跨境數據合規 | 全球數據跨境流動標準合同條款研究（英國篇）_風聞

走出去智庫觀察

為了規範個人信息出境活動，保護個人信息權益，促進個人信息跨境安全、自由流動，國家互聯網信息辦公室日前起草了《個人信息出境標準合同規定(徵求意見稿)》。

走出去智庫 (CGGT) 特約法律專家、北京德恆律師事務所合夥人王一楠指出，對於剛剛完成脱歐進程的英國而言，英國國際數據傳輸協議（IDTA）儘管在實質上並未與歐盟標準合同條款（SCC）分道揚鑣，卻已完成了在形式與風格上脱離歐盟SCC思路的第一步，併成功將相關法律爭議的解決完全收歸英國境內的法院或仲裁機構，是英國在個人數據保護領域收回其立法及司法主權的第一步。可以預見英國SCC未來還會發生新的變化，這不僅是因為英國信息專員辦公室（ICO）即將發佈英國IDTA與歐盟SCC英國附件的解釋與指南以及TRA指南，更是因為英國政府已在英國下議院宣佈了改革英國GDPR的立法計劃，旨在賦予英國企業更大的靈活性。

英國數據出境標準合同條款有哪些重要規定？今天，走出去智庫（CGGT）刊發北京德恆律師事務所王一楠和周望的文章，供關注跨境數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、英國SCC大刀闊斧地重塑了歐盟SCC的行文邏輯與架構，在不降低或改變個人數據保護標準的前提下做到了簡潔、明晰與有效。

2、不同於歐盟SCC強制要求以法院訴訟解決爭議，英國IDTA的各簽署方以及數據主體均有權選擇仲裁。

3、英國ICO特意允許了自英國的個人數據出境活動仍然可以使用當前版本的歐盟SCC，僅需附加一個歐盟SCC英國附件。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

引言

2022年06月30日，國家互聯網信息辦公室發佈了《個人信息出境標準合同規定（徵求意見稿）》（“中國標準合同”），標誌着這個在國際上被廣泛採用個人信息跨境流動保護性措施首次在我國開始“生根發芽”。

標準合同或稱標準合同條款（Standard Contractual Clause或SCC）系監管部門為了確保個人信息在出境之後保護水平不低於本國標準而要求數據傳輸方與境外數據接收方簽署一個官方制定的合同模板。該做法通過合同的約束力將境內的管轄權“延伸”至境外，達到一定“境內法域外適用”的效果，以保護處於相對弱勢地位的個人信息主體權益。

隨着數據跨境流動的數量急劇增長以及相關安全風險的不斷湧現，世界上很多國家和地區也都先後推出了自己的版本。鑑於中國標準合同版本正在徵求意見，筆者將世界上主要國家和地區已頒佈的標準合同進行逐一研究，形成系列文章，以資借鑑。

一、英國SCC的出台背景

2022年2月2日，英國的個人數據保護機構——英國信息專員辦公室（Information Commissioner’s Office）（“英國ICO”）根據英國脱歐後所制定的《英國通用數據保護條例》（“英國GDPR”）與《英國2018年數據保護法》（Data Protection Act 2018）第119A條發佈了標準數據保護條款（Standard Data Protection Clauses）（“英國SCC”）。該條款已於2022年3月21日正式生效，標誌着在通過標準合同進行個人數據跨境傳輸方面，英國走出了逐漸獨立自主於歐盟的第一步。

英國GDPR脱胎於歐盟GDPR，且兩者之間的差別不大。因此，英國SCC在適用範圍、對簽署方所起的作用以及個人數據保護的最終效果上因此也與歐盟SCC基本一致。然而，英國SCC大刀闊斧地重塑了歐盟SCC的行文邏輯與架構，在不降低或改變個人數據保護標準的前提下做到了簡潔、明晰與有效。

二、英國SCC的基本架構

英國SCC目前分為國際數據傳輸協議（International Data Transfer Agreement）（“英國IDTA”）與歐盟委員會標準合同條款國際數據傳輸附件（International Data Transfer Addendum to the EU Commission Standard Contractual Clauses（“歐盟SCC英國附件”）兩份相互獨立的文件，供數據傳輸方與接收方任選其一使用。

除了上述兩份文件外，英國還允許暫時繼續使用舊版歐盟SCC。這主要是有鑑於英國內外有大量的個人數據控制者（Controller）與處理者（Processor）曾於英國脱歐之前在歐盟GDPR的框架下籤署了舊版歐盟SCC，而且舊版歐盟SCC即使在歐盟也仍處於過渡期。因此，英國ICO並未強制要求立刻廢除舊版歐盟SCC並採用英國SCC，而是給予了長達兩年的過渡期。具體來説，舊版歐盟SCC在2022年9月21日之前仍然可以簽署，而之後雖然不能簽署，但只要個人數據跨境傳輸的範圍、處理方式與處理目的等方面沒有發生重大變化，舊版歐盟SCC的有效期可以持續到2024年3月21日（該寬限期甚至要長於歐盟的）。

