欧盟跨境资料转移中资料隐私的法律保护体制

一、欧盟跨境资料转移中资料隐私的法律保护体制

评定资料保护水平的适当性不仅要考察适用于资料转移的规则，还要核实确保这些规则得以有效实施的现有机制。^[8]

——欧盟委员会资料保护工作组

对跨境资料转移，^[9]欧盟确立了内外有别的两套制度。对内，以扫清欧盟内部个人资料跨境流动中资料保护这一障碍为目标，欧盟通过《资料保护指令》^[10]为成员国确定了资料隐私保护水平的底线，禁止成员国借资料保护之名阻碍个人信息在欧盟境内自由流动。^[11]对外，以保护欧盟公民的资料隐私为目的，欧盟原则上禁止向不具备适当资料保护水平的第三国转移个人资料。^[12]从某种意义上而言，这为欧盟公民的资料隐私铸起一道“长城”，也给第三国从欧盟转移个人资料拉起了一帷“铁幕”。本部分将从资料保护水平的适当性、跨境资料转移标准合同条款与约束性企业规则三个方面，结合欧盟在跨境资料转移中资料隐私保护上的立法和实践探讨相关的法律问题。

(一)欧盟有关跨境资料转移中资料隐私保护的法律框架

1.内外有别的跨境资料转移体制

《资料保护指令》确立了欧盟内外跨境资料流动的基本法律框架。资料自由流动和个人资料隐私保护是指令两大并行不悖的目标。商品、人员、服务和资本市场的统一不仅有赖于个人资料在成员国间自由流动，也要求对个人资料隐私提供适当的保护。^[13]一方面，市场统一化增进了欧盟成员国间在经济、政治、社会和文化上的融合，加上信息科技的推动，欧盟内部的个人资料跨境流动必然急剧增长。^[14]另一方面，国内立法、司法和执行体制的差异导致成员国的资料保护水平参差不齐，并成为欧盟内部资料流动的绊脚石。^[15]为清除该障碍，欧盟各成员国就必须具有同等的资料保护水平。考虑到资料自由流动对欧盟统一化进程的重要性，认识到成员国无法自行单独解决有关问题，尤其是当时各国的资料保护法仍存在较大的差异和冲突，欧盟通过《资料保护指令》为成员国确立了资料保护的底线，并要求成员国不得再以资料保护为由限制欧盟内部的资料流动。^[16]成员国具备同等的资料保护水平是个人资料得以在欧盟内部自由流动的关键。资料保护水平的适当性也成为欧盟对外跨境资料转移的基本政策。换言之，第三国和资料转移人是否提供了适当的资料保护水平，成为欧盟决定能否转移个人资料的基本标准。根据该标准，欧盟确立了一套完备的跨境资料转移体制。^[17]

2.欧盟跨境资料转移体制的主要内容

总体而言，从欧盟向境外转移个人资料的法律依据有三:①第三国经欧盟认定为具备《资料保护指令》第25条(2)所指的适当资料保护水平;②资料转移属于指令第26条(1)为保护优先性的公共利益或资料当事人的权益所规定的例外情形;③资料转移人采取了指令第26条(2)所指的充分保障措施。从微观上看，欧盟境内的资料控制者欲向境外转移个人资料需经如下步骤:

如下图所示，首先，若目的国为欧盟或欧洲经济区的成员国，^[18]转移人只需遵守本国关于境内资料转移的规定，否则，转移人需要确认目的国是否被欧盟认定为具备适当的资料保护水平。若目的国不具备适当的资料保护水平，转移人需要考察资料转移是否属于法定的例外情形。若不属于法定的例外情形，资料转移人需要采取其他适当的保障措施，如订立资料转移协议，采纳标准合同条款或向资料保护机构申请批准其约束性的企业规则等。

以《资料保护指令》为法律基础的欧盟跨境资料转移体制既完备又严格。称其完备，它不仅将禁止向不具备适当资料保护水平的第三国转移资料确立为基本原则，^[19]还为该原则规定了例外情形。^[20]它不仅明确了如何确定一国的资料保护水平是否适当，^[21]还对向不具备适当保护水平的第三国转移资料设立了健全的补救制度。^[22]它不仅要求欧盟委员会通过决定公布具备适当资料保护水平的国家名单，还要求委员会和成员国相互通报其对第三国不具有适当保护水平的认定情况。^[23]称其严格，它不仅要求第三国具备适当的保护水平，还要求转移人遵守成员国的国内法。^[24]它规定的例外情形不仅数量有限，而且适用条件也极其严格。^[25]它确立的认定资料保护水平适当性的标准不仅要求考察有关立法和规则的内容，还强调法律和规则的执行保障。^[26]欧盟委员会已认定具备适当保护水平的国家数量有限，^[27]而且它为资料转移人向不具备适当保护水平的第三国转移资料所提供的标准合同条款和约束性企业规则在内容和执行机制上都堪称指令的化身。^[28]

(二)资料保护水平的适当性与跨境资料转移

1.资料保护水平适当性的地位和目的

如上所述，对内，《资料保护指令》为成员国确立了资料保护水平的底线，成员国也因此不得借保护资料隐私为名禁止或限制向另一成员国转移资料。个人资料一旦跨越欧盟边境，欧盟为境内资料处理构建的完美体制将变得束手无策，对资料保护也可谓“心有余而力不足”。不仅个人将失去对资料的必要控制，欧盟和成员国也无法对转移资料的后续处理实施有效的监管。倘若第三国资料保护水平较高，欧盟自然可以高枕无忧。而实际上，除了少数国家外，欧盟境外的多数国家还未制定资料保护法，或即使已经立法，法律的内容和执行机制也与欧盟指令大相径庭。为此，禁止向不具备适当资料保护水平的第三国转移资料就成为欧盟有关对外资料流动的基本原则。

根据资料保护状况，欧盟将第三国分为两类:一类具备适当的资料保护水平，另一类则不然。对于前者，考虑到跨境资料流动对国际贸易的发展至关重要，而且它也为欧盟公民的资料隐私提供了充分的保障，欧盟赋予该国与成员国般的同等待遇，要求不得仅以资料保护为由阻碍向此类国家转移个人资料。而对于后者，由于它不具备适当的资料保护水平，欧盟原则上禁止向其转移个人资料。^[29]除了作为评定一国资料保护状况的标准外，资料保护水平的适当性还是欧盟断定转移人采取的保障措施是否充分的法律依据。^[30]

2.适当资料保护水平的内涵

《资料保护指令》仅规定了评定一国资料保护水平所应考虑的因素，未明确适当性的内涵及认定适当性的标准和方法。根据指令，评定资料保护水平的适当性应考虑“资料转移或一系列资料转移关涉的全部情形，尤其应考虑资料的性质、资料处理的目的和期间、资料来源国和最终目的国、该国现行的一般或特定领域中有关的法律和法规以及在该国实施的职业规则和安全措施”。^[31]作为欧盟在资料保护上的智囊团，欧盟委员会的资料保护工作组^[32]不仅界定了适当性的内涵，还明确了委员会评定适当性的标准和方法。

经汇总先前的研究成果，^[33]工作组于1998年通过了《向第三国转移个人资料:资料保护指令第25和26条的适用》。^[34]该工作文件界定了欧盟在认定资料保护水平适当性上的基调，明确了适当性的内在要求，阐释了认定适当性的标准和方法。工作组认为，资料保护旨在保障资料当事人的权益，并主要通过确立资料当事人的权利与资料控制者和处理者的义务实现上述目的。在上述权利和义务上，《资料保护指令》与欧洲理事会的《资料保护公约》、经济合作与发展组织的《资料保护指导原则》以及联合国的《资料保护规则》一脉相承，而且它还在很大程度上统一了成员国的资料保护法。然而，只有在现实中得以切实的执行，资料保护规则才能发挥保护资料隐私的作用。为此，“评定资料保护水平的适当性不仅要考察适用于资料转移的规则，还要核实确保这些规则得以有效实施的现有机制”。^[35]

