李仁真 羅琳娜

(武漢大學(xué)中國邊界與海洋研究院 武漢 430072)

隨著全球數(shù)字經(jīng)濟(jì)的發(fā)展，制定標(biāo)準(zhǔn)合同條款(Standard Contractual Clause，以下簡(jiǎn)稱為“SCC”)正在成為各個(gè)國家和地區(qū)用以規(guī)范數(shù)據(jù)跨境傳輸活動(dòng)的重要途徑。歐盟委員會(huì)也一直在研究適用于數(shù)據(jù)跨境傳輸?shù)腟CC，曾先后頒布過四套SCCs?？紤]到這四套SCCs已經(jīng)不能滿足現(xiàn)實(shí)發(fā)展的需要，歐盟委員會(huì)于2021年6月4日頒布了兩套新的數(shù)據(jù)跨境傳輸SCCs(以下簡(jiǎn)稱“新版SCC”)，其中一套用于調(diào)整《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱為“GDPR”)第28條第7款項(xiàng)下的控制者與處理者的關(guān)系；另一套則用于規(guī)范個(gè)人數(shù)據(jù)向第三方國家轉(zhuǎn)移的過程。相較于舊版SCCs，新版SCCs吸收了GDPR的核心規(guī)則與Schrems Ⅱ案的判決精神，體現(xiàn)了信息全球化背景下歐盟與美國爭(zhēng)奪數(shù)據(jù)跨境傳輸領(lǐng)域規(guī)則制定權(quán)的努力，具有鮮明的時(shí)代特征。因此，新版SCCs一經(jīng)發(fā)布，立即引起國際社會(huì)的廣泛關(guān)注。

1 歐盟數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款的發(fā)展歷程

本文所稱的SCC，是指歐盟制定的、用以規(guī)范數(shù)據(jù)跨境傳輸雙方權(quán)利義務(wù)的標(biāo)準(zhǔn)合同條款。SCC本質(zhì)上是對(duì)GDPR規(guī)定的適當(dāng)性保障原則的細(xì)化，是專門用于規(guī)范數(shù)據(jù)跨境傳輸過程的GDPR重要實(shí)施細(xì)則。通常而言，SCC只適用于歐盟數(shù)據(jù)跨境傳輸至不在歐盟所列“白名單”國家的情形；數(shù)據(jù)跨境傳輸?shù)碾p方一旦選擇SCC作為數(shù)據(jù)跨境傳輸?shù)暮戏ㄒ罁?jù)，就只能選擇適用或不適用SCC的全部條款，而不能選擇部分適用、變更、分解或另行組合。進(jìn)入21世紀(jì)以來，歐盟一直把適用SCC作為允許企業(yè)將歐盟數(shù)據(jù)向非白名單國家跨境傳輸?shù)闹匾獥l件之一，并且先后通過了4個(gè)不同版本的SCCs。各個(gè)版本的SCCs均體現(xiàn)了不同時(shí)代背景下歐盟對(duì)于數(shù)據(jù)保護(hù)的不同要求。

早在2001年，歐盟委員會(huì)為了滿足歐盟境內(nèi)外企業(yè)進(jìn)行數(shù)據(jù)跨境傳輸?shù)男枰鶕?jù)1995年頒布的《數(shù)據(jù)保護(hù)指令》(Data Protection Directive, 以下簡(jiǎn)稱“95指令”)的內(nèi)容，制定了兩套SCCs：一套適用于數(shù)據(jù)控制者，通稱為“SCC2001C”；一套適用于數(shù)據(jù)處理者，通稱為“SCC2001P”。其中，適用于數(shù)字控制者的SCC2001C并未得到企業(yè)的廣泛應(yīng)用，其主要原因在于這套SCC對(duì)數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方提出了連帶責(zé)任要求，并賦予了數(shù)據(jù)主體(通常指歐盟及歐盟居民)較為廣泛的起訴權(quán)。這無疑加重了數(shù)據(jù)接收者和發(fā)送者的注意義務(wù)，使得數(shù)據(jù)傳輸雙方不僅需要關(guān)注自身行為的合法性，還需要花費(fèi)一定成本關(guān)注對(duì)方行為的合法性，從而增加了數(shù)據(jù)跨境傳輸成本，并不利于數(shù)據(jù)的商業(yè)化利用。2004年，歐盟委員會(huì)根據(jù)上述兩套SCCs的實(shí)際應(yīng)用情況，并吸收了國際商會(huì)等機(jī)構(gòu)提出的加強(qiáng)數(shù)據(jù)商業(yè)化利用的建議，新增了一套適用于數(shù)據(jù)控制者的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款，通稱為“SCC2004C”。與SCC2001C不同，SCC2004C刪除了數(shù)據(jù)發(fā)送方和接收方必須承擔(dān)連帶責(zé)任的條款，規(guī)定二者只需要關(guān)注自身數(shù)據(jù)利用行為的合法性，僅就其自身違約行為所造成的損害分別向數(shù)據(jù)主體承擔(dān)賠償責(zé)任。這在一定程度上減少了數(shù)據(jù)跨境傳輸?shù)某杀荆欣诖龠M(jìn)數(shù)據(jù)的商業(yè)化利用。但SCC2004C的正式頒布并不意味著SCC2001C立即失效，企業(yè)仍可根據(jù)實(shí)際情況對(duì)二者擇一適用。2010年，隨著數(shù)據(jù)處理問題的日益復(fù)雜化，歐盟委員會(huì)又根據(jù)實(shí)際需要對(duì)SCC2001P進(jìn)行了更新，增加了允許位于歐洲經(jīng)濟(jì)區(qū)以外的數(shù)據(jù)處理者在滿足一定條件的情況下將數(shù)據(jù)繼續(xù)轉(zhuǎn)移給其他數(shù)據(jù)處理者的條款，由此形成了“SCC2010P”，并與SCC2001C、SCC2004C共同施行。上述三套SCCs從不同角度均對(duì)數(shù)據(jù)跨境傳輸雙方的權(quán)利義務(wù)作了明確規(guī)定，不僅基本解決了歐盟數(shù)據(jù)跨境傳輸活動(dòng)頻率高、范圍廣所帶來的監(jiān)管困難問題，而且也為企業(yè)有效開展數(shù)據(jù)跨境傳輸活動(dòng)提供了制度便利。因此，選擇適用SCC便成為相關(guān)企業(yè)之間商簽數(shù)據(jù)跨境傳輸合同的一種普遍現(xiàn)象。

近年來，隨著歐盟整體數(shù)據(jù)保護(hù)水平的提升，特別是GDPR的頒布實(shí)施并取代95指令成為歐盟新的數(shù)據(jù)保護(hù)法，上述三套以95指令為基礎(chǔ)制定的SCCs(以下簡(jiǎn)稱舊版SCCs)已經(jīng)不能滿足歐盟數(shù)據(jù)保護(hù)的現(xiàn)實(shí)需要。在這種情況下，出臺(tái)新版SCCs就成為歐盟完善數(shù)據(jù)保護(hù)立法及配套制度的最優(yōu)選擇。具體而言，歐盟出臺(tái)新版SCCs有其特定的背景和政策考量，其主要表現(xiàn)在以下方面：

