文/游云庭

来自：游云庭的事业生活纪录（ID:gh_82fa449f0311)

上个月，我们国家发表了《私人消息出境准则协议划定（征求意见稿）》（之下简单称呼“征求意见稿”）。咱们在《哪些公司签个准则协议，就能合法传输私人消息出境？》[i]一文中推荐了相干的制度，实质上，欧盟《通用数据庇护标准》（GDPR）下的私人数据的跨境传输制度中也有个准则协议（StandardContractualClause），今日咱们就跟大伙聊聊华夏和欧盟的准则协议有哪些异同。

一、华夏和欧盟之中跨境传输私人数据有哪些门径？

我们国家向境外（包括欧盟和美国）跨境传输私人数据有三条门径：1、经过政府的平安估价；2、不业余机构的私人消息庇护验证；3、签定准则协议。

欧盟的《通用数据庇护标准》提供了多个门径实现私人数据的跨境传输，最重要的分为三种体制，第一个是鉴于充分性断定体制（又称白名单）；第二种是采用适当保证举措的体制，包括签定准则协议（StandardContractualClause或许SCC）、经过约束性公司准则（BindingCorporateRules或许BCR）、验证体制、举止标准（CoC）等；第三种为得到数据主体同意、履行协议所必需等。

源于欧盟断定的私人数据庇护充分性断定的白名单不包括华夏，因而公司将欧盟的私人数据传输至华夏则须要采用《通用数据庇护标准》划定的其它豁免门径，如签定准则协议、约束性公司准则、得到数据主体同意。关于团体内数据传输，大中型跨国公司团体可能更愿抉择经过约束性公司准则的路径，即提交一份确保在团体公司里面遵守欧盟数据庇护法的文献或制度陈述。关于多数公司，可能更依赖于签定准则协议的路径将欧盟的私人数据传输到华夏。

二、中欧跨境传输私人消息准则协议有哪些异同？

欧盟准则协议和我们国家的准则协议尽管均是签定准则协议的文本，但在偏重点和适用上仍是有所不同，详细而言：

1、适用主体及范畴

依据欧盟准则协议的划定，只需是负有数据庇护责任的公司，将在欧盟收集的私人数据从欧盟传输到第三国时，均可行抉择适用欧盟《通用数据庇护标准》实现数据跨境传输。依据主体在私人数据料理中角色的不同，准则协议将主体划分为私人数据的数据操控者（Controller）和数据料理者（Processor）。数据操控者是收集数据的企业，而料理者则是剖析或运用数据的企业，两者的法律责任和关心要点各有不同。

稍微解释一下数据操控者和数据料理者，以让facebook被罚50亿美元的剑桥数据泄露案为例[ii]，该案中，facebook企业收集操控了使用者的数据，但因其对使用者数据庇护不力，导致一款仅2.7万使用者运用的剑桥企业开发的App得到了超越5000万使用者的facebook数据，相应的数据剖析结果甚而作用了美国大选的结果，终归致其被罚50亿美元。该案中，facebook企业便是数据操控者，而对数据发展剖析的剑桥企业则是数据料理者。

比较于欧盟区别主体料理数据的角色，我们国家则统称为私人消息料理者。我们国家准则协议区别产业和料理私人数据的总量的目的，除了鉴于保证私人数据主体权益外，另有鉴于国度平安和公共利益的考量。是以其实不是全部的主体都可行适用准则协议来实现数据的跨境传输。唯有同一时间适合四个要求，才可行经过签定准则协议的形式向境外提供私人消息：

（一）非要害消息根基设备运营者；（二）料理私人消息不满100万人的；（三）自上年1月1日起累计向境外提供未达到10万人私人消息的；（四）自上年1月1日起累计向境外提供未达到1万人感性私人消息的。而私人消息料理者，是指在私人消息料理运动中自助打算料理目的、料理形式的组织、私人。