长期以来，欧洲各国在立法和执法上已经形成一套独特的资料保护传统:制定全面的资料保护法，明确资料保护原则、个人的权利和资料控制者的义务，设立以资料保护机构为中心的执行机制，通过事先审查和事后调查监督资料处理活动，协助个人行使资料权利。而在欧洲之外，至今，采取欧盟资料保护模式的国家还为数不多。除欧洲理事会通过对《资料保护公约》作出补充协定要求缔约方设立资料保护机构外，^[36]OECD的《资料保护指导原则》、联合国的《资料保护指导规则》和亚太经合组织的《隐私框架》都无法律约束力。

鉴于这种状况，工作组指出，评定资料保护水平的适当性需要考虑两个方面的因素:①有关法律和规则的内容，②确保法律和规则得以实施的方式。^[37]换言之，一国的资料保护水平与资料转移人采取的保障措施是否适当，不仅取决于有关法律、法规和规则的内容，还取决于它们的实际遵守程度。《资料保护指令》为欧盟各国确立了同等的资料保护水平，指令的规定也就自然成为欧盟评价他国资料保护法的内容和执行机制的基本依据。以指令为基础，工作组明确了资料保护规则应具备的核心内容以及有效的执行机制需要实现的目标，而且认定标准和程序也尽显功能主义的烙印。^[38]

(1)规则的内容

从内容上看，资料保护规则应包括下列基本原则:

①目的有限原则(Purpose Limitation Principle):应为了特定的目的处理个人资料，后续的使用和散播也不得背离转移资料的目的。

②资料质量与相称原则(Data Quality and Proportionality Principle):资料应准确，且在必要情形下得以更新。对资料转移或后续处理的目的而言，资料应适当、必要且相关。

③透明原则(Transparency Principle):资料当事人应了解资料处理的目的、位于第三国的资料控制者的身份以及确保公正性所必需的其他信息。

④安全原则(Security Principle):资料控制者应根据资料处理的风险采取适当的技术和组织性安全措施。资料处理者等须按控制者的指示行事者，无控制者的指示不得处理资料。

⑤查阅、修改与反对权(Right of Access，Rectification and Opposition):资料当事人有权查阅与其相关的资料，修改不准确的资料，并在特定情形下反对处理资料。

⑥后续转移限制(Restrictions on Onward Transfers):除非适用于后续转移的规则满足适当保护水平的要求，资料的最初接收人不得向他人再次转移资料。^[39]

此外，资料保护规则还应包括下列特殊规则:

①敏感资料:若转移敏感资料，应采取特殊的保障措施。

②直接营销:若为了直接营销的目的转移个人资料，资料当事人应可以在任何时候反对使用其资料。

③自动化个人决定:若完全以个人资料为依据作出对个人产生重大影响的决定，个人应有权了解作出决定的动因，并应采取措施保障个人的正当权益。^[40]

(2)程序与执行机制

欧盟各国不仅通过制定全面的资料保护法将资料保护原则纳入其中，还建立了以资料保护机构为中心的外部监督机制。而欧盟外的多数国家既未制定资料保护法，也没有设立资料保护机构。有鉴于此，为评定资料保护水平的适当性，应确定资料保护执行体制所追求的目标，并将其作为评定第三国司法和非司法执行体制有效性的标准。^[41]工作组将资料保护执行机制所追求的目标归纳为三点:

①确保较高的规则遵守水平。有效的资料保护机制一般具有下列特点:资料控制者对其责任具有较高的认识水平，资料当事人不仅具有较高的资料权益意识，还具有行使权利的必要手段。制裁措施以及由机构、审计者或资料保护专员开展的审计活动等也对规则的有效贯彻和遵守至关重要。

②为资料当事人行使权利提供协助和帮助。个人必须能够快速、高效地行使权利，且不承担过重的负担。为此，需要建立某种机构性的机制调查和处理个人提起的控诉。

③在规则遭到破坏时，为受害方提供适当的救济。这一因素至关重要，而且也需要一套独立的司法或仲裁体系，并在必要情形下对受害方进行赔偿，制裁违法行为。

(3)行业自治与资料保护水平的适当性

根据《资料保护指令》，评定第三国资料保护水平不仅需要考察该国现行的资料保护法律和法规，还要考虑有关的职业规则和安全措施。^[42]按照上述功能主义方法，工作组也建议从内容和执行程序两个方面考察自治性规则，^[43]评定其在保护资料隐私上的作用。具体而言，自治规则的适用范围和约束力是评定其效用的重要标准。相对于组织和机构有权通过惩罚性的手段要求其成员遵守规则而言，制定规则的组织或机构所代表的资料控制者的数量和范围似乎并不重要。但是，相对于仅适用于少数成员的规则，全面适用于有关成员的行业和职业性的自治规则在资料保护上的作用往往更大。从消费者的角度看，一个行业中存在多家机构制定的资料保护规则，规则自身缺乏必要的公开性和透明性，不利于他们准确把握企业所遵守的规则。从资料控制者的角度看，随着资料在多个使用人之间不断流转，同一行业中的资料保护规则越多，越不利于他们预知应适用的规则。^[44]从内容上看，自治规则应具有透明性，且应包含所有的资料保护原则。从执行程序上看，自治规则应具有确保规则得以较好遵守的有效机制，如警告和惩罚体系。它应具有协助和帮助个人行使资料权利的机制，如设立独立的机构处理个人控诉，裁定违反规则的行为。它还应给个人提供适当的救济，合理的解决争议，并在必要情形下对个人进行赔偿。^[45]

3.资料保护水平适当性的评定

在资料保护水平的认定上，《资料保护指令》采取了个案分析方式，即根据资料转移的具体情形，评定与某一资料转移或某类资料转移相关的资料保护水平是否适当。^[46]“然而，毫无疑问，每天向欧盟境外转移的个人资料不计其数，牵涉的当事方和机构也为数众多，任何国家不论采取什么机制都无法对每起资料转移一一评定其相关的资料保护水平是否适当。”^[47]当然，这并不意味着无需对资料转移牵涉的资料保护水平进行个案分析，但是，面对大量的资料转移，欧盟必须确立一套更为有效的决策机制，迅速、及时、低成本地认定资料保护水平的适当性。在欧盟层面，由欧盟委员会对一国整体或某个领域或行业的资料保护水平作出统一认定是解决上述困境的门路之一，但该方法不仅存在自身的缺陷和不足，而且在实际操作上也面临各种困难。此外，欧盟成员国在资料保护水平认定方法上也存在差异，且难以有效监督资料转移中的资料隐私保护。

(1)欧盟委员会

相对于成员国的资料保护机构和资料转移人，由欧盟委员会统一认定第三国整体或某个领域的资料保护水平具有一定的优势。对欧盟和成员国而言，在欧盟层面作出统一的认定具有事半功倍的效果。成员国无需对同样的情形加以重复认定，也可避免和减少成员国单独作出认定间的差异和冲突。对资料转移人而言，由欧盟认定某些国家是否具有适当的资料保护水平可提高资料转移操作的明确性、可预见性和效率。譬如，欧盟委员会将瑞士认定为具备适当资料保护水平的国家，资料转移人在向瑞士转移个人资料时，就无需再分析其资料转移是否属于法定的例外情形，无需独自考察该国的资料保护水平是否适当，更无需通过签订资料转移合同与制定约束性的企业规则等方式煞费苦心地打造资料转移的合法依据。对第三国而言，欧盟考察和认定其资料保护水平也成为它们不断完善资料保护法律体制的动力。从某种意义上而言，加拿大、巴西和印度等国纷纷制定或修改本国的资料保护法无不体现了欧盟管制跨境资料流动对它们造成的压力。^[48]此外，就连美国也不得不在资料跨境转移和资料保护上与欧盟开展对话。虽然折中欧美做法的“信息安全港”体制作用有限，但它无疑提高了美国企业保护个人资料的积极性。^[49]而且，欧盟禁止向不具备适当资料保护水平的国家转移资料也成为美国各界要求参照欧洲资料模式改善本国信息隐私保护体制的重要依据。^[50]最后，资料保护工作组为欧盟委员会认定一国的资料保护水平及同他国在资料保护问题上进行磋商和签署协定等方面，提供了强大的智力支持。^[51]

