李仁真 罗琳娜

(武汉大学中国边界与海洋研究院 武汉 430072)

随着全球数字经济的发展，制定标准合同条款(Standard Contractual Clause，以下简称为“SCC”)正在成为各个国家和地区用以规范数据跨境传输活动的重要途径。欧盟委员会也一直在研究适用于数据跨境传输的SCC，曾先后颁布过四套SCCs。考虑到这四套SCCs已经不能满足现实发展的需要，欧盟委员会于2021年6月4日颁布了两套新的数据跨境传输SCCs(以下简称“新版SCC”)，其中一套用于调整《通用数据保护条例》(General Data Protection Regulation，以下简称为“GDPR”)第28条第7款项下的控制者与处理者的关系；另一套则用于规范个人数据向第三方国家转移的过程。相较于旧版SCCs，新版SCCs吸收了GDPR的核心规则与Schrems Ⅱ案的判决精神，体现了信息全球化背景下欧盟与美国争夺数据跨境传输领域规则制定权的努力，具有鲜明的时代特征。因此，新版SCCs一经发布，立即引起国际社会的广泛关注。

1 欧盟数据跨境传输标准合同条款的发展历程

本文所称的SCC，是指欧盟制定的、用以规范数据跨境传输双方权利义务的标准合同条款。SCC本质上是对GDPR规定的适当性保障原则的细化，是专门用于规范数据跨境传输过程的GDPR重要实施细则。通常而言，SCC只适用于欧盟数据跨境传输至不在欧盟所列“白名单”国家的情形；数据跨境传输的双方一旦选择SCC作为数据跨境传输的合法依据，就只能选择适用或不适用SCC的全部条款，而不能选择部分适用、变更、分解或另行组合。进入21世纪以来，欧盟一直把适用SCC作为允许企业将欧盟数据向非白名单国家跨境传输的重要条件之一，并且先后通过了4个不同版本的SCCs。各个版本的SCCs均体现了不同时代背景下欧盟对于数据保护的不同要求。

早在2001年，欧盟委员会为了满足欧盟境内外企业进行数据跨境传输的需要，根据1995年颁布的《数据保护指令》(Data Protection Directive, 以下简称“95指令”)的内容，制定了两套SCCs：一套适用于数据控制者，通称为“SCC2001C”；一套适用于数据处理者，通称为“SCC2001P”。其中，适用于数字控制者的SCC2001C并未得到企业的广泛应用，其主要原因在于这套SCC对数据接收方和数据发送方提出了连带责任要求，并赋予了数据主体(通常指欧盟及欧盟居民)较为广泛的起诉权。这无疑加重了数据接收者和发送者的注意义务，使得数据传输双方不仅需要关注自身行为的合法性，还需要花费一定成本关注对方行为的合法性，从而增加了数据跨境传输成本，并不利于数据的商业化利用。2004年，欧盟委员会根据上述两套SCCs的实际应用情况，并吸收了国际商会等机构提出的加强数据商业化利用的建议，新增了一套适用于数据控制者的数据跨境传输标准合同条款，通称为“SCC2004C”。与SCC2001C不同，SCC2004C删除了数据发送方和接收方必须承担连带责任的条款，规定二者只需要关注自身数据利用行为的合法性，仅就其自身违约行为所造成的损害分别向数据主体承担赔偿责任。这在一定程度上减少了数据跨境传输的成本，更有利于促进数据的商业化利用。但SCC2004C的正式颁布并不意味着SCC2001C立即失效，企业仍可根据实际情况对二者择一适用。2010年，随着数据处理问题的日益复杂化，欧盟委员会又根据实际需要对SCC2001P进行了更新，增加了允许位于欧洲经济区以外的数据处理者在满足一定条件的情况下将数据继续转移给其他数据处理者的条款，由此形成了“SCC2010P”，并与SCC2001C、SCC2004C共同施行。上述三套SCCs从不同角度均对数据跨境传输双方的权利义务作了明确规定，不仅基本解决了欧盟数据跨境传输活动频率高、范围广所带来的监管困难问题，而且也为企业有效开展数据跨境传输活动提供了制度便利。因此，选择适用SCC便成为相关企业之间商签数据跨境传输合同的一种普遍现象。

近年来，随着欧盟整体数据保护水平的提升，特别是GDPR的颁布实施并取代95指令成为欧盟新的数据保护法，上述三套以95指令为基础制定的SCCs(以下简称旧版SCCs)已经不能满足欧盟数据保护的现实需要。在这种情况下，出台新版SCCs就成为欧盟完善数据保护立法及配套制度的最优选择。具体而言，欧盟出台新版SCCs有其特定的背景和政策考量，其主要表现在以下方面：