1.1舊版SCCs與GDPR在規(guī)定上無法完全銜接由于舊版SCCs是以95指令為基礎(chǔ)形成的，因而其條文多采用“95/46/EC指令”的表述。在GDPR生效以后，能否將舊版SCCs中有關(guān)“95/46/EC指令”的表述直接替換為“GDPR”，使之繼續(xù)沿用是存在法律障礙的。實(shí)際上，GDPR并非95指令的再版，而是在95指令的基礎(chǔ)上多有規(guī)則細(xì)化和制度創(chuàng)新。例如，95指令只是規(guī)定進(jìn)行數(shù)據(jù)跨境傳輸需要數(shù)據(jù)主體“同意”，但并未具體規(guī)定“同意”有效的條件，而GDPR則對(duì)“同意”有效的條件做出了明確規(guī)定，其中包括：只有數(shù)據(jù)主體做出聲明或者做出清晰的肯定性動(dòng)作，同意才是有效的；如果數(shù)據(jù)主體對(duì)是否可以進(jìn)行數(shù)據(jù)跨境傳輸?shù)脑儐柋硎境聊?，這種沉默就不能作為“同意”有效的證據(jù)[1]。雖然GDPR對(duì)95指令內(nèi)容的細(xì)化部分并未超出95指令的整體語境，可以通過擴(kuò)大解釋的方式使之與舊版SCCs相銜接，但是GDPR的制度創(chuàng)新部分則不能。以GDPR增加的數(shù)據(jù)安全保護(hù)程度評(píng)估為例，GDPR要求數(shù)據(jù)跨境傳輸必須對(duì)傳輸目的地國家的數(shù)據(jù)安全保護(hù)水平進(jìn)行評(píng)估，且評(píng)估應(yīng)當(dāng)是一種周期性的持續(xù)審查。這是GDPR的創(chuàng)新之處，也是95指令完全沒有涉及的內(nèi)容。因此，在GDPR全面施行后，基于95指令的舊版SCCs很難繼續(xù)沿用，盡快實(shí)現(xiàn)SCCs與GDPR在內(nèi)容上相銜接就成為歐盟出臺(tái)新版SCCs的一個(gè)直接動(dòng)因。

1.2SchremsⅡ案對(duì)SCC提出了新期待受“斯諾登事件”的影響，奧地利公民馬克西米利安·施雷姆斯 (Maximillian Schrems) 以歐盟個(gè)人數(shù)據(jù)受美國政府監(jiān)控為由，多次向愛爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提出申訴，要求禁止Facebook在愛爾蘭設(shè)立的公司將歐盟數(shù)據(jù)傳輸至Facebook總部。據(jù)此，愛爾蘭高等法院請(qǐng)求歐盟法院對(duì)歐盟與美國之間達(dá)成的既有數(shù)據(jù)跨境傳輸協(xié)議的效力予以確認(rèn)。這將直接決定美國公司向美國傳輸歐盟數(shù)據(jù)的行為是否合法，有關(guān)Schrems的系列案件由此形成。與Schrems I案聚焦于歐美安全港框架是否充分保障歐美數(shù)據(jù)跨境傳輸安全的情況不同，歐盟法院在Schrems Ⅱ案中則主要關(guān)注歐盟制定的SCC、歐美隱私盾協(xié)議以及其他法律依據(jù)能否為數(shù)據(jù)跨境傳輸提供充分的安全保障。在Schrems Ⅱ案中，歐盟法院認(rèn)為，美國企業(yè)即使加入隱私盾協(xié)議，也不意味著美國政府機(jī)構(gòu)無法通過企業(yè)渠道非法獲取歐盟數(shù)據(jù)；歐盟數(shù)據(jù)遭受威脅時(shí)，美國并未向歐盟數(shù)據(jù)主體提供可利用的司法救濟(jì)手段，導(dǎo)致歐盟數(shù)據(jù)主體無法在美國獲得與歐盟境內(nèi)同等充分的數(shù)據(jù)安全保護(hù)，因此違反了《歐盟基本權(quán)利憲章》[2]?；谏鲜隼碛桑瑲W盟法院宣布?xì)W美之間的“隱私盾協(xié)議”框架即刻無效。與此同時(shí)，歐盟法院同意總檢察長(zhǎng)的意見，認(rèn)為SCC可作為歐盟數(shù)據(jù)跨境傳輸?shù)暮戏ㄒ罁?jù)，但也提出了SCC需要改進(jìn)之處。這主要涉及兩方面內(nèi)容：一方面，簽署SCC并不意味著歐盟成員國的監(jiān)管機(jī)構(gòu)不能調(diào)查與已經(jīng)簽署的SCC相關(guān)的數(shù)據(jù)跨境傳輸事項(xiàng)的投訴。成員國監(jiān)管機(jī)構(gòu)如果在調(diào)查過程中發(fā)現(xiàn)數(shù)據(jù)傳輸雙方雖然已經(jīng)簽署SCC，但歐盟數(shù)據(jù)并未得到充分性保護(hù)，那么就有權(quán)禁止或暫停這一數(shù)據(jù)傳輸[3]。為了確保歐盟不同成員國的監(jiān)管機(jī)構(gòu)就監(jiān)管數(shù)據(jù)跨境傳輸事項(xiàng)所做決定的一致性，歐盟法院進(jìn)一步提出，成員國監(jiān)管機(jī)構(gòu)可以將與SCC有關(guān)的申訴提交給歐洲數(shù)據(jù)保護(hù)委員會(huì)(European Data Protection Board, EDPB)以征求意見，該委員會(huì)所做的決定對(duì)所有成員國的監(jiān)管機(jī)構(gòu)都具有約束力[4]。另一方面，簽署SCC也要符合GDPR中的“充分性認(rèn)定”原則。在數(shù)據(jù)跨境傳輸之前，簽署SCC的數(shù)據(jù)發(fā)送方應(yīng)當(dāng)進(jìn)行盡職調(diào)查，評(píng)估數(shù)據(jù)傳輸?shù)貒业姆墒欠裉峁┡c歐盟的制度相當(dāng)水平的數(shù)據(jù)保護(hù)；在數(shù)據(jù)跨境傳輸之后，數(shù)據(jù)傳輸雙方仍應(yīng)當(dāng)保證對(duì)數(shù)據(jù)的后續(xù)處理始終按照歐盟數(shù)據(jù)保護(hù)水平進(jìn)行，即“適當(dāng)?shù)谋Ｕ洗胧盵5]。在歐美“隱私盾協(xié)議”的效力被歐盟法院判決否定的情況下，歐盟的數(shù)據(jù)跨境傳輸尤其是向美國傳輸應(yīng)當(dāng)遵循何種規(guī)則有待于重新安排。值得注意的是，SCC作為數(shù)據(jù)跨境傳輸?shù)囊环N合法依據(jù)，在該案判決中卻得到了歐盟法院的明確認(rèn)可，與此同時(shí)，歐盟法院還對(duì)SCC提出了新的要求。因此，吸納Schrems Ⅱ案判決的核心精神，避免依賴SCC的數(shù)據(jù)傳輸雙方遭遇類似Schrems Ⅱ案的訴訟風(fēng)險(xiǎn)，就成為歐盟出臺(tái)新版SCCs的又一重要意圖。