除了具有上述优势外，由欧盟委员会统一认定第三国的资料保护水平也面临各种困难。目前，制定资料保护法并建立有效的资料保护执行机制的国家尚属少数，符合欧盟严格标准可通过审核的国家自然少之又少。毫无疑问，这减弱了欧盟认证体系的宏观指导作用，也增大了欧盟监管跨境资料转移的难度。即使一国具有资料保护法，它们在适用范围、内容、执行体制等方面也往往与欧盟存在重大区别。^[52]譬如，美国不具有统一和全面的资料保护法，仅对联邦机关的资料处理行为与特定私人领域和行业中的信息隐私保护制定了联邦法。在执行体制上，美国也未设立资料保护机构，联邦贸易委员会的监督权力和范围都比较有限，而且美国主要靠联邦机关的自律与市场中的行业自治保护信息隐私。^[53]此外，不少国家，如美国、加拿大和澳大利亚等是联邦政体，各州关于资料隐私的立法也不尽一致。这无疑加大了欧盟认定一国资料保护水平适当性的难度。认定一国的资料保护水平还具有较强的政治敏感性，欧盟宣布一国不具有适当的资料保护水平，或不认定一国具有适当的保护水平，都可能引起该国的反感，甚至造成外交上的敌视。^[54]

基于上述原因和考虑，欧盟不得不采取更为灵活和务实的资料保护水平认定方法。欧盟委员会仅从正面认定一国具有适当的保护水平，不从负面认定一国的资料保护水平不适当或存在不足。具有适当保护水平的国家名单是开放性的，欧盟根据各国资料保护的发展状况，不断增加国家的数量。而且，从效力上而言，一国出现在“绿色名单”(White List)^[55]中并不意味着无需考察资料转移的具体情况。之外的国家也不因此被列入“黑名单”(Black List)，欧盟也不绝对禁止向其转移个人资料。目前，^[56]经欧盟委员会认定具备适当资料保护水平的国家和地区主要包括瑞士^[57]、阿根廷^[58]、根西岛^[59]和马恩岛^[60]。欧盟还对一国某个领域中的资料保护水平进行认定。例如，经评定适用于私人行业中资料处理的加拿大《个人信息保护与电子档案法》，欧盟委员会认定:“在向适用该法的加拿大接收人转移资料上，加拿大具备适当的资料保护水平。”^[61]委员会还在资料保护问题上与某些国家进行谈判，并达成有关资料保护的双边协定。^[62]其中，最为人关注的要属欧盟与美国经不断磋商达成的《安全港协定》(Safe-Harbor Agreement)。^[63]谈判过程中，安全港原则的内容和执行机制是否适当成为双方争论的焦点，^[64]也构成了协定的主要内容。^[65]此外，欧盟还在某类资料的跨境转移上与他国进行磋商。例如，针对大量的乘客记录从欧盟向境外流动，欧盟与加拿大和美国等就此进行磋商并达成了资料转移协定。^[66]

(2)成员国与资料转移人

由于经欧盟认定为具备适当资料保护水平的国家数量有限，在实践中，成员国和资料转移人仍要根据资料转移的个案情形断定相关的资料保护水平是否适当。对此，欧盟成员国的立法和做法也不尽一致。^[67]例如，根据奥地利、^[68]希腊、^[69]葡萄牙^[70]和西班牙^[71]法，若一国未被欧盟委员会认定为具备适当的资料保护水平，只有本国的资料保护机构有权决定其资料保护水平是否适当。换言之，除非欧盟委员会或这些国家的资料保护机构认定第三国具备适当的资料保护水平，原则上应禁止向该国转移个人资料。而在卢森堡等成员国，若不存在官方认定，资料转移人可自行决定资料转移牵涉国的资料保护水平是否适当。^[72]欧盟委员会认为，若国家资料保护机构不加以适当的限制，由资料转移人自行决定资料保护水平的适当性与指令并不相符。^[73]有些第三国可能明显不具有适当的资料保护水平，但有些国家则不然。这种现状加上成员国对该问题的不同处理方法使得各国在第三国资料保护水平的认定上必然出现重大差异。

另外，在跨境资料转移的通报和审批等监管机制上，各国的做法也不尽一致。有些国家过于严格，向第三国转移资料的所有行为均需要经资料保护机构审批，这与指令不给向第三国转移资料施加过重负担的宗旨并不相符，而且也不具可操作性。若欧盟委员会已认定一国具备适当的资料保护水平或资料转移属于法定的例外情形，成员国虽然可以要求转移人通报资料转移，但无需再行审批。^[74]有些国家对资料转移的管理则过于宽松。欧盟委员会认为，过于宽松的方法可能从根本上动摇指令的跨境资料转移体制，而过于严格的方法则不利于国际贸易的发展，悖逆全球信息一体化的发展趋势，导致法律和实践脱节，并有损指令和欧盟法的作用。^[75]

4.小结

资料保护水平的适当性是欧盟有关跨境资料转移中资料隐私保护法律体制的基石。欧盟期望既保护个人资料，同时也不过分遏制资料的跨境流动。从资料保护水平适当性的内涵到实际认定活动，欧盟的法律和政策都极其严格。认定资料保护水平是否适当不仅应考察法律和规则的内容，还要核实其实际的遵守情况。欧盟委员会已经认定某些国家具备适当的资料保护水平，但此类国家的数量仍然有限，而且瑞士、巴西、根西岛等国家和地区的资料保护立法和执行体制与欧盟也别无二致。这种严格的做法在成员国的具体实践中遭到严重的挑战，各国不仅在认定资料保护水平的方式上大相径庭，而且在实际做法上也存在很大的区别。最为重要者，监管跨境资料转移活动困难重重。不论欧盟设计的资料跨境转移体制多么完美，在现实中，资料转移人都可以视而不见，成员国的资料保护机构也可以不闻不问。这促使欧盟不得不重新审视以资料保护适当性为核心的跨境资料转移体制，转变以自上而下的认定、管理和管制为主的执行机制，采取更加务实和灵活的方法，从资料转移人的角度出发，增进转移人的自律，逐步推进自下而上的跨境资料转移执行机制。其中，有关资料转移中资料保护的标准合同条款与约束性内部企业规则是近年来备受欧盟推崇的两大法宝。^[76]

(三)标准合同条款与跨境资料转移中资料隐私的法律保护

1.有关跨境资料转移中资料保护的标准合同条款的产生和发展

从宏观上看，个人资料在两国间流动，涉及二者在资料转移和资料保护上的经济和政治利益。从微观上看，个人资料从一国的资料控制者向他国的资料控制者或资料处理者转移，涉及资料转移人和接收人的经济利益与个人的资料隐私。将资料转移合同作为保护个人资料的手段并非肇始于《资料保护指令》，在欧盟制定指令前，在欧盟委员会通过决定发布有关资料转移中资料保护的标准合同条款前，已有不少国家和国际组织探讨通过合同方法解决跨境资料转移中资料保护关涉的法律问题，并公布了格式合同。^[77]其中，欧洲理事会、国际商会、香港个人隐私专员公署和加拿大商会等依据各自的立法文件相继公布了此类格式合同。在扬弃先前经验和教训的基础上，欧盟将有关跨境资料转移中资料隐私保护的标准合同条款纳入其法律框架中，并将之发扬光大。

