作者：高云

?

本文就中國數(shù)據(jù)跨境新規(guī)——《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》及《標(biāo)準(zhǔn)合同》（征求意見稿）內(nèi)容進(jìn)行全面分析并提出相應(yīng)的改進(jìn)建議，具體分析包括標(biāo)準(zhǔn)合同的法律地位、合同框架和體系、境外接收者的主體范圍、個人信息處理者和境外接收方的義務(wù)難點、個人信息主體的法律地位、合同解除、合同轉(zhuǎn)讓、合同備案以及實施流程重點等十一個重點問題，期待監(jiān)管部門能夠充分聽取來自于實務(wù)界的聲音，做出更好一版的《規(guī)定》和《標(biāo)準(zhǔn)合同》。

?

為規(guī)范個人信息出境活動，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）于2022年6月30日發(fā)布了《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（下稱《規(guī)定》）和《個人信息出境標(biāo)準(zhǔn)合同》（下稱《標(biāo)準(zhǔn)合同》）。作為《個人信息保護(hù)法》（下稱《個保法》）的配套制度與文件，與此前網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（下稱《評估辦法》）《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（下稱《網(wǎng)數(shù)條例》）等規(guī)范形成了一個完整的數(shù)據(jù)跨境規(guī)范和監(jiān)管體系，共同確保《個保法》第三十八條得到落實執(zhí)行。

?

本文就《標(biāo)準(zhǔn)合同》的相關(guān)重點問題、制度創(chuàng)新和不足進(jìn)行點評，旨在與行內(nèi)人士進(jìn)行專業(yè)交流。

?

一、關(guān)于《標(biāo)準(zhǔn)合同》的法律地位和研究方法

?

要真正看懂和用好《標(biāo)準(zhǔn)合同》，不要著急去拿《標(biāo)準(zhǔn)合同》去對照歐盟、美國和港澳臺的個人信息法律，這樣只能讓你明白《標(biāo)準(zhǔn)合同》條款的用意，但《標(biāo)準(zhǔn)合同》是否合法和必要，還是必須回歸到我國《民法典》，《標(biāo)準(zhǔn)合同》必須符合《民法典》的相關(guān)規(guī)定方才有效。

?

在我國《民法典》當(dāng)中，合同只有典型合同、非典型合同和準(zhǔn)合同三種分類。另外按照形式分，合同也只有格式合同和非格式合同兩種，標(biāo)準(zhǔn)合同這個概念在《民法典》當(dāng)中有無出現(xiàn)，究竟應(yīng)當(dāng)如何準(zhǔn)確判斷它的法律地位呢？

?

首先我們了解一下標(biāo)準(zhǔn)合同的由來。標(biāo)準(zhǔn)合同（SCCs）這一提法最早見于歐盟，其后世界各國均有借鑒學(xué)習(xí)，標(biāo)準(zhǔn)合同在我國法律當(dāng)中的出現(xiàn)，見于《個人信息保護(hù)法》（下稱《個保法》）第三十八條規(guī)定：

?

第三十八條 個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一：

?

（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；

?

（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證；

?

（三）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；

?

（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

?

即僅限于個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息時，個人信息處理者可以選擇的四種合規(guī)路徑之一。

?

從表面上看，《標(biāo)準(zhǔn)合同》屬于依托國家法律強(qiáng)制力制定的合同，似乎符合《民法典》規(guī)定的格式合同形式特征，但如果深入分析后你會發(fā)現(xiàn)，無論是制定者（格式合同的制定者僅限于合同一方）、合同內(nèi)容（未經(jīng)與對方協(xié)商而反復(fù)使用）等主要特征，還有生效依據(jù)這個最根本特征，其實完全不同，標(biāo)準(zhǔn)合同依托于《個保法》，而格式合同由一方擬定。

?

可見，標(biāo)準(zhǔn)合同與《民法典》規(guī)定的格式合同有本質(zhì)區(qū)別，并非格式合同的一種。

?

根據(jù)我國的立法原理，如果普通法和特別法有不同時，優(yōu)先適用特別法。因此，標(biāo)準(zhǔn)合同依據(jù)《個保法》，正式加入中國合同的大家庭，成為了《民法典》合同編所述的典型合同、格式合同、準(zhǔn)合同之外的另外一個新的合同物種。

?

