《个人信息出境标准合同》的点评和改进建议 (上)| 数据法评
作者:高云
本文就中国数据跨境新规——《个人信息出境标准合同规定》及《标准合同》(征求意见稿)内容进行全面分析并提出相应的改进建议,具体分析包括标准合同的法律地位、合同框架和体系、境外接收者的主体范围、个人信息处理者和境外接收方的义务难点、个人信息主体的法律地位、合同解除、合同转让、合同备案以及实施流程重点等十一个重点问题,期待监管部门能够充分听取来自于实务界的声音,做出更好一版的《规定》和《标准合同》。
为规范个人信息出境活动,国家互联网信息办公室(下称“网信办”)于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称《规定》)和《个人信息出境标准合同》(下称《标准合同》)。作为《个人信息保护法》(下称《个保法》)的配套制度与文件,与此前网信办发布的《数据出境安全评估办法(征求意见稿)》(下称《评估办法》)《网络数据安全管理条例(征求意见稿)》(下称《网数条例》)等规范形成了一个完整的数据跨境规范和监管体系,共同确保《个保法》第三十八条得到落实执行。
本文就《标准合同》的相关重点问题、制度创新和不足进行点评,旨在与行内人士进行专业交流。
一、关于《标准合同》的法律地位和研究方法
要真正看懂和用好《标准合同》,不要着急去拿《标准合同》去对照欧盟、美国和港澳台的个人信息法律,这样只能让你明白《标准合同》条款的用意,但《标准合同》是否合法和必要,还是必须回归到我国《民法典》,《标准合同》必须符合《民法典》的相关规定方才有效。
在我国《民法典》当中,合同只有典型合同、非典型合同和准合同三种分类。另外按照形式分,合同也只有格式合同和非格式合同两种,标准合同这个概念在《民法典》当中有无出现,究竟应当如何准确判断它的法律地位呢?
首先我们了解一下标准合同的由来。标准合同(SCCs)这一提法最早见于欧盟,其后世界各国均有借鉴学习,标准合同在我国法律当中的出现,见于《个人信息保护法》(下称《个保法》)第三十八条规定:
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
即仅限于个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息时,个人信息处理者可以选择的四种合规路径之一。
从表面上看,《标准合同》属于依托国家法律强制力制定的合同,似乎符合《民法典》规定的格式合同形式特征,但如果深入分析后你会发现,无论是制定者(格式合同的制定者仅限于合同一方)、合同内容(未经与对方协商而反复使用)等主要特征,还有生效依据这个最根本特征,其实完全不同,标准合同依托于《个保法》,而格式合同由一方拟定。
可见,标准合同与《民法典》规定的格式合同有本质区别,并非格式合同的一种。
根据我国的立法原理,如果普通法和特别法有不同时,优先适用特别法。因此,标准合同依据《个保法》,正式加入中国合同的大家庭,成为了《民法典》合同编所述的典型合同、格式合同、准合同之外的另外一个新的合同物种。
但是,并非说标准合同依据《个保法》出生,就可以超越中国法律尤其是《民法典》。
因为《民法典》在中国属于基本大法,凡是特别法没有规定的,均应当适用《民法典》。标准合同也是如此,《个保法》仅指明除了《标准合同》的产生依据,但从合同形式到内容,从框架、体系、条款到字词,《标准合同》毫无疑问应当受到《民法典》合同编的规范和约束。
所以,我们在研究《标准合同》时要注意,《标准合同》借鉴了外国不少成功经验,富有创新精神,大方向值得肯定,但我们不要动辄就将《标准合同》与欧盟、香港SCCs作对比,甚至盲目对照执行,关于《标准合同》的一切问题,还是应当回归到《民法典》上。
客观地说,既然有创新,就必然有失误,《标准合同》存在不少与《民法典》冲突甚至违反之处,例如合同主体的资格判断、合同的成立、生效、解除、转让等,这些都需要立法部门引起重视和及时修正,详细分析请详见如下各点。
二、关于合同框架和体系的改进建议
1.关于整体框架的改进
现有版本的《标准合同》总共有9个条款,包括有定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他。
从设计思路来看,《标准合同》整体框架欠缺统筹安排,例如9个条款与《民法典》合同编的典型条款有非常大差异;《标准合同》条款标题和内容之间关联度不高,例如救济条款当中混杂了通知与送达等条款;条款之间关系混乱,叙事线索不明。每个条款内容只讲单方义务,而我们常见的合同,每个条款应当同时讲述权利和义务。
简而言之,《标准合同》更像是一部规定管理对象义务和责任的法规,而不是一份合同双方约定各自权利和义务的合同。
什么是合同?根据《民法典》第464条规定,“合同是民事主体之间设立、变更、终止民事法律关系的协议”。所以合同条款与法条有如下区别:
