罗琳娜

（图片来源：中国贸易新闻网）

2021年6月4日，欧盟委员会颁布了两套新版数据跨境传输标准合同条款（Standard Contractual Clause，以下简称“SCC”），其中一套适用于数据控制者和处理者之间，另一套适用于向第三国传输个人数据。这两套SCC将于2021年6月27日开始生效。SCC的修订体现了不同阶段欧盟对于数据保护的要求。受新版《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）以及欧盟法院Schrems II判决的影响，两套新版SCC细化了数据安全保护措施，进一步提升了欧盟的数据保护水平。这不仅会影响欧盟一段时间以内的国际贸易合作，还会增加国际社会在数据跨境流动中的合规成本。

一、新版SCC出台的原因

所谓SCC，是数据接收方和数据处理方在进行数据跨境传输前需要签进合同里面的规范合同双方权利义务的标准条款。对于这些条款，进行数据传输的双方只能选择适用或不适用，而不能选择部分适用、变更、分解或另行组合。SCC创立的主要目的是保护非合同双方的数据主体的权利，选择适用SCC的合同双方必须遵守该规范，才能够获得欧盟的认可。早在2001年，欧盟就已经开始以使用SCC作为同意数据跨境传输重要条件之一，SCC的使用已经成为预测数据跨境传输是否可以进行的重要依据。2021年，欧盟放弃了长期实行的三套SCC，转而修订形成了新版SCC，其主要原因在于：

一方面，GDPR的部分内容无法与旧版SCC相衔接。旧版SCC都是在1995年出台《数据保护指令》（以下简称“95指令”）之后制定的，其内容主要以95指令为蓝本，具体表述中也包含“95/46/EC指令”的字样。GDPR生效以后，是否可以将旧版SCC中“95/46/EC指令”的字样直接替换为GDPR或通过法律解释使得95指令被GDPR替代后仍可以使用旧版SCC值得商榷。因为GDPR与95指令的部分内容冲突或者其内容是95指令并没有的。比如，GDPR规定了比95指令更为严格的数据主体同意进行数据跨境传输的条件：数据主体必须做出声明，或者做出清晰的肯定性动作，才能被认为其已经同意进行数据跨境传输；数据主体未对是否同意进数据跨境传输进行表态的状态，如沉默，则不足以认定数据主体表达了同意。GDPR还明确了何种情况下，同意不是由数据主体自由地做出的。数据控制方还应当告知数据主体撤回同意的权利。这些都是95指令以及旧版SCC并不涉及的内容。由此可见，旧版SCC很难在GDPR全面施行以后继续沿用，欧盟需要更新SCC以使其与GDPR保持一致。

另一方面，欧盟法院做出的Schrems II案件的判决结果提出了数据跨境传输安全保护的新要求。与Schrems I案中讨论美欧安全港框架是否充分保证美欧数据跨境传输的安全性不同，Schrems II中主要关注SCC、欧美隐私盾协议以及其他数据跨境传输依据是否能提供有效保障。在Schrems II案件中，欧盟法院认为，美国企业即使加入隐私盾协议，其接收的欧盟用户的个人数据依然有可能会被美国政府机构监控。同时，美国并未向欧盟数据主体提供可以实际行使的数据权利和相应的司法救济手段，这违反了《欧盟基本权利宪章》，使欧盟居民无法在美国获得与欧盟境内同等的充分保护。基于此，欧盟法院宣布了欧盟与美国之间的隐私盾协议框架即刻无效。与此同时，欧盟法院虽并未否定SCC作为数据跨境传输合法依据的可行性，但也提出了公司应当基于个案对数据跨境传输活动进行审核，以确保数据接收方所在国家/地区的法律能够为欧盟个人数据提供充分的保护、不会在实质上违反SCC中的约定。因此，Schrems II提出的新要求也进一步推动了新版SCC的出台。

二、新版SCC的重要内容

新版SCC受GDPR和Schrems II判决的影响较多，其中体现了欧盟对于数据跨境传输一贯所持的以数据安全保护为前提进行开放的态度。因此，新版SCC的内容主要包括以下两个方面：

一是增加应用场景，衔接GDPR内容。新版SCC确认了数据跨境传输的四种模式，即数据控制者至数据控制者（以下简称“C-C”）、数据控制者至数据处理者（以下简称“C-P”）、数据处理者至数据控制者（以下简称“P-C”）和数据处理者至数据处理者（以下简称“P-P”），并对四种模式下数据保护的传输目的、透明度、处理的安全性以及后续传输等方面的要求进行了细化。新版SCC中的C-C模式列出了数据接受方必须履行的义务，这些义务与GDPR规定下数据控制者的义务大体一致。不同于旧版SCC中的两种传输模式（C-C以及C-P），新版SCC增加的两种传输模式不仅可以适应新时期背景下数据流动的多样性，也更加符合GDPR相较于95指令更为广泛的管辖范围，即涉及到欧盟境内数据主体的数据处理活动均在GDPR的管辖范围之内。因此，位于欧洲外的数据控制者或数据处理者仍可能受到GDPR的管辖，他们需要在新版SCC条款下作为数据提供方开展数据活动。