1.3歐美爭(zhēng)奪數(shù)據(jù)跨境傳輸領(lǐng)域規(guī)則制定話語權(quán)的需要目前，國際上并未形成統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則。隨著數(shù)據(jù)信息時(shí)代的到來，掌握數(shù)據(jù)傳輸領(lǐng)域的規(guī)則制定話語權(quán)就意味著能夠創(chuàng)造更有利于自身的數(shù)字貿(mào)易規(guī)則，有助于更好地發(fā)展本國信息技術(shù)及相關(guān)產(chǎn)業(yè)?；诖?，美國和歐盟分別構(gòu)建了符合自身發(fā)展需求的數(shù)據(jù)跨境傳輸規(guī)則體系。美國深受有限政府原則的影響，更為在意政府對(duì)個(gè)人自由和生活領(lǐng)域私密性的破壞，因此其數(shù)據(jù)跨境傳輸立法更多地考慮數(shù)據(jù)流通的自由性以及數(shù)據(jù)流通自由所帶來的商業(yè)利益[6]。美國借助亞太經(jīng)合組織推行的數(shù)據(jù)跨境隱私規(guī)則體系(Cross Border Privacy Rules，以下簡(jiǎn)稱CBPRs)貫徹其國內(nèi)立法中減少數(shù)據(jù)傳輸阻礙、增強(qiáng)數(shù)據(jù)流通自由的主旨，本質(zhì)上是對(duì)外國數(shù)據(jù)實(shí)行較低水準(zhǔn)的安全保護(hù)。加入CBPRs的國家無論國內(nèi)數(shù)據(jù)安全保護(hù)水平有多高，均不能要求數(shù)據(jù)接收方的數(shù)據(jù)保護(hù)水平等同于本國的數(shù)據(jù)安全保護(hù)水平，因?yàn)閿?shù)據(jù)接收方的數(shù)據(jù)保護(hù)水平只要滿足CBPRs的標(biāo)準(zhǔn)，數(shù)據(jù)發(fā)送方就必須向數(shù)據(jù)接收方傳輸數(shù)據(jù)。而CBPRs的標(biāo)準(zhǔn)是一種較低水平的數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)，因此數(shù)據(jù)發(fā)送方的數(shù)據(jù)安全難以得到充分保障[7]。雖然美國目前并未在全球推行CBPRs，但是CBPRs已經(jīng)對(duì)日本、韓國、新加坡等國家制定的數(shù)據(jù)跨境傳輸規(guī)則產(chǎn)生了一定的影響。并且，隨著經(jīng)濟(jì)全球化的發(fā)展，美國將通過參與全球事務(wù)、與他國建立數(shù)據(jù)跨境傳輸關(guān)系的方式，不斷擴(kuò)大其所主導(dǎo)的數(shù)據(jù)跨境傳輸規(guī)則體系的影響。與美國截然不同，歐盟以重視個(gè)人隱私保護(hù)為核心理念，形成了較為嚴(yán)格的數(shù)據(jù)跨境傳輸規(guī)則，這些規(guī)則目前主要由GDPR、遵守約束性公司規(guī)則、SCC等部分組成[8]。歐盟數(shù)據(jù)跨境傳輸規(guī)則體系不僅追求成員國之間數(shù)據(jù)安全保護(hù)水平的一致性，更強(qiáng)調(diào)非歐盟國家對(duì)于數(shù)據(jù)安全保護(hù)水平的提升。這與美國強(qiáng)調(diào)數(shù)據(jù)自由流通卻疏于考慮數(shù)據(jù)安全問題的基本情況形成了鮮明的對(duì)比，體現(xiàn)了歐盟積極參與數(shù)字貿(mào)易國際合作、引領(lǐng)統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則形成的良好國際形象[9]。歐盟法院在SchremsⅡ案件判決中指出美國數(shù)據(jù)安全保護(hù)水平之低，無疑是向國際社會(huì)展示歐盟數(shù)據(jù)安全保護(hù)水平之高。歐盟如何抓住這一時(shí)機(jī)，順勢(shì)推出吸收Schrems Ⅱ案判決精神、具有較高保護(hù)水平的SCC，更有利于歐盟獲得世界各國的信任，是歐盟出臺(tái)新版SCCs的又一重要考量。

2 歐盟新版數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款的特點(diǎn)

新版SCCs受GDPR和Schrems Ⅱ案件判決的影響較多，其內(nèi)容不僅體現(xiàn)了歐盟在數(shù)據(jù)跨境傳輸問題中一貫堅(jiān)持的以數(shù)據(jù)安全保護(hù)為前提對(duì)外開放的態(tài)度，而且包含了明確詳細(xì)、切實(shí)可行的數(shù)據(jù)安全保護(hù)措施，有助于適用新版SCCs的數(shù)據(jù)傳輸雙方提升數(shù)據(jù)跨境傳輸?shù)暮弦?guī)性。兩套新版SCCs主要由通用條款(General Terms and Conditions)、數(shù)據(jù)傳輸雙方義務(wù)條款(Obligations of the Parties)、最后條款(Final Provisions)以及包含當(dāng)事人名單、處理說明和技術(shù)與組織措施的三個(gè)附件組成，其中用于規(guī)范個(gè)人數(shù)據(jù)向第三方國家轉(zhuǎn)移過程的SCC還在數(shù)據(jù)傳輸雙方義務(wù)條款和最后條款之間增加了針對(duì)政府請(qǐng)求訪問數(shù)據(jù)的義務(wù)條款。相較于舊版SCCs，新版SCCs主要具有以下三個(gè)特點(diǎn)：

2.1應(yīng)用場(chǎng)景更為豐富，適用范圍得以拓展新版SCCs規(guī)定了數(shù)據(jù)跨境傳輸?shù)乃姆N模式，即數(shù)據(jù)控制者至數(shù)據(jù)控制者(以下簡(jiǎn)稱“C-C”)、數(shù)據(jù)控制者至數(shù)據(jù)處理者(以下簡(jiǎn)稱“C-P”)、數(shù)據(jù)處理者至數(shù)據(jù)控制者(以下簡(jiǎn)稱“P-C”)和數(shù)據(jù)處理者至數(shù)據(jù)處理者(以下簡(jiǎn)稱“P-P”)，明確了四種模式下的數(shù)據(jù)傳輸目的、透明度、安全性，并對(duì)后續(xù)轉(zhuǎn)移的規(guī)則進(jìn)行了細(xì)化。具體說來，新版SCCs在適用范圍上的變化主要體現(xiàn)在以下幾點(diǎn)：一是在原有傳輸模式(“C-C”和“C-P”)的基礎(chǔ)上增加了兩種傳輸模式(“P-C”和“P-P”)，這不僅使SCC的應(yīng)用場(chǎng)景更加豐富，而且使其與GDPR的適用范圍相銜接，有助于歐盟應(yīng)對(duì)數(shù)據(jù)全球化背景下數(shù)據(jù)跨境傳輸多樣性所帶來的現(xiàn)實(shí)問題[10]。二是更新了C-C模式的內(nèi)容，新增了數(shù)據(jù)接受方必須履行的義務(wù)，這些義務(wù)與GDPR中數(shù)據(jù)控制者的義務(wù)大體一致[11]。三是豐富了舊版SCCs不曾涉及的新情況——數(shù)據(jù)發(fā)送方可能是一個(gè)非歐盟實(shí)體，并對(duì)那些不在歐盟境內(nèi)設(shè)立的數(shù)據(jù)傳輸雙方跨境傳輸數(shù)據(jù)的問題加以規(guī)范，以解決舊版SCCs與GDPR的域外管轄不相銜接的問題。例如，一個(gè)不在歐盟境內(nèi)設(shè)立的數(shù)據(jù)發(fā)送方將數(shù)據(jù)傳輸?shù)搅硪粋€(gè)不在歐盟境內(nèi)設(shè)立的數(shù)據(jù)接收方(例如，美國的云處理器)，根據(jù)GDPR第3條第(2)項(xiàng)的規(guī)定屬于其管轄范圍。新版SCCs突破了舊版SCCs的局限，在域外管轄問題上與GDPR保持了基本同步。上述變化表明，歐盟數(shù)據(jù)跨境傳輸規(guī)則已經(jīng)具備了應(yīng)對(duì)更為廣泛的數(shù)據(jù)跨境傳輸問題的特質(zhì)，而這正是國際統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則所必需的[12]。可以說，新版SCCs通過增加應(yīng)用場(chǎng)景與拓展適用范圍，不僅能夠與GDPR有效銜接、成為GDPR施行的重要配套措施，而且具備了普遍適用于歐盟數(shù)據(jù)跨境傳輸?shù)幕A(chǔ)，并為未來向全球推廣提供了可能。