对等原则是欧洲理事会《资料保护公约》跨境资料转移体制的基石。对内，缔约方不得仅出于保护隐私的目的，禁止或限制向另一缔约方转移个人资料。但是，基于资料或资料库的性质，若一缔约方对特定类型的个人资料或资料库作出了特别规定，除非另一缔约方提供了同等的保护(Equivalent Protection)，缔约方可不受上述规定的限制。对外，缔约方可禁止和限制向第三国转移个人资料。^[78]由于缔约国数量有限，而且一缔约方有权以他方未提供同等的保护为由禁止向其转移资料，公约显然无法满足缔约方内外跨境资料转移的需要。^[79]在讨论“同等保护”过程中，意识到某些国家已经利用协议的方式保护跨境资料转移中的个人资料，公约的咨询委员会(Consultative Committee)^[80]便考虑制定有关资料转移的国际格式合同，保护跨境资料转移牵涉的个人资料隐私。^[81]实际上，欧洲理事会的部长委员会在有关资料保护的建议中已多次提及可通过两国间的协议或合同等方式保障跨境资料转移中的个人隐私。^[82]例如，根据其有关雇佣关系中个人资料保护的建议，对缔约方同非缔约方公司间的跨境资料转移，若非缔约方不具有资料保护立法，可利用合同要求资料接收人遵守建议中的有关规定。^[83]

在公约的咨询委员会看来，考察如何以及在什么程度上运用合同法要求资料接收人遵守资料保护原则，对确保跨境资料流动依法进行，保障个人的资料隐私至关重要。为此，咨询委员会于1989年决定委任三名法律专家起草有关跨境资料转移中资料保护的格式合同。^[84]经征求国际商法学会(Institute of International Business Law)、国际商会、欧盟委员会法律建议委员会及各国资料保护机构的建议，以彼德哈特(Ch.-M.Pitrat)为主席的起草组于1991年修改了格式合同的条款，并将其提交给公约的咨询委员会审议。次年，起草组公布了有关格式合同的解释说明，咨询委员会接受了国际商会提交的仲裁条款，并通过了《为确保跨境资料流动中的同等资料保护的格式合同及其解释说明》。^[85]

以《资料保护公约》中的基本原则为依据，格式合同旨在促进资料跨境流动，并保护个人的资料隐私。在效力上，格式合同不具有强制性，资料转移人可自由选择是否采纳格式合同，并可根据具体需要修改某些条款。此外，跨国企业内部机构间及资料控制者同资料处理者间的跨境资料转移也可参照格式合同。^[86]格式合同将资料转移人和接收人分别称作授权人和被授权人，并规定了二者在资料保护上的义务、法律选择、责任和救济、争议解决与合同解除等事项。^[87]此外，格式合同还特别强调仲裁在争议解决中的重要性，采纳了国际商会的仲裁条款，还列明了欧洲理事会成员国建议的仲裁员名单。^[88]

欧洲理事会的格式合同对各国和国际组织利用合同手段促进跨境资料转移中的资料保护提供了最有力的支持。随后，香港个人隐私专员公署、国际商会与加拿大商会等也公布了类似的格式合同或标准合同条款。1997年，香港个人隐私专员公署发布了《向香港境外转移个人资料的格式合同》，^[89]根据《个人资料(隐私)条例》明确了资料转移人和接收人在资料保护上的义务，并规定了法律选择、责任、救济与合同的解除等问题;而且，格式合同建议双方根据联合国国际贸易法委员会的《仲裁规则》将争议提交香港国际仲裁中心解决。^[90]1998年，国际商会公布了《供涉及跨境资料流动的合同使用的格式条款》(ModelClauses forUse in Contracts Involving Transborder Data Flows)。^[91]格式条款简明扼要，全面规定了资料转移人和接收人在跨境资料转移中资料保护上的责任。以本国的《个人信息保护与电子文档法》为依据，参照国际商会的格式合同，加拿大商会于2002年也公布了《有关向资料处理者转移个人信息的格式合同条款》。^[92]

2.欧盟有关标准合同条款的立法

在制定《资料保护指令》前，欧盟委员会就积极地介入到利用合同方法保护个人资料隐私的研讨之中。^[93]成员国的实践与欧洲理事会公布的格式合同促使欧盟在《资料保护指令》中确立了合同在跨境资料转移体制中的法律地位。随后，欧盟委员会通过一系列决定进一步细化了指令的内容，并公布了三套有关跨境资料转移中个人资料隐私保护的标准合同条款。

《资料保护指令》是欧盟关于利用合同向不具备适当资料保护水平的第三国转移个人资料的法律基石，它不仅确立了合同在保障跨境资料转移中个人隐私的法律地位，还明确了合同与其他合法依据间的关系。根据指令，从欧盟向第三国转移个人资料需要满足下列条件:第三国应具有适当的资料保护水平。^[94]欧盟委员会有权认定某国或其某个领域资料保护水平的适当性;^[95]若第三国不具备适当的资料保护水平，资料转移人可依据指令第26条(1)规定的例外情形向该国转移资料;^[96]此外，若资料转移人对个人的资料隐私提供了适当的保障，他仍可向第三国转移资料。指令特别提及资料转移人可通过订立协议的形式保障个人的隐私、基本权利和自由。^[97]对于合同的形式，转移人和接收人既可自行确定合同的内容，也可以采纳欧盟制定的标准合同条款。欧盟委员会有权认定某些标准合同条款具备适当的资料保护水平，且成员国应采取必要的措施遵守此类决定。^[98]简言之，订立合同保障个人的资料隐私是从欧盟向第三国转移资料的合法依据之一。由于欧盟在短期内不可能认定多数国家都具备适当的保护水平，^[99]且相对于例外情形它在资料保护上也具有一定的优势，^[100]合同方法在欧盟跨境资料转移体制中的地位随着欧盟委员会发布的决定得到不断提升。

1998年，欧盟资料保护工作组通过工作文件强调了合同方法在欧盟跨境资料转移体制中的作用，分析了合同方法在确保资料保护水平适当性上需要满足的条件，并指出了有关问题。^[101]随后，在参考工作组意见的基础上，^[102]欧盟委员会分别于2001年和2002年通过了第2001/497/EC号^[103]和第2002/16/EC号决定。^[104]两决定分别针对欧盟境内的资料控制者向第三国的控制者转移资料以及欧盟境内的资料控制者向第三国的资料处理者转移资料，公布了相应的标准合同条款，^[105]且要求成员国不得拒绝承认标准合同条款在保障资料隐私上的适当性。根据已积累的经验、商业组织反馈的意见^[106]与资料保护工作组的建议，^[107]欧盟委员会于2004年通过了第2004/ 915/EC号决定，^[108]修正了第2001/497/EC号决定，并为欧盟境内的资料控制者向第三国的控制者转移资料提供了另一套标准合同条款。^[109]目前，三套标准合同条款均有效，在考察其实际执行和适用情况的基础上，欧盟委员会可能通过新的决定统一现有的标准合同。^[110]

3.标准合同条款的性质、目的、地位与适用范围

在效力上，标准合同条款介于当事人达成的临时性的协议(ad hoc contract)与立法之间。在各国资料保护的立法和执行体制严重不对等的情况下，标准合同条款不仅是立法的有效补充，也可以简化资料转移人与接收人订立合同的程序，降低缔约成本。欧洲理事会和欧盟委员会于1990年在卢森堡共同举办的会议曾指出:“应利用合同的方法促进跨境资料转移中的同等资料保护。虽然合同法不能取代资料保护的立法需要，但合同无疑是资料保护和跨境资料转移立法的重要补充。”^[111]“毫无疑问，只要法律存在空缺，跨境资料转移合同必然能够提升个人资料的保护水平，促进资料在各国不同的管理框架间转移。当然，此类合同并未提供严密的保障，且在履行和执行监督上也存在不少问题，自然也永远无法取代立法规定。”^[112]