在适用范畴上，准则上，欧盟准则协议和我们国家准则协议均只适用于签定准则协议的双方，可是欧盟准则协议中的对接条款（dockingclause）可行让得第三方延续以数据传输方或接收方的身份或位置加入欧盟的准则协议，遭到该协议的约束。而我们国家准则协议则无该体制，若是境外接收方再向第三方提供私人数据，则必需得到使用者的单独同意且要完成新的书面合同。

2、法律适用和争议解决条款

在法律适用条款上，欧盟准则协议的抉择权可能多于我们国家的准则协议。之是以那么说，是由于除了欧盟成员国的法律外，在特定概况下，欧盟准则协议可行应允适用非欧盟成员国的法律。比较而言，我们国家的准则协议只能适用华夏法律。

在争议解决条款上，欧盟准则协议的争议解决更倾向于法院管辖，但可行抉择欧盟或非欧盟的法院，而我们国家准则协议的争议解决则采纳了民事争议专用的解决体制：法院管辖或许仲裁管辖。法院管辖请求必需抉择国家内部法院，但仲裁机构则可行抉择华夏世界经济贸易仲裁委员会、华夏海事仲裁委员会或北京仲裁委员会，或抉择《承认及执行异邦仲裁裁决公约》（即《1958年纽约公约》）成员的仲裁机构。

3、数据传输的估价

欧盟和我们国家均须要对数据传输发展相应的估价，尽管欧盟《通用数据庇护标准》更重申关于数据跨境传输运动发展风险估价及采用有用举措下降跨境传输风险的思路，可是，数据跨境传输其实不隶属必需发展数据庇护作用估价的情景，唯有在欧盟看管机构请求时，公司才须要提供私人数据跨境传输估价纪录。比较而言，我们国家的准则协议则须要在事向前行私人消息作用估价汇报，并同一时间向网信部门提供估价汇报（该汇报须要保留3年）。

就估价内容而言，两个估价的内容和偏重点大同小异，欧盟准则协议请求的估价包括数据传输的详细概况、数据接收方所在国的法律和司法实践、相干已实行的补充性协议、技艺或组织保证举措等。我们国家的准则协议则须要要点估价包括出境的详细概况、境外接收方所在国或许地域的私人消息庇护政策法则对准则协议履好的作用、境外接收方履行责任义务的治理和技艺举措、能力等是否保证出境私人消息的平安等。

如前所述，在欧盟看管机构请求时，公司须要提供相应的估价纪录，在这类概况下，欧盟看管机构仍是有可能实际性审查该估价内容和纪录的。而源于我们国家的准则协议实施的是登记制度，故我们国家政府不会实际性审查每一份估价汇报和估价纪录。

4、技艺保证举措

欧盟准则协议对数据的访问有着严刻的节制，即在欧盟准则协议的第三节划定，数据接收方一朝收到非欧盟国度的政府提议的数据访问要求，且有理由质疑该要求的合法性，那末理当立刻告知数据发送方。

比较欧盟严刻节制访问请求，我们国家准则协议则笼统地划定，私人消息料理者应尽合乎道理的努力保证境外接收方采用有用的技艺和治理举措。关于详细的技艺和治理举措，我们国家准则协议则列举了加密、匿名化、去标识化、访问操控等多个举措，并请求保证“这点举措保持适当的平安水准”。而关于境外接收方所在国政府机构的访问，我们国家准则协议只需求在估价时予以考量，并未严刻的节制。

5、责任分配形式

如前所述，欧盟《通用数据庇护标准》将主体划分为私人数据的数据操控者和数据料理者，依据数据操控者和数据料理者关连的不同，适用不同形式的准则协议，也就意指着在数据传输进程中关于数据接收方的操控力不同，因而，在不同形式的欧盟准则协议下，协议双方所须要承受的责任与义务是存留差异的。

比较而言，我们国家准则协议无区别数据料理的角色而统称为私人消息料理者，因而私人消息料理者与境外接收方承受的义务是相同的，不过在委托料理的情景下有所不同。