1.1旧版SCCs与GDPR在规定上无法完全衔接由于旧版SCCs是以95指令为基础形成的，因而其条文多采用“95/46/EC指令”的表述。在GDPR生效以后，能否将旧版SCCs中有关“95/46/EC指令”的表述直接替换为“GDPR”，使之继续沿用是存在法律障碍的。实际上，GDPR并非95指令的再版，而是在95指令的基础上多有规则细化和制度创新。例如，95指令只是规定进行数据跨境传输需要数据主体“同意”，但并未具体规定“同意”有效的条件，而GDPR则对“同意”有效的条件做出了明确规定，其中包括：只有数据主体做出声明或者做出清晰的肯定性动作，同意才是有效的；如果数据主体对是否可以进行数据跨境传输的询问表示沉默，这种沉默就不能作为“同意”有效的证据[1]。虽然GDPR对95指令内容的细化部分并未超出95指令的整体语境，可以通过扩大解释的方式使之与旧版SCCs相衔接，但是GDPR的制度创新部分则不能。以GDPR增加的数据安全保护程度评估为例，GDPR要求数据跨境传输必须对传输目的地国家的数据安全保护水平进行评估，且评估应当是一种周期性的持续审查。这是GDPR的创新之处，也是95指令完全没有涉及的内容。因此，在GDPR全面施行后，基于95指令的旧版SCCs很难继续沿用，尽快实现SCCs与GDPR在内容上相衔接就成为欧盟出台新版SCCs的一个直接动因。

1.2SchremsⅡ案对SCC提出了新期待受“斯诺登事件”的影响，奥地利公民马克西米利安·施雷姆斯 (Maximillian Schrems) 以欧盟个人数据受美国政府监控为由，多次向爱尔兰数据保护监管机构提出申诉，要求禁止Facebook在爱尔兰设立的公司将欧盟数据传输至Facebook总部。据此，爱尔兰高等法院请求欧盟法院对欧盟与美国之间达成的既有数据跨境传输协议的效力予以确认。这将直接决定美国公司向美国传输欧盟数据的行为是否合法，有关Schrems的系列案件由此形成。与Schrems I案聚焦于欧美安全港框架是否充分保障欧美数据跨境传输安全的情况不同，欧盟法院在Schrems Ⅱ案中则主要关注欧盟制定的SCC、欧美隐私盾协议以及其他法律依据能否为数据跨境传输提供充分的安全保障。在Schrems Ⅱ案中，欧盟法院认为，美国企业即使加入隐私盾协议，也不意味着美国政府机构无法通过企业渠道非法获取欧盟数据；欧盟数据遭受威胁时，美国并未向欧盟数据主体提供可利用的司法救济手段，导致欧盟数据主体无法在美国获得与欧盟境内同等充分的数据安全保护，因此违反了《欧盟基本权利宪章》[2]。基于上述理由，欧盟法院宣布欧美之间的“隐私盾协议”框架即刻无效。与此同时，欧盟法院同意总检察长的意见，认为SCC可作为欧盟数据跨境传输的合法依据，但也提出了SCC需要改进之处。这主要涉及两方面内容：一方面，签署SCC并不意味着欧盟成员国的监管机构不能调查与已经签署的SCC相关的数据跨境传输事项的投诉。成员国监管机构如果在调查过程中发现数据传输双方虽然已经签署SCC，但欧盟数据并未得到充分性保护，那么就有权禁止或暂停这一数据传输[3]。为了确保欧盟不同成员国的监管机构就监管数据跨境传输事项所做决定的一致性，欧盟法院进一步提出，成员国监管机构可以将与SCC有关的申诉提交给欧洲数据保护委员会(European Data Protection Board, EDPB)以征求意见，该委员会所做的决定对所有成员国的监管机构都具有约束力[4]。另一方面，签署SCC也要符合GDPR中的“充分性认定”原则。在数据跨境传输之前，签署SCC的数据发送方应当进行尽职调查，评估数据传输地国家的法律是否提供与欧盟的制度相当水平的数据保护；在数据跨境传输之后，数据传输双方仍应当保证对数据的后续处理始终按照欧盟数据保护水平进行，即“适当的保障措施”[5]。在欧美“隐私盾协议”的效力被欧盟法院判决否定的情况下，欧盟的数据跨境传输尤其是向美国传输应当遵循何种规则有待于重新安排。值得注意的是，SCC作为数据跨境传输的一种合法依据，在该案判决中却得到了欧盟法院的明确认可，与此同时，欧盟法院还对SCC提出了新的要求。因此，吸纳Schrems Ⅱ案判决的核心精神，避免依赖SCC的数据传输双方遭遇类似Schrems Ⅱ案的诉讼风险，就成为欧盟出台新版SCCs的又一重要意图。