在标准合同条款的性质上，欧盟同其他国家和组织的做法既有共性也有区别。与欧洲理事会、香港个人隐私专员公署、国际商会和加拿大商会公布的格式合同一样，^[113]欧盟的格式合同条款也是任意性的，资料转移人和接收人可自由选择是否采纳有关的条款，并可根据资料转移的具体需要对条款进行必要的修改和补充。^[114]但是，与前者不同，欧盟将标准合同条款纳入其跨境资料转移的法律框架之中，且欧盟委员会通过决定赋予了它法律效力。根据欧盟委员会的决定，标准合同条款应被视为具备了指令第26条(2)所指的资料保护水平，为保护个人的隐私、基本权利和自由提供了充分的保障。同时，决定的效力仅限于要求成员国不得拒绝承认标准合同条款提供了充分的保障，不影响成员国根据指令第26条(2)的规定对资料转移进行审批，也不影响成员国国内法有关资料处理的规定。^[115]

从目的上看，标准合同条款旨在协调跨境资料转移中的一对基本矛盾，即促进跨境资料转移，并同时保护个人的资料隐私。根据欧洲理事会有关格式合同的解释说明，格式合同旨在实现四个目的:①为不同体制下资料转移涉及的复杂法律问题提供有效的解决模式;②在尊重个人隐私的前提下促进个人资料的自由流动;③允许为了国际贸易的利益转移资料;④为国际交易中涉及的资料转移提供安全和明确的法律环境。^[116]除此之外，标准合同条款还可以降低资料转移双方的缔约成本，促进资料跨境转移中资料保护规则的融合与统一。“国际商会的经验表明，发展广为接受的习惯和原则，包括合同语言，越来越多的企业将接受合同中的概念。随着合同与习惯在更广的范围内为人所知和接受，它们也逐渐为一般商务圈采纳，包括中小企业。”^[117]欧盟委员会在其决定中也强调:“为促进资料从欧盟向境外转移，资料控制者最好能够根据一套统一的全球资料保护规则转移资料。由于不存在国际资料保护标准，标准合同条款无疑成为资料控制者根据统一的规则向欧盟境外转移个人资料的重要工具。”^[118]

此外，在功能上，跨境与欧盟境内的资料转移合同也存在共性和差异。从共性上看，不论跨境还是欧盟境内的资料转移都涉及资料转移人和接收人两个直接的当事方，都需要分配两者在资料保护上的义务。对内，指令确立了以资料控制者为主导的责任承担模式，由对资料处理的目的和方式具有决定权的资料控制者承担保护个人资料的责任。资料处理者仅具有保障资料安全的义务，且需要根据资料控制者的指示行事。^[119]欧盟内部资料控制者同控制者或控制者同处理者之间的资料转移属于资料处理的范畴，二者订立合同应以国内资料保护法为依据，且该合同旨在调整资料转移当事方在资料保护上的义务。对外，由于资料接收人所属国不具备适当的资料保护水平，标准合同条款不仅分配二者在资料保护上的责任，还应对转移后的资料提供适当的保护。^[120]

从地位上看，第三国具备适当的资料保护水平与资料转移人订立并履行标准合同条款是向欧盟境外转移资料的第一位阶的法律依据。换言之，若第三国具备适当的资料保护水平(指令第25条(2))，或资料转移人为资料隐私提供了充分的保障(第26条(2))，或资料转移属于例外情形(第26条(1))，资料转移人都可依法转移资料。但是，相对于法定的例外情形，标准合同条款更有利于保护个人资料，也因此备受欧盟推崇。根据第26条(1)规定的例外情形，资料转移既无需考察接收人所属的第三国是否具有适当的保护水平，也无需对转移至欧盟境外的个人资料提供任何保护。而标准合同条款则不然，它属于具备适当资料保护水平的范畴，要求资料转移双方对转移至欧盟境外的个人资料仍提供充分的保护。欧盟资料保护工作组指出:“资料转移的例外主要适用于对资料当事人造成的风险较低或存在优先于个人隐私权的其他利益的情形。作为一般原则的例外，应对其进行限制性解释。”^[121]为保护转移至欧盟境外的个人资料，欧盟委员会要求以提供适当的资料保护为原则，以适用例外情形为例外。^[122]

在适用范围上，欧洲理事会的格式合同适用于独立经济实体之间的个人资料转移关系，同一企业内部或资料控制者和资料处理者之间的资料转移也可以参照格式合同制定或发展适当的规则。^[123]与前者类似，资料转移的双方可选择适用国际商会的格式合同条款，如某公司与资料处理机构或同一企业中的分支机构共享人力资源等。^[124]香港个人隐私专员公署的格式合同也未区分资料转移当事方的类别，一并适用于从香港向境外转移个人资料的行为。^[125]加拿大商会的格式合同则仅适用于资料控制者同资料处理者间的个人信息转移活动。^[126]与上述格式合同不同，欧盟根据资料转移牵涉的当事方，将标准合同条款分为两类:欧盟现有的三套标准格式合同条款中，两套适用于欧盟境内的资料控制者向境外的资料控制者转移资料(第2001/497/EC和2004/915/EC号决定所附的合同)，一套适用于欧盟境内的资料控制者向境外的资料处理者转移资料(第2002/16/EC号决定所附的合同)。

4.标准合同条款的主要内容与资料保护水平的适当性

(1)认定标准合同条款资料保护水平适当性的标准

欧盟关于标准合同条款性质、目的、地位和适用范围的立场直接决定了其在认定合同条款适当性上所采取标准的严格性，并由此致使欧盟的标准合同条款在内容上相对于其他机构的格式合同也更为苛刻。由于资料接收人所属的第三国不具备适当的资料保护水平，欧盟在认定标准合同条款所提供的资料保护水平的适当性上采取了与认定一国资料保护水平相同的标准，即合同条款在内容和执行方式上都应具备适当性。^[127]根据该标准，欧盟委员会公布的标准合同条款不仅将指令中规定的基本资料保护原则纳入其中，还从缔约方的义务、资料当事人作为合同的第三方受益人、责任承担方式、违约救济途径甚至合同的法律适用等方面，确保标准合同条款能够协助和帮助资料当事人，对受到侵害的资料当事人提供适当的救济，并确保条款内容得以实际履行。从内容上看，标准合同条款堪称《资料保护指令》在欧盟境外的延伸适用。从执行方式上看，合同毕竟是资料转移双方以自愿为基础达成的意思表示，欧盟境内的资料保护机构也无法越境审计和调查资料接收人的资料处理行为，欧盟主要通过责任承担方式、合同终止和救济等方式提升合同的遵守。

(2)缔约方的义务与责任分担

位于欧盟境内的资料控制者自然要遵守设立地国的资料保护法，并保证资料接收人履行合同项下的责任。若资料接收人位于第三国境内，且该国不具备适当的资料保护水平，标准合同条款也应以规定接收人遵守欧盟的资料保护原则为主。^[128]此外，欧盟境内的控制者与境外的资料处理者之间的合同及欧盟内外控制者之间的协议在资料保护义务分配上也有所不同，前者以资料接收人按照转移人的指示处理资料为主。^[129]

在责任承担方式上，相对于位于境外的资料接收人，欧盟能够更有效地追究资料转移人的责任。因此，欧盟现行的三套标准合同条款都以境内的资料转移人承担责任为中心，但它们采取的责任分担方式不尽相同。具体而言，针对双方违约对资料当事人造成的损害，第2001/497/EC号决定中的合同采取了连带责任原则(Joint and Several Liability):对违约行为造成的损害，资料当事人有权要求资料转移人或资料接收人单独或共同承担赔偿责任，只有在双方均证明他们对损害不具有责任的情况下，才可免除赔偿责任。^[130]连带责任有利于资料当事人行使合同项下的权利，减少了资料当事人追究责任的障碍，^[131]但它仅适用于合同双方对资料当事人造成的损害，不适用于合同双方之间的违约责任，^[132]一方在对资料当事人作出赔偿后仍有权向实际违约方追偿。^[133]

