早在2001年，欧盟委员会就首次推出了基于《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》（“95指令”）的标准合同条款SCC2001C和SCC2001P，后在2004年和2010年分别推出了两个新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

为了与2018年生效的《通用数据保护条例》（GDPR）保持一致，欧盟委员会于2021年6月4日公布最新版本标准合同条款（“欧盟SCC”），取代之前所有的SCC版本。

事实上，世界上很多国家和地区也都先后推出自己的SCC版本，例如，英国UK IDTA，东盟ASEAN MCCs（“东盟MCC”），香港建议范本条文等。我国《标准合同规定》所附的合同条款也借鉴了国际上的一些成熟作法。

在内容方面，《标准合同规定》分为两个部分：规定正文和附件“个人信息出境标准合同”模板（“标准合同”）。规定正文介绍了标准合同在实践中的具体使用方法，而标准合同则提供一个完整合同模板，约定了各方的权利义务及其他合同条款。下文将分章对规定正文和附件进行解读。

如果《标准合同规定》第四条适用，个人信息处理者应与境外数据接收方商讨标准合同签署的具体细节，包括但不限于填写其附录一“个人信息出境说明”中所要求信息，就双方约定的其他条款进行谈判并填写至其附录二，选定第九条第（五）款中的争议解决方式等。

待双方就上述事项达成一致且完成标准合同签署之后，个人信息处理者即可进行个人信息的出境活动。同时，个人信息处理者应履行《标准合同规定》第七条的备案义务，将签署的《标准合同》和《个人信息保护影响评估报告》向所在地省级网信部门备案。

在标准合同签署之后，如果发生《标准合同规定》第八条项下可能影响个人信息权益的“重大变化”，应当重新签署标准合同并备案。在标准合同履行过程中，监管部门如果发现《标准合同规定》第十一条所述的违规情形（例如实际出境的个人信息超出所备案的数量等）有权立即终止出境活动。

标准合同通过赋予个人信息主体“第三方受益人”的地位来加强对其的保护。具体的操作是：首先，个人信息处理者通过履行标准合同第二条第（三）款项下的告知义务来赋予个人信息主体“第三方受益人”的权利；其次，在标准合同中约定个人信息处理者和/或境外数据接收方需要向个人信息主体承担义务的若干条款〔详见标准合同第五条第（六）款〕；最后，标准合同第九条第（四）款明确了个人信息主体可以通过诉讼来实现其“第三方受益人”权利的路径。

“第三方受益人”借鉴了欧盟SCC中“Third-Party Beneficiary”的制度设计（事实上，并非欧盟所有成员国法律都支撑该法律概念）。该设计的目的是突破合同相对性，让个人信息主体无需在合同上签字也可以据此起诉个人信息处理者和/或境外数据接收方。我国法律虽没有明确规定“第三方受益人”这个概念，但在《民法典》第五百二十二条中可以找到一定支撑。至于该制度设计最终是否可以“落地”，期待在未来的司法实践中予以检验。

标准合同在形式上与欧盟SCC和东盟MCC的一个显著区别就是没有像后者那样采用多模块设计。欧盟SCC为了适应实践中的多种场景，基于数据出口方和进口方在跨境传输时的角色不同设计了如下四种模块条款：（1）出口方是控制者（Controller），进口方也是控制者（Controller）（“C-C场景”），（2）出口方是控制者（Controller），进口方是处理者（Processor）（“C-P场景”）；（3）出口方是处理者（Processor），进口方也是处理者（Processor）（“P-P场景”）；（4）出口方是处理者（Processor），进口方是控制者（Controller）（“P-C场景”）。东盟MCC虽不像欧盟SCC那么完整地设计出四种模块条款，其也根据数据出口方和进口方在跨境传输时的常见角色设计了如下两种模块条款：（1）出口方是控制者（Controller），进口方也是控制者（Controller）（“C-C场景”），（2）出口方是控制者（Controller），进口方是处理者（Processor）（“C-P场景”）。标准合同虽然没有明确采用多模块的设计，但在条款表述上兼顾了不同场景下的义务区别。总体而言，标准合同第三条第（四）款，第三条第（六）款第5项款，第三条第（八）款这三处均为境外接收方“受个人信息处理者委托处理个人信息”的情况（即C-P场景）匹配了合适的义务条款，准确地体现境外接收方作为受托人的从属地位。这种单一模块设计更类似于英国的UK IDTA，即并不明确罗列多种模块，而是使用“如果接收方是处理者或次级处理者”等语句，体现该场景下相应义务或权利所对应的变化。至于标准合同在P-P场景和P-C场景下的适用问题，标准合同条款本身并未给出明确答案。笔者认为《个保法》第三十八条虽规定标准合同仅在个人信息处理者向境外提供个人信息时适用，但从立法目的解释的角度来说，个人信息受托人向境外提供个人信息也应当签署标准合同。