1.3欧美争夺数据跨境传输领域规则制定话语权的需要目前，国际上并未形成统一的数据跨境传输规则。随着数据信息时代的到来，掌握数据传输领域的规则制定话语权就意味着能够创造更有利于自身的数字贸易规则，有助于更好地发展本国信息技术及相关产业。基于此，美国和欧盟分别构建了符合自身发展需求的数据跨境传输规则体系。美国深受有限政府原则的影响，更为在意政府对个人自由和生活领域私密性的破坏，因此其数据跨境传输立法更多地考虑数据流通的自由性以及数据流通自由所带来的商业利益[6]。美国借助亚太经合组织推行的数据跨境隐私规则体系(Cross Border Privacy Rules，以下简称CBPRs)贯彻其国内立法中减少数据传输阻碍、增强数据流通自由的主旨，本质上是对外国数据实行较低水准的安全保护。加入CBPRs的国家无论国内数据安全保护水平有多高，均不能要求数据接收方的数据保护水平等同于本国的数据安全保护水平，因为数据接收方的数据保护水平只要满足CBPRs的标准，数据发送方就必须向数据接收方传输数据。而CBPRs的标准是一种较低水平的数据安全保护标准，因此数据发送方的数据安全难以得到充分保障[7]。虽然美国目前并未在全球推行CBPRs，但是CBPRs已经对日本、韩国、新加坡等国家制定的数据跨境传输规则产生了一定的影响。并且，随着经济全球化的发展，美国将通过参与全球事务、与他国建立数据跨境传输关系的方式，不断扩大其所主导的数据跨境传输规则体系的影响。与美国截然不同，欧盟以重视个人隐私保护为核心理念，形成了较为严格的数据跨境传输规则，这些规则目前主要由GDPR、遵守约束性公司规则、SCC等部分组成[8]。欧盟数据跨境传输规则体系不仅追求成员国之间数据安全保护水平的一致性，更强调非欧盟国家对于数据安全保护水平的提升。这与美国强调数据自由流通却疏于考虑数据安全问题的基本情况形成了鲜明的对比，体现了欧盟积极参与数字贸易国际合作、引领统一的数据跨境传输规则形成的良好国际形象[9]。欧盟法院在SchremsⅡ案件判决中指出美国数据安全保护水平之低，无疑是向国际社会展示欧盟数据安全保护水平之高。欧盟如何抓住这一时机，顺势推出吸收Schrems Ⅱ案判决精神、具有较高保护水平的SCC，更有利于欧盟获得世界各国的信任，是欧盟出台新版SCCs的又一重要考量。

2 欧盟新版数据跨境传输标准合同条款的特点

新版SCCs受GDPR和Schrems Ⅱ案件判决的影响较多，其内容不仅体现了欧盟在数据跨境传输问题中一贯坚持的以数据安全保护为前提对外开放的态度，而且包含了明确详细、切实可行的数据安全保护措施，有助于适用新版SCCs的数据传输双方提升数据跨境传输的合规性。两套新版SCCs主要由通用条款(General Terms and Conditions)、数据传输双方义务条款(Obligations of the Parties)、最后条款(Final Provisions)以及包含当事人名单、处理说明和技术与组织措施的三个附件组成，其中用于规范个人数据向第三方国家转移过程的SCC还在数据传输双方义务条款和最后条款之间增加了针对政府请求访问数据的义务条款。相较于旧版SCCs，新版SCCs主要具有以下三个特点：

