在跨境数据流动监管标准方面，主要有“以地理区域为基准”（geographically based）和“以组织机构为基准”（organizationally based）的规制路径：前者依“充分性（adequate）”原则，后者依“问责制（accountability）”原则。<i>前者的典型代表是欧盟的“充分性决定”制度；后者的典型代表是GDPR的适当保护措施（appropriate safeguard）、行业准则（codes of conduct）与认证制度（certification mechanisms）以及APEC的跨境数据隐私规则系统（APEC Cross BorderPrivacy Rules System）。

“充分性决定”是欧盟对个人数据出境活动的一种事前安全评估方式。GDPR第45条规定，当欧盟委员会决定第三国、第三国境内的地区一个或多个特定行业或者国际组织能确保充分的保护水平时，个人数据可向该第三国或国际组织传输，该传输活动无需取得特别授权。近日被欧盟法院认定为无效的“隐私盾”（Privacy Shield）即是“充分性决定”制度的一种具体体现。同时在该案中，欧盟法院认为将个人数据转移至境外数据控制者和/或处理者的标准合同文本制度（Standard Contractual Clause）仍然有效。[ii]在“隐私盾”被认定为无效后，签署标准合同文本或成为欧美间进行跨境数据流动的重要途径。此处的“标准合同文本”即是GDPR的适当保护措施之一。

1.标准合同文本的内涵

1995年指令第26（4）条写明，欧盟委员会可“根据第31（2）条规定的程序”决定“某些标准合同文本是否满足了第2段要求的充分保护……”在欧盟的实践中，根据第26（2）条和第26（4）条的授权，使用两种合同文本是允许的：

（1）标准合同，一组由欧盟委员会批准的标准化合同文本，可作为从成员国向外进行数据转移的基础；[iii]

（2）特别合同，通常必须通知数据输出国的数据保护机构或有数据输出国保护机构的特别批准。[iv]

GDPR第46（2）条规定，第46（1）条所规定的适当保障，可通过以下几种方式提供，无须监管机构的特别授权：……（c）由欧盟委员会根据本条例第93条第2款所述的检查程序通过的标准数据保护条款（standard data protection clauses）；（d）根据本条例第93条第2款所述的检查程序由监管机构通过由欧盟委员会批准的标准数据保护条款；……

简而言之，位于欧盟境内的数据控制者可与欧盟境外的数据接收者基于标准合同文本签订合同，使跨境数据流动符合GDPR所规定的充分性保护要求，从而在无需监管机构特别授权的情况下进行个人数据的自由流动。数据控制者必须完全与不加修改地使用标准合同文本，但使用标准合同文本并不禁止数据控制者或处理者将其纳入更广泛的合同或根据实际需要对合同文本增加其他条款或附加保障措施，但增加的内容不得直接或间接与标准合同条款相抵触。

2.标准合同文本的历史演变

标准合同文本始于1992年11月2日，当时，欧盟理事会、欧盟委员会和国际商会共同批准了跨境数据传输的一组示范合同文本。但这一合同主要目的是对确保数据保护充分性必须满足的条件进行指导，而不是满足数据传输的法律要求。因此，该合同文本没有得到欧盟委员会的正式批准，不是把个人数据转移到欧盟境外的示范文本。[v]

2001年6月15日，欧盟委员会批准了一套适用于“数据控制者到数据控制者”的标准合同文本（decision 2001/497/EC）（以下简称“2001年文本”）。[vi]商界对该合同文本有所不满，认为其不能满足商业使用的需要。

2001年文本对数据传输者和数据接收者提出了连带责任要求，实际上赋予了数据主体作为受益第三方非常广泛而模糊的权利，据此数据主体可起诉合同双方或任何一方。只有当合同双方都证明其与所引起的损害无关时（如合同双方都证明损害是由于数据主体原因或其他第三方原因引起的），才能进行责任豁免。

国际商会（ICC）认为这对数据控制者施加了过重的义务，[vii]于是一直致力于提出自己的标准合同文本，该文本于2004年12月27日获得欧盟委员会批准，在2005年4月1日正式生效。该标准合同文本（decision 2004/915/EC）（以下简称“2004年文本”）亦适用于数据控制者与数据控制者之间的个人数据流动。[viii]2004年文本与2001年文本中存在很多差异，包括责任规则、数据主体的访问权、第三方受益人权利以及投诉的处理等等。比如，2004年文本删除了共同和连带责任条款，换之以对进出口商的预期要求，使得每一方只承担因自身原因造成的损害责任。因此，2004年文本被认为比2001年文本更具商业友好性。但2001年文本仍有效，数据控制者可根据实际情况自由选择。

2001年12月27日，欧盟委员会批准了一套适用于“数据控制者到数据处理者”的标准合同文本（decision 2002/16/EU）。2010年2月5日，欧盟修改了前述标准合同文本，允许位于欧洲经济区以外的数据处理者在满足以下条件时将个人数据转移给欧洲经济区以外的次数据处理者（sub-processor）：如果（1）原数据处理者（originaldata processor）书面同意转移；以及（2）每个新加入合同的次数据处理者均与原数据接收者（dataimporter）承担相同的数据保护义务。但该修订标准合同文本并未允许位于欧盟境内的数据处理者通过标准合同文本将数据转移给位于欧盟境外的数据处理者。2010年5月15日，该修订标准合同文本（decision 2010/87/EU）代替原有标准合同文本适用于数据控制者与数据处理者间的跨境个人数据流动。[ix]

欧盟委员会可根据法定程序通过新的标准合同条款。比如2014年3月，原第29条工作组提出了关于临时合同条款草案的工作文件。该文件针对欧盟境内的数据处理者向欧盟境外的数据处理者传输个人数据的标准合同文本的制定。但欧盟委员会没有采取该种方式，GDPR亦没有将其纳入可构成适当保障措施的范围之内，因此目前适用于数据处理者向数据处理者跨境传输个人数据的标准合同文本尚未出台。

