中国企业真的需要签署欧盟委员会颁布的新版...

GDPR第2条和第3条规定了其适用范围，第2条规定了实质管辖范围，第3条规定了地域管辖范围。因此，在判断中国企业是否适用GDPR时，需要结合第2条和第3条进行判断。笔者提供了中国企业在何种情况下适用GDPR的示意图（非流程图），如下图所示：

（点击图片查看大图）

另外，中国企业需要关注以下几个问题：

第一，活动是否属于个人数据的处理？针对这一问题，需要回到个人数据（personal data）及处理（processing）的概念，GDPR第4（1）、（2）条对此进行了规定。

第二，个人数据处理是否构成例外情况？目前来看，中国企业从事商事活动构成GDPR第2（2）条例外的可能性极低。

第三，中国企业是否在欧盟境内设立机构？GDPR序言第22条解释，机构（establishment）是指通过在欧盟境内的稳定的安排，进行有效、真实的活动。关注点在于企业在欧盟是否具有稳定的营业存在，而非是否在欧盟拥有具有法人资格的分支机构、子公司等法律形式。

2015年，在Weltimmo v. NAIH (C-230/14)一案中，欧盟法院对“establishment”采取了宽泛而灵活的定义。本案中，Weltimmo公司在匈牙利有一名代表，负责对当地债务进行催收，同时，其也代表公司参加行政和司法程序。法院认为，即使Weltimmo公司并不设立于匈牙利，但是，这样的代表安排足以使得Weltimmo被认为在匈牙利设有机构。

因此，一个组织如果在欧盟境内通过稳定的安排，进行了真实的、有效的活动，即使该活动很小，哪怕只是设立一名代表，也会被视为在欧盟境内设有机构。

第四，如果中国企业在欧盟境内设立了机构，那么在开展业务的过程中（in the context of the activities of an establishment）是否涉及对个人数据的处理？如何界定在开展业务中涉及个人数据的处理，GDPR的正文和序言都未作进一步解释，但是，相关案例体现了欧盟的态度。

2014年，在C-131/12一案中，欧盟法院对“机构在开展业务中处理个人数据”的内涵进行了说明。本案中，某西班牙公民起诉了某跨国网络公司西班牙分公司，主张数据的被遗忘权，要求公司在搜索结果中删除与其本人相关的部分信息。但是，该分公司在西班牙的业务不直接参与搜索引擎服务，不实际处理涉案的个人数据，只涉及为公司在西班牙推广并销售广告位。尽管如此，欧盟法院认为，其具有地域管辖权。其一，西班牙分公司属于西班牙领土上的机构。其二，该分公司对广告位的推广、销售足以构成开展业务的过程中对个人数据的处理。

因此，如果中国企业在欧盟设有机构，GDPR的管辖范畴限制于（1）通过该机构；（2）开展业务的过程中（in the context of the activities of an establishment）；（3）处理个人数据，三个条件缺一不可。

第五，如果中国企业在欧盟境内未设立机构，其是否为欧盟境内的数据主体提供商品或服务？

首先，欧盟境内的数据主体并不仅限于欧盟成员国的公民和居民。根据GDPR序言第2条，欧盟境内的数据主体的判断，不局限于欧盟成员国国籍或居民身份，欧盟的游客和其他人员的个人数据也受到GDPR的保护。

其次，关于提供商品或服务的定义，需要满足“明显期待”的要求（it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union）。GDPR序言第23条列出了考虑因素：使用欧盟成员国的语言（如果与本国语言不同）；显示欧盟成员国的货币（如果与本国货币不同）；消费者能够通过欧盟成员国语言下单；提及欧盟用户或消费者等。

第六，如果中国企业在欧盟境内未设立机构，其是否对欧盟境内的数据主体在欧盟境内的行为进行监测？例如，网络上追踪（track）自然人，建立画像（profiling），决定、分析或预测个人偏好、行为和态度等。

第七，中国企业作为数据控制者处理个人数据时，是否存在根据国际公法的规定适用成员国法律，适用GDPR的情况？GDPR序言第25条列举了部分情况，例如，欧盟成员国外交使团、领事职务等相关的数据处理行为、船旗国适用欧盟成员国法律。

