有關國際間資料轉移的新版標準合約條款」
歐盟委員會採納了一套有關從歐洲聯盟(「歐盟」)∕ 歐洲經濟區轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。歐盟委員會公布新版標準合約條款,取代它分別於2001年及2010年根據當時的《資料保障指令第95/46/EC號》而採納(2001年版本曾於2004年作出修訂)的標準條款(「舊版標準合約條款」)。機構若採納舊版標準合約條款而進行跨境資料轉移者,必須於2022年12月27日之前更新所有包含舊版標準合約條款的合約。
《通用數據保障條例》對轉移個人資料至歐盟 ∕ 歐洲經濟區以外地方施加限制。採納標準合約條款是最廣為認可的保障方式之一,在《通用數據保障條例》下可作爲一種針對相關限制的例外情況。根據《通用數據保障條例》第46條,在缺乏歐盟的足夠保護程度決定(即根據《通用數據保障條例》第45條,歐盟委員會認爲接收地區或國際機構能提供足夠程度的資料保障)的情況下,或者在沒有任何其他按《通用數據保障條例》第5章獲認可及可供資料轉移至非歐盟地區或國際機構的途徑的情況下,只有在轉移者已提供適當的資料保障措施(而資料當事人有可予強制執行的權利及可尋求有效的法律補救措施)時,才可跨境轉移個人資料。
新版標準合約條款是在考慮了《通用數據保障條例》的規定及歐洲聯盟法院(「歐盟法院」)在Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Case C-311/18一案中頒布的判決(普遍稱為「Schrems II 判決」)後制定的。
新版標準合約條款的重要性
舊版標準合約條款只針對資料控制者至資料控制者(C2C)及資料控制者至資料處理者(C2P)的跨境資料轉移,而新版標準合約條款則涵蓋更多資料轉移種類,除了上述兩個類別(即C2C和C2P)以外,還涵蓋資料處理者至資料(分判)處理者(P2P)及資料處理者至資料控制者 (P2C)的資料轉移。新版標準合約條款是一套現成的範本文件,已將適用於各個轉移種類的條款和《通用數據保障條例》下的相應規定合而為一,有關條款實際上亦提供了大量詳細指引,以幫助公司在草擬資料轉移協議的時候,就不同的轉移情況作出評估及採納適當的條款(例如資料保障措施方面的條款)。此外,新版標準合約條款中的可選條款(普遍稱為 “docking clause”)(參見第7條)容許在已備有的資料轉移協議中加入新公司作締約方(例如可在集團內部的資料轉移協議中加入集團旗下新成立的公司或新收購的公司)。
除了上文提及新版標準合約條款提升了清晰度和靈活性外,它亦納入了Schrems II 判決中有關轉移資料至歐盟 ∕ 歐洲經濟區以外地方的精粹。在Schrems II 判決中,歐盟法院認為,儘管舊版標準合約條款原則上依然是有效的轉移機制,但必須按個別情況評定相關轉移,其中包括了解(i)各方協定的合約條款;及(ii)非歐盟地區的政府當局基於國家安全等理由(包括該非歐盟地區法律制度的相關方面)而存取所轉移的資料之可能性,以確保《通用數據保障條例》所提供的保障程度不會被削弱。為此,新版標準合約條款已加入因應Schrems II 判決而訂定的條款(參見第14及15條)。有關條款分別列明各方在進行資料轉移影響評估時的責任,以及遇上非歐盟地區各個政府當局欲存取某的個人資料時的責任。
對香港機構的影響
新版標準合約條款適用於資料輸出者受《通用數據保障條例》規管,但資料輸入者不受該條例規管的情況。
新版標準合約條款允許不論是否在歐盟 / 歐洲經濟區内設立的資料輸出者援引,這有別於舊版標準合約條款只有在歐盟∕歐洲經濟區以內設立的資料控制者才可使用,但前提是這些資料輸出者所進行的資料處理活動是根據《通用數據保障條例》第3(2)條受規管。例如當某一作為資料輸出者的香港機構所進行的資料處理活動,與提供貨品或服務予歐盟∕歐洲經濟區境內的資料當事人等事宜有關,則在《通用數據保障條例》内之相關規定便可在域外基礎上適用於該香港機構,而新版標準合約條款即與之相關。
對於該些不受《通用數據保障條例》規管的香港機構來說,如其從事的活動涉及輸入歐盟 ∕ 歐洲經濟區以內資料當事人的個人資料(例如該些機構作爲資料處理者),值得留意的是當該資料輸入者簽訂了一份以新版標準合約條款擬備的資料轉移協議後,即表示同意在任何旨在確保各方遵從新版標準合約條款的程序中,承認有關監管機構的管轄權並與之合作(參見第13(b)條)。
儘管在2022年12月27日之前,資料輸出者和資料輸入者可以繼續以他們現存而且基於舊版標準合約條款而簽訂的資料轉移協議為依據(只要作爲協議標的事宜的處理資料操作不變,而個人資料的轉移受到適當的保障措施所約束),但現時簽訂的新合約必須採納新版標準合約條款。
為了讓本地企業和機構更深入了解新版標準合約條款,私隱專員曾於2021年9月6日舉辦了一場網上講座並邀請專家講者詳細討論在《通用數據保障條例》下跨境轉移個人資料的情況,以及香港機構實際上可以如何利用新版標準合約條款進行有關跨境轉移。
該些從事涉及歐盟 ∕ 歐洲經濟區資料當事人的跨境資料轉移的機構,應多加留意新版標準合約條款,特別是各方根據新版標準合約條款所須承擔的責任,未雨綢繆,適時為資料轉移作出妥善安排。