2.1应用场景更为丰富，适用范围得以拓展新版SCCs规定了数据跨境传输的四种模式，即数据控制者至数据控制者(以下简称“C-C”)、数据控制者至数据处理者(以下简称“C-P”)、数据处理者至数据控制者(以下简称“P-C”)和数据处理者至数据处理者(以下简称“P-P”)，明确了四种模式下的数据传输目的、透明度、安全性，并对后续转移的规则进行了细化。具体说来，新版SCCs在适用范围上的变化主要体现在以下几点：一是在原有传输模式(“C-C”和“C-P”)的基础上增加了两种传输模式(“P-C”和“P-P”)，这不仅使SCC的应用场景更加丰富，而且使其与GDPR的适用范围相衔接，有助于欧盟应对数据全球化背景下数据跨境传输多样性所带来的现实问题[10]。二是更新了C-C模式的内容，新增了数据接受方必须履行的义务，这些义务与GDPR中数据控制者的义务大体一致[11]。三是丰富了旧版SCCs不曾涉及的新情况——数据发送方可能是一个非欧盟实体，并对那些不在欧盟境内设立的数据传输双方跨境传输数据的问题加以规范，以解决旧版SCCs与GDPR的域外管辖不相衔接的问题。例如，一个不在欧盟境内设立的数据发送方将数据传输到另一个不在欧盟境内设立的数据接收方(例如，美国的云处理器)，根据GDPR第3条第(2)项的规定属于其管辖范围。新版SCCs突破了旧版SCCs的局限，在域外管辖问题上与GDPR保持了基本同步。上述变化表明，欧盟数据跨境传输规则已经具备了应对更为广泛的数据跨境传输问题的特质，而这正是国际统一的数据跨境传输规则所必需的[12]。可以说，新版SCCs通过增加应用场景与拓展适用范围，不仅能够与GDPR有效衔接、成为GDPR施行的重要配套措施，而且具备了普遍适用于欧盟数据跨境传输的基础，并为未来向全球推广提供了可能。

2.2数据传输双方权利义务更为明确，SchremsⅡ案件判决精神得以反映对数据跨境传输提供较高水平的安全保护一直是欧盟倡导的重要理念。欧盟法院在Schrems Ⅱ案件判决中继续坚持了这一理念，并且一再重申：数据接收方必须采取各种合理方式对数据跨境传输中的欧盟数据予以保护。新版SCCs则对欧盟法院一再重申的这一精神加以了全面细化。首先，数据安全评估在新版SCCs中已经成为数据跨境传输不可或缺的步骤。保护欧盟数据安全是数据跨境传输得以进行的必要条件，为此，数据跨境传输双方必须对数据接收方所在国家的法律以及司法实践是否阻碍双方履行义务进行评估，并对评估进行记录。新版SCCs不仅强调传输前的评估，而且重视传输过程中可能产生的变化。如果数据接收方认为其受到可能改变上述评估结果的法律管辖，数据接受方必须立刻告知数据发送方。因此，无论是传输前还是传输过程中，数据接收方必须持续履行评估义务[13]。其次，审慎对待政府的数据访问请求成为新版SCCs关注的重点。如前所述，美国政府利用多家企业监听他国政要的事件引起了欧盟内部的高度警觉，导致欧盟法院在Schrems Ⅱ案件判决中直接否认了欧盟与美国签订的隐私盾协议的效力，而仅仅承认了欧盟SCCs的效力。鉴于旧版SCCs一直是企业采用的数据跨境传输标准合同文本的蓝本，为了避免一些国家的政府通过企业渠道非法获取欧盟内部数据，新版SCCs进一步加强了数据接收方关于他国政府访问欧盟数据方面的告知义务。据此，数据接收方一旦收到非欧盟国家的政府提出的数据访问请求，且“有合理依据认为该请求不合法”，必须立刻告知数据发送方。最后，新版SCCs提供了较为全面可行的救济方式。在Schrems Ⅱ案件中，欧盟法院之所以否认欧美隐私盾协议的效力，其重要原因之一就是美国在该协议中并未提供任何可行的救济方式，数据风险相对较高[14]。为避免重蹈覆辙，新版SCCs规定数据接收方应当提供必要的救济措施，包括告知该数据主体相关的投诉方式、迅速处理数据主体提出的相关投诉或要求。此外，新版SCCs还赋予数据接收方和数据主体利用独立的争议解决机制来处理争议的权利。在此种情况下，数据接收方同样具有告知义务。整体而言，新版SCCs在原有基础上加重了数据接收方的义务。这表明欧盟在对欧盟数据向欧盟外传输这一问题上依然保持着较为谨慎的态度。