为了有效地保护个人信息主体的权利，标准合同在条款设计方面环环相扣、细致全面。另一方面，有些条款也会给个人信息处理者和境外接收方带来合规挑战，建议在合同履行过程中予以特别注意。对于个人信息处理者而言，标准合同要求其对境外接收方的处理行为进行一定监督〔如第二条第（四）款和第（十）款〕以及对境外接收方所在国的相关政策法规进行某种程度的尽职调查〔如第四条第（一）款和第（二）款〕。相较于标准合同中约定的其他义务而言（如告知），这对于个人信息处理者提出更高要求，不仅需要其与境外接收方建立持续的互动关系，而且需要其具有一定的国际视野。对于境外接收方而言，标准合同要求其在很多情况下直接向个人信息主体履行义务〔如第三条第（二）款、第五条第（二）至（三）款、第六条第（一）款等〕和直接接受监管机构的监督管理〔如第三条第（十一）和（十二）款〕。同样，相较于标准合同中约定的其他义务而言（如处理合规），这些要求对于境外接收方更具挑战。因为其身处境外，需要为履约配备一定的人员和资源来解决语言、文化、时差等差异。对于双方而言，标准合同多处提到记录留存的义务〔如第二条第（九）款和第（十）款、第三条第（十一）款、第四条第（四）款〕，这与《个保法》第六十九条所确定的过错推定责任一脉相承。这也从另一角度凸显了个人信息处理者和境外接收方在日常经营过程中建立完善合规体系的重要性。

为了确保上述义务的有效履行，标准合同还设计了一套争议解决与行政监督相结合的机制来规范个人信息处理者和境外接收方（特别是后者）的行为。首先，根据标准合同第六条第（三）款，个人信息主体有权基于其“第三方受益人”的身份向法院起诉追究个人信息处理者和/或境外接收方的违约责任，或者向监管机构提出投诉。监管机构基于投诉或者独立信息渠道了解到的违规行为后对个人信息处理者和/或境外接收方采取行政监管措施。虽然境外接收方不在监管机构的管辖范围内，但该措施可以依据第三条第（十二）款直接或者通过对个人信息处理者的适用而间接“传导”到境外接收方。对于个人信息处理者和境外接收方在对外向个人信息主体承担的赔偿责任或因双方之间的违约行为，双方可以通过标准合同第九条第（五）款来解决争议。该条款设计较为开放，不仅允许双方在诉讼和仲裁之间自由选择，而且在仲裁机构选择方面也未禁止双方选择国际仲裁机构。这样的安排即解决了国内法院判决在境外承认和执行的困难，又增加境外接收方对标准合同的接受程度，有利于标准合同的执行和签署。为了方便读者理解，本文通过如下图示说明争议解决与行政监督的工作机制。

如前文所述，标准合同签署后个人信息处理者即可开展个人信息出境活动。相较于数据出境安全评估的流程，标准合同这种出境路径更加快捷、可预期、且低成本。作为我国数据出境安全管理制度的一个重要组成部分，标准合同为个人信息处理者和境外接收方提供一个个人信息出境活动的“绿色通道”。即使在个人信息出境活动适用数据出境安全评估的场景下，标准合同也具有重要的参考价值。根据《评估办法》，数据处理者所需要提交的申报资料，除了申报书和自评估报告以外，还包括其与境外接收方订立的合同。虽然这个“合同”与标准合同并非一个文件（前者是在满足安全评估要求的前提下自由约定的文件，而后者是国家网信部门制定文本），数据处理者与境外接收方在准备安全评估申报材料时完全可以参照标准合同（特别是出境的数据仅限于个人信息时）拟定类似内容。《标准合同规定》的出台标志标准合同，这个国际上应用最广的个人信息出境保护性措施，首次在我国“生根发芽”。我们有理由相信，随着我国数据出境安全管理制度的不断完善，它将以其灵活便捷的特点体现出越来越强的“生命力”。

具体来说，如上图所述，当数据传输方自欧盟某成员国（如德国）向同样受GDPR管辖但地处非欧盟区域（如印度）的接收方传输数据时，虽然属于GDPR第五章的“向第三国传输”，但双方皆受GDPR管辖，根据欧委会决定的字面含义欧盟SCC并不适用。而当接收方将数据再传输至同样地处印度的另外一个主体时，由于该接收方不受GDPR管辖，根据欧委会决定后两者之间应当签署欧盟SCC，虽然此时并不存在传统意义上的数据“跨境”。

针对GDPR域外管辖效力和第五章跨境传输之间衔接问题，EDPB在2021年11月发布了指南进行解答，要求同时满足如下三个条件才构成跨境传输：（1）一个控制者或处理者的个人数据处理行为受GDPR管辖；（2）控制者或处理者（数据传输方）通过将个人数据传输、披露给另一个控制者、共同控制者或者处理者（数据接收方）；（3）数据接收方在一个第三国或者是一个国际组织，无论其处理行为是否受GDPR管辖。