二是落实数据跨境传输的安全性，反映Schrems II判决精神。欧盟法院在Schrems II一案中反复强调向欧盟外流动的数据的接收方必须采取各种合理的方式保护可能涉及欧盟利益的数据，新版SCC则对欧盟法院反复强调的这一内容进行了较为全面的细化：首先，数据接收方必须保证对数据提供方国家法律以及实践是否阻止双方履行义务进行评估，并对评估进行记录。如果数据接收方认为其受到可能改变上述评估结果的法律管辖，数据接受方必须立刻告知数据提供方。其次，数据接收方收到政府的数据访问请求并且以“有合理基础认为该请求不合法”为由对该请求提出质疑时，数据接受方必须立刻告知数据提供方。最后，新版SCC还要求数据接受方在任何模式下都必须向数据主体提供可行的救济方式。这些规定无疑在原有基础上加重了数据接收方的义务，显示出欧盟在面对数据向欧盟外流动这一问题上依然保持着较为谨慎的态度。

三、新版SCC出台的影响

目前国际上并无统一的数据跨境流动规则，而欧盟相对保守式的数据跨境流动规则体系和美国较为开放的数据跨境流动规则体系影响着大多数国家的数据跨境流动。加之经济全球化的影响，其他国家在与欧盟国家进行数字贸易时必然会受到欧盟数据跨境流动规则的管辖。因此，作为GDPR的配套措施，新版SCC的出台也必然会对欧盟自身和国际社会产生深远的影响。

就对欧盟的影响而言，新版SCC完善了欧盟数据安全保护措施，但也会影响欧盟一段时间以内的国际贸易合作。新版SCC在与GDPR相衔接的基础上，进一步细化了GDPR中的数据准确性原则，加强了GDPR的实际可操作性，提升了欧盟的数据保护水平。然而，欧盟的数据保护水平目前已经超过了大部分国家和地区的数据保护水平，这就导致欧盟数据向外流动时会产生重重阻碍，增加数据接收方获取数据的难度。此外，新版SCC还纳入了“问责制”，要求数据控制者和处理者必须同意证明其对新版SCC条款的遵守。虽然新版SCC尚未规定“问责制”具体如何进行，但这也足以体现欧盟数据跨境流动规则愈严的趋势。一旦合规成本超过了企业预估所能承担的成本，企业可能减少与欧盟之间的贸易，转而选择与数据合规成本较小的国家的企业进行贸易。因此，欧盟涉及数据跨境传输的国际贸易合作在一段时间内可能会逐渐减少。

就对国际社会的影响而言，新版SCC在提升交易国数据保护水平的同时，也增加了数据跨境流动的成本。新版SCC要求数据接收方能够对政府数据访问请求做出合理判断，合理判断的前提是数据接收方所在国家存在相关的法律依据以及符合一定的程序。这将倒逼数据接收方所在国家完善数据跨境传输立法、减少灰色地带、提升本国的数据安全保护水平。但就现阶段而言，国际上存在着欧盟和美国的两大数据跨境流动体系，两大体系之间在数据开放程度上的选择并不一致。数据开放程度越高，数据安全面临的风险越高，二者很难进行平衡。新版SCC在细化双方的数据传输义务的过程中，减少了开放与风险保障之间的模糊地带，加剧了二者之间的对立。这就意味着倾向于数据开放的国家在与倾向于数据安全的国家进行数字化贸易时，必须有一方以部分安全或者开放为代价换取数据跨境传输的可能。因此，数据保护水平不一致的两个国家如果使用新版SCC进行数据跨境传输，至少有一方的合规成本会增加。

（作者是武汉大学中国边界与海洋研究院2019级硕士生）

（责任编辑：苗丹丹，关蕴珈）

参考文献：

[1]黄志雄,韦欣妤.美欧跨境数据流动规则博弈及中国因应——以《隐私盾协议》无效判决为视角[J].同济大学学报（哲学社会科学版）,2021(38):38-39.

[2]许可,罗嫣,于智精.新版欧盟数据跨境标准合同：变化与影响[EB/OL].https://mp.weixin.qq.com/s/P4i-At571LQ2xoMehcVv0g,2021-06-08.

[3]鸿鹄律师事务所.深度解读：欧盟委员会发布最新数据跨境传输标准合同条款(SCC)(上篇)[EB/OL].https://mp.weixin.qq.com/s/wK2EIS5IkEUNW cqxp84Kmw,2021-06-11.

[4]管嘉.数据跨境流动法律规制之比较——以欧盟、美国、中国为考察对象[D].山东大学,2020:46-48.

Reasons, Content and Influences of the New EU Standard Contractual Clauses

LUO Linna 

On 4 June 2021, the European Commission published two new sets of standard contractual clauses for cross-border transfers of data, one for the transfer of data between controllers and processors, and the other for the transfer of personal data to third countries. They will come into force on 27^th Jun. 2021. The revision of SCC reflects the requirements of EU for data protection in different stages. The two new SCCs, influenced by the new General Data Protection Regulation (GDPR) and the European Court of Justice's Schrems II judgment, further enhance the level of Data Protection in the EU by refining data security protection measures. This will not only affect the EU's international trade cooperation for a period of time, but also increase the compliance costs for the international community in the cross-border flow of data.