相关文章：

中国-欧盟数据出境标准合同与SCCs对比解读系列（一）

中国-欧盟数据出境标准合同与SCCs对比解读系列（三）

标准合同和SCCs的对比分析

一.不可编辑性

尽管标准合同未载明，但SCCs和标准合同在实质上都有着不可编辑的要求。

SCCs作为欧盟官方发布的标准文件，其明确规定使用SCCs的各方不得擅自对文本进行编辑、删减、修改；否则，数据传输各方即便签订了SCCs也无法保障数据出境活动的合规性。当然，SCCs并非一个字也不能动——在现有保护水平上增加额外安全保障措施的修改是被允许的。

标准合同相关规定尽管没有明确要求缔约方不得修改文本，或采取与SCCs“保障核心保护水平不受减损”的类似表述，但这并不意味着企业在适用标准合同时可以随意进行修改。因为《标准合同规定》第三条、第七条明确要求，采用签订标准合同进行数据出境活动的企业，应当在标准合同签订后十个工作日内向省级网信部门进行备案。尽管现阶段关于备案的具体流程和要求尚不明晰，但根据以往相关法规和条例实施的经验来看，备案往往意味着网信部门可以通过抽查或事后倒查的方式，倒逼企业落实合规主体责任。如果在相应的抽查或事后调查过程中发现，企业对标准合同进行了修改，从而导致无法实现法律法规所要求的保护水平，则即便签署了标准合同也无法保障企业数据出境活动的合规性。

不仅如此，标准合同附录二即为“双方约定的其他条款”，这也从侧面印证了网信部门在拟定标准合同时，并不希望缔约方对合同文本正文进行修改。

二.协议的排他效力

标准合同与SCCs都明确了各方之间所签订的、与数据处理相关的协议和条款不得与之冲突，但二者溯及和覆盖的时间跨度不同。

标准合同第九条明确，如果标准合同与双方之间其他既有条款存在冲突的，则标准合同优先适用。而SCCs第5条则明确，如果SCCs与各方签订的既有以及将来签订的协议有冲突的，SCCs优先适用。

换言之：双方如果在标准合同之后签订了其他关于数据处理的协议条款，且与标准合同存在冲突的，有可能覆盖标准合同的效力；但SCCs则通过对未来协议的覆盖，避免了这一问题，保证了持续、稳定且充足的保护水平。

三.再转移与协议的可加入性

尽管与SCCs不同，标准合同并没有区分数据控制者和数据处理者的概念，也没有参照《个保法》区分委托处理和向其他处理者转移，但在二者的框架下都允许在满足一定条件的情况下向第三方转移数据。

不同在于，标准合同下的境外处理者向中国境外第三方转移个人信息时，必须同时满足以下条件：

相比之下，境外控制者在SCCs下进行数据再转移的合规路径选项更为灵活，他们可以通过GDPR框架下的诸多路径，择一开展数据再转移活动：

可以发现，除了法律框架不同而导致的不同合规路径（充分性认定、认证、BCRs）以外，SCCs还额外提供了两种基于公共利益和公序良俗的豁免和一种签订加入既有协议的合规路径。

从制定角度来看，标准合同对于上述豁免和其他不可抗力的缺省可能是出于防止这一转移路径被滥用。但从实际操作层面来看，这可能增加了标准合同签订双方的遵守义务，加剧了境外接收方对于签订标准合同的担忧和抵触。

另一点不同，则是SCCs作为一项数据出境合规工具，再转移活动中的第三方可以直接通过填写附件和签署附录的方式直接加入原先各方已经签订的SCCs（第7条，对接条款）。一方面，这可以节约各方为数据再转移合规而重新拟定、谈判、修改、签署合规性文件的大量时间精力（尤其是对于内控流程复杂、审批要求严格的大型跨国企业而言）；另一方面，这也能够确保数据再转移过程中，对其的保护水平充分而稳定。

而标准合同下，第三方并不能通过直接签署的方式加入既有的合规性协议文本。而境内数据处理者仅能通过要求提供副本的方式，对境外接收方向其他境外第三方再转移相关个人信息的活动进行监督要求。

四.个人信息保护影响评估/传输影响评估

尽管两者在形式、内容和关注侧重点上均有所不同，但无论是标准合同还是SCCs，都要求企业开展事前评估，并形成书面报告。

《标准合同规定》第五条明确要求，即便通过签订标准合同出境，境内处理者也需要在对外提供个人信息前开展个人信息保护影响评估，并重点评估以下内容：

尽管相比较于《安全评估办法》所要求的数据出境安全评估，《标准合同规定》所要求的评估在内容、范围和形式上都简化了许多，但根据《标准合同规定》第五条，境内处理者需要就上述评估形成书面的《个人信息保护影响评估报告》，而且该报告是对标准合同备案时需要一并提交的必需材料。

SCCs文本正文中虽然没有明确提及书面影响报告的要求，但第14条实际上要求各方在签署SCCs前，就数据进口方当地的法规政策对SCCs履行可能产生的影响进行评估（a、b款），并且将该等评估记录在案以便向监管部门提供（d款）。