但是，并非說標(biāo)準(zhǔn)合同依據(jù)《個保法》出生，就可以超越中國法律尤其是《民法典》。

?

因為《民法典》在中國屬于基本大法，凡是特別法沒有規(guī)定的，均應(yīng)當(dāng)適用《民法典》。標(biāo)準(zhǔn)合同也是如此，《個保法》僅指明除了《標(biāo)準(zhǔn)合同》的產(chǎn)生依據(jù)，但從合同形式到內(nèi)容，從框架、體系、條款到字詞，《標(biāo)準(zhǔn)合同》毫無疑問應(yīng)當(dāng)受到《民法典》合同編的規(guī)范和約束。

?

所以，我們在研究《標(biāo)準(zhǔn)合同》時要注意，《標(biāo)準(zhǔn)合同》借鑒了外國不少成功經(jīng)驗，富有創(chuàng)新精神，大方向值得肯定，但我們不要動輒就將《標(biāo)準(zhǔn)合同》與歐盟、香港SCCs作對比，甚至盲目對照執(zhí)行，關(guān)于《標(biāo)準(zhǔn)合同》的一切問題，還是應(yīng)當(dāng)回歸到《民法典》上。

?

客觀地說，既然有創(chuàng)新，就必然有失誤，《標(biāo)準(zhǔn)合同》存在不少與《民法典》沖突甚至違反之處，例如合同主體的資格判斷、合同的成立、生效、解除、轉(zhuǎn)讓等，這些都需要立法部門引起重視和及時修正，詳細(xì)分析請詳見如下各點。

?

二、關(guān)于合同框架和體系的改進(jìn)建議

?

1.關(guān)于整體框架的改進(jìn)

?

現(xiàn)有版本的《標(biāo)準(zhǔn)合同》總共有9個條款，包括有定義、個人信息處理者的義務(wù)、境外接收方的義務(wù)、當(dāng)?shù)貍€人信息保護(hù)政策法規(guī)對遵守本合同條款的影響、個人信息主體的權(quán)利、救濟(jì)、合同解除、違約責(zé)任和其他。

?

從設(shè)計思路來看，《標(biāo)準(zhǔn)合同》整體框架欠缺統(tǒng)籌安排，例如9個條款與《民法典》合同編的典型條款有非常大差異；《標(biāo)準(zhǔn)合同》條款標(biāo)題和內(nèi)容之間關(guān)聯(lián)度不高，例如救濟(jì)條款當(dāng)中混雜了通知與送達(dá)等條款；條款之間關(guān)系混亂，敘事線索不明。每個條款內(nèi)容只講單方義務(wù)，而我們常見的合同，每個條款應(yīng)當(dāng)同時講述權(quán)利和義務(wù)。

?

簡而言之，《標(biāo)準(zhǔn)合同》更像是一部規(guī)定管理對象義務(wù)和責(zé)任的法規(guī)，而不是一份合同雙方約定各自權(quán)利和義務(wù)的合同。

?

什么是合同？根據(jù)《民法典》第464條規(guī)定，“合同是民事主體之間設(shè)立、變更、終止民事法律關(guān)系的協(xié)議”。所以合同條款與法條有如下區(qū)別：

?

第一，寫法上，法條應(yīng)當(dāng)力求抽象、簡練，因為需要盡可能覆蓋現(xiàn)實當(dāng)中各種實際情況。而條款寫法力求具體、詳細(xì)，因為需要適合合同雙方具體情況。

?

第二，內(nèi)容上，法條側(cè)重講述管理對象的義務(wù)和責(zé)任。而條款需要同時描述合同雙方的權(quán)利和義務(wù)。缺少了權(quán)利，合同就不是合同了。

?

按照高云總結(jié)的“合同六法”知識體系，一份規(guī)范的合同，除了合同開頭的篇首模塊，合同尾部的篇末模塊外，合同正文通?？捎扇缦滤拇蟛糠纸M成：

?

第一部分，關(guān)系模塊，主要作用是對民事法律關(guān)系進(jìn)行準(zhǔn)確定性，通常包括有用語和定義條款、合同目的條款、合同主體概況、合同交易或服務(wù)內(nèi)容等條款。

?

第二部分，流程模塊，主要作用是描述交易過程和雙方權(quán)利義務(wù)，例如發(fā)送、接收、結(jié)算、開票和雙方權(quán)利義務(wù)等條款。

?