根据指南，跨境传输中“跨境”为一个关键因素，而是否受GDPR管辖并不重要。因为欧盟SCC是基于GDPR第五章的跨境传输制定的，结合上图例子，传输方向后两个接收方中的任何一个传输数据均属于GDPR第五章的跨境传输，但就上图传输方与接收方之间的数据传输目前的欧盟SCC并不适用，欧盟委员会表示将出台针对这类场景的新的SCC版本。

为了方便读者理解，本文将四个场景逐一举例介绍如下：

模块1（C-C）：从控制者到控制者（或共同控制者）

场景：一家瑞典旅行社与一家澳大利亚连锁酒店签订了框架合同，为欧洲游客赴澳旅游提供住宿服务。为此，瑞典旅行社（C）需要将欧洲游客数据基于欧盟SCC传输到的澳大利亚连锁预订中心（C）。

模块2（C-P）：从控制者到处理者

场景：一家法国公司（C）将其雇员的个人数据提供给智利某大数据公司（P）进行处理分析。

模块3（P-P）：从处理者到处理者（即次级处理者）

场景：一家比利时公司（C）委托在荷兰的公司为自己处理数据，荷兰公司（P）希望将一部分处理行为再委托给某印度公司（P）进行处理。

模块4（P-C）：从处理者到控制者

场景：一家西班牙服务提供商（P）受巴西总部（C）指示将使用从巴西收到的客户数据及其在西班牙收集的客户数据进行市场研究和开发营销材料，并将两个数据包的汇总传输到巴西。

在法律适用方面，模块1（C-C）、2（C-P）和3（P-P）下必须适用欧盟成员国的法律，而模块4（P-C）允许适用非欧盟国家的法律。其次，所有模块的法律适用前提该法律支持“第三方受益人权利”。最后，在模块2（C-P）和3（P-P）下，原则上应优先选择数据传输方所在国的法律，除非这个国家不允许第三方受益人权利。

在管辖法院方面，模块1（C-C）、2（C-P）和3（P-P）下合同双方应当选择欧盟经济区法院管辖，而数据主体也可以在其经常居住地对合同双方展开诉讼，而模块4（P-C）允许双方选择非欧盟国家法院管辖。

综合来看，在模块4（P-C）的场景下，因为可能出现根本不涉及欧盟数据主体个人数据的情形，并且身处在第三国的控制者的行为受到第三国法律的管辖，在法律适用和管辖法院时给予合同双方更多的自由选择空间。而在模块2（C-P）和3（P-P）情形下，数据传输方所在国法律显然与传输行为关系最密切，应当优先适用。

再传输条款是指数据被传输至欧盟以外的数据接收方之后被再次传输至后续数据接收方（该数据接收方可以与首个接收方同处一个国家或另外一个第三国）（类似中国标准合同第3条第7款项下情形）。欧盟SCC在模块1（C-C）、2（C-P）和3（P-P）中约定了再传输的情形。

为了确保数据主体的权益能在再传输过程中得到同等保护，后续数据接收方需要满足如下条件之一：通过对接条款（Docking Clause）加入欧盟SCC，符合GDPR第五章中其他数据出境要求（即在白名单国家、根据GDPR第46或47条采取适当性保障措施），或者符合特定例外情形（例如出于维护数据主体或其他自然人的重要利益的必要等）。

在模块1（C-C）中，因为首个数据接收方为控制者，其可以自主决定处理数据的目的与方式，因此在其他方式都不适用的情形下，其可以通过获得数据主体的明确同意的方式进行再传输。当然，其在征求数据主体同意时需要告知传输的目的，再传输接受方的身份或类别，以及再传输缺乏适当性保障措施时可能对数据主体带来的风险等。

使用次级处理者是指数据被传输至欧盟以外一个身份为处理者的数据接收方（P）之后被再次传输至一个身份为次级处理者的数据接收方（P）（类似中国标准合同第3条第8款项下情形）。欧盟SCC在模块2（C-P）和3（P-P）中约定了使用次级处理者的情形。

同样，为了确保数据主体的权益能在次级处理过程中得到同等保护，欧盟SCC提出如下要求：首个数据接收方应获得数据传输方的书面授权，次级处理者进行处理活动之前必须与首个数据接收方签署书面合同（也可以通过对接条款（Docking Clause）加入数据传输方和首个数据接收方之间的欧盟SCC），数据接收方与次级处理者还需要约定以数据传输方为第三方受益人的条款，以确保在数据接收方法律上不存在时，数据传输方有权终止次级处理者的合同并指示后者删除或归还个人数据。