2.2數(shù)據(jù)傳輸雙方權(quán)利義務(wù)更為明確，SchremsⅡ案件判決精神得以反映對(duì)數(shù)據(jù)跨境傳輸提供較高水平的安全保護(hù)一直是歐盟倡導(dǎo)的重要理念。歐盟法院在Schrems Ⅱ案件判決中繼續(xù)堅(jiān)持了這一理念，并且一再重申：數(shù)據(jù)接收方必須采取各種合理方式對(duì)數(shù)據(jù)跨境傳輸中的歐盟數(shù)據(jù)予以保護(hù)。新版SCCs則對(duì)歐盟法院一再重申的這一精神加以了全面細(xì)化。首先，數(shù)據(jù)安全評(píng)估在新版SCCs中已經(jīng)成為數(shù)據(jù)跨境傳輸不可或缺的步驟。保護(hù)歐盟數(shù)據(jù)安全是數(shù)據(jù)跨境傳輸?shù)靡赃M(jìn)行的必要條件，為此，數(shù)據(jù)跨境傳輸雙方必須對(duì)數(shù)據(jù)接收方所在國家的法律以及司法實(shí)踐是否阻礙雙方履行義務(wù)進(jìn)行評(píng)估，并對(duì)評(píng)估進(jìn)行記錄。新版SCCs不僅強(qiáng)調(diào)傳輸前的評(píng)估，而且重視傳輸過程中可能產(chǎn)生的變化。如果數(shù)據(jù)接收方認(rèn)為其受到可能改變上述評(píng)估結(jié)果的法律管轄，數(shù)據(jù)接受方必須立刻告知數(shù)據(jù)發(fā)送方。因此，無論是傳輸前還是傳輸過程中，數(shù)據(jù)接收方必須持續(xù)履行評(píng)估義務(wù)[13]。其次，審慎對(duì)待政府的數(shù)據(jù)訪問請(qǐng)求成為新版SCCs關(guān)注的重點(diǎn)。如前所述，美國政府利用多家企業(yè)監(jiān)聽他國政要的事件引起了歐盟內(nèi)部的高度警覺，導(dǎo)致歐盟法院在Schrems Ⅱ案件判決中直接否認(rèn)了歐盟與美國簽訂的隱私盾協(xié)議的效力，而僅僅承認(rèn)了歐盟SCCs的效力。鑒于舊版SCCs一直是企業(yè)采用的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同文本的藍(lán)本，為了避免一些國家的政府通過企業(yè)渠道非法獲取歐盟內(nèi)部數(shù)據(jù)，新版SCCs進(jìn)一步加強(qiáng)了數(shù)據(jù)接收方關(guān)于他國政府訪問歐盟數(shù)據(jù)方面的告知義務(wù)。據(jù)此，數(shù)據(jù)接收方一旦收到非歐盟國家的政府提出的數(shù)據(jù)訪問請(qǐng)求，且“有合理依據(jù)認(rèn)為該請(qǐng)求不合法”，必須立刻告知數(shù)據(jù)發(fā)送方。最后，新版SCCs提供了較為全面可行的救濟(jì)方式。在Schrems Ⅱ案件中，歐盟法院之所以否認(rèn)歐美隱私盾協(xié)議的效力，其重要原因之一就是美國在該協(xié)議中并未提供任何可行的救濟(jì)方式，數(shù)據(jù)風(fēng)險(xiǎn)相對(duì)較高[14]。為避免重蹈覆轍，新版SCCs規(guī)定數(shù)據(jù)接收方應(yīng)當(dāng)提供必要的救濟(jì)措施，包括告知該數(shù)據(jù)主體相關(guān)的投訴方式、迅速處理數(shù)據(jù)主體提出的相關(guān)投訴或要求。此外，新版SCCs還賦予數(shù)據(jù)接收方和數(shù)據(jù)主體利用獨(dú)立的爭(zhēng)議解決機(jī)制來處理爭(zhēng)議的權(quán)利。在此種情況下，數(shù)據(jù)接收方同樣具有告知義務(wù)。整體而言，新版SCCs在原有基礎(chǔ)上加重了數(shù)據(jù)接收方的義務(wù)。這表明歐盟在對(duì)歐盟數(shù)據(jù)向歐盟外傳輸這一問題上依然保持著較為謹(jǐn)慎的態(tài)度。

2.3創(chuàng)造性提出對(duì)接條款，集體數(shù)據(jù)傳輸問題得以解決新型冠狀病毒性肺炎疫情(以下簡(jiǎn)稱“新冠疫情”)在席卷全球的同時(shí)，也在改變著人們的支付方式和生活方式。新冠疫情的頻繁侵襲導(dǎo)致人們的出行頻率大幅度降低，人們更愿意采用線上支付的方式滿足日常采購的需要。因此，全球數(shù)字貿(mào)易及其交往日益豐富，業(yè)務(wù)處理鏈條也變得愈發(fā)復(fù)雜，一項(xiàng)數(shù)據(jù)跨境傳輸過程往往涉及多個(gè)數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方。然而，舊版SCCs僅適用于單一的數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方進(jìn)行數(shù)據(jù)跨境傳輸，體現(xiàn)了雙方在某一靜態(tài)時(shí)間點(diǎn)的關(guān)系，無法隨著時(shí)間的推移以及關(guān)系的變化增加新的當(dāng)事方。尤其是在進(jìn)行大規(guī)模的集團(tuán)內(nèi)或集團(tuán)外的數(shù)據(jù)傳輸時(shí)，數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方需要為每一次數(shù)據(jù)跨境傳輸單獨(dú)簽署SCC。這不僅使數(shù)據(jù)跨境傳輸變得極為復(fù)雜，而且不利于數(shù)據(jù)的多次重復(fù)傳輸。為跟上時(shí)代前進(jìn)的步伐，新版SCCs在附件里面增加了對(duì)接條款，允許多個(gè)數(shù)據(jù)接收方或數(shù)據(jù)發(fā)送方同時(shí)簽署一份SCC。在最初的簽署方之外，只要新的數(shù)據(jù)接收方或者數(shù)據(jù)發(fā)送方能夠獲得已經(jīng)簽署SCC締約方的同意并完成附件簽署，就能加入同一份SCC，并且能夠以所加入的數(shù)據(jù)接收方或數(shù)據(jù)發(fā)送方的身份，享有相應(yīng)的權(quán)利并履行相關(guān)義務(wù)。但新版SCCs不具有溯及力，新加入者在完成附件簽署之前并不享有相應(yīng)的權(quán)利，也無需履行相關(guān)義務(wù)。這就意味著加入已簽署的SCC的門檻相對(duì)較低，只需要先前簽署方同意即可。因此，新版SCCs提供的對(duì)接條款能夠極大地減少多次數(shù)據(jù)跨境傳輸需要多次簽署SCC的成本，這對(duì)于那些依賴SCC進(jìn)行集團(tuán)內(nèi)部數(shù)據(jù)傳輸?shù)慕M織來說，顯得尤為重要。雖然集團(tuán)的各個(gè)子公司和分公司可能會(huì)隨著時(shí)間的推移以及集團(tuán)業(yè)務(wù)發(fā)展而不斷設(shè)立或注銷，但是有了新版SCCs的對(duì)接條款，就能夠減少或避免因集團(tuán)分支機(jī)構(gòu)變更所帶來的重復(fù)簽署SCC、數(shù)據(jù)跨境傳輸手續(xù)繁復(fù)的問題。

