违约,违约方承担无过错责任,但这仅仅涉及合同双方之间。对于由违约产生的对合同外第三方主体造成的损害,合同主体如何分配责任,并没有具体规定,但这却关系到如何落实对个人信息主体的保护。此时,若适用连带责任,优点是可以消除损害赔偿的不确定性,但也存在一定缺陷:(1)合同双方因为法律责任过重不愿使用标准合同制度,致使标准合同制度成为一纸空文;(2)连带责任并非对风险进行分配的最优方案。出口方将个人信息传至境外,创造了新的风险源,此时,出口方就进口方造成的损害承担连带责任尚属公平;但若进口方对出口方造成的损害也需承担连带责任,此时个人信息仍处于出口方控制下,此时基于连带责任要求进口方负责,明显违背公平原则。
标准合同条款中规定个人信息主体权利,确立违约损害赔偿请求权的目的,首要是为个人信息主体提供简便有效的损害赔偿路径,基于这一立法目的考量连带责任的确更有可能实现这一立法目的。但不可否认连带责任,在特殊情况下易使得合同双方负担不合理的增加,故适用连带责任应以法律规定或双方约定为适用前提,否则将会违反法律创设之一责任规则的初衷。[58]“个保法”个人信息侵权适用过错推定,共同处理者适用连带责任。[59]是以“合同条款”中延续了这些规定,但若要扩张连带责任适用情形,要求不论何种情况下合同双方都对个人信息主体承担连带责任,明显不符合法律有关规定。是以在最终的标准合同条款第八条第三款中规定:“双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。”一方面规定适用连带责任以实现对个人信息主体权益的全面保障,另一方面又通过规定承担责任超出范围可以追偿避免出现合同中一方主体责任过重的问题。
明确受益第三人条款的规范要点,对我们理解适用该条款有着重要意义。
第一,明确权利范围,这是该条款的核心关键,范围既不能过于宽泛也不能过于狭隘。过窄将无法难以全面保护个人信息主体权益;过宽严重现在合同双方主体的合法权益,打破责任范围限制。[60]若可主张的权利过多,会大幅提升合同双方所面临的责任风险。[61]是以SCCs作出了例外规定,在责任分配上偏向进口方。[62]但由于个人信息主体处于弱势地位,故对权利进行限制时,需要考虑境外出口对主体可能带来对各种影响。故“合同条款”第五条第五项作出了妥协,对受益人的权利范围进行了一定限制。
第二,赔偿范围的确定。在侵权损害赔偿请求权外给予个人信息主体违约损害赔偿请求权,其目的就是为实现对弱势的个人信息主体进行必要救济。个人信息安全事件发生后,一般不仅又人格权益损害,还涉及因第三人介入造成的个人信息侵权的“下游损害”。[63]相较之下,侵权损害赔偿标准更为客观合理,赔偿额更易确定明显更具优势。但各国侵权责任规定各有不同,境外可能不认可我国规定导致无法落实,而合同一般不存在是否认可的问题,这将使得违约救济更为顺畅。
关于违约损害赔偿的范围,该种赔偿不同于合同双方违约产生的损害赔偿。合同双方之间的标的是出境传输行为,出口方基于传输个人信息出境获得进口方给予的利于,进口方获得使用、处理个人信息的利益。若出现不履行或不恰当履行产生损失的,包括守约方的所受损失和可得利益损失,对于这些损失以完全赔偿为原则,但以可得利益为限。[64]我国一般将违约损害赔偿请求权基础分为两种模式:(1)合意模式,此种模式要求事先取得第三人的同意;(2)修正模式,此种模式下只要第三人未明确表示拒绝则适用于第三人。[65]
第三,法理依据明晰。我国法律对利益第三人合同进行了规定,要适用利益第三人合同并无障碍。[66]但域外国际利益第三人合同结构是否一致,或是否承认利益第三人合同,都有可能影响合同效力。若想要实现我国法语境下利益第三人条款的法律效果,可以在“合同条款”中规定类似于“发生纠纷时,若无约定,中国法优先适用。”的条款,以减少可能出现的纠纷。
外包实际就是委托处理的一种特殊情况,在此情形中。“个保法”第二十一条作为规定委托处理的条文,对其中的委托内涵应作广义解释,不仅仅指典型的委托合同,还应当包含服务、承揽等特殊类型。从现有的处理实际情况来看,各个公司、企业对个人信息的处理日益外部化。
委托处理的关键是委托方对受托方提出指示或要求。受托方据此对个人信息进行处理。委托人不得未实施处理行为进行抗辩,其不能因此免除责任,这涉及民法中履行辅助人原理。[67]但责任如何分配并不是其中最主要的问题,而是外包链条复杂难以厘清。委托方和具体受托方间的个别型委托处理合同相对滞后于数据处理实践,对相关链条进行探究时目光应当主要聚焦与复杂处理链和合同链。[68]
是否应当这样规定一直存在争议。[69]禁止条款的目的在于对进口方对权限进行一定限制,避免可能滥用风险。即通过对进口方处理个人信息范围进行限制,同时让出口方对域外处理行为可能引发的损害承担责任。合同对进口方限制越多,出口方就越能控制传输出境的个人信息,限制越少,进口方自由度就越大。