通常而言合同具有相对性，只有合同的参与者才能根据合同约定享有权利和履行义务。但是第三方受益人权利从一定程度上突破了合同的相对性，而将合同权利扩张到了未实际参与合同的第三方。例如保险公司与被保险人签订的人寿保险合同，受益人为被保险人的妻子，则若被保险人意外身亡，其妻子将有权基于保险合同受偿。这里的妻子即为保险合同的第三方受益人。随着时代和法律的发展，合同第三方受益人权利的适用场景不断扩大。

不同国家的法律对合同第三方受益权的规定略有差别，有的国家并不承认第三方受益权（如德国），有的国家区分为第三方利益而设定债权以及第三方受让债权人的债权（如美国）。但综合欧盟SCC中约定第三方受益人（即数据主体）权利的目的和相关规定，我们可以概括第三方受益人权利具有如下几个特点：（1）应当在合同中明确约定第三方受益人身份和可执行条款（欧盟SCC第3条），（2）第三方可以根据合同约定寻求救济（欧盟SCC第11条），（3）各方应就违反第三方受益权而给数据主体造成的损失向数据主体负责（欧盟SCC第12条）。

为了方便数据主体向违约的传输方或接收方追责，欧盟SCC设计了连带法律责任条款。

首先，数据主体可以向侵害第三方受益权而使其受损的那一方追究责任，无论这一方是传输方还是接收方，在境内还是境外。其次，如果传输方和接收方都违约，则数据主体可以向任何一方追究全部责任，这违约方之间的责任通过内部追偿解决。最后，在模块2（C-P）和模块4（P-P）的情况下，因为位于境外的皆为处理者，考虑到控制者与处理者之间对数据主体履行义务的大小天然存在差异，此时传输方应就自己和接收方对数据主体造成的损失承担先行赔偿责任，然后再向数据接收方追偿。

欧盟SCC一方面通过有过错的两方的责任连带确保数据主体的权利可以得到充分实现，另一方面通过传输方（为控制者C或处理者P时）对接收方（为处理者P或次级处理者Sub-P时）的连带责任确保该权利的实现更加便利。

东盟共有10个成员国（印度尼西亚、马来西亚、菲律宾、新加坡、泰国、文莱、老挝、缅甸、柬埔寨和越南），其范围内的网络安全和个人信息保护水平发展不一，新加坡的个人信息保护的立法和网络安全建设都十分领先，而老挝、柬埔寨、缅甸等国家在此方面仅属于起步阶段。为了统一联盟内的网络安全和数据流动标准，以整体增强数据保护水平和取得更多全球竞争优势，东盟近年来在该领域进行诸多制度建设，如2016年《东盟个人数据保护框架》（ASEAN Framework On Personal Data Protection）、2018年《东盟数字一体化框架》（ASEAN Digital Integration Framework）、《东盟数字数据治理框架》（ASEAN Framework on Digital Data Governance）和2021年《东盟数字总体规划2025》等。

东盟MCC出台源于2019年11月通过的《东盟跨境数据流动机制的关键方法》，其建议重点发展两个数据跨境流动机制，即“东盟示范合同条款”和“东盟跨境数据流动认证”。东盟将该东盟MCC作为实施东盟跨境数据流动机制的第一步，鼓励企业在成员国之间进行数据传输时广泛使用，以期建立区域性数据传输的最低标准，而无论相关成员国是否有数据保护法。遵守东盟MCC及其项下的基本义务可以使数据主体及其数据受到2016年《东盟个人数据保护框架》的充分保护。

除了东盟MCC以外，东盟也承认其他的数据跨境流动机制，如自评估、个人信息主体的同意、行为规范（Codes of Conduct）、有约束力的企业规则（BCR）、其他认证，如ISO体系或APEC跨境隐私规则（CBPR）和处理者隐私识别体系（PRP）等。

在东盟MCC使用时，合同双方可根据2016《东盟个人数据保护框架》中规定的原则或任何东盟成员国法律的要求，通过书面协议采用或修改东盟MCC，也可以通过书面协议自由协商添加商业条款，只要这些条款不与东盟MCC相矛盾。

该模块的适用场景是：仅为了处理数据之目的或者由数据接收方提供相应商业服务之目的而进行的跨境数据传输。

东盟MCC规定合同双方在使用该模块时需要具备如下三项条件：（1）通过履行东盟MCC项下义务来保护数据；（2）数据向任何其他方后续传输（类似欧盟SCC的再传输条款Onward Transfer）时适用于相同的合同条款，并遵守相同的数据保护和安全要求；（3）在数据主体提出相关问询时能提供应答，并约定具体由哪一个合同进行迅速应答。

为了方便使用者理解，东盟MCC给出两个具体例子：

（1）在线配送/物流

新加坡某电商平台向马拉西亚的客户卖货，其需要联系一家马来西亚当地的物流公司该向客户配送，因此新加坡电商平台作为控制者需要把客户个人信息提供给处理者马来西亚物流公司，物流公司代表电商平台处理数据。