3 歐盟新版數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款出臺(tái)的意義

數(shù)據(jù)作為一種新型生產(chǎn)要素，是數(shù)字經(jīng)濟(jì)發(fā)展的重要基礎(chǔ)。數(shù)字經(jīng)濟(jì)正在成為重組全球要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、改變?nèi)蚪?jīng)濟(jì)格局的關(guān)鍵力量。數(shù)據(jù)跨境傳輸規(guī)則在規(guī)范數(shù)據(jù)傳輸過程的同時(shí)，也在引導(dǎo)企業(yè)的發(fā)展乃至數(shù)字經(jīng)濟(jì)的未來走向，這對(duì)全球經(jīng)濟(jì)格局的發(fā)展至關(guān)重要。作為歐盟數(shù)據(jù)跨境傳輸規(guī)則的重要組成部分，新版SCCs的出臺(tái)，不僅對(duì)于歐盟數(shù)據(jù)跨境傳輸規(guī)則的完善、歐盟單一數(shù)字市場(chǎng)的形成以及歐洲數(shù)字主權(quán)的維護(hù)具有重要意義，而且對(duì)于國際統(tǒng)一數(shù)據(jù)跨境傳輸規(guī)則的形成、企業(yè)數(shù)據(jù)跨境傳輸合規(guī)性的提升以及全球數(shù)字貿(mào)易的長(zhǎng)遠(yuǎn)發(fā)展也具有重要意義。

3.1對(duì)歐盟的意義對(duì)歐盟而言，新版SCCs出臺(tái)的重要意義主要體現(xiàn)在以下三個(gè)方面：

a.有助于提升歐盟數(shù)據(jù)跨境傳輸安全保護(hù)水平。新版SCCs通過標(biāo)準(zhǔn)合同條款的形式將GDPR的原則內(nèi)容具體化，細(xì)化了數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方的權(quán)利義務(wù)，有助于提升歐盟數(shù)據(jù)跨境傳輸規(guī)則的現(xiàn)實(shí)可操作性[15]。例如，除了要考慮第三國關(guān)于數(shù)據(jù)保護(hù)的法律及慣例，新版SCCs還明確了傳輸影響評(píng)估中必須考慮的其他各項(xiàng)因素，比如數(shù)據(jù)處理鏈的長(zhǎng)度、當(dāng)事方的數(shù)量、使用的傳輸渠道、數(shù)據(jù)的處理目的和傳輸數(shù)據(jù)的性質(zhì)等，為數(shù)據(jù)跨境傳輸雙方行使權(quán)利和履行義務(wù)的方式及限度做出了詳細(xì)的規(guī)定。此外，新版SCCs并不局限于GDPR的內(nèi)容，而是創(chuàng)造性地提出了相關(guān)權(quán)利救濟(jì)措施。前已述及，舊版SCCs鮮少涉及數(shù)據(jù)跨境傳輸后的數(shù)據(jù)保護(hù)措施，GDPR也未明確數(shù)據(jù)主體如何獲得權(quán)利救濟(jì)，而權(quán)利救濟(jì)正是保護(hù)數(shù)據(jù)主體權(quán)益所必須的。新版SCCs中第一次明確了權(quán)利救濟(jì)的具體內(nèi)容，要求數(shù)據(jù)接收方必須及時(shí)處理數(shù)據(jù)主體的相關(guān)訴求或者允許數(shù)據(jù)主體向獨(dú)立的爭(zhēng)議解決機(jī)構(gòu)提出投訴。權(quán)利救濟(jì)作為保障數(shù)據(jù)跨境傳輸安全的最后一道防線，能夠在較大程度上降低數(shù)據(jù)跨境傳輸?shù)娘L(fēng)險(xiǎn)，更好地維護(hù)數(shù)據(jù)主體的合法權(quán)益，也使得歐盟數(shù)據(jù)跨境流動(dòng)規(guī)則具有現(xiàn)實(shí)可操作性，能夠更好的解決現(xiàn)實(shí)問題。

b.有助于促進(jìn)歐盟單一數(shù)字市場(chǎng)的形成。在互聯(lián)網(wǎng)與數(shù)字經(jīng)濟(jì)的影響下，通信技術(shù)與各行各業(yè)結(jié)合形成數(shù)字市場(chǎng)，大大節(jié)約了交易成本，同時(shí)創(chuàng)造了更多的財(cái)富。正是關(guān)注到這一點(diǎn)，歐盟意圖創(chuàng)建一個(gè)專屬于歐盟的數(shù)字市場(chǎng)以獲取競(jìng)爭(zhēng)優(yōu)勢(shì)，并在2015年5月發(fā)布了《數(shù)字化單一市場(chǎng)戰(zhàn)略》，提出了建立歐盟單一數(shù)字市場(chǎng)的目標(biāo)。新版SCCs的頒布正是加快實(shí)現(xiàn)這一目標(biāo)的重要舉措。新版SCCs提高了歐盟數(shù)據(jù)跨境傳輸至第三國的標(biāo)準(zhǔn)，明確要求數(shù)據(jù)發(fā)送方在歐盟數(shù)據(jù)跨境傳輸之前必須對(duì)第三國的法律予以評(píng)估。如果評(píng)估認(rèn)為第三國的法律不能達(dá)到歐盟的數(shù)據(jù)保護(hù)水平，該項(xiàng)數(shù)據(jù)跨境傳輸就不能進(jìn)行。事實(shí)上，歐盟目前的數(shù)據(jù)保護(hù)水平已經(jīng)超過了大部分國家和地區(qū)的數(shù)據(jù)保護(hù)水平。這意味著歐盟數(shù)據(jù)向外部流動(dòng)可能性降低，更有利于建設(shè)歐盟內(nèi)部的單一數(shù)字市場(chǎng)。值得注意的是，新版SCCs雖然有利于提升歐盟數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)、促進(jìn)歐盟單一數(shù)字市場(chǎng)形成，但其過高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)也有可能阻礙歐盟數(shù)據(jù)向外傳輸，影響歐盟參與全球數(shù)字市場(chǎng)的發(fā)展。