考虑到连带责任可能给资料转移人施加了过重的负担，影响标准合同条款的推广，欧盟委员会第2004/915/EC号决定中附加的合同对该责任分担方式进行了修改，并确立了以合同双方分担责任为主，以资料转移人承担勤勉义务(Due Diligence Liability)为辅的制度。换言之，资料转移人和接收人应分别对各自的违约行为给资料当事人造成的损害负责。此外，资料转移人还有责任采取适当的措施确保资料接收人能够履行其在合同项下的义务(culpa in eligendo)。若资料接收人违约，资料当事人必须首先请求资料转移人采取适当的措施执行其对资料接收人所具有的权利。若资料转移人未在适当的期限内采取行动，资料当事人可直接向资料接收人主张权利，而且，资料当事人还有权追究资料转移人的责任，若其未采取适当的措施确保资料接收人能够履行合同规定的义务。^[134]这一责任分担模式不再要求资料转移人对接收人的违约行为一概承担连带责任，仅规定转移人具有勤勉义务，有助于促使转移人采取必要的措施审计确保资料接收人履行约定的义务。^[135]

欧盟第2002/16/EC号决定中的标准合同条款采取了以资料转移人为主，以资料接收人为辅的责任分担方式。由于该合同适用于欧盟境内的资料控制者同境外的资料处理者之间的资料转移关系，作为资料控制者的资料转移人应担负保护个人资料的主要责任。不论资料转移人还是接收人的行为侵害了其在合同项下的权利，个人均有权要求资料转移人进行赔偿。此外，若资料转移人在事实或法律上不复存在或已破产，对其自身给个人造成的损害，资料接收人应承担赔偿责任。^[136]

相对于其他组织和机构的格式合同，欧盟上述三套标准合同条款中的责任分担模式更为细致、严格，也更利于保护资料当事人的权益。例如，根据欧洲理事会的格式合同，资料转移人应负责赔偿对资料当事人造成的损害，而资料接收人应对转移人承担违约责任。香港个人隐私专员公署的格式合同与国际商会的格式合同条款都未明确资料转移合同双方对资料当事人所造成损害的责任担负方式:前者仅规定资料接收人应对转移的资料负责，并应对转移人承担违约责任，^[137]后者也仅规定资料转移双方对违约给各自造成的损害分别承担赔偿责任。^[138]

(3)资料当事人作为合同的第三方受益人

为更有效地保护资料当事人的权利，欧盟标准合同条款将资料当事人直接纳入其中，并以“第三方受益性条款”(Third-Party Beneficiary Clause)规定资料当事人为合同的第三方受益人，有权执行与其权利相关的合同条款。^[139]欧盟资料保护工作组指出:“通过资料转移人和接收人之间的合同给资料当事人提供救济并非一个简单的问题，它在很大程度上取决于国内法对合同法性质的界定。一般而言，资料转移合同的准据法应为资料转移人所属的欧盟成员国法。一些成员国的合同法允许为资料当事人创设第三方权利，而有些成员国法则不然。”^[140]

对欧盟境内的资料控制者向境外的资料处理者转移资料，“第三方受益性条款不仅有利于资料当事人全面执行其在合同项下的权利，还有助于他行使国内立法规定的权利”。“实际上，为了不同的目的，如获取廉价的资料处理服务，欧盟的公司越来越多地利用境外的资料处理服务。为了能全天候地处理个人资料，一些跨国公司，如金融行业的公司使用位于各大洲的资料处理服务。”这使得欧盟境内的资料控制者同境外的资料处理者可能远隔重洋，而且国内资料保护机构和法院虽然可以管辖欧盟境内的资料控制者，资料的地理位置却成为一个严重障碍。在资料控制者未能对资料接收人作出适当的指示时，资料当事人应能够依据第三方受益性条款行使他对位于欧盟境外资料的各项权利，如查阅、修改资料与反对某资料处理的权利。^[141]

欧盟第2004/915/EC号决定再次强化了“第三方受益性条款”在标准合同条款中，尤其是在责任承担方式上的地位。如上所述，该决定改变了连带责任制度，确立了资料转移人的勤勉责任。面对资料接收人的违约行为，资料当事人作为合同的第三方受益人应首先请求资料转移人采取行动执行其权利。若资料转移人未在合理的期限内采取行动，资料当事人可直接向接收人主张行使其资料权利。^[142]换言之，该决定进一步明确了资料当事人执行第三方受益性条款的程序。

(4)执行保障与违约救济

为确保资料转移双方履行合同，保障资料当事人有效行使其作为合同第三方受益人的权利，欧盟在标准合同条款中确立了较为完备的执行监督和违约救济机制。与法律不同，合同是资料转移双方自愿达成的协议，因此在外部执行监督上也存在更大的困难。尤其是，一旦资料被转移至欧盟境外，成员国的资料保护机构可继续对其境内的控制者的资料处理行为进行审计、监督、处罚和制裁，但对境外资料接收人，特别是境外资料控制者的资料处理行为，资料保护机构无法实施有效的监管。在欧盟资料保护工作组看来，成员国的资料保护机构虽然可以监督其境内的资料控制者，并由控制者向资料接收人追偿，但该间接方式根本不足以对跨境资料转移合同的执行实施有效监督。^[143]

对现有的三套标准合同条款，欧盟委员会通过决定均确立了以成员国资料保护机构为中心的执行监督机制。例如，根据第2001/ 497/EC和2002/16/EC号决定，为保护个人的资料隐私，成员国的资料保护机构有权在下列情形下禁止或中止向第三国转移个人资料:

(a)适用于资料接收人的法律排除了其遵守有关资料保护规则的义务，该排除超越了《资料保护指令》为民主国家所确立的必要限制，并对标准合同条款提供的保障很可能产生重大的负面影响;

(b)某适格的机构已经认定资料接收人未遵守合同条款;或

(c)标准合同条款很可能正要或将要不被遵守，继续转移资料可能对资料当事人的权益构成严重的侵害风险。^[144]

简言之，第(a)项主要是为了避免成员国的国内法影响资料接收人履行约定。第(b)项针对的是已经证明的资料接收人违约的情形。第(c)项则具有合同法上预期违约的味道，只是行使该权利的非资料转移合同的当事方，而是资料保护机构。第2004/ 915/EC号决定对此进行了修改。根据该决定，在下列情形下，资料保护机构可禁止或中止资料转移:

(a)资料接收人违背诚实信用原则拒绝同资料保护机构进行合作，或未履行其在合同项下的义务;

(b)经资料保护机构通告后一个月内，资料转移人拒绝采取适当的措施执行与接收人间的合同。

第(a)项所指的合作尤其应包括资料接收人将资料处理设备提交审计，或遵守欧盟境内资料保护机构作出的建议。^[145]

除了外部执行监督外，欧盟的标准合同条款还规定了较完备的争议解决机制。根据欧盟委员会第2001/497/EC和2002/16/EC号决定所附的标准合同条款，若资料当事人同资料转移的当事方未通过友好的方式解决他们之间的争议，且争议涉及第三方受益性条款，资料当事人有权:①将争议提交独立的第三人，尤其是资料保护机构进行调解，②将争议提交资料转移人所属成员国的国内法院，③将争议提交仲裁机构，若当事方所属国加入了1958年《纽约公约》。^[146]因此，根据标准合同条款，资料当事人有权选择调解、仲裁和法院审判等争议解决方式。欧盟资料保护工作组也强调应增强国家资料保护机构在调解争议中的作用。^[147]欧盟委员会第2004/ 915/EC号决定所附的标准合同条款采纳了类似的争议解决机制，但它在具体规定上相对宽松了不少。根据该合同，面对资料当事人或资料保护机构提起的争议，资料转移双方应首先互通信息，并为了以友好的方式及时解决争议相互合作。对资料当事人或资料保护机构启动的非强制性调解程序，资料转移双方同意作出回应，且可采取电子通讯的方式。资料转移双方还同意考虑参加仲裁、调解或其他资料保护争议的解决程序。^[148]