（2）人力资源/薪资管理

某人力资源公司总部在印尼雅加达，其为东盟不同国家的数个机构提供薪资管理服务，因此其仅为了提供该服务的目的收集这些机构员工的个人信息。数个机构作为控制者与作为处理者的印尼人力资源公司签订东盟MCC。

该模块的适用场景是：为了购买数据之目的或为取得数据的完全使用权将数据转移给数据接收方而进行的跨境数据传输，在这种情况下数据接收方希望最终取得数据的控制权。

东盟MCC规定合同双方在使用该模块时需要具备如下两项条件：（1）通过履行东盟MCC的义务来保护数据；（2）数据接收方需具有一定独立性，即接收方无需接受对所传输数据进行处理的限制，而可以拥有数据传输方的同等权利和义务（除非另行约定）。

为了方便使用者理解，东盟MCC给出两个具体例子：

（1）广告数据库的销售

柬埔寨的某服装零售商希望在老挝扩大市场，所以拟购买老挝某鞋子制造商的市场数据库，由于服装零售商向鞋子制造商购买数据后无需持续履行义务，数据传输方鞋子制造商作为数据出售时的控制者和服装零售商作为数据购买完成后的控制者之间应该签订东盟MCC模块2。

（2）数据跨境许可

菲律宾某呼叫中心希望购买新加坡的一家广告机构的客户市场数据库，但该广告机构限制呼叫中心将该数据库转售给其他竞争者。因为呼叫中心有权决定该数据库的处理方式和目的，其地位系数据控制者，新加坡的广告机构也可以通过东盟MCC的8.1条款限制数据转售，因此其地位也属于数据控制者，所以适用东盟MCC模块2

英国GDPR脱胎于欧盟GDPR，且两者之间的差别不大。因此，英国SCC在适用范围、对签署方所起的作用以及个人数据保护的最终效果上因此也与欧盟SCC基本一致。然而，英国SCC大刀阔斧地重塑了欧盟SCC的行文逻辑与架构，在不降低或改变个人数据保护标准的前提下做到了简洁、明晰与有效。

除了上述两份文件外，英国还允许暂时继续使用旧版欧盟SCC。这主要是有鉴于英国内外有大量的个人数据控制者（Controller）与处理者（Processor）曾于英国脱欧之前在欧盟GDPR的框架下签署了旧版欧盟SCC，而且旧版欧盟SCC即使在欧盟也仍处于过渡期。因此，英国ICO并未强制要求立刻废除旧版欧盟SCC并采用英国SCC，而是给予了长达两年的过渡期。具体来说，旧版欧盟SCC在2022年9月21日之前仍然可以签署，而之后虽然不能签署，但只要个人数据跨境传输的范围、处理方式与处理目的等方面没有发生重大变化，旧版欧盟SCC的有效期可以持续到2024年3月21日（该宽限期甚至要长于欧盟的）。

图1：旧版欧盟SCC在英过渡期示意

英国IDTA的签署方可以利用表格填写个人数据跨境传输的相关信息，包括数据传输方与数据接收方的详情及分类（即属于控制者还是处理者），个人数据类别、数据主体类别、目的、期限，英国GDPR是否适用于数据接收方等。表格还要求签署方对某些重要事项作出选择，包括传输活动是否涉及敏感个人数据，个人数据类别等信息是否随主合同（Linked Agreement）修订而自动更新，法律适用与管辖地（英格兰与威尔士、北爱尔兰、苏格兰三地中择一），单方终止权，再传输（Onward Transfer），以及数据安全要求等。

作为第二部分的额外保护条款，是英国根据欧洲法院Schrems Ⅱ判决的要求与精神所而加入的。根据该判决，数据传输方与数据接收方在进行以标准合同作为合法性基础的个人数据跨境传输之前，都必须要先自行对数据接收方当地法律等因素完成传输风险评估（Transfer Risk Assessment，“TRA”）；如果TRA的结果显示，标准合同无法完全确保个人数据在境外也能获得与境内相当的保护水平，则双方必须采取额外措施尽量补足保护水平的差异；如果确实无法补足，则应放弃跨境传输。额外保护条款要求双方列明根据TRA结果所需额外执行的个人数据保护措施。

商业条款是英国IDTA中灵活性最强的部分。其主要作用是在双方未签订主合同时提供一处能简短描述双方除个人数据跨境传输之外的其他权利义务的空间。

强制条款则是英国IDTA的正文，也是实质性约定双方权利义务的部分；其中又分为总则条款（§1—§10、§25、§36），数据传输方（§11），数据接收方（§12—§17），数据主体权利（§18—§22），第三方根据当地法获取传输数据（§23—§24），违约（§29—§31），争议解决（§32—§35）等七个小节。