规定禁止再传输条款的目的,是希望限制进口方权限,使其处理个人信息时受到出口方的约束和限制。这一条款可以对进口方独立决策权产生影响,使其不得不考虑出口方要求,使得我国主体对已传至境外的个人信息仍然能产生一定影响。即便出现再传输,第一要务应当是确保相关主体知情权的实现,其后才是考虑是否应当撤回同意或提出反对进行维权,实现保护个人信息主体权益的基本立场。但信息的价值要通过流动才能体现,禁止性条款凸显维护个人信息安全的价值立场,却人为的排除了交易机会,有违现有实践,是以我国标准合同条款中并未采纳,而是准予特殊情况下的在传输,并进行了细致规定。[70]
标准合同制度并非我国首创,其实际来源于国际商事实践。通过十数年实践,因可以提高传输效率的同时实现对个人信息权益的保护而逐渐被一些国家所接受。我国最终确立了这一制度,使其成为我国三大个人信息出境具体监管工具。
我国通过“合同办法”及“合同条款”实现了对标准合同整体制度的初步构建。同时授权各地在“合同办法”的基础上制定切合各地实际的标准合同具体备案指南,使得标准合同制度开始逐渐在我国落实。但我国对于这一制度认识还相对不足,其中相关条款规定略显粗糙。结合域外标准合同条款进行分析,指出我国“合同条款”中的不足和缺陷,有助于完善我国标准合同制度,促进我国个人信息出境传输体制机制完善。明晰标准合同制度立法目的及上位依据,阐明其立法逻辑,结合实际情况,考虑国际商事相关原则和规制,提出相关完善意见,促使我国标准合同制度完善落实。
[1] 如我国香港地区在其影响下颁布了:《个人资料传输至香港之外:常见问题和示范合同》;国际商会颁布了:《涉及跨境数据流动的合同使用的示范条款》;加拿大商会颁布了《将个人信息传输至数据处理者的示范合同条款》。
[2] See AG Kassel,03.11.1998-424C1260/98;European Commission,Working Partyon the Protection of Individuals with regard to the Processing of Personal Data,Working Document:Preliminary views on the use of contractual provisions in the context of transfers of personal data to third countries,DGXVD/5005/98,WP9,22.04.1998,p.2;Model Contract to Ensure Equivalent Data Protection in the Context of Transborder Data Flows with Explanatory Memorandum,Study made jointly by the Council of Europe,the Commission of the European Communities and the International Chamber of Commerce,Stras-bourg,02.11.1992;ICC,Model Clause for Use in Contracts Involving Transborder Data Flows,1998;The Canadian Chamber of Commerce,ModelContractualClausesforTransferofPersonalInformationtoaDataProcessor,2002;PCPD,Transfer of Personal Data Outside Hong Kong:Some Common Questions,Model Contract,1997.
[3] See Commission Implementing Decision (EU)2021/914 of 4 June 2021 on standard contractua lclauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council,OJL199,07.06.2021,pp.31-61;ADCMIN,ASEAN Model Contractual Clauses for Cross Border Data Flows,22.01.2021;ICO,International Data Transfer Agreement,VersionA1.0,21.03.2022.