第一,写法上,法条应当力求抽象、简练,因为需要尽可能覆盖现实当中各种实际情况。而条款写法力求具体、详细,因为需要适合合同双方具体情况。
第二,内容上,法条侧重讲述管理对象的义务和责任。而条款需要同时描述合同双方的权利和义务。缺少了权利,合同就不是合同了。
按照高云总结的“合同六法”知识体系,一份规范的合同,除了合同开头的篇首模块,合同尾部的篇末模块外,合同正文通常可由如下四大部分组成:
第一部分,关系模块,主要作用是对民事法律关系进行准确定性,通常包括有用语和定义条款、合同目的条款、合同主体概况、合同交易或服务内容等条款。
第二部分,流程模块,主要作用是描述交易过程和双方权利义务,例如发送、接收、结算、开票和双方权利义务等条款。
第三部分,保障模块,主要作用是保障合同顺利履行,例如声明与承诺条款、保密条款、知识产权条款、数据安全条款以及通知与送达等条款。
第四部分,救济模块,主要作用是合同发生意外时的救济手段,例如合同组成、补充、变更、抗辩、转让、不可抗力、解除、违约责任和纠纷解决等条款。
高云建议,《标准合同》的整体框架设计和条款安排,可以参考上述思路作尽一步的完善。
2.《标准合同》需要澄清正文、附录和补充协议之间的关系
《规定》第二条规定,“个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突”。因此,《标准合同》在开篇就写明,个人信息处理者与境外接收方依据本合同和附录一开展活动,构成本合同的组成部分。第九条再次写明,“如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用”的规定,都表达了类似的意思,即合同双方签订的其他文件不得与《标准合同》相冲突。
但是,上述规定和约定仍然遗漏了现实当中存在的两种常见情形。
正如我在前面对于《规定》的点评文当中所述,遗漏了《标准合同》没有规定而补充部分有规定,以及《标准合同》只有原则性规定而补充部分作了详细或扩张性解释时如何处理总共两种情况。
对于这类情况,可以参考欧盟《关于向第三国转移个人数据的标准合同条款》的立法技术,即:”根据GDPR第28(7)条规定的标准合同条款,除选择适当的模块或增加或更新附录的信息外,均不得修改。这并不妨碍双方将本条款中规定的标准合同条款纳入更广泛的合同中和/或增加其他条款或额外的保障措施,只要它们不直接或间接地与本条款相矛盾或损害数据主体的基本权利或自由。”
高云建议可以在《标准合同》或者补充协议当中写明:
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同以及本合同附录,不得违背本合同目的或与本合同条款约定相冲突。
三、关于境外接收者的主体范围
1.境外接收者是否同时包括组织或个人?
根据《个保法》还有《标准合同》第一条的定义条款,答案是肯定的。但从《标准合同》的设计样式来看,似乎只考虑了组织这一种主体,例如《标准合同》第六条救济条款规定,“(一) 境外接收方应在组织内部确定一个联系人”,还有合同签署位要求境外接收方的法定代表人签名,几处内容设计特点都显示,目前《标准合同》版本只适应组织这一种主体,尚欠适应个人的版本。
2.境外接收者是否包括国际组织或境外的行政机关?
目前《规定》和《标准合同》都没有明确规定,但根据《标准合同》内容特点来分析,属于平等主体之间的约定,所以应当不包括。所以由此理解为什么欧盟关于SCCs的问答,也明确SCCs仅限于商业场景。
3.境外接收方是否包括中国港澳台地区的组织和个人?
现有《规定》和《标准合同》都无明确,但参考我国的司法实践和香港地区已有SCCs的实际情况下,港澳台地区组织和个人应当也参考境外接收方主体性质做同样的待遇处理。
4.境外接收方向第三方转提供个人信息的行为,是否需要纳入《标准合同》体系当中监管?
现有的《规定》和《标准合同》给这种情况开了一个口子,就是能够同时满足四个条件即为允许,不需要备案。四个条件分别是:
① 业务所需
② 获取信息主体单独同意
③ 与该第三方达成书面协议
④ 向个人信息处理者提供协议副本
仔细推敲一下这四个条件,其实都是比较容易的。可以预见,这对于境外接收方而言,应该是一个比较明显的逃脱监管的漏洞。将来这个问题可能会引发何种影响,还需要进一步观察。
5.境外接收方的内部某个部门或关联方,例如部门、办事处、分公司、子公司、合资公司或合作伙伴等,应当包括在境外接收方之内呢还是视为一个独立的转提供方?
有人可能会觉得这个不是问题,以该主体是否具有独立法人资格为准——不具有独立法人资格的就包括在境外接收方之内,如果具有就视为独立的转提供方。
问题是,中国法律和外国法律大相径庭,对于法人的定义和承担法律责任的能力判断标准差异很大,应当如何判断这个关联方的法人资格呢?