英国IDTA虽然在实质要求及内涵上与欧盟SCC保持一致，但在正文架构以及行文措辞上与后者区别很大。

英国IDTA取消了欧盟SCC一直坚持采用的模块（Module）化设计，不再略显死板地将大部分条款都分为控制者向控制者传输（C—C场景）、控制者向处理者传输（C—P场景）、处理者向处理者传输（P—P场景）、处理者向控制者传输（P—C场景）这四大模块，而是使用了“如果数据接收方是处理者或次级处理者，则……”等语句，将需要因应双方处理地位不同而变通规定的情况作为例外，其他情况按照统一适用来设计，简化了行文逻辑与架构。

此外，英国IDTA使用了更为精炼、简洁、易懂的英语去表达能与欧盟SCC各条款近乎相同的含义，并且大幅减少了英国IDTA的条款内部相互引用以及引用UK GDPR条文的情况，便于相关各方（尤其是签署方以及数据主体）理解与使用。

英国IDTA的适用范围是相较于欧盟SCC实质性变化最大的方面之一。

目前欧盟SCC仅适用于受欧盟GDPR管辖的数据传输方向不受欧盟GDPR管辖的数据接收方进行的个人数据传输，但对于位于欧盟境外且个人数据处理活动受到欧盟GDPR域外管辖的数据接收方却并不适用。也就是说，欧盟GDPR的适用范围只关注法律管辖的变化（“跨管辖境”），而不关心物理国界的变化（“跨物理境”）。针对这种情形，欧盟委员会（EU Commission）已宣布将针对仅跨越物理境而不跨越管辖境的情况发布较为简化版的欧盟SCC。

图2：欧盟SCC目前适用范围示意

而英国IDTA则毕其功于一役，对于跨越管辖境以及跨越物理境两种情况均可适用。无论数据接收方是否受到英国GDPR的域外管辖，只要数据接收方位于英国境外，数据传输方就可以与其通过签署英国IDTA进行个人数据跨境传输。而位于英国境外但受到英国GDPR域外管辖的数据传输方，向任何不位于英国境内的接收方，也可以适用英国IDTA。换句话说，只要满足了跨越物理境或跨越管辖境两项条件之一，英国IDTA即可适用。

同时，英国IDTA又规定，如果数据接收方已经受到英国GDPR的域外管辖，则某些与数据接收方义务相关的条款（§13、§15、§21）不适用，而应继续统一适用英国GDPR的规定。这种做法遵循欧盟的思路，为已经受到英国UK GDPR管辖的数据接收方提供了较为简便的标准合同版本。

图3：英国IDTA适用范围示意

英国IDTA的仲裁条款在实质内容方面也与欧盟GDPR偏离。不同于欧盟SCC强制要求以法院诉讼解决争议，英国IDTA的各签署方以及数据主体均有权选择仲裁。而且，其仲裁条款要求适用《伦敦国际仲裁院规则》（Rules of the London Court of International Arbitration），以伦敦为仲裁地，英格兰法为仲裁地法，且必须以具备英国数据保护法律经验的律师为独任仲裁员。

欧盟SCC英国附件分为表格与强制条款两部分。表格部分主要是供使用此附件的各签字方填写相关信息，包括各方的基础信息，所签署的欧盟SCC中各签字方所选的模块（Module）、可选条款、附加信息，以及双方是否有权在新版欧盟SCC英国附件发布时中止欧盟SCC英国附件等。双方有权在不改变原文实质含义的情况下修改表格部分。

而强制条款部分则是欧盟SCC英国附件的正文，禁止任意修改。该部分主要起到调整各签字方所签署的欧盟SCC的作用。经过比较可以发现，这些强制条款也并未对欧盟SCC作出实质性的修改或调整，而仅仅规定了：如何签署与解释欧盟SCC英国附件，该附件与欧盟SCCs的效力位阶，该附件的适用范围（欧盟的个人数据跨境传输不适用），欧盟SCC中提及欧盟、欧盟机构以及法律的部分替换为英国和英国对应的机构以及法律等其他非实质性修订的内容。

值得注意的是，强制条款部分虽然允许欧盟SCC根据欧盟委员会的修订而随时修改，但同时也规定，仅有当前版本的欧盟SCC是经批准的欧盟SCC（Approved EU SCC）；如果日后欧盟委员会发布的新版欧盟SCC与当前经批准的欧盟SCC不一致，除非前者能为数据主体提供更大程度的保护，否则后者的效力优先。这一规定保证了欧盟SCC英国附件相对于欧盟SCC能保持一定程度的独立性，避免出现其随欧盟指挥而走的尴尬局面。

此外，强制条款部分中关于管辖法院的内容取消了欧盟SCC第四模块（P—C场景）第18条所允许的第三国法院管辖，改为统一要求在英国英格兰及威尔士法院、苏格兰法院、北爱尔兰法院三者之中择一管辖，在这方面的修改具有一定程度的实质性。