c.有助于加強(qiáng)歐洲數(shù)字主權(quán)的維護(hù)。數(shù)字主權(quán)是貫穿歐盟發(fā)展的一個(gè)重要概念。早在歐洲一體化的過程中，歐洲共同體就已經(jīng)在處理數(shù)據(jù)問題中多使用“主權(quán)”一詞。2020年7月14日，歐洲議會(huì)發(fā)表了《歐洲數(shù)字主權(quán)》(Digital sovereignty for Europe)報(bào)告，將“數(shù)字主權(quán)”正式定義為歐洲在數(shù)字世界中自主行動(dòng)的能力，即用以促進(jìn)數(shù)字創(chuàng)新(包括與非歐洲企業(yè)的合作)的保護(hù)性機(jī)制和防御性工具[16]。歐洲數(shù)字主權(quán)的維護(hù)與歐盟數(shù)據(jù)跨境傳輸規(guī)則息息相關(guān)。《歐洲數(shù)字主權(quán)》報(bào)告表明，如何恢復(fù)歐洲公民的數(shù)據(jù)控制權(quán)這一問題在歐盟內(nèi)受到廣泛關(guān)注。為此，歐盟在數(shù)據(jù)和隱私保護(hù)方面建立了一個(gè)以GDPR為核心的規(guī)則體系，嘗試以相關(guān)規(guī)則的適用來解決上述問題。作為GDPR的配套措施，新版SCCs尤為關(guān)注歐盟數(shù)據(jù)向非歐盟企業(yè)傳輸?shù)陌踩砸约胺菤W盟企業(yè)是否已經(jīng)為可能產(chǎn)生的數(shù)據(jù)安全損害建立了完善的救濟(jì)制度。即使歐盟數(shù)據(jù)已經(jīng)脫離了數(shù)據(jù)主體(歐盟及歐盟公民)的控制甚至已經(jīng)經(jīng)過多次轉(zhuǎn)移，數(shù)據(jù)主體仍可以借助新版SCCs的后續(xù)轉(zhuǎn)移制度預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)，向損害數(shù)據(jù)安全的相關(guān)責(zé)任人進(jìn)行追訴。這意味著歐洲數(shù)字主權(quán)的行使范圍與數(shù)據(jù)跨境傳輸范圍已經(jīng)緊密結(jié)合，歐盟數(shù)據(jù)跨境傳輸規(guī)則事實(shí)上已經(jīng)打上了歐洲數(shù)字主權(quán)維護(hù)的烙印。

3.2對(duì)國際社會(huì)的意義對(duì)國際社會(huì)來說，新版SCCs出臺(tái)主要有以下三個(gè)方面的重要意義：

a.有利于加快國際統(tǒng)一數(shù)據(jù)跨境傳輸規(guī)則的形成。研究表明，數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款正在成為各國保障數(shù)據(jù)跨境傳輸安全的重要途徑。例如，東盟于2021年1月22日批準(zhǔn)發(fā)布了《東盟跨境數(shù)據(jù)流動(dòng)示范合同條款》(ASEAN Model Contractual Clauses for Cross Border Data Flows，簡(jiǎn)稱MCCs)，以保障東盟數(shù)據(jù)向外傳輸?shù)陌踩?。中國也正在醞釀本國的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同示范文本。歐盟頒布的新版SCCs可以說是目前數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款發(fā)展的最成熟的樣本，易于為其他國家或地區(qū)在制定數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款時(shí)借鑒，這無疑有利于促進(jìn)其他國家或地區(qū)數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款立法技術(shù)的提升。與此同時(shí)，新版SCCs的出臺(tái)，實(shí)際上起著倒逼其他國家或地區(qū)提升數(shù)據(jù)安全立法水平的作用，進(jìn)而有利于提升國際數(shù)據(jù)跨境傳輸安全保護(hù)的整體水平。例如，新版SCCs要求數(shù)據(jù)接收方對(duì)政府訪問數(shù)據(jù)的請(qǐng)求能夠做出合理判斷或評(píng)估，其前提是數(shù)據(jù)接收方所在國存在相關(guān)的法律依據(jù)以及政府訪問數(shù)據(jù)符合法定的程序。非歐盟國家的企業(yè)與歐盟企業(yè)進(jìn)行數(shù)字貿(mào)易，或者非歐盟國家的企業(yè)之間進(jìn)行涉及歐盟數(shù)據(jù)的交易，都必須以其所在國的法律能夠符合歐盟數(shù)據(jù)安全保護(hù)水平為前提。在歐盟數(shù)據(jù)安全保護(hù)水平較高的情況下，為了保護(hù)本國企業(yè)的利益，大部分?jǐn)?shù)據(jù)接收方所在國必須完善數(shù)據(jù)跨境傳輸立法、減少灰色地帶、提升本國的數(shù)據(jù)安全保護(hù)水平。這將在一定程度上促進(jìn)國際數(shù)據(jù)跨境傳輸安全保護(hù)整體水平的提升，進(jìn)而加快國際統(tǒng)一數(shù)據(jù)跨境傳輸規(guī)則體系的形成。需要指出的是，包含新版SCCs的歐盟數(shù)據(jù)跨境傳輸規(guī)則本身將很難成為國際通用的數(shù)據(jù)跨境傳輸規(guī)則，因?yàn)樗鼮榱颂嵘龜?shù)據(jù)安全性而賦予數(shù)據(jù)接收方更重的義務(wù)，這既不利于數(shù)據(jù)的自由流通和商業(yè)化利用，也不利于國家信息產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展，更不符合各個(gè)國家在信息全球化背景下的發(fā)展需求。

b.有利于提升企業(yè)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)性。鑒于SCC主要適用于企業(yè)，新版SCCs著重細(xì)化數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方的權(quán)利和義務(wù)，實(shí)際上也是在明確強(qiáng)調(diào)企業(yè)在數(shù)據(jù)跨境傳輸中的權(quán)利和義務(wù)，對(duì)于企業(yè)進(jìn)行數(shù)據(jù)跨境傳輸具有較強(qiáng)的指導(dǎo)性。例如，新版SCCs明確了數(shù)據(jù)接收方企業(yè)行使數(shù)據(jù)訪問權(quán)的界限，即只能在其執(zhí)行、管理及監(jiān)督合約所履行的范圍內(nèi)讓其人員訪問數(shù)據(jù)。這就使得企業(yè)在進(jìn)行數(shù)據(jù)跨境傳輸?shù)目刹僮鞣秶冃。欣诮档推髽I(yè)濫用權(quán)利、損害數(shù)據(jù)安全的可能性。根據(jù)新版SCCs的詳細(xì)規(guī)定，企業(yè)也可以預(yù)測(cè)其在數(shù)據(jù)跨境傳輸過程中各種行為的合法性，便于有針對(duì)性地做好數(shù)據(jù)跨境傳輸?shù)谋Ｕ瞎ぷ?、減少突發(fā)事故的發(fā)生。與此同時(shí)，新版SCCs還增加了外部監(jiān)管的方式，有助于提升企業(yè)進(jìn)行數(shù)據(jù)跨境傳輸?shù)暮弦?guī)性。新版SCCs要求數(shù)據(jù)發(fā)送方企業(yè)在保護(hù)商業(yè)秘密及其他機(jī)密信息的情況下，免費(fèi)向非SCC簽署方的數(shù)據(jù)主體提供數(shù)據(jù)發(fā)送方與接收方簽訂的SCC副本，以增強(qiáng)數(shù)據(jù)跨境傳輸?shù)耐该鞫取＿@意味著數(shù)據(jù)主體可以通過SCC副本了解數(shù)據(jù)跨境傳輸?shù)幕厩闆r，并對(duì)傳輸過程進(jìn)行監(jiān)督。數(shù)據(jù)主體如果發(fā)現(xiàn)數(shù)據(jù)跨境傳輸有損害數(shù)據(jù)安全的情況，還可以通過啟動(dòng)救濟(jì)程序來保障數(shù)據(jù)安全。在企業(yè)內(nèi)驅(qū)性不足的情況下，外部監(jiān)管無疑會(huì)成為企業(yè)提升數(shù)據(jù)跨境傳輸合規(guī)性的重要保障。