[4] 如:新西兰《Agreement of crossborder transfer of personal information》;新加坡《Sample Data Protection Clauses》。
[5] 如《数据出境安全评估办法》第九条:“数据安全保护责任义务”;《网络安全标准实践指南—个人信息跨境处理活动安全认证规范1.0》第5.2条:“个人信息处理者和境外接收方的责任义务”;《网络安全标准实践指南—个人信息跨境处理活动安全认证规范2.0》第6.2条:“个人信息处理者和境外接收方的责任义务”。
[6] 《个人信息保护法》第三十八条第一款。
[7] 《个人信息出境标准合同办法》第七条。
[8] 《个人信息出境标准合同办法》第一条。
[9] 《个人信息保护法》第四十二条。
[10] 境外接受方可以在被列入限制名单后,通过其关联或控股公司、企业来继续获得境内个人信息;也可通过其他公司间接获得。
[11] 《个人信息保护法》第三十八条第三款。
[12] 亦有观点认为,个人信息保护法第三十八条第三款间接实现了个人信息保护法的域外效力。参见周汉华主编:《个人信息保护法条文精解与适用指引》,法律出版社,2022,第257页。
[13] C-311/18Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems,CJEU Judgment of 16.07.2020,paras.94,105.
[14] 在《个人信息保护法》第三十八条第三款中仅为个人信息处理者(即出口方)设定义务,而通过增加本条解释规则,可以将境外接收方(即进口方)纳入规制范畴。
[15] 《个人信息保护法》第三条第二款。
[16] 欧盟通过《位于欧盟/欧洲经济区的控制者和处理者的标准合同条款的委员会执行决定》和《向第三国传输个人数据的标准合同条款的委员会执行决定》,分设两套条款。参见CommissionImplementingDecision(EU)2021/915of4June2021onstandardcontractualclausesbetweencontrollersandprocessorsunderArticle28(7)ofRegulation(EU)2016/679oftheEuropeanParliamentandoftheCouncilandArticle29(7)ofRegulation(EU)2018/1725oftheEuropeanParliamentandoftheCouncil,OJL199,07.06.2021.
[17] 《个人信息出境标准合同办法》第四条。
[18] See European Commission,Working Party on the Protection of Individuals with regard to the Processing of Personal Data,Transfers of personal data to third countries:Applying Articles 25 and 26 of the EU data protection directive,DGXVD/5025/98,WP12,24.07.1998,pp.22-23.
[19] 《个人信息保护法》第七十三条第一款。
[20] 《个人信息保护法》第三十八条。
[21] 另一种通常成为多元模式,如:在国际商会制定的《涉及跨境数据流动的合同使用的示范条款》中规定为无强制力的推荐性条款,适用的是多元模式,内容源于其他国际组织隐私指南中的原则、行为规范守则、行业标准和国际标准。See Transborder Data Flow Contracts in the Wider Framework of Mechanisms for Privacy Protection on Global Networks,OECDD igital Economy PapersNo.66,21.09.2000,OECD Publishing,Paris,pp.9-10.
[22] 《个人信息保护法》第四条第二款。
[23] 《个人信息保护法》第五条-第九条。
[24] 《个人信息保护法》第四十四条-第五十九条。
[25] 《个人信息保护法》第四十四条。
[26] 《个人信息保护法》第四十六条。
[27] 《个人信息保护法》第四十七条。
[28] 在传输期间,个人数据的安全义务既可以是进出口方的共同义务,也可仅作为出口方义务。例如,SCCs模块一第8.5条第a项、模块二和模块三第8.6条第a项和模块四第8.2条第a项,都设置为进出口方的共同义务,构造为“处理安全性义务”的一项子义务。MCCs模块一第2.3条规定为出口方义务,模块二第4.1条规定为进出口方的双方义务。
[29] 进口方的数据安全义务,例如SCCs模块一第8.5条第b项和第c项,模块二和模块三第8.6条第b项;MCCs模块二第3.2条。
[30] 即境外接收方的处理行为满足《个人信息保护法》第三条第二款的规定时。
[31] 参见SCCs模块一第8.5条第e项,模块二和模块三第8.6条第c项,模块四第8.2条第b项;MCCs模块一第3.10条,模块二第3.4条;IDAT第15.2.1条。
[32] 《个人信息保护法》第五十七条;《数据安全法》第二十九条亦规定了数据安全事件的通知义务。