显然,这就涉及到如何适用法律的问题了。
有人会说,《标准合同》第九条不是已经写明“本合同适用于中华人民共和国相关法律法规”了吗?其实,上述约定因为过于简短,容易被作狭义理解,即仅限于合同发生争议时选择中国法管辖,但在没有发生争议时,对主体资格认定就不一定需要选择中国法了,尤其是境外接收方按照外国法律登记成立,不适用中国法律完全有理由。还有,上述法律适用条款甚至可能被解读为只包括实体法,不包括程序法。
为了杜绝上述歧义,高云建议将第九条修改如下:
凡是涉及本合同主体资格判断、合同签订、解释、履行和纠纷解决过程当中的一切实体和程序问题和事项,均适用中华人民共和国法律法规(不包括中国香港、中国澳门和中国台湾地区),不考虑一切冲突法规范。
四、关于个人信息处理者的义务难点
《标准合同》对于个人信息处理者赋予了若干义务,其中最容易产生歧义的是第二条第四款的规定,如何判断个人信息处理者“已尽合理的努力确保境外接收方能够履行本合同规定的义务”?
仔细阅读《标准合同》前后规定,你会发现一个有趣现象,就是《标准合同》对个人信息处理者和境外接收方的要求程度不同,第二条对个人信息处理者的义务程度要求为“尽合理的努力”,而第四条对境外接收方的义务程度要求提高到“尽最大努力”,《标准合同》其实已经对个人信息处理者比较照顾了。
问题是,这种从“最大努力”降到“合理努力”的照顾,其实是没有意义的,因为无论“合理”或“最大”,个人信息处理者都无法做到。
第一,“最大”或“合理”,这个标准都非常主观,没有可度量、客观的标准,实务当中难以落地执行。
第二,后面要求“确保另一方能够履行合同的义务”,这个问题更加无法实现。
因为在中文语境当中,“确保”等同于“保证、承诺”,等于一方为另一方的守约行为下保证。
按照常理,合同一方是否能够履行合同,除了客观条件是否具备外,主观意愿也是必不可少的。
例如,境外接收方无论从历史、资金、资源、企业规模和综合实力来看,都完全具备履行本合同规定义务的客观能力,但因为股东会、董事会有异议或者甚至是国外政府决定(与个人信息保护无关的)等意外因素,境外接收方就是迟迟不愿意履行合同。
个人信息处理者有什么能力或手段,能够确保对方一定守约呢?
所以,《标准合同》问题不在于“合理”还是“最大”,而是后面“确保”这个担保性的要求无法实现。
高云建议,删除“确保”,将之改为“证明”,完整条款修改如下:
个人信息处理者已尽合理的努力证明境外接收方具备履行本合同义务的客观条件。
五、关于境外接收方的义务难点
《标准合同》第三条赋予境外接收方若干义务,其中有如下几条值得重点关注:
义务1:确保出境个人信息范围仅限于实现处理目的所需的最小范围。
义务2:确保存储个人信息的期限为实现处理目的所必要的最短时间。
义务3:确保对数据访问者仅授予最小授权的访问控制策略,使前述人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。
值得注意的是,这些义务都有“最小、最短、最少”等极限要求。其实,在中文语境当中,尤其是规定双方权利义务的中文合同当中,这些极限词通常极少几率出现,因为过于主观,无法评判和实现,而非很容易引起双方争议。
在中国实务当中,这些极限词大几率会出现在海归律师摘抄、翻译自外国的各种合同版本当中,因为外文语境很喜欢这些极限词,而这点,与中文合同有非常大的区别。
我在前面已经说过,《标准合同》遵守的是《民法典》,而不是美国、欧盟或港澳台的SCCs。因此,高云建议《标准合同》当中应当尽量少用或者不用这些沿袭于外文合同的极限词。
如果将来《标准合同》当中依然存在这些极限词,用户应当怎么面对?高云建议的解决方案是,首先应当要求境外接收方自证其要求提供个人信息的正当性、必要性说明,最好能够提供第三方的评估或审计报告,而境内的个人信息处理者对上述说明、评估或审计报告进行适当复核,即可解决问题。
——————————————————————
高云,本名汪宏杰,30年法律从业经验,“合同六法”、“中国高质量合同范本库”创始人,擅长不良资产、并购重组、企业合规和法律顾问等业务,服务客户覆盖金融、互联网、房地产、服务、快销等行业。多年来先后出版《思维的笔迹》《公司法实务指南》《民法典时代合同实务指南》等14本法律实务类畅销榜冠军书籍,在中国法律界享有较高的知名度。