c.有利于促進(jìn)全球數(shù)字貿(mào)易的長(zhǎng)遠(yuǎn)發(fā)展。就現(xiàn)階段而言，國際上存在著歐盟和美國主導(dǎo)的兩大數(shù)據(jù)跨境流動(dòng)規(guī)則體系。兩大體系之間在數(shù)據(jù)開放程度上的選擇并不一致。數(shù)據(jù)越開放，其安全面臨的風(fēng)險(xiǎn)越高，二者很難平衡。新版SCCs在細(xì)化雙方的數(shù)據(jù)傳輸義務(wù)的過程中，減少了開放與風(fēng)險(xiǎn)保障之間的模糊地帶，加劇了二者之間的對(duì)立。這就意味著選擇傾向于數(shù)據(jù)開放的國家在與傾向于數(shù)據(jù)安全的國家進(jìn)行數(shù)字化貿(mào)易時(shí)，必須有一方以部分安全或者部分開放作為代價(jià)，換取數(shù)據(jù)跨境傳輸?shù)目赡?。如果使用新版SCCs進(jìn)行數(shù)據(jù)跨境傳輸，只要兩方的數(shù)據(jù)保護(hù)水平不一致，至少有一方的合規(guī)成本是會(huì)增加的。因此，從短期來看，新版SCCs加重了數(shù)據(jù)當(dāng)事方的義務(wù)，可能會(huì)導(dǎo)致國際數(shù)據(jù)跨境傳輸?shù)某杀驹黾?。但從長(zhǎng)遠(yuǎn)看來，隨著經(jīng)濟(jì)全球化的加深，這種合規(guī)成本反而會(huì)演變?yōu)槎酱賴伊⒎ǜ母?、提升企業(yè)內(nèi)部合規(guī)程度的催化劑。因?yàn)樵诮?jīng)濟(jì)全球化的背景下，歐盟作為貿(mào)易大國對(duì)全球貿(mào)易的影響是不可低估的，加之歐盟在信息技術(shù)和數(shù)字立法上取得的成就，各國很難繞開歐盟發(fā)展數(shù)字貿(mào)易，因而各國可能通過立法來追趕與歐盟數(shù)字立法之間的差距，減少因立法差距產(chǎn)生的合規(guī)成本，從而促進(jìn)國際社會(huì)數(shù)字貿(mào)易立法整體水平的提升，最終促成全球數(shù)字貿(mào)易的長(zhǎng)遠(yuǎn)發(fā)展。

4 對(duì)中國的啟示

歐盟新版SCCs是在GDPR成為歐盟數(shù)據(jù)跨境傳輸核心規(guī)則、歐盟法院通過Schrems Ⅱ案件對(duì)SCC提出新期待、歐盟和美國頻繁爭(zhēng)奪數(shù)字貿(mào)易領(lǐng)域規(guī)則制定話語權(quán)的情況下誕生的。相較于舊版，新版SCCs豐富了應(yīng)用場(chǎng)景、明確了數(shù)據(jù)接收方和發(fā)送方的權(quán)利義務(wù)，并且基本解決了集體數(shù)據(jù)傳輸問題，體現(xiàn)了歐盟在數(shù)據(jù)跨境傳輸領(lǐng)域的最新立法水準(zhǔn)，對(duì)于歐盟和國際社會(huì)數(shù)據(jù)規(guī)則的長(zhǎng)遠(yuǎn)發(fā)展都將具有重要的影響[17]。為搶抓全球經(jīng)濟(jì)數(shù)字化發(fā)展的機(jī)遇，中國也正在加快數(shù)據(jù)規(guī)則體系建設(shè)，現(xiàn)已頒布了《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》三部基礎(chǔ)性法律，初步構(gòu)建起信息及數(shù)據(jù)安全領(lǐng)域的基本法律框架。然而，就數(shù)據(jù)跨境傳輸活動(dòng)而言，上述立法的規(guī)定過于原則，不能直接落地實(shí)施，還有賴于相關(guān)配套規(guī)則予以細(xì)化和完善。因此，本文認(rèn)為，中國應(yīng)當(dāng)借鑒歐盟新版SCCs，加快數(shù)據(jù)跨境傳輸后續(xù)轉(zhuǎn)移的相關(guān)立法、細(xì)化數(shù)據(jù)跨境傳輸雙方權(quán)利義務(wù)、進(jìn)一步完善中國版SCC，并積極參與相關(guān)領(lǐng)域統(tǒng)一規(guī)則的構(gòu)建。具體而言，歐盟新版SCCs對(duì)中國的啟示主要有以下四點(diǎn)：

a.加快數(shù)據(jù)跨境傳輸后續(xù)轉(zhuǎn)移的相關(guān)立法。當(dāng)前，中國的數(shù)據(jù)跨境傳輸規(guī)則體系主要圍繞規(guī)范數(shù)據(jù)從本國數(shù)據(jù)向國外傳輸這一過程展開，尚未涉及本國數(shù)據(jù)在其他國家之間轉(zhuǎn)移的情況，這并不利于國家安全保障。因?yàn)閿?shù)據(jù)之中包含著諸多信息，只要通過數(shù)據(jù)分析就能充分掌握這些信息，所以脫離數(shù)據(jù)主體控制和規(guī)則規(guī)范的數(shù)據(jù)跨境傳輸活動(dòng)很容易成為他國獲取我國重要信息的渠道。雖然國家互聯(lián)網(wǎng)信息辦公室于2021年10月29日公布的《數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》明確提出了數(shù)據(jù)安全評(píng)估要堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估相結(jié)合的原則，但對(duì)數(shù)據(jù)后續(xù)轉(zhuǎn)移事項(xiàng)的規(guī)定仍不夠完善，不能滿足現(xiàn)實(shí)需求。為此，建議相關(guān)規(guī)定參考?xì)W盟新版SCCs的做法，明確設(shè)置數(shù)據(jù)后續(xù)轉(zhuǎn)移的規(guī)則：一方面，增加數(shù)據(jù)跨境傳輸后續(xù)轉(zhuǎn)移須經(jīng)數(shù)據(jù)主體明示同意的規(guī)則。如果數(shù)據(jù)傳輸雙方未取得數(shù)據(jù)主體的明示同意，則不能推進(jìn)數(shù)據(jù)后續(xù)轉(zhuǎn)移。與此同時(shí)，為了防止企業(yè)通過一攬子合同獲取數(shù)據(jù)主體關(guān)于數(shù)據(jù)跨境傳輸所有事項(xiàng)的同意權(quán)，還可以考慮將這一類行為的信用記錄加入到征信評(píng)估體系。這不僅有利于保障數(shù)據(jù)主體的知情權(quán)，而且有利于形成多重監(jiān)督，以降低數(shù)據(jù)跨境傳輸風(fēng)險(xiǎn)[18]。另一方面，細(xì)化數(shù)據(jù)安全保證條款，要求數(shù)據(jù)傳輸雙方保證數(shù)據(jù)在后續(xù)轉(zhuǎn)移過程中能夠獲得與中國境內(nèi)數(shù)據(jù)相同、甚至更高的安全保護(hù)水平。例如，除了要求數(shù)據(jù)發(fā)送方保證根據(jù)新情況重新評(píng)估數(shù)據(jù)后續(xù)轉(zhuǎn)移事項(xiàng)外還可以要求數(shù)據(jù)發(fā)送方保證，一旦在數(shù)據(jù)后續(xù)轉(zhuǎn)移過程中發(fā)生影響數(shù)據(jù)安全的新情況，將及時(shí)采取包括中止數(shù)據(jù)后續(xù)轉(zhuǎn)移在內(nèi)的各項(xiàng)補(bǔ)救措施，否則應(yīng)當(dāng)承擔(dān)因未及時(shí)止損而導(dǎo)致?lián)p失擴(kuò)大的責(zé)任，以此彌補(bǔ)重新評(píng)估流程的不足、降低突發(fā)狀況帶來的負(fù)面影響。