2.3创造性提出对接条款，集体数据传输问题得以解决新型冠状病毒性肺炎疫情(以下简称“新冠疫情”)在席卷全球的同时，也在改变着人们的支付方式和生活方式。新冠疫情的频繁侵袭导致人们的出行频率大幅度降低，人们更愿意采用线上支付的方式满足日常采购的需要。因此，全球数字贸易及其交往日益丰富，业务处理链条也变得愈发复杂，一项数据跨境传输过程往往涉及多个数据接收方和数据发送方。然而，旧版SCCs仅适用于单一的数据接收方和数据发送方进行数据跨境传输，体现了双方在某一静态时间点的关系，无法随着时间的推移以及关系的变化增加新的当事方。尤其是在进行大规模的集团内或集团外的数据传输时，数据接收方和数据发送方需要为每一次数据跨境传输单独签署SCC。这不仅使数据跨境传输变得极为复杂，而且不利于数据的多次重复传输。为跟上时代前进的步伐，新版SCCs在附件里面增加了对接条款，允许多个数据接收方或数据发送方同时签署一份SCC。在最初的签署方之外，只要新的数据接收方或者数据发送方能够获得已经签署SCC缔约方的同意并完成附件签署，就能加入同一份SCC，并且能够以所加入的数据接收方或数据发送方的身份，享有相应的权利并履行相关义务。但新版SCCs不具有溯及力，新加入者在完成附件签署之前并不享有相应的权利，也无需履行相关义务。这就意味着加入已签署的SCC的门槛相对较低，只需要先前签署方同意即可。因此，新版SCCs提供的对接条款能够极大地减少多次数据跨境传输需要多次签署SCC的成本，这对于那些依赖SCC进行集团内部数据传输的组织来说，显得尤为重要。虽然集团的各个子公司和分公司可能会随着时间的推移以及集团业务发展而不断设立或注销，但是有了新版SCCs的对接条款，就能够减少或避免因集团分支机构变更所带来的重复签署SCC、数据跨境传输手续繁复的问题。

3 欧盟新版数据跨境传输标准合同条款出台的意义

数据作为一种新型生产要素，是数字经济发展的重要基础。数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球经济格局的关键力量。数据跨境传输规则在规范数据传输过程的同时，也在引导企业的发展乃至数字经济的未来走向，这对全球经济格局的发展至关重要。作为欧盟数据跨境传输规则的重要组成部分，新版SCCs的出台，不仅对于欧盟数据跨境传输规则的完善、欧盟单一数字市场的形成以及欧洲数字主权的维护具有重要意义，而且对于国际统一数据跨境传输规则的形成、企业数据跨境传输合规性的提升以及全球数字贸易的长远发展也具有重要意义。

3.1对欧盟的意义对欧盟而言，新版SCCs出台的重要意义主要体现在以下三个方面：

a.有助于提升欧盟数据跨境传输安全保护水平。新版SCCs通过标准合同条款的形式将GDPR的原则内容具体化，细化了数据接收方和数据发送方的权利义务，有助于提升欧盟数据跨境传输规则的现实可操作性[15]。例如，除了要考虑第三国关于数据保护的法律及惯例，新版SCCs还明确了传输影响评估中必须考虑的其他各项因素，比如数据处理链的长度、当事方的数量、使用的传输渠道、数据的处理目的和传输数据的性质等，为数据跨境传输双方行使权利和履行义务的方式及限度做出了详细的规定。此外，新版SCCs并不局限于GDPR的内容，而是创造性地提出了相关权利救济措施。前已述及，旧版SCCs鲜少涉及数据跨境传输后的数据保护措施，GDPR也未明确数据主体如何获得权利救济，而权利救济正是保护数据主体权益所必须的。新版SCCs中第一次明确了权利救济的具体内容，要求数据接收方必须及时处理数据主体的相关诉求或者允许数据主体向独立的争议解决机构提出投诉。权利救济作为保障数据跨境传输安全的最后一道防线，能够在较大程度上降低数据跨境传输的风险，更好地维护数据主体的合法权益，也使得欧盟数据跨境流动规则具有现实可操作性，能够更好的解决现实问题。

b.有助于促进欧盟单一数字市场的形成。在互联网与数字经济的影响下，通信技术与各行各业结合形成数字市场，大大节约了交易成本，同时创造了更多的财富。正是关注到这一点，欧盟意图创建一个专属于欧盟的数字市场以获取竞争优势，并在2015年5月发布了《数字化单一市场战略》，提出了建立欧盟单一数字市场的目标。新版SCCs的颁布正是加快实现这一目标的重要举措。新版SCCs提高了欧盟数据跨境传输至第三国的标准，明确要求数据发送方在欧盟数据跨境传输之前必须对第三国的法律予以评估。如果评估认为第三国的法律不能达到欧盟的数据保护水平，该项数据跨境传输就不能进行。事实上，欧盟目前的数据保护水平已经超过了大部分国家和地区的数据保护水平。这意味着欧盟数据向外部流动可能性降低，更有利于建设欧盟内部的单一数字市场。值得注意的是，新版SCCs虽然有利于提升欧盟数据跨境传输标准、促进欧盟单一数字市场形成，但其过高的数据保护标准也有可能阻碍欧盟数据向外传输，影响欧盟参与全球数字市场的发展。