除了SCCs正文文本以外，欧洲法院在2020年“Schrems II”一案中，也通过判例的形式，要求数据传输各方对接收方所在地法规政策是否提供了SCCs所要求的充分保护进行评估，并提供必要的额外保障。 

最后，欧洲数据保护委员会（EDPB）在完善其推荐的数据传输保护补充工具时，也明确数据处理者在向欧洲经济区以外、没有获得充分性认定的第三国传输数据时，应在事前对当地法规是否能够保障SCCs实施进行评估 ，并详细记录该评估。EDPB同时明确了上述评估必须包含的内容有：

五.对自动化决策/用户画像的限制

标准合同和SCCs都对限制自动化决策作出了规定。

标准合同对于自动化处理特别强调了应当保证处理活动的透明度以及结果的公平，不得利用自动化处理对个人信息主体进行歧视性定价等差别对待。

而SCCs则对自动化处理前的告知作出了更高的要求——需要明确告知数据主体可能的自动化处理活动、对应的后果以及相关逻辑。SCCs还对自动化处理的事后救济作出了具体的要求，需要数据处理者采取措施保障数据主体可以对相应的自动化决策提出异议和表达观点，并且还要求提供人工复查的救济途径。

然而，两者最大的不同在于：标准合同的态度是原则上同意自动化处理，但应满足一定的条件，并且允许个人信息主体拒绝自动化处理；SCCs则是原则上不允许自动化处理，除非获得法律授权，或取得数据主体充分知情下的授权，并且应当向数据主体提供拒绝选项以及救济方式。

尽管在实际操作层面二者的区别相差并不大，但这一差异折射出的是两种法律体系对于数据自由流动和应用所产生的价值和对个人信息主体权益保障价值之间的不同取向。

六.解约条件

标准合同和SCCs对于单方面解除协议的约定大体一致，但SCCs对实践中常遇到的一些技术性细节作出了更具体的要求。

例如，SCCs要求数据进口方（即境外处理者）在无法遵守SCCs时第一时间通知数据出口方（即境内控制者或处理者）。这样有助于数据出口方及时采取措施应对可能的安全事件，并且也给数据出口方采取替代方案提供了缓冲时间。

再如，当情势发生变更以及SCCs各方可以通过其他更为便捷或保护水平更高的合规路径开展数据跨境传输活动时（例如目的地国获得了充分性认定，或者GDPR成为了目的地国法律框架的一部分），SCCs也赋予了各方解约的权利。

又如，对于解约后数据进口方因为当地法律法规等不可抗力、无法删除或归还数据的情况，SCCs要求数据进口方继续遵守SCCs，并在当地法律规定的范围和时间内处理相关数据。

最后在这里讨论一个题外话，即现版本标准合同对于境外接收方的单方解除权规定存在一个争议，即：境外接收方如果违约且拒不整改，反而可以获得单方解除合同的权利。标准合同第七条第一款规定，境外接收方违约的，境内处理者可以暂停数据出境；第七条第二款第一段第1项规定，根据第一款暂停出境一个月的，境内处理者可以解除合同；第二款第二段规定，在前述第1项情况下，境外接收方也可以解除合同。

这里衍生而来的一个问题是，当境外接收方违约并且依据上述条款解除合同之后，仍不改正之前的违约行为、继续对境内处理者和个人信息主体权益造成损害的，反而使得违约的境外接收方产生了一个单方解除权。

我们理解，一般而言，解除权作为一种形成权，通常只赋予合同关系中的守约方，违约方并不享有解除权。尽管从实践角度出发，当数据传输停止一个月或存在其他合同无法继续履行的情况时，要求各方继续履行合同是不切实际的。但是从公平原则出发，不应据此直接赋予违约方解除权。如果是因为当地法律环境发生变化而导致境外接收方无法继续履行合同，则应当设置相应的不可抗力条款或者约定单独的合同解除条件。

七.争议解决

标准合同和SCCs中关于适用法律和管辖的争议解决条款，是两者无法兼容调和的根本冲突。

对于适用法律，SCCs要求缔约方必须选择某一允许第三方受益人权利（数据主体权利）的欧盟成员国法律为适用法律，标准合同则要求以中国法律作为适用法律。

对于管辖方式，SCCs只允许各方约定某一欧盟成员国法院作为争议解决机构，同时允许数据主体在其居住地的欧盟成员国法院向各方提起诉讼。而标准合同要求，个人信息主体以第三方受益人身份提起诉讼的，按照中国《民诉法》确定管辖（一般是中国境内有管辖权的法院）；而对于境内处理者和境外接收方之间关于合同的纠纷和追偿权的行使，则可以选择纽约公约成员的仲裁机构或中国有管辖权的人民法院作为争议解决机构。

如果说之前关于具体保护措施和各方合同义务的条款可以通过从严约定的方式达成一致，则适用法律和管辖条款的核心冲突则决定了跨境数据传输活动的各方无法通过签署单一协议文本，以缔结标准法律文件的方式覆盖双向或多向的数据传输交互的合规性。