第三部分，保障模塊，主要作用是保障合同順利履行，例如聲明與承諾條款、保密條款、知識產(chǎn)權(quán)條款、數(shù)據(jù)安全條款以及通知與送達(dá)等條款。

?

第四部分，救濟(jì)模塊，主要作用是合同發(fā)生意外時的救濟(jì)手段，例如合同組成、補充、變更、抗辯、轉(zhuǎn)讓、不可抗力、解除、違約責(zé)任和糾紛解決等條款。

?

高云建議，《標(biāo)準(zhǔn)合同》的整體框架設(shè)計和條款安排，可以參考上述思路作盡一步的完善。

?

2.《標(biāo)準(zhǔn)合同》需要澄清正文、附錄和補充協(xié)議之間的關(guān)系

?

《規(guī)定》第二條規(guī)定，“個人信息處理者與境外接收方簽訂與個人信息出境活動相關(guān)的其他合同，不得與標(biāo)準(zhǔn)合同相沖突”。因此，《標(biāo)準(zhǔn)合同》在開篇就寫明，個人信息處理者與境外接收方依據(jù)本合同和附錄一開展活動，構(gòu)成本合同的組成部分。第九條再次寫明，“如果本合同在達(dá)成或簽訂時與合同雙方已存在的任何其他協(xié)議發(fā)生沖突，本合同的條款優(yōu)先適用”的規(guī)定，都表達(dá)了類似的意思，即合同雙方簽訂的其他文件不得與《標(biāo)準(zhǔn)合同》相沖突。

?

但是，上述規(guī)定和約定仍然遺漏了現(xiàn)實當(dāng)中存在的兩種常見情形。

?

正如我在前面對于《規(guī)定》的點評文當(dāng)中所述，遺漏了《標(biāo)準(zhǔn)合同》沒有規(guī)定而補充部分有規(guī)定，以及《標(biāo)準(zhǔn)合同》只有原則性規(guī)定而補充部分作了詳細(xì)或擴(kuò)張性解釋時如何處理總共兩種情況。

?

對于這類情況，可以參考?xì)W盟《關(guān)于向第三國轉(zhuǎn)移個人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款》的立法技術(shù)，即：”根據(jù)GDPR第28（7）條規(guī)定的標(biāo)準(zhǔn)合同條款，除選擇適當(dāng)?shù)哪K或增加或更新附錄的信息外，均不得修改。這并不妨礙雙方將本條款中規(guī)定的標(biāo)準(zhǔn)合同條款納入更廣泛的合同中和/或增加其他條款或額外的保障措施，只要它們不直接或間接地與本條款相矛盾或損害數(shù)據(jù)主體的基本權(quán)利或自由。”

?

高云建議可以在《標(biāo)準(zhǔn)合同》或者補充協(xié)議當(dāng)中寫明：

?

個人信息處理者與境外接收方簽訂與個人信息出境活動相關(guān)的其他合同以及本合同附錄，不得違背本合同目的或與本合同條款約定相沖突。

?

三、關(guān)于境外接收者的主體范圍

?

1.境外接收者是否同時包括組織或個人？

?

根據(jù)《個保法》還有《標(biāo)準(zhǔn)合同》第一條的定義條款，答案是肯定的。但從《標(biāo)準(zhǔn)合同》的設(shè)計樣式來看，似乎只考慮了組織這一種主體，例如《標(biāo)準(zhǔn)合同》第六條救濟(jì)條款規(guī)定，“(一) 境外接收方應(yīng)在組織內(nèi)部確定一個聯(lián)系人”，還有合同簽署位要求境外接收方的法定代表人簽名，幾處內(nèi)容設(shè)計特點都顯示，目前《標(biāo)準(zhǔn)合同》版本只適應(yīng)組織這一種主體，尚欠適應(yīng)個人的版本。

?

2.境外接收者是否包括國際組織或境外的行政機(jī)關(guān)？

?

目前《規(guī)定》和《標(biāo)準(zhǔn)合同》都沒有明確規(guī)定，但根據(jù)《標(biāo)準(zhǔn)合同》內(nèi)容特點來分析，屬于平等主體之間的約定，所以應(yīng)當(dāng)不包括。所以由此理解為什么歐盟關(guān)于SCCs的問答，也明確SCCs僅限于商業(yè)場景。

?