[33] 《个人信息保护法》第五十七条。
[34] 《个人信息保护法》第六十六条。
[35] 《个人信息保护法》第五十七条。
[36] 《数据安全法》第九条第六项。
[37] 就通知事由,标准合同条款第三条第七项虽然规定了进口方的通知义务,但仅限于第三条第七项的“数据泄露”情形,即个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问。对“数据泄露”情形的封闭式列举,无法涵盖所有可能发生的个人信息安全事件,通知事由范围过窄,将难以因应信息技术发展。
[38] 《个人信息保护法》第五十七条第一款第一项和第二款。
[39] 《数据安全法》第二十九条。
[40] 《个人信息保护法》第十七条、第十八条。
[41] 《个人信息保护法》第二十二条。
[42] 《个人信息保护法》第四十五条、第四十八条。
[43] 参见SCCs模块一第8.2条第c项;MCCs模块二第4.3条;IDTA第18条。
[44] 例如,SCCs模块二和模块三第8.3条规定,出口方须应数据主体之要求,向其提供条款副本。
[45] 《个人信息保护法》第三十九条、第五十三条。
[46] 就告知义务,《个人信息出境标准合同》第二条、第三条分别规定个人信息处理者和境外接收方的告知义务,第二条合理区分正文所述的两种类型,其第二项与第三项为主动告知的义务内容,第八项是经问询的告知义务。就境外接收方的告知义务,第三条第二项仅设置了经问询的告知义务。
[47] 《个人信息保护法》第六条第一款。
[48] SCCs模块一第8.1条,模块二和模块三第8.2条;MCCs模块一和模块二第3.1条;IDTA第12.1.1条。
[49] 《个人信息保护法》第十三条第一款第一项、第十四条第二款、第二十三条。
[50] 《个人信息保护法》第十三条第一款第二-七项和第二款。
[51] 《个人信息出境标准合同》第三条第五项。
[52] 《个人信息保护法》第五十四条。
[53] 例如,SCCs“文件和合规条款”(Documentation and Compliance)规定,各方应证明其遵守了合同义务。参见SCCs模块一、模块二、模块三第8.9条,模块四第8.3条。MCCs模块一第3.6条也规定,进口方应根据出口方的合理要求,提供对其数据处理设施、数据文件和资料的访问,以用于审计目的,核实是否符合合同义务。
[54] 《个人信息出境标准合同》第三条第十一款:承诺向个人信息处理者提供已遵守本合同义务所需的必 要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者 对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合 规审计提供便利。
[55] 如SCCs第三条规定,数据主体得以受益第三人身份,向进口方和/或出口方援引并执行“合同条款”。
[56] 《个人信息出境标准合同》第五条第一款。
[57] 《个人信息出境标准合同》第五条第五款。
[58] 李宇:《民法总则要义:规范释论与判解集注》,法律出版社,2017,第851页以下。
[59] 《个人信息保护法》第二十条第二款、第六十九条。
[60] 一般认为这种合同中的责任范围受到由合同相对性原则和侵权规则的限制。
[61] 例如欧洲信息与通信技术产业协会和国际商会就曾指出,对进口方设置担责条款不实用、不公平。
[62] Vgl.Axel Freiherr von dem Bussche,in Flemming Moos (Hrsg.),Datenschutz-und Datennutzung,3.Aufl.,2021,Rz.28.46;Philipp C。Räther/Nicolai Seitz,Ausnahmen bei Datentransfer in Drittstaaten-Die beiden Ausnahmen nach§4 c Abs.2 BDSG:Vertragslösung und Code of Conduct,MMR2002,520(525).
[63] 《个人信息保护法》第六十九条第二款。
[64] 此处受益第三人条款其构造更接近德国法上附保护第三人作用的合同。
[65] 《个人信息出境标准合同》第二条第三款。
[66] 《民法典》第五百五十二条。
[67] 例如,SCCs模块一第8.8条为“进口方的授权处理条款”,进口方应确保任何在其授权下行事的人员仅根据进口方的指示处理数据。
[68] 就委托处理和转委托,标准合同条款并未单列委托处理条款,仅在境外接收方的义务即第三条第八项之下,规定“受个人信息处理者委托处理个人信息,转委托第三方处理时,事先征得个人信息处理者同意;确保转委托的第三方不超出本合同附录一‘个人信息出境说明’中约定的处理目的、处理方式等处理个人信息……”。
[69] 再传输条款,在MCCs、SCCs和IDTA中皆有规定。SCCs模块一第8.7条、模块二和模块三第8.8条规定,禁止进口方向欧盟外的第三方披露个人数据,仅在特定要件下允许再传输。MCCs模块一第3.2条规定,进口方不得向第三方、执法机关或法律实体披露或传输其从出口方处获得的个人数据,除非其已书面通知出口方并为其提供合理反对机会。IDTA第16.1条限定了允许进口方再传输的几种情形。
[70] 《个人信息出境标准合同》第三条第八项。