同时，GDPR允许成员国监管机构根据GDPR第93（2）条所述的检查程序增加其他标准合同条款（须经欧盟委员会同意），以为数据传输者与数据接收者提供更多符合实际需求的个人数据出境标准合同文本选择。

3.对标准合同文本的评价

使用标准合同文本作为欧盟个人数据跨境传输的合法基础的主要优点在于，这些标准合同文本可在任何欧盟成员国内使用而无需向成员国内数据保护机构一一证明这些合同文本可提供充分保护水平，这可节约大量成本。同时，标准合同文本由欧盟委员会或国际商会基于欧盟数据保护规则制定，采用该标准合同文本为基础可保证个人数据的保护水平不会在谈判中发生偏离。

但仍需看到标准合同文本制度所存在的缺陷。首先，该制度缺乏灵活性，难以满足不同数据控制者或数据处理者的特殊需求。其次，数据传输者与数据接收者签订合同并不等于当事人可毫无障碍地进行个人数据的跨境传输。欧盟法院于2020年7月16日指出，虽然“标准合同文本”制度仍有效，但数据传输者必须确保数据接收者所在国（地区）的法律未与GDPR相关规定产生冲突，且必须采取补充措施以保证个人数据在传输后仍能得到充分保护。若无法达到前述要求，则应暂停或终止数据传输。

此外，欧盟成员国有权要求使用标准合同文本的当事各方通知相关国家的数据保护机构，提交标准合同的文本副件，并检查标准合同是否得到完全应用。比如法国即要求数据控制者在进行个人数据出境前将标准合同文本向数据保护机关备案。[x]

4.标准合同文本与我国安全评估制度

有观点认为我国于2019年7月13日发布的《个人信息出境安全评估办法（征求意见稿）》（以下简称“《征求意见稿》”）通过审查合同来实现出境活动中个人信息保护的做法借鉴了欧盟的标准合同文本制度。[xi]在《征求意见稿》中，与合同直接有关的共有7条，占了全稿近三分之一的内容。其第十三条至第十六条从合同的基本条款、网络运营者的义务条款、接收者的义务条款以及接收者的再次传输条件四个方面详细列明了合同的必备内容。该稿既要求对合同内容进行实质性审查以评估合同条款是否能为个人信息主体合法权益提供充分保护，亦要求从合同执行角度评估合同能否有效落实。但不同的是，《征求意见稿》所构建的安全评估制度为“一事一议”模式，即对每一次个人信息出境活动所涉及的合同文本进行个案评估。

将《征求意见稿》与欧盟的2001年文本对比，可发现《征求意见稿》所规定的合同必备内容与2001年文本有很多相似之处。我国可在已有基础上发展具有中国特色的“标准合同文本”制度：有权部门制定并发布标准合同文本，地方各级网信部门和行业主管部门可提交标准合同文本提案，经有权部门评估通过后予以发布。当网络运营者对外传输个人信息选择适用标准合同文本时，可免除另行进行安全评估的程序，但需向有权部门备案，提交包括标准合同文本在内与个人信息出境活动相关的所有合同及个人信息出境安全风险及安全保障措施分析报告。同时，网络运营者需确保境外接收者所在国（地区）的法律不会影响境外接收者对其合同义务的履行，且必须采取必要措施保证个人数据出境后的保护水平不会发生减损。

当然，标准合同文本可只是网络运营者个人信息出境活动一系列合同中的一部分，网络运营者可根据自身需求与境外接收者就权利义务关系签订更具体的合同，但注意不得修改标准合同文本的条款，增加条款亦不得与标准合同文本冲突。

结语

在欧美“隐私盾”被欧盟法院认定为无效后，签署标准合同文本或成为欧美间进行跨境数据流动的重要途径。然而，欧盟法院也对标准合同文本的签署和履行提出了要求，欧美间必要的跨境数据流动活动能否保持正常仍有待观察。这一事件也反映出欧美在个人数据保护观念不同的背景下，对政治、外交、国力的多方博弈。中国也可从中得到借鉴，完善自身的跨境数据流动规则架构。

<i>韩静雅：《跨境数据流动国际规制的焦点问题分析》，载《河北法学》2016年第10期。

[ii]吴沈括：《重磅|欧盟法院判定欧美隐私盾协议无效认可标准合同条款效力（附60页判决书）》.(2020-07-16)[2020-07-23].https://mp.weixin.qq.com/s/2D763nF-NPCc-fVtipZO_w.

[iii]1995年指令第26（4）条：“根据第31（2）规定的程序，委员会决定那些符合第2段要求的充分保护标准的合同文本，成员国应采取必要的措施遵守委员会的决定”。

[iv]1995年指令第26（2）条：“与第1段不矛盾，成员国政府可授权向第三国进行一次或一批个人数据转移，尽管该国不符合第25（2）条规定的充分保护标准，该国的数据控制者提出充分保护的办法，保护隐私和基本人权及个人自由，以及这些权利的实施；这些实施可来自于某个专门的合同条款”。

[v][德]克里斯托弗·库勒：《欧洲数据保护法》，旷野，杨会永译，法律出版社2008年版，第203页。

[vi]decision 2001/497/EC,https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497.

[vii]前注Ⅴ，第204页。

[viii]decision 2004/915/EC,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32004D0915.

[ix]decision 2010/87/EU,https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087.

[x]前注Ⅴ，第517页。

[xi]许可：《个人信息出境安全评估办法》的忧虑：真与伪.(2019-07-15)[2020-07-23].https://mp.weixin.qq.com/s/ct8tQUA32pMBLhFpgtTjaA.