圖1：舊版歐盟SCC在英過渡期示意

三、英國IDTA

作為英國SCC中最重要的文件，英國IDTA對歐盟SCC在形式上進行了大幅調整，同時又在內容上與後者保持了實質性一致。

1.四大組成部分

英國IDTA分為四大部分：表格、額外保護條款、商用條款以及強制條款。其中，前三部分可由簽署方自行修改，僅需保留實質內容且不損害個人數據在境外所應獲得的適當保護即可。第四部分強制條款則禁止更改或增刪，簽署方只允許刪除其中不適用的條款或是為了確保正確引用目的而修改所引用的前三部分序號內容。

（1）表格部分

英國IDTA的簽署方可以利用表格填寫個人數據跨境傳輸的相關信息，包括數據傳輸方與數據接收方的詳情及分類（即屬於控制者還是處理者），個人數據類別、數據主體類別、目的、期限，英國GDPR是否適用於數據接收方等。表格還要求籤署方對某些重要事項作出選擇，包括傳輸活動是否涉及敏感個人數據，個人數據類別等信息是否隨主合同（Linked Agreement）修訂而自動更新，法律適用與管轄地（英格蘭與威爾士、北愛爾蘭、蘇格蘭三地中擇一），單方終止權，再傳輸（Onward Transfer），以及數據安全要求等。

（2）額外保護條款部分

作為第二部分的額外保護條款，是英國根據歐洲法院Schrems Ⅱ判決的要求與精神所而加入的。根據該判決，數據傳輸方與數據接收方在進行以標準合同作為合法性基礎的個人數據跨境傳輸之前，都必須要先自行對數據接收方當地法律等因素完成傳輸風險評估（Transfer Risk Assessment，“TRA”）；如果TRA的結果顯示，標準合同無法完全確保個人數據在境外也能獲得與境內相當的保護水平，則雙方必須採取額外措施儘量補足保護水平的差異；如果確實無法補足，則應放棄跨境傳輸。額外保護條款要求雙方列明根據TRA結果所需額外執行的個人數據保護措施。

（3）商業條款部分

商業條款是英國IDTA中靈活性最強的部分。其主要作用是在雙方未簽訂主合同時提供一處能簡短描述雙方除個人數據跨境傳輸之外的其他權利義務的空間。

（4）強制條款部分

強制條款則是英國IDTA的正文，也是實質性約定雙方權利義務的部分；其中又分為總則條款（§1—§10、§25、§36），數據傳輸方（§11），數據接收方（§12—§17），數據主體權利（§18—§22），第三方根據當地法獲取傳輸數據（§23—§24），違約（§29—§31），爭議解決（§32—§35）等七個小節。

2.SCC的區別

（1）行文措辭

英國IDTA雖然在實質要求及內涵上與歐盟SCC保持一致，但在正文架構以及行文措辭上與後者區別很大。

英國IDTA取消了歐盟SCC一直堅持採用的模塊（Module）化設計，不再略顯死板地將大部分條款都分為控制者向控制者傳輸（C—C場景）、控制者向處理者傳輸（C—P場景）、處理者向處理者傳輸（P—P場景）、處理者向控制者傳輸（P—C場景）這四大模塊，而是使用了“如果數據接收方是處理者或次級處理者，則……”等語句，將需要因應雙方處理地位不同而變通規定的情況作為例外，其他情況按照統一適用來設計，簡化了行文邏輯與架構。

此外，英國IDTA使用了更為精煉、簡潔、易懂的英語去表達能與歐盟SCC各條款近乎相同的含義，並且大幅減少了英國IDTA的條款內部相互引用以及引用UK GDPR條文的情況，便於相關各方（尤其是簽署方以及數據主體）理解與使用。

（2）適用範圍

英國IDTA的適用範圍是相較於歐盟SCC實質性變化最大的方面之一。

目前歐盟SCC僅適用於受歐盟GDPR管轄的數據傳輸方向不受歐盟GDPR管轄的數據接收方進行的個人數據傳輸，但對於位於歐盟境外且個人數據處理活動受到歐盟GDPR域外管轄的數據接收方卻並不適用。也就是説，歐盟GDPR的適用範圍只關注法律管轄的變化（“跨管轄境”），而不關心物理國界的變化（“跨物理境”）。針對這種情形，歐盟委員會（EU Commission）已宣佈將針對僅跨越物理境而不跨越管轄境的情況發佈較為簡化版的歐盟SCC。

圖2：歐盟SCC目前適用範圍示意

而英國IDTA則畢其功於一役，對於跨越管轄境以及跨越物理境兩種情況均可適用。無論數據接收方是否受到英國GDPR的域外管轄，只要數據接收方位於英國境外，數據傳輸方就可以與其通過簽署英國IDTA進行個人數據跨境傳輸。而位於英國境外但受到英國GDPR域外管轄的數據傳輸方，向任何不位於英國境內的接收方，也可以適用英國IDTA。換句話説，只要滿足了跨越物理境或跨越管轄境兩項條件之一，英國IDTA即可適用。