对于刚刚完成脱欧进程的英国而言，英国IDTA尽管在实质上并未与欧盟SCC分道扬镳，却已完成了在形式与风格上脱离欧盟SCC思路的第一步，并成功将相关法律争议的解决完全收归英国境内的法院或仲裁机构，是英国在个人数据保护领域收回其立法及司法主权的第一步。

而欧盟SCC英国附件从其目前的内容与形式上来看，不仅仅是英国个人数据跨境传输的一种脱欧过渡时期的权宜之计，更将会是一项长期有效、可以与欧盟SCC共存的法律文件。同时，对于在英国与欧盟两地设有机构并需要以标准合同的途径向英国与欧盟之外传输个人数据的跨国公司来说，可以通过与数据接收方仅签署欧盟SCC外加欧盟SCC英国附件的便捷方式，来同时满足英国与欧盟两大地区的个人数据跨境传输要求。

此外，我们也可以预见英国SCC未来还会发生新的变化。这不仅是因为英国ICO即将发布英国IDTA与欧盟SCC英国附件的解释与指南以及TRA指南，更是因为英国政府已在英国下议院宣布了改革英国GDPR的立法计划，旨在赋予英国企业更大的灵活性——包括移除小企业的数据保护官（DPO）和数据保护影响评估（DPIA）要求，以及改革英国ICO等。这些举措势必将导致包括英国IDTA在内的各项英国个人数据保护制度进一步与欧盟GDPR的各项制度渐行渐远。

早在1995年，香港便出台了《个人信息（私隐）条例》（“私隐条例”），《私隐条例》第33条“禁止除在指明情况外将个人信息移转至香港以外地方”是对个人信息（个人资料）跨境传输的专门规定，但该条款至今尚未正式实施。其中，第33（2）（f）条涉及数据跨境传输中的标准合同。根据该条款，个人信息原则上不能被传输至香港之外，除非：“该使用者已采取所有合理的预防措施并已作出所有应尽的努力，以确保该资料不会在传输目的地以违反《私隐条例》的方式收集、持有、处理或使用”。《私隐条例》通过该条款明确了保障性措施是数据出境离港的制度之一，其中数据传输方和数据接收方签订标准合同又是保障性措施中的一种主要方式。

为完善《私隐条例》第33条配套规则，推动第33条尽快生效，私隐公署于2014年公布了《保障个人资料：跨境资料转移指引》（“2014《指引》”），鼓励数据控制者（即“Data User”或“资料使用者”，类似中国大陆《个人信息保护法》项下的“个人信息处理者”）通过2014《指引》建议的方式保护个人信息，履行企业的管理责任。2014《指引》对《私隐条例》第33条所提的可以跨境传输的例外情形作了进一步的说明，包括白名单制度、存在与《隐私条例》相似法律的地区、个人信息主体书面同意、避免针对个人信息主体的不利行动或减轻该行动所造成的影响以及其他豁免情形，并就《私隐条例》第33条适用的原则、范围和主体等进行了解读，最后以附件形式提出了根据《私隐条例》第33（2）（f）项把个人信息传输到香港以外的《建议范本条文》（“2014RMCC”）。

随着处理个人信息日趋数码化及营商全球化，私隐公署于2022年5月又公布了《跨境资料转移指引：建议合约条文范本》（“2022《指引》”），旨在补充2014《指引》，以及其附表的2014RMCC。与广泛说明33条数据跨境的多种路径的2014《指引》不同的是，2022《指引》专注说明了其附表的《建议合约条文范本》（“2022RMCC”）如何通过采用建议标准合同模板实现个人信息的保障。本文中，2014RMCC和2022RMCC统称为“香港RMCC”。

在《私隐条例》第33条尚未生效的背景下，私隐公署鼓励数据控制者遵循香港RMCC的相关指引。然而，即使《私隐条例》生效，香港RMCC也非强制适用，因为：（1）作为保障个人信息安全的实务性指引，2014《指引》和2022《指引》中的“指引”和“建议”两词均表明其并非强制性规范，而是可自由组合的独立性条文；（2）根据2022《指引》，数据控制者和处理者们可在自行制定（develop）转移个人信息的协议时采纳2022RMCC，或把这些条文纳入更广泛的服务协议中，其可自由使用其他在实质上符合《私隐条例》规定的字词。

在适用的场景方面，一改2014RMCC不区分提供模板的做法，2022RMCC为数据控制者提供了两套模板，即数据控制者转移个人信息给数据控制者的建议标准合同（Controller to Controller，“C-C模板”）和数据控制者转移数据给数据处理者（即“资料处理者”，类似中国大陆《个人信息保护法》下的“受托人”）的建议标准合同（Controller to Processor，“C-P模板”）。根据2022《指引》，需要遵守《私隐条例》第33条的是数据控制者，而非数据处理者，因此香港RMCC排除了数据传输方是数据处理者（即P-C和P-P）的两种场景。