3.境外接收方是否包括中國港澳臺地區(qū)的組織和個人？

?

現(xiàn)有《規(guī)定》和《標(biāo)準(zhǔn)合同》都無明確，但參考我國的司法實踐和香港地區(qū)已有SCCs的實際情況下，港澳臺地區(qū)組織和個人應(yīng)當(dāng)也參考境外接收方主體性質(zhì)做同樣的待遇處理。

?

4.境外接收方向第三方轉(zhuǎn)提供個人信息的行為，是否需要納入《標(biāo)準(zhǔn)合同》體系當(dāng)中監(jiān)管？

?

現(xiàn)有的《規(guī)定》和《標(biāo)準(zhǔn)合同》給這種情況開了一個口子，就是能夠同時滿足四個條件即為允許，不需要備案。四個條件分別是：

?

① 業(yè)務(wù)所需

② 獲取信息主體單獨同意

③ 與該第三方達(dá)成書面協(xié)議

④ 向個人信息處理者提供協(xié)議副本

?

仔細(xì)推敲一下這四個條件，其實都是比較容易的。可以預(yù)見，這對于境外接收方而言，應(yīng)該是一個比較明顯的逃脫監(jiān)管的漏洞。將來這個問題可能會引發(fā)何種影響，還需要進(jìn)一步觀察。

?

5.境外接收方的內(nèi)部某個部門或關(guān)聯(lián)方，例如部門、辦事處、分公司、子公司、合資公司或合作伙伴等，應(yīng)當(dāng)包括在境外接收方之內(nèi)呢還是視為一個獨立的轉(zhuǎn)提供方？

?

有人可能會覺得這個不是問題，以該主體是否具有獨立法人資格為準(zhǔn)——不具有獨立法人資格的就包括在境外接收方之內(nèi)，如果具有就視為獨立的轉(zhuǎn)提供方。

?

問題是，中國法律和外國法律大相徑庭，對于法人的定義和承擔(dān)法律責(zé)任的能力判斷標(biāo)準(zhǔn)差異很大，應(yīng)當(dāng)如何判斷這個關(guān)聯(lián)方的法人資格呢？

?

顯然，這就涉及到如何適用法律的問題了。

?

有人會說，《標(biāo)準(zhǔn)合同》第九條不是已經(jīng)寫明“本合同適用于中華人民共和國相關(guān)法律法規(guī)”了嗎？其實，上述約定因為過于簡短，容易被作狹義理解，即僅限于合同發(fā)生爭議時選擇中國法管轄，但在沒有發(fā)生爭議時，對主體資格認(rèn)定就不一定需要選擇中國法了，尤其是境外接收方按照外國法律登記成立，不適用中國法律完全有理由。還有，上述法律適用條款甚至可能被解讀為只包括實體法，不包括程序法。

?

為了杜絕上述歧義，高云建議將第九條修改如下：

?

凡是涉及本合同主體資格判斷、合同簽訂、解釋、履行和糾紛解決過程當(dāng)中的一切實體和程序問題和事項，均適用中華人民共和國法律法規(guī)（不包括中國香港、中國澳門和中國臺灣地區(qū)），不考慮一切沖突法規(guī)范。

?

四、關(guān)于個人信息處理者的義務(wù)難點

?

《標(biāo)準(zhǔn)合同》對于個人信息處理者賦予了若干義務(wù)，其中最容易產(chǎn)生歧義的是第二條第四款的規(guī)定，如何判斷個人信息處理者“已盡合理的努力確保境外接收方能夠履行本合同規(guī)定的義務(wù)”？

?

仔細(xì)閱讀《標(biāo)準(zhǔn)合同》前后規(guī)定，你會發(fā)現(xiàn)一個有趣現(xiàn)象，就是《標(biāo)準(zhǔn)合同》對個人信息處理者和境外接收方的要求程度不同，第二條對個人信息處理者的義務(wù)程度要求為“盡合理的努力”，而第四條對境外接收方的義務(wù)程度要求提高到“盡最大努力”，《標(biāo)準(zhǔn)合同》其實已經(jīng)對個人信息處理者比較照顧了。

?

問題是，這種從“最大努力”降到“合理努力”的照顧，其實是沒有意義的，因為無論“合理”或“最大”，個人信息處理者都無法做到。

?