同時，英國IDTA又規定，如果數據接收方已經受到英國GDPR的域外管轄，則某些與數據接收方義務相關的條款（§13、§15、§21）不適用，而應繼續統一適用英國GDPR的規定。這種做法遵循歐盟的思路，為已經受到英國UK GDPR管轄的數據接收方提供了較為簡便的標準合同版本。

圖3：英國IDTA適用範圍示意

（3）仲裁條款

英國IDTA的仲裁條款在實質內容方面也與歐盟GDPR偏離。不同於歐盟SCC強制要求以法院訴訟解決爭議，英國IDTA的各簽署方以及數據主體均有權選擇仲裁。而且，其仲裁條款要求適用《倫敦國際仲裁院規則》（Rules of the London Court of International Arbitration），以倫敦為仲裁地，英格蘭法為仲裁地法，且必須以具備英國數據保護法律經驗的律師為獨任仲裁員。

四、歐盟SCC英國附件

由於英國與歐盟之間緊密的經貿聯繫，許多企業往往會在兩地均有業務，更因為歐盟GDPR的影響力比英國GDPR更大，且後者未對前者作出實質性修改，英國ICO特意允許了自英國的個人數據出境活動仍然可以使用當前版本的歐盟SCC，僅需附加一個歐盟SCC英國附件。

歐盟SCC英國附件分為表格與強制條款兩部分。表格部分主要是供使用此附件的各簽字方填寫相關信息，包括各方的基礎信息，所簽署的歐盟SCC中各簽字方所選的模塊（Module）、可選條款、附加信息，以及雙方是否有權在新版歐盟SCC英國附件發佈時中止歐盟SCC英國附件等。雙方有權在不改變原文實質含義的情況下修改表格部分。

而強制條款部分則是歐盟SCC英國附件的正文，禁止任意修改。該部分主要起到調整各簽字方所簽署的歐盟SCC的作用。經過比較可以發現，這些強制條款也並未對歐盟SCC作出實質性的修改或調整，而僅僅規定了：如何簽署與解釋歐盟SCC英國附件，該附件與歐盟SCCs的效力位階，該附件的適用範圍（歐盟的個人數據跨境傳輸不適用），歐盟SCC中提及歐盟、歐盟機構以及法律的部分替換為英國和英國對應的機構以及法律等其他非實質性修訂的內容。

值得注意的是，強制條款部分雖然允許歐盟SCC根據歐盟委員會的修訂而隨時修改，但同時也規定，僅有當前版本的歐盟SCC是經批准的歐盟SCC（Approved EU SCC）；如果日後歐盟委員會發布的新版歐盟SCC與當前經批准的歐盟SCC不一致，除非前者能為數據主體提供更大程度的保護，否則後者的效力優先。這一規定保證了歐盟SCC英國附件相對於歐盟SCC能保持一定程度的獨立性，避免出現其隨歐盟指揮而走的尷尬局面。

此外，強制條款部分中關於管轄法院的內容取消了歐盟SCC第四模塊（P—C場景）第18條所允許的第三國法院管轄，改為統一要求在英國英格蘭及威爾士法院、蘇格蘭法院、北愛爾蘭法院三者之中擇一管轄，在這方面的修改具有一定程度的實質性。

五、評價與展望

現行英國SCC總體而言兼顧了英國主權獨立、脱歐過渡期、英國與歐盟間緊密經貿關係以及英國GDPR受歐盟GDPR極深影響等幾大方面因素的考量，既有過渡辦法和可以與歐盟SCC共同使用的歐盟SCC英國附件，也有完全獨立構建的英國IDTA。

對於剛剛完成脱歐進程的英國而言，英國IDTA儘管在實質上並未與歐盟SCC分道揚鑣，卻已完成了在形式與風格上脱離歐盟SCC思路的第一步，併成功將相關法律爭議的解決完全收歸英國境內的法院或仲裁機構，是英國在個人數據保護領域收回其立法及司法主權的第一步。

而歐盟SCC英國附件從其目前的內容與形式上來看，不僅僅是英國個人數據跨境傳輸的一種脱歐過渡時期的權宜之計，更將會是一項長期有效、可以與歐盟SCC共存的法律文件。同時，對於在英國與歐盟兩地設有機構並需要以標準合同的途徑向英國與歐盟之外傳輸個人數據的跨國公司來説，可以通過與數據接收方僅簽署歐盟SCC外加歐盟SCC英國附件的便捷方式，來同時滿足英國與歐盟兩大地區的個人數據跨境傳輸要求。

此外，我們也可以預見英國SCC未來還會發生新的變化。這不僅是因為英國ICO即將發佈英國IDTA與歐盟SCC英國附件的解釋與指南以及TRA指南，更是因為英國政府已在英國下議院宣佈了改革英國GDPR的立法計劃，旨在賦予英國企業更大的靈活性——包括移除小企業的數據保護官（DPO）和數據保護影響評估（DPIA）要求，以及改革英國ICO等。這些舉措勢必將導致包括英國IDTA在內的各項英國個人數據保護制度進一步與歐盟GDPR的各項制度漸行漸遠。

來源：德恆律師事務所