(5)合同的法律适用

为扩大《资料保护指令》的适用范围，在法律适用上，欧盟的标准合同条款均规定合同应适用资料转移人设立地的成员国法。^[149]标准合同条款的调整对象为资料转移当事方在资料保护上的责任分配关系，不涉及双方在资料转移上的商业性利益，还为资料当事人创设了第三方受益权。因此，从保护个人资料隐私的角度看，适用欧盟境内成员国的资料保护法可以为转移后的个人资料提供更好的保护。由于标准合同条款以保障个人资料隐私为主旨，除了国际商会的格式条款外，^[150]它在法律适用上与欧洲理事会^[151]和香港个人隐私专员公署的格式合同^[152]也有很大的差异。

5.标准合同条款的应用及其发展趋势

根据第2001/497/EC和2002/16/EC号决定，欧盟委员会应根据所掌握的信息，于其向成员国发布标准合同条款之日起三年后评估条款的实际应用情况，并公布报告。根据其向成员国、资料保护机构和商业组织发送的调查问卷及成员国通报的有关跨境资料转移的情况，欧盟委员会于2006年对两决定的执行情况作出了报告。^[153]

由于种种原因，委员会并未获取足够的信息。首先，根据指令的规定，若成员国根据对资料转移采取的临时性保障措施批准转移资料，它应向委员会和其他成员国通报该事宜，^[154]而欧盟委员会的决定并不要求成员国通报运用标准合同条款向境外转移资料的事宜。其次，根据指令的规定，成员国应对跨境资料转移进行管理、审批，但各成员国在执行方式上存在很大的差异，也未能有效地监控其境内的资料控制者向境外转移个人资料。欧盟委员会在其报告中指出:“委员会无法说明两决定的执行情况，如标准合同条款的使用情况，条款是否对个人资料提供了充分的保护等，这可能是由它们未能有效监管向第三国转移个人资料造成的。”^[155]“为协助委员会在将来进行更全面和深入的评估，尤其是判断标准合同条款的运作是否适当”，委员会要求“成员国加强对国际资料转移的监管，记录由其境内向不具备适当资料保护水平的第三国转移资料的活动，资料转移的法律依据，包括是否运用了标准合同条款”。^[156]此外，成员国未通报标准合同条款的适用情况使得委员会质疑成员国是否适当地履行了监管跨境资料转移的责任，大量的资料由欧盟流向不具备适当保护水平的第三国。^[157]此外，严格的标准合同条款也未能给商业组织和企业推广和运用条款提供诱因。

由于信息不充分，委员会最终未能深入考察标准合同条款的实际运用情况，只笼统地指出标准合同条款在适用中虽不存在严重的问题，仍需加强推广。实际上，委员会考察标准合同条款运作中遇到的困境正是欧盟在跨境资料转移监管上面临的困境。打着保护个人资料的旗号，欧盟为向不具备适当保护水平的第三国转移资料铸起铜墙铁壁般的屏障。虽然欧盟委员会认定了某些国家具备适当的资料保护水平，但这些国家不仅数量有限，而且在短期内欧盟也不会迅速增加它们的数量。为了防止资料转移人滥用指令第26条(1)规定的例外情形，欧盟不得不推出标准合同条款。从内容上看，标准合同条款似乎把指令的整个体系都纳入其中。在执行机制上，欧盟更是费尽心思，通过资料保护机构事先的审计和事后的监督以及第三方受益性条款、连带责任、勤勉义务、争议解决机制等确保合同的履行。简言之，在资料保护上，标准合同条款成了欧盟扩大《资料保护指令》适用范围的工具，设立于不具备适当资料保护水平的第三国的资料控制者或处理者要接收来自欧盟的资料就必须严格履行标准合同条款。另一方面，在现实中，随着信息和通讯技术的发展，国际信息流转变得无影无形，成员国单靠资料保护机构微薄的人力、物力和财力难以实施有效的监管。这样，欧盟境内的资料转移人根本没有压力，也无动力采用欧盟委员会精心设计的标准合同条款。

可喜的是，欧盟已经意识到该问题，在吸纳商业组织建议的基础上，对2001年的标准合同条款进行改进，加入商业条款(Business Clauses)，并从资料保护机构的监控方式、责任承担和违约救济等方面考虑企业的利益。^[158]因此，欧盟应继续沿着该自下而上的路径为企业在跨境资料转移中保护个人隐私提供便利，减轻资料转移人和接收人不必要的负担，简化跨境资料转移的管理和审批程序。否则，欧盟既不可能通过自上而下的方式监督跨境资料转移活动，也不能真正提升标准合同条款在跨境资料转移中个人资料隐私保护上的实际作用。

(四)约束性的企业规则与跨境资料转移中资料隐私的法律保护

与标准合同条款类似，约束性的企业规则(Binding Corporate Rules)也是近年来备受欧盟推崇的促进跨境资料转移中资料保护的方法之一。与前者不同，BCR不是资料转移人和接收人为分配资料保护责任而达成的协议，它是跨国企业集团自身内部的运行规则。若满足了一定的条件，它也可提高跨国企业国际资料转移中的资料隐私保护水平。根据《资料保护指令》，欧盟资料保护工作组先后公布了一系列的意见和建议，全面阐释了BCR的性质、地位、目的、主要内容及其执行体制，它们也构成欧盟有关BCR与国际资料转移中资料隐私保护的法律基础。^[159]

1.BCR与国际资料转移中资料隐私的法律保护

一些跨国集团公司不仅自身结构纷繁复杂，而且分支遍布世界各地，为了集团业务的正常运营，集团内部公司间的跨境资料转移不可或缺。与相互独立的两公司跨境转移资料不同，上述资料转移发生于同一集团内部，各分公司也不宜通过订立合同转移资料。为便于跨国集团公司开展内部资料转移，保护个人的资料隐私，有关国际资料转移的约束性企业规则被欧盟资料保护工作组确立为跨境资料转移的另一法律依据。换言之，根据《资料保护指令》，若资料转移人对个人资料采取了充分的保障措施，成员国可批准其向不具备适当资料保护水平的第三国转移个人资料。^[160]与标准合同条款一样，约束性的企业规则也可作为上述保障措施，也是向不具备适当资料保护水平的第三国转移个人资料的法律依据。

欧盟资料保护工作组将此类规则称为“有关国际资料转移的约束性企业规则”(Binding Corporate Rules for International Data Transfers)或“有关国际资料转移且具有法律执行力的企业规则”(Legally Enforceable Corporate Rules for International Data Transfers)。称之为“约束性”或“具有法律执行力”，只有具有该特性它才可能被认定为属于指令第26条(2)所指的“适当保障”(Sufficient Safeguards)。谓之“企业”，它属于跨国集团公司的内部规则，通常由总部负责制定。“国际资料转移”则是该规则的调整对象。^[161]总之，“有关国际资料转移的约束性企业规则”是跨国集团公司制定的、用于约束企业内部跨境转移资料的、具有法律执行力的企业内部规则，若经资料保护机构认定为保障资料隐私的适当措施，可作为向不具备适当资料保护水平的第三国转移个人资料的法律依据。