第一，“最大”或“合理”，這個標(biāo)準(zhǔn)都非常主觀，沒有可度量、客觀的標(biāo)準(zhǔn)，實務(wù)當(dāng)中難以落地執(zhí)行。

?

第二，后面要求“確保另一方能夠履行合同的義務(wù)”，這個問題更加無法實現(xiàn)。

?

因為在中文語境當(dāng)中，“確?！钡韧凇氨ＷC、承諾”，等于一方為另一方的守約行為下保證。

?

按照常理，合同一方是否能夠履行合同，除了客觀條件是否具備外，主觀意愿也是必不可少的。

?

例如，境外接收方無論從歷史、資金、資源、企業(yè)規(guī)模和綜合實力來看，都完全具備履行本合同規(guī)定義務(wù)的客觀能力，但因為股東會、董事會有異議或者甚至是國外政府決定（與個人信息保護(hù)無關(guān)的）等意外因素，境外接收方就是遲遲不愿意履行合同。

?

個人信息處理者有什么能力或手段，能夠確保對方一定守約呢？

?

所以，《標(biāo)準(zhǔn)合同》問題不在于“合理”還是“最大”，而是后面“確?！边@個擔(dān)保性的要求無法實現(xiàn)。

?

高云建議，刪除“確?！?，將之改為“證明”，完整條款修改如下：

?

個人信息處理者已盡合理的努力證明境外接收方具備履行本合同義務(wù)的客觀條件。

?

五、關(guān)于境外接收方的義務(wù)難點

?

《標(biāo)準(zhǔn)合同》第三條賦予境外接收方若干義務(wù)，其中有如下幾條值得重點關(guān)注：

?

義務(wù)1：確保出境個人信息范圍僅限于實現(xiàn)處理目的所需的最小范圍。

?

義務(wù)2：確保存儲個人信息的期限為實現(xiàn)處理目的所必要的最短時間。

?

義務(wù)3：確保對數(shù)據(jù)訪問者僅授予最小授權(quán)的訪問控制策略，使前述人員只能訪問職責(zé)所需的最小必要的個人信息，且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限。

?

值得注意的是，這些義務(wù)都有“最小、最短、最少”等極限要求。其實，在中文語境當(dāng)中，尤其是規(guī)定雙方權(quán)利義務(wù)的中文合同當(dāng)中，這些極限詞通常極少幾率出現(xiàn)，因為過于主觀，無法評判和實現(xiàn)，而非很容易引起雙方爭議。

?

在中國實務(wù)當(dāng)中，這些極限詞大幾率會出現(xiàn)在海歸律師摘抄、翻譯自外國的各種合同版本當(dāng)中，因為外文語境很喜歡這些極限詞，而這點，與中文合同有非常大的區(qū)別。

?

我在前面已經(jīng)說過，《標(biāo)準(zhǔn)合同》遵守的是《民法典》，而不是美國、歐盟或港澳臺的SCCs。因此，高云建議《標(biāo)準(zhǔn)合同》當(dāng)中應(yīng)當(dāng)盡量少用或者不用這些沿襲于外文合同的極限詞。

?

如果將來《標(biāo)準(zhǔn)合同》當(dāng)中依然存在這些極限詞，用戶應(yīng)當(dāng)怎么面對？高云建議的解決方案是，首先應(yīng)當(dāng)要求境外接收方自證其要求提供個人信息的正當(dāng)性、必要性說明，最好能夠提供第三方的評估或?qū)徲媹蟾?，而境?nèi)的個人信息處理者對上述說明、評估或?qū)徲媹蟾孢M(jìn)行適當(dāng)復(fù)核，即可解決問題。

——————————————————————

?

高云，本名汪宏杰，30年法律從業(yè)經(jīng)驗，“合同六法”、“中國高質(zhì)量合同范本庫”創(chuàng)始人，擅長不良資產(chǎn)、并購重組、企業(yè)合規(guī)和法律顧問等業(yè)務(wù)，服務(wù)客戶覆蓋金融、互聯(lián)網(wǎng)、房地產(chǎn)、服務(wù)、快銷等行業(yè)。多年來先后出版《思維的筆跡》《公司法實務(wù)指南》《民法典時代合同實務(wù)指南》等14本法律實務(wù)類暢銷榜冠軍書籍，在中國法律界享有較高的知名度。

?