c.有助于加强欧洲数字主权的维护。数字主权是贯穿欧盟发展的一个重要概念。早在欧洲一体化的过程中，欧洲共同体就已经在处理数据问题中多使用“主权”一词。2020年7月14日，欧洲议会发表了《欧洲数字主权》(Digital sovereignty for Europe)报告，将“数字主权”正式定义为欧洲在数字世界中自主行动的能力，即用以促进数字创新(包括与非欧洲企业的合作)的保护性机制和防御性工具[16]。欧洲数字主权的维护与欧盟数据跨境传输规则息息相关。《欧洲数字主权》报告表明，如何恢复欧洲公民的数据控制权这一问题在欧盟内受到广泛关注。为此，欧盟在数据和隐私保护方面建立了一个以GDPR为核心的规则体系，尝试以相关规则的适用来解决上述问题。作为GDPR的配套措施，新版SCCs尤为关注欧盟数据向非欧盟企业传输的安全性以及非欧盟企业是否已经为可能产生的数据安全损害建立了完善的救济制度。即使欧盟数据已经脱离了数据主体(欧盟及欧盟公民)的控制甚至已经经过多次转移，数据主体仍可以借助新版SCCs的后续转移制度预防数据安全风险，向损害数据安全的相关责任人进行追诉。这意味着欧洲数字主权的行使范围与数据跨境传输范围已经紧密结合，欧盟数据跨境传输规则事实上已经打上了欧洲数字主权维护的烙印。

3.2对国际社会的意义对国际社会来说，新版SCCs出台主要有以下三个方面的重要意义：

a.有利于加快国际统一数据跨境传输规则的形成。研究表明，数据跨境传输标准合同条款正在成为各国保障数据跨境传输安全的重要途径。例如，东盟于2021年1月22日批准发布了《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows，简称MCCs)，以保障东盟数据向外传输的安全性。中国也正在酝酿本国的数据跨境传输标准合同示范文本。欧盟颁布的新版SCCs可以说是目前数据跨境传输标准合同条款发展的最成熟的样本，易于为其他国家或地区在制定数据跨境传输标准合同条款时借鉴，这无疑有利于促进其他国家或地区数据跨境传输标准合同条款立法技术的提升。与此同时，新版SCCs的出台，实际上起着倒逼其他国家或地区提升数据安全立法水平的作用，进而有利于提升国际数据跨境传输安全保护的整体水平。例如，新版SCCs要求数据接收方对政府访问数据的请求能够做出合理判断或评估，其前提是数据接收方所在国存在相关的法律依据以及政府访问数据符合法定的程序。非欧盟国家的企业与欧盟企业进行数字贸易，或者非欧盟国家的企业之间进行涉及欧盟数据的交易，都必须以其所在国的法律能够符合欧盟数据安全保护水平为前提。在欧盟数据安全保护水平较高的情况下，为了保护本国企业的利益，大部分数据接收方所在国必须完善数据跨境传输立法、减少灰色地带、提升本国的数据安全保护水平。这将在一定程度上促进国际数据跨境传输安全保护整体水平的提升，进而加快国际统一数据跨境传输规则体系的形成。需要指出的是，包含新版SCCs的欧盟数据跨境传输规则本身将很难成为国际通用的数据跨境传输规则，因为它为了提升数据安全性而赋予数据接收方更重的义务，这既不利于数据的自由流通和商业化利用，也不利于国家信息产业的长远发展，更不符合各个国家在信息全球化背景下的发展需求。