从性质上看，制定BCR属于企业的单方行为，它与资料转移人和资料接收人间订立标准合同不同，不具有直接创设权利和义务的法律效力。从适用范围上看，BCR主要适用于跨国集团公司内部的跨境资料转移活动，它同适用于作为资料控制者或处理者的独立公司间的标准合同条款也具有差异。此外，BCR与行业行为守则也有所不同，后者由行业组织制定并规制行业内部或某领域中企业的资料处理行为。BCR自身并非立法，不但不能取代资料保护法，还需在法律框架内发挥其保护个人资料的作用。从功能上看，与标准合同条款一样，BCR也是经欧盟认可的向不具备适当资料保护水平的第三国转移个人资料的法律依据，并在促进资料跨境转移的同时充分保障个人的资料隐私。为此，只有在内容和执行体制上符合欧盟认定资料保护水平适当性的严格标准，BCR才能成为跨境资料转移的合法依据。

2.BCR的约束力

跨国公司往往根据不同的法律、文化背景、商业理念和习惯，制定其资料隐私政策。然而，对资料隐私提供充分保障的BCR必须满足一个前提条件，即对内和对外均具有约束力。对内，BCR应对集团内的公司和雇员具有约束力，督促他们按照规则行事。对外，BCR应对资料当事人等具有法律执行力，资料当事人能以之为据主张第三方受益性权利。如欧盟资料保护工作组所言，BCR的约束性既包括法律上的约束性，即法律执行力，还包括实际的约束性，即在现实中得以遵循。^[162]由于资料当事人在跨境的情况下行使资料权面临更大的障碍，应同时确保BCR在法律上的执行力及其在现实中的约束力。^[163]

内部约束性是指BCR为集团雇员及其下属公司所遵循。企业可通过下列手段促使员工遵守规则:在雇佣合同中订明特定的责任，将遵守规则纳入企业的纪律规范，对违反规则的行为进行处罚，通过培训等项目增强员工对规则的了解等。^[164]企业集团的运作模式在不同国家和不同的商业领域内大不相同:跨国集团成员间关联紧密，且结构等级分明，企业联合体结构则较为松散;某些集团公司开展类似的经济活动，并实施大致相同的资料处理行为，有些企业联盟从业务到资料处理活动均存在重大的差异。^[165]很明显，企业集团的内部结构及成员的业务和资料处理活动对企业规则的有效实施也具有决定性的影响。欧盟资料保护工作组认为，虽然它无权对各公司集团设定一刀切式的规则实施模式，但企业集团必须确保规则能够在内部成员间得以有效的实施。^[166]这对不具有总部或总部位于欧洲经济区外的集团公司尤其重要。工作组认为，应根据公司的结构与所适用的欧盟成员国法对此加以评定，并建议企业可采纳下列方式确保规则在集团内部的实施:母公司作出的单方声明或行动对集团成员具有约束力，纳入法律框架中的管理措施，纳入一般企业原则中的规则并辅以适当的政策、审计和处罚等。上述建议在不同的国家可能具有不同的效力。例如，单方声明在某些国家可能被认为不具有约束力。^[167]

对内，企业集团自律是保障规则实施的有效方式。对外，资料当事人应成为BCR的第三方受益人，并有权通过向资料保护机构申诉或向法院起诉的方式执行BCR，行使资料权利。各国在民法和行政法上的差异使得企业集团的单方行为是否能够为个人创设第三方受益权具有很大的不确定性。若单方行为不能创设具有法律执行力的第三方受益权，企业集团应通过协议等形式承担该义务。^[168]企业集团应采取适当措施保障资料当事人可以获得救济，证明位于欧盟境内的公司具有足够的资产作出金钱赔偿，明确集团中具体负责处理争议的部门及个人如何同其取得联系，明确违反规则的证明责任由集团或成员担负，承认个人可行使《资料保护指令》所规定的权利。此外，企业在BCR中还应明确它将与资料保护机构进行合作，遵守资料保护机构作出的决定和建议。^[169]

3.BCR的实体内容

在实体内容上，欧盟资料保护工作组要求BCR参照指令及其第W12号工作文件，全面规定资料保护原则、资料当事人的权利、企业在保护个人资料上的责任及救济和争议解决机制等事项。同时，考虑到第三国可能不具有资料保护法，也无资料保护传统，企业还应根据资料转移、资料处理的目的等具体情况将抽象的法律规定细化为便于直接适用的规则。^[170]BCR还可以根据欧盟境外不同国家和地区的情况制定特定的规则，虽然这明显不利于企业创设全球性的资料转移政策，并增加资料保护的复杂性。此外，企业还可以根据环境的变化修改规则，并向资料保护机构通报有关情况。^[171]

4.BCR的执行监督

跨国企业集团总部公布内部隐私政策仅应被视为提供指令第26条(2)所指的充分保障的首要步骤。BCR还应确立一套体制确保规则在欧盟内外的有效实施。为此，企业应通过培训、宣传等方式保证员工和成员了解、理解并有效的执行规则。企业还应任命合格的职员监督规则的执行。企业应对规则的遵守情况定期进行自我审计或由经认证的审计机构实施外部监督，并向资料保护机构通报审计情况。资料保护机构也可以自行或指定独立机构审计企业的资料转移情况。BCR还应确立个人控诉处理机制，及时解决个人提起的异议和申诉。资料保护专员或负责处理争议的其他人员在履行职责过程中应具有必要的独立性。同时，根据所适用的国内法，企业应采取替代性的争议解决机制，并在必要情形下请求资料保护机构介入此类程序。此外，在责任承担上，位于欧盟境内的企业总部或负责保护资料的企业成员应对欧盟境外的成员因违反BCR的规定给个人造成的损害进行赔偿。最后，在管辖权上，资料当事人有权选择位于欧盟境内的法院受理有关案件。

5.BCR的申报和审批程序

由于BCR是从欧盟向不具备适当资料保护水平的第三国转移资料的法律依据之一，企业应主动将BCR提交欧盟成员国的资料保护机构审批。为简化申报和批准程序，避免同一企业单独向不同成员国的资料保护机构多次提交申请以及由此造成的结果不一，欧盟资料保护工作组建议加强成员国资料保护机构间在BCR审批上的合作与信息通报。^[172]根据工作组的建议，一企业集团若期望将其规则提交给多国的资料保护机构审批，它首先应根据下列理由断定某国的资料保护机构为审批合作程序的牵头机构(Lead Authority):^[173](a)集团在欧盟境内的总部所在地，(b)若总部不在欧盟境内，集团中负责资料保护的公司在欧盟境内的所在地，(c)集团中最便于申请和执行规则的公司所在地，(d)作出多数有关资料处理目的和方式决定的地点，(e)多数资料将由其境内向欧盟境外转移的成员国。^[174]申请企业应优先考虑第(a)项，并应负责证明选择某牵头机构的合理性。^[175]接收企业申请的资料保护机构具有自由裁量权，自行决定它是否为事实上的最佳机构，并可将申请提交给企业事先未曾提出申请的资料保护机构。^[176]若企业建议的资料保护机构同意作为牵头机构，其他相关的资料保护机构可对此提出异议。若不同意，它应说明理由，对哪个机构应作为牵头机构提出建议，并由相关的资料保护机构达成一致决定。^[177]随后，牵头机构应与申请人进行讨论，形成决定草案，提交其他机构审议。若牵头机构最终决定批准申请人提交的BCR，该决定对其他机构同样有效，但各国机构可根据具体情形提出额外要求。在欧盟层面，牵头机构应将该决定向资料保护工作组通报，由其负责同成员国共享该信息。^[178]

经欧盟成员国批准的约束性企业规则可谓“麻雀虽小，五脏俱全”。它简直就是企业集团参照《资料保护指令》制定的一部适用于集团内部的资料保护法，不仅在内容上面面俱到，而且在执行上也通过各种措施保障规则的遵守。对大型的跨国企业而言，约束性企业规则的确有助于其分布世界各地的公司相互转移个人资料，但欧盟目前如此严格的要求可能使不少企业望而却步。毕竟在欧盟无法有效监管跨境资料转移的情况下，它们还有一个最为廉价的选择:继续若无其事地向不具备适当资料保护水平的第三国转移个人资料。