2020年11月，欧盟委员会（European Commission）发布新版《标准合同条款》（SCCs）草案。该草案公众咨询期已于2020年12月10日结束，在咨询期总共收到148条反馈意见。欧盟委员会预计在2021年初将正式实施《标准合同条款》（SCCs）。

此次新版SCCs可谓之万众期待，由于自GDPR实施以来，一直沿用原有的SCCs，而原有的SCCs是根据以前的《数据保护指令95/46 / EC》拟定的。而新版SCCs迟迟难产是由于欧盟委员会一直在等待Schrems II案的最终判决，而依据欧盟法院的判决对新版SCCs进行了调整。

新版SCCs集合了多家所长，其内容与GDPR条款保持一致，并引入和借鉴了Schrems II案的判决，还直接纳入欧盟数据保护委员会（EDPB）《补充措施的建议（01/2020）》内容。

但需要各方注意的是：新版SCCs并不是国际数据传输的万能解决方案，其仍将要求缔约各方进行风险评估，并采取补充措施（必要时），以确保新的SCCs在有关第三国的有效性。如果新的SCCs和补充措施未能使数据在第三国获得足够的保护，则公司必须中止或终止任何的数据传输行为。

此次新版SCCs的亮点如下：

范围：

在一份SCCs文件中可以涵盖四种跨区域数据传输方案，包括：控制者到控制者、控制者到处理者、处理者到下级处理者（第一次传输）、处理者到控制者。

宽限期：实施新版SCCs将有一年的宽限期，用于替代旧版的SCCs。但根据行业反馈，一年的宽限期也是给了相关从业者相当大的挑战和压力。

对Schrems II案的引用：

SCCs承担引用Schrems II判决的义务。特别是当事方必须保证他们合理的相信第三国之法律不会阻止各方履行其在SCCs中的义务。且各方在提供上述保证时还应当声明他们已对转移进行了风险评估，尤其要考虑转移的具体情况（包括个人数据的性质，目的，规模等因素）；接收者的类型；数据导入者是否已收到执法机构的任何事先披露要求；第三国的法律，包括那些要求向当局披露个人数据的法律；在第三国的传输和加工过程中采用的任何保护措施，例如技术或组织措施。缔约各方需要记录其风险评估，并应要求将其提供给主管的各国数据保护机构（DPA）。

适用法律和管辖权：

新版SCCs允许当事方选择一个欧盟成员国的法律来管辖SCCs，但是该法律必须允许第三方受益人权利，以便数据主体可以调用和执行SCCs。当事人也可以选择管辖权，但是无论选择了什么管辖权，数据主体仍可以向数据主体所居住的欧盟成员国的法院提起诉讼。

责任和赔偿：

数据主体因缔约方违反SCCs而遭受损害时应当获得相应的赔偿，此赔偿与数据出口商（传输者）依据GDPR承担的责任没有关系。如果多方数据出口商共同违反SCCs而承担连带责任时，履行了全部赔偿义务的一方有权向其他方索回其他方应当承担的责任份额。

其他内容请参见欧盟委员会官网

新版SCCs草案全文链接：https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741

周力思 高级合伙人律师

邮箱：zhoulisi@zlwd.com

中伦文德胡百全(前海)联营律师事务所

副主任、高级合伙人，执行委员会委员；

周力思律师专注于涉外法律、知识产权；

网络安全与数据合规、破产重整、医药健康、城市更新、争议解决等领域。