上述模板均适用于两种出境情形：（1）由一香港机构转移个人信息至另一境外机构，或（2）两个均属香港境外的机构之间的转移而有关转移由一名香港数据控制者所控制。以上第（2）种情形在其他法域规定中并不常见。在该情形下，数据在香港境外机构之间转移，所以数据很可能由香港数据控制者直接上传至香港境外某一机构处（如云存储），而根据2014《指引》该上传存储很可能已经构成数据出境行为。因此情形（2）是否构成数据再传输（“Onward Transfer”或“继续转移”）需要私隐公署予以进一步澄清。

1、条款数量的区别

在2022RMCC中，C-C模板共有6个条文，C-P模板则共有3个条文。与C-P模板相比，C-C模板额外规定的3个条文是（1）数据传输方的责任（2）个人信息主体查阅及改正个人信息的权利和（3）有关直接促销的条文。

2、条款内容的区别

除了上述3个条文是C-C模板特有的条文，C-C和C-P两个模板在共有条款内容上的区别体现在以下几个方面。

（1）定义的区别

在定义部分，两套模板对部分概念的界定存在区别。有关再传输的数据接收方，C-C模板第4.9条款中其被定义为“继续转移的接收者”。结合第4.10条可知，第4.9条的“继续转移的接收者”可被进一步划分为“数据控制者”和“数据处理者”（即C-C-C和C-C-P两种子模板），其范围广于C-P模板第3.8条规定的“次处理者”（即“分判处理者”或“Sub-processor”，也即C-P-P的子模板）。

（2）数据接收方作为处理者的地位限制

与C-C模板不同的是，C-P模板中部分条款的安排突出了数据接收方作为数据处理者时的地位限制，受到作为数据控制者的数据传输方的控制，依其指示行事。例如，在数据接收方责任条款中，有关保留个人信息的时间，C-C模板的4.4条款中约定，数据接收方向数据传输方的保证包括不会保留其接收的个人信息“超过达到传输目的所需”的时间；而C-P模板的3.4条款中约定，数据接收方向数据传输方的保证包括不会保留其接收的个人信息“超过数据传输方指示的处理所需”的时间。再如，有关删除个人信息，C-C模板的4.5条款中约定，当传输的个人信息不再需要用于达到传输目的，数据接收方应删除有关数据，没有约定按数据传输方的指示删除数据。C-P模板的3.5条款中则约定，数据接收方按数据传输方的指示删除有关数据。

1、2022RMCC比2014RMCC更有可操作性

在2014RMCC的基础上，2022RMCC对跨境数据传输的场景进行了区分，并提供了两套模板供数据控制者选择适用。而且，2022RMCC新增了定义、释义和有关直接促销的条文，让数据控制者能够更有针对性地采用香港RMCC或以此为基础订立清晰的完整商业协议。2022RMCC对2014RMCC的修改与完善主要体现于数据传输方的责任、数据接收方的责任和个人信息主体的权利条款。

以数据接收方的责任中的再传输条款为例，2022RMCC相较2014RMCC在表述和内容上都作了修改，这既符合场景区分下细化规定的需求，也为数据接收方提供了更为灵活的合规指引。2014RMCC的2.1.8条款对数据的再传输规定的较为笼统，仅规定数据接收方向外再传输数据需要通知数据传输方，及满足下列三个条件中的一条即可：（1）再传输法域法律的适格，（2）数据次接收方签署本协议或适格协议，和（3）适当性保障机制。而2022RMCC的两套模板分别对数据接收方是控制者或处理者的两种再传输场景分类讨论，写明了C-C-C或C-C-P（数据次接收方或继续转移的接收者），和C-P-P（数据次处理者或分判处理者）的不同要求。两种场景下，数据接收方或数据次处理者再传输数据均需要满足（1）数据转移一览表准许或（2）数据传输者的单独事前书面同意中的任意一项，而数据接收方和次处理者再传输的其他义务有所区别（见C-C模板的4.10、4.11条款和C-P模板的3.9、3.10条款）。在《私隐条例》的框架下，2022《指引》与2014《指引》共同丰富了香港数据跨境流动和区域融通的政策举措，为本地企业跨境资料转移提供了较为完善的合规指引。

2、2022RMCC和2014RMCC部分概念和表述存在差异

2022RMCC和2014RMCC存在对相同含义的概念或内容进行不同表述的情况。比如，有关这两个版本使用的中文概念，2022RMCC中对数据传输方使用的概念是“资料转移者”，对数据接收方使用的概念是“资料接收者”，而2014RMCC中相应使用的是“转移人”和“承转人”的概念。又如，在数据接收方的责任方面，2022RMCC的C-C模板的第4.1条、C-P模板的第3.1条与2014RMCC的第2.1.1条含义大致相同，但表述不同。以上文字表述问题建议企业在使用两个版本时注意。