b.有利于提升企业数据跨境传输的合规性。鉴于SCC主要适用于企业，新版SCCs着重细化数据发送方和数据接收方的权利和义务，实际上也是在明确强调企业在数据跨境传输中的权利和义务，对于企业进行数据跨境传输具有较强的指导性。例如，新版SCCs明确了数据接收方企业行使数据访问权的界限，即只能在其执行、管理及监督合约所履行的范围内让其人员访问数据。这就使得企业在进行数据跨境传输的可操作范围变小，有利于降低企业滥用权利、损害数据安全的可能性。根据新版SCCs的详细规定，企业也可以预测其在数据跨境传输过程中各种行为的合法性，便于有针对性地做好数据跨境传输的保障工作、减少突发事故的发生。与此同时，新版SCCs还增加了外部监管的方式，有助于提升企业进行数据跨境传输的合规性。新版SCCs要求数据发送方企业在保护商业秘密及其他机密信息的情况下，免费向非SCC签署方的数据主体提供数据发送方与接收方签订的SCC副本，以增强数据跨境传输的透明度。这意味着数据主体可以通过SCC副本了解数据跨境传输的基本情况，并对传输过程进行监督。数据主体如果发现数据跨境传输有损害数据安全的情况，还可以通过启动救济程序来保障数据安全。在企业内驱性不足的情况下，外部监管无疑会成为企业提升数据跨境传输合规性的重要保障。

c.有利于促进全球数字贸易的长远发展。就现阶段而言，国际上存在着欧盟和美国主导的两大数据跨境流动规则体系。两大体系之间在数据开放程度上的选择并不一致。数据越开放，其安全面临的风险越高，二者很难平衡。新版SCCs在细化双方的数据传输义务的过程中，减少了开放与风险保障之间的模糊地带，加剧了二者之间的对立。这就意味着选择倾向于数据开放的国家在与倾向于数据安全的国家进行数字化贸易时，必须有一方以部分安全或者部分开放作为代价，换取数据跨境传输的可能。如果使用新版SCCs进行数据跨境传输，只要两方的数据保护水平不一致，至少有一方的合规成本是会增加的。因此，从短期来看，新版SCCs加重了数据当事方的义务，可能会导致国际数据跨境传输的成本增加。但从长远看来，随着经济全球化的加深，这种合规成本反而会演变为督促国家立法改革、提升企业内部合规程度的催化剂。因为在经济全球化的背景下，欧盟作为贸易大国对全球贸易的影响是不可低估的，加之欧盟在信息技术和数字立法上取得的成就，各国很难绕开欧盟发展数字贸易，因而各国可能通过立法来追赶与欧盟数字立法之间的差距，减少因立法差距产生的合规成本，从而促进国际社会数字贸易立法整体水平的提升，最终促成全球数字贸易的长远发展。

4 对中国的启示

欧盟新版SCCs是在GDPR成为欧盟数据跨境传输核心规则、欧盟法院通过Schrems Ⅱ案件对SCC提出新期待、欧盟和美国频繁争夺数字贸易领域规则制定话语权的情况下诞生的。相较于旧版，新版SCCs丰富了应用场景、明确了数据接收方和发送方的权利义务，并且基本解决了集体数据传输问题，体现了欧盟在数据跨境传输领域的最新立法水准，对于欧盟和国际社会数据规则的长远发展都将具有重要的影响[17]。为抢抓全球经济数字化发展的机遇，中国也正在加快数据规则体系建设，现已颁布了《网络安全法》《个人信息保护法》和《数据安全法》三部基础性法律，初步构建起信息及数据安全领域的基本法律框架。然而，就数据跨境传输活动而言，上述立法的规定过于原则，不能直接落地实施，还有赖于相关配套规则予以细化和完善。因此，本文认为，中国应当借鉴欧盟新版SCCs，加快数据跨境传输后续转移的相关立法、细化数据跨境传输双方权利义务、进一步完善中国版SCC，并积极参与相关领域统一规则的构建。具体而言，欧盟新版SCCs对中国的启示主要有以下四点：

a.加快数据跨境传输后续转移的相关立法。当前，中国的数据跨境传输规则体系主要围绕规范数据从本国数据向国外传输这一过程展开，尚未涉及本国数据在其他国家之间转移的情况，这并不利于国家安全保障。因为数据之中包含着诸多信息，只要通过数据分析就能充分掌握这些信息，所以脱离数据主体控制和规则规范的数据跨境传输活动很容易成为他国获取我国重要信息的渠道。虽然国家互联网信息办公室于2021年10月29日公布的《数据出境安全评估办法(征求意见稿)》明确提出了数据安全评估要坚持事前评估和持续监督相结合、风险自评估和安全评估相结合的原则，但对数据后续转移事项的规定仍不够完善，不能满足现实需求。为此，建议相关规定参考欧盟新版SCCs的做法，明确设置数据后续转移的规则：一方面，增加数据跨境传输后续转移须经数据主体明示同意的规则。如果数据传输双方未取得数据主体的明示同意，则不能推进数据后续转移。与此同时，为了防止企业通过一揽子合同获取数据主体关于数据跨境传输所有事项的同意权，还可以考虑将这一类行为的信用记录加入到征信评估体系。这不仅有利于保障数据主体的知情权，而且有利于形成多重监督，以降低数据跨境传输风险[18]。另一方面，细化数据安全保证条款，要求数据传输双方保证数据在后续转移过程中能够获得与中国境内数据相同、甚至更高的安全保护水平。例如，除了要求数据发送方保证根据新情况重新评估数据后续转移事项外还可以要求数据发送方保证，一旦在数据后续转移过程中发生影响数据安全的新情况，将及时采取包括中止数据后续转移在内的各项补救措施，否则应当承担因未及时止损而导致损失扩大的责任，以此弥补重新评估流程的不足、降低突发状况带来的负面影响。