b.細(xì)化數(shù)據(jù)跨境傳輸雙方權(quán)利義務(wù)。由于數(shù)據(jù)跨境傳輸?shù)姆枪_性，數(shù)據(jù)傳輸雙方在數(shù)據(jù)處理上有較大的權(quán)利，這就導(dǎo)致數(shù)據(jù)在跨境傳輸中的安全和利用效率往往難以得到有效保障，所以細(xì)化數(shù)據(jù)跨境傳輸雙方權(quán)利義務(wù)勢(shì)在必行。因此，相關(guān)法規(guī)可以考慮在現(xiàn)有制度基礎(chǔ)上，借鑒歐盟新版SCCs的規(guī)定對(duì)數(shù)據(jù)跨境傳輸雙方行使權(quán)利和履行義務(wù)的方式提出更為明確的要求，比如，可以考慮通過正面列舉加兜底條款的方式，讓相關(guān)企業(yè)更為直觀地了解自己行為的合規(guī)性，也為執(zhí)法機(jī)關(guān)應(yīng)對(duì)新情況新問題預(yù)留一定的空間。同時(shí)，可以從設(shè)置權(quán)利行使的具體條件和義務(wù)履行的具體要求的角度來細(xì)化制度內(nèi)容，比如對(duì)數(shù)據(jù)跨境傳輸雙方的行為進(jìn)行目的限制。這樣不僅可以規(guī)范數(shù)據(jù)跨境傳輸雙方行為、減少雙方濫用權(quán)利或者不履行義務(wù)的情況，而且有助于企業(yè)提升數(shù)據(jù)跨境傳輸合規(guī)的可預(yù)測(cè)性，更好地指導(dǎo)企業(yè)進(jìn)行更加規(guī)范的數(shù)字貿(mào)易[19]。當(dāng)然，在設(shè)定行使權(quán)利和履行義務(wù)的限度時(shí)，相關(guān)立法還應(yīng)當(dāng)遵循數(shù)據(jù)安全和利用效率并重的原則，以兼顧必要性和合理性。

c.進(jìn)一步完善中國版SCC。目前，部分國家和區(qū)域聯(lián)盟正在研究各自的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款，出臺(tái)標(biāo)準(zhǔn)合同條款用以規(guī)范數(shù)據(jù)跨境傳輸或?qū)⒊蔀橐环N普遍做法。根據(jù)《個(gè)人信息保護(hù)法》第38條第3款的規(guī)定，個(gè)人信息處理者如因業(yè)務(wù)等需要向境外提供個(gè)人信息的，可按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同。目前中國版SCC正在研究制定中。為此，筆者建議可以參考?xì)W盟新版SCCs的經(jīng)驗(yàn)，結(jié)合中國國情，從數(shù)據(jù)安全和數(shù)據(jù)利用兩方面構(gòu)建中國版SCC。在數(shù)據(jù)安全方面，中國版SCC應(yīng)結(jié)合新出臺(tái)的《數(shù)據(jù)安全法》的內(nèi)容，涵蓋可能出現(xiàn)的數(shù)據(jù)跨境傳輸模式，從傳輸前、傳輸過程以及數(shù)據(jù)后續(xù)傳輸這三個(gè)階段對(duì)數(shù)據(jù)傳輸雙方的權(quán)利義務(wù)進(jìn)行細(xì)致規(guī)定，加強(qiáng)數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估，切實(shí)保障國家數(shù)據(jù)安全和相關(guān)主體的合法權(quán)益。在數(shù)據(jù)利用方面，中國版SCC應(yīng)以規(guī)范數(shù)據(jù)跨境傳輸為重點(diǎn)，適當(dāng)放棄繁復(fù)但無益于數(shù)據(jù)安全的審批程序，以減少不合理的傳輸成本[20]。此外，中國版SCC還需要考慮“一帶一路”建設(shè)的實(shí)際情況以及中國與東盟之間簽訂的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership，以下簡(jiǎn)稱RCEP)的規(guī)定，以充分應(yīng)對(duì)“一帶一路”建設(shè)中可能出現(xiàn)的數(shù)據(jù)跨境傳輸問題，并與RCEP相關(guān)規(guī)定相銜接。

d.加強(qiáng)在國際統(tǒng)一數(shù)據(jù)跨境傳輸規(guī)則構(gòu)建方面的對(duì)話。當(dāng)前，國際社會(huì)尚未形成統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則，歐盟和美國在數(shù)據(jù)跨境傳輸領(lǐng)域都具有一定的影響力，雙方的博弈嚴(yán)重影響了整個(gè)國際數(shù)據(jù)跨境傳輸秩序。以Schrems Ⅱ案件為例，該案件否認(rèn)了美歐簽署的隱私盾協(xié)議及其他文件的效力、對(duì)歐盟SCC提出了新要求，這不僅擾亂了美歐之間原有的數(shù)據(jù)跨境傳輸活動(dòng)安排，而且成為了歐盟新版SCCs出臺(tái)的重要原因。歐盟新版SCCs對(duì)歐盟與其他國家進(jìn)行數(shù)據(jù)跨境傳輸提出了更高的要求，增加了其他國家的合規(guī)成本。為減少歐美在數(shù)據(jù)跨境傳輸領(lǐng)域博弈所帶來的負(fù)面影響，需要盡快構(gòu)建國際統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則。在國際統(tǒng)一規(guī)則的制定過程中，中國應(yīng)當(dāng)秉持互利互惠、合作共贏的精神，對(duì)規(guī)則制定表明關(guān)切，積極開展和參與國家政府或區(qū)域聯(lián)盟間的高層級(jí)對(duì)話，并在制定相關(guān)規(guī)則的論壇和會(huì)議中充分發(fā)出中國聲音，以便更好地維護(hù)本國利益。當(dāng)國家或區(qū)域聯(lián)盟關(guān)于規(guī)則制定產(chǎn)生爭(zhēng)議時(shí)，中國應(yīng)當(dāng)聽取各方需求、協(xié)調(diào)各方利益，提出盡可能兼顧各方利益的方案，促使規(guī)則制定朝著有利于各個(gè)國家和區(qū)域聯(lián)盟的方向發(fā)展。