有关国际间资料转移的新版标准合约条款」
欧盟委员会采纳了一套有关从欧洲联盟(「欧盟」)∕ 欧洲经济区转移个人资料至非欧盟地区的新版标准合约条款 (「新版标准合约条款」),有关条款已于2021年6月27日生效。欧盟委员会公布新版标准合约条款,取代它分别于2001年及2010年根据当时的《资料保障指令第95/46/EC号》而采纳(2001年版本曾于2004年作出修订)的标准条款(「旧版标准合约条款」)。机构若采纳旧版标准合约条款而进行跨境资料转移者,必须于2022年12月27日之前更新所有包含旧版标准合约条款的合约。
《通用数据保障条例》对转移个人资料至欧盟 ∕ 欧洲经济区以外地方施加限制。采纳标准合约条款是最广为认可的保障方式之一,在《通用数据保障条例》下可作为一种针对相关限制的例外情况。根据《通用数据保障条例》第46条,在缺乏欧盟的足够保护程度决定(即根据《通用数据保障条例》第45条,欧盟委员会认为接收地区或国际机构能提供足够程度的资料保障)的情况下,或者在没有任何其他按《通用数据保障条例》第5章获认可及可供资料转移至非欧盟地区或国际机构的途径的情况下,只有在转移者已提供适当的资料保障措施(而资料当事人有可予强制执行的权利及可寻求有效的法律补救措施)时,才可跨境转移个人资料。
新版标准合约条款是在考虑了《通用数据保障条例》的规定及欧洲联盟法院(「欧盟法院」)在Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Case C-311/18一案中颁布的判决(普遍称为「Schrems II 判决」)后制定的。
新版标准合约条款的重要性
旧版标准合约条款只针对资料控制者至资料控制者(C2C)及资料控制者至资料处理者(C2P)的跨境资料转移,而新版标准合约条款则涵盖更多资料转移种类,除了上述两个类别(即C2C和C2P)以外,还涵盖资料处理者至资料(分判)处理者(P2P)及资料处理者至资料控制者 (P2C)的资料转移。新版标准合约条款是一套现成的范本文件,已将适用于各个转移种类的条款和《通用数据保障条例》下的相应规定合而为一,有关条款实际上亦提供了大量详细指引,以帮助公司在草拟资料转移协议的时候,就不同的转移情况作出评估及采纳适当的条款(例如资料保障措施方面的条款)。此外,新版标准合约条款中的可选条款(普遍称为 “docking clause”)(参见第7条)容许在已备有的资料转移协议中加入新公司作缔约方(例如可在集团内部的资料转移协议中加入集团旗下新成立的公司或新收购的公司)。
除了上文提及新版标准合约条款提升了清晰度和灵活性外,它亦纳入了Schrems II 判决中有关转移资料至欧盟 ∕ 欧洲经济区以外地方的精粹。在Schrems II 判决中,欧盟法院认为,尽管旧版标准合约条款原则上依然是有效的转移机制,但必须按个别情况评定相关转移,其中包括了解(i)各方协定的合约条款;及(ii)非欧盟地区的政府当局基于国家安全等理由(包括该非欧盟地区法律制度的相关方面)而存取所转移的资料之可能性,以确保《通用数据保障条例》所提供的保障程度不会被削弱。为此,新版标准合约条款已加入因应Schrems II 判决而订定的条款(参见第14及15条)。有关条款分别列明各方在进行资料转移影响评估时的责任,以及遇上非欧盟地区各个政府当局欲存取某的个人资料时的责任。
对香港机构的影响
新版标准合约条款适用于资料输出者受《通用数据保障条例》规管,但资料输入者不受该条例规管的情况。
新版标准合约条款允许不论是否在欧盟 / 欧洲经济区内设立的资料输出者援引,这有别于旧版标准合约条款只有在欧盟∕欧洲经济区以内设立的资料控制者才可使用,但前提是这些资料输出者所进行的资料处理活动是根据《通用数据保障条例》第3(2)条受规管。例如当某一作为资料输出者的香港机构所进行的资料处理活动,与提供货品或服务予欧盟∕欧洲经济区境内的资料当事人等事宜有关,则在《通用数据保障条例》内之相关规定便可在域外基础上适用于该香港机构,而新版标准合约条款即与之相关。
对于该些不受《通用数据保障条例》规管的香港机构来说,如其从事的活动涉及输入欧盟 ∕ 欧洲经济区以内资料当事人的个人资料(例如该些机构作为资料处理者),值得留意的是当该资料输入者签订了一份以新版标准合约条款拟备的资料转移协议后,即表示同意在任何旨在确保各方遵从新版标准合约条款的程序中,承认有关监管机构的管辖权并与之合作(参见第13(b)条)。
尽管在2022年12月27日之前,资料输出者和资料输入者可以继续以他们现存而且基于旧版标准合约条款而签订的资料转移协议为依据(只要作为协议标的事宜的处理资料操作不变,而个人资料的转移受到适当的保障措施所约束),但现时签订的新合约必须采纳新版标准合约条款。
为了让本地企业和机构更深入了解新版标准合约条款,私隐专员曾于2021年9月6日举办了一场网上讲座并邀请专家讲者详细讨论在《通用数据保障条例》下跨境转移个人资料的情况,以及香港机构实际上可以如何利用新版标准合约条款进行有关跨境转移。
该些从事涉及欧盟 ∕ 欧洲经济区资料当事人的跨境资料转移的机构,应多加留意新版标准合约条款,特别是各方根据新版标准合约条款所须承担的责任,未雨绸缪,适时为资料转移作出妥善安排。