b.细化数据跨境传输双方权利义务。由于数据跨境传输的非公开性，数据传输双方在数据处理上有较大的权利，这就导致数据在跨境传输中的安全和利用效率往往难以得到有效保障，所以细化数据跨境传输双方权利义务势在必行。因此，相关法规可以考虑在现有制度基础上，借鉴欧盟新版SCCs的规定对数据跨境传输双方行使权利和履行义务的方式提出更为明确的要求，比如，可以考虑通过正面列举加兜底条款的方式，让相关企业更为直观地了解自己行为的合规性，也为执法机关应对新情况新问题预留一定的空间。同时，可以从设置权利行使的具体条件和义务履行的具体要求的角度来细化制度内容，比如对数据跨境传输双方的行为进行目的限制。这样不仅可以规范数据跨境传输双方行为、减少双方滥用权利或者不履行义务的情况，而且有助于企业提升数据跨境传输合规的可预测性，更好地指导企业进行更加规范的数字贸易[19]。当然，在设定行使权利和履行义务的限度时，相关立法还应当遵循数据安全和利用效率并重的原则，以兼顾必要性和合理性。

c.进一步完善中国版SCC。目前，部分国家和区域联盟正在研究各自的数据跨境传输标准合同条款，出台标准合同条款用以规范数据跨境传输或将成为一种普遍做法。根据《个人信息保护法》第38条第3款的规定，个人信息处理者如因业务等需要向境外提供个人信息的，可按照国家网信部门制定的标准合同与境外接收方订立合同。目前中国版SCC正在研究制定中。为此，笔者建议可以参考欧盟新版SCCs的经验，结合中国国情，从数据安全和数据利用两方面构建中国版SCC。在数据安全方面，中国版SCC应结合新出台的《数据安全法》的内容，涵盖可能出现的数据跨境传输模式，从传输前、传输过程以及数据后续传输这三个阶段对数据传输双方的权利义务进行细致规定，加强数据传输的风险监测和风险评估，切实保障国家数据安全和相关主体的合法权益。在数据利用方面，中国版SCC应以规范数据跨境传输为重点，适当放弃繁复但无益于数据安全的审批程序，以减少不合理的传输成本[20]。此外，中国版SCC还需要考虑“一带一路”建设的实际情况以及中国与东盟之间签订的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership，以下简称RCEP)的规定，以充分应对“一带一路”建设中可能出现的数据跨境传输问题，并与RCEP相关规定相衔接。

d.加强在国际统一数据跨境传输规则构建方面的对话。当前，国际社会尚未形成统一的数据跨境传输规则，欧盟和美国在数据跨境传输领域都具有一定的影响力，双方的博弈严重影响了整个国际数据跨境传输秩序。以Schrems Ⅱ案件为例，该案件否认了美欧签署的隐私盾协议及其他文件的效力、对欧盟SCC提出了新要求，这不仅扰乱了美欧之间原有的数据跨境传输活动安排，而且成为了欧盟新版SCCs出台的重要原因。欧盟新版SCCs对欧盟与其他国家进行数据跨境传输提出了更高的要求，增加了其他国家的合规成本。为减少欧美在数据跨境传输领域博弈所带来的负面影响，需要尽快构建国际统一的数据跨境传输规则。在国际统一规则的制定过程中，中国应当秉持互利互惠、合作共赢的精神，对规则制定表明关切，积极开展和参与国家政府或区域联盟间的高层级对话，并在制定相关规则的论坛和会议中充分发出中国声音，以便更好地维护本国利益。当国家或区域联盟关于规则制定产生争议时，中国应当听取各方需求、协调各方利益，提出尽可能兼顾各方利益的方案，促使规则制定朝着有利于各个国家和区域联盟的方向发展。