上文之所以要解释GDPR的适用范围，是解答为什么要签署SCCs的第一步。根据SCCs序言，SCCs是适用GDPR的数据输出方（data exporter）和不适用GDPR的数据输入方（data importer）之间签订的标准合同。如果合作双方都适用GDPR，则不需要签署SCCs。

在回答中国企业如何签署SCCs之前，需要先明确中国企业为什么需要签署SCCs，以及除了签署SCCs外，是否存在其他选择。

首先，SCCs的制定目的为了满足GDPR第46（1）、（2）（c）条的要求，SCCs序言第7条对此作出了详细解释。GDPR第46（1）条规定，数据控制者或数据处理者向没有获得欧盟充分性认定的国家、地区或国际组织传输个人数据时，必须提供适当的安全措施、可强制执行的数据主体权利以及对数据主体的有效法律补救措施条件。目前，经欧盟充分性认定的国家、地区或国际组织有13个，分别是安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、英国和乌拉圭。因此，当数据由欧盟向上述国家、地区或国际组织传输时，不需要签署SCCs协议。

其次，由于中国尚未获得欧盟充分性认定，当中国企业在接收由欧盟传输至中国的个人数据时，为了满足GDPR第46（1）条的要求，中国企业可以单独签署SCCs，也可以选择将SCCs纳入至其与合作方签署的其他合同中，以履行GDPR项下的义务。

最后，依据GDPR第46（2）条，中国企业可以采取如下方式，处理欧盟传输的个人数据：（1）单独签署SCCs；（2）将SCCs纳入至其与合作方签署的其他合同中；（3）在经欧盟充分性认定的国家、地区或国际组织处理欧盟传输的数据时，无需签署SCCs；（4）通过政府当局或公共机构之间具有法律约束力和可强制执行的文书；（5）依照GDPR第47条规定的具有约束力的公司规则；（6）依照GDPR第40条规定的经认可的行为守则，以及数据控制者或数据处理者在第三国（即中国）就适用适当保障措施（包括关于数据主体权利的保障措施）作出的具有约束力和可强制执行的承诺；（7）依照GDPR第42条规定的经认可的认证机制，以及数据控制者或数据处理者在第三国（即中国）就适用适当保障措施（包括关于数据主体权利的保障措施）作出的具有约束力和可强制执行的承诺。

首先，SCCs共有18个条款和3个附件，数据控制者和数据处理者根据实际情况选择对应的18个条款，并填写3个附件，以满足数据传输和处理的必要。例如，数据保护措施、次处理者的使用等。同时，对于中国企业来说，需要更加关注SCCs的第二部分、第四部分、和附件二，即双方的义务、最后章节、技术和组织措施，其不仅约定了数据保护的措施、数据主体的权利、双方的权利和义务，也约定了责任的承担、违约情况、法律的适用、管辖法院等。因此，双方可以根据实际情况对相关条款进行适当完善和补充。

其次，SCCs共有四种模式，分别是数据控制者至数据控制者（Transfer controller to controller，c2c），数据控制者至数据处理者（Transfer controller to processor，c2p），数据处理者至数据控制者（Transfer processor to controller，p2c），数据处理者至数据处理者（Transfer processor to processor，p2p）。SCCs在具体条款中，针对这四种模式作出了不同的细化要求。

最后，SCCs不仅落实了数据跨境传输的安全性，也反映Schrems II案的判决精神，即向欧盟境外流动的数据的接收方，必须采取各种合理的方式，保护可能涉及欧盟利益的数据。例如，数据输出方（在数据输入方的协助下）有义务考虑第三国的个人数据保护水平；数据输入方有义务将数据输入方无法遵守标准合同条款的情况通知数据输出方；数据输出方有暂停数据传输或终止协议的相应义务；数据输入方应进行传输影响评估，并在主管监督机构调取时向其提供。

中国企业签署SCCs时，不仅需要关注自身的业务是否符合GDPR的管辖范围，还要关注合作方的业务是否符合GDPR的管辖范围。如何签署SCCs，需要视具体情况而定。

场景一：中国企业在经欧盟充分性认定的国家、地区或国际组织有分支机构A，该分支机构A处理欧盟传输的个人数据时，不需要签署SCCs。

场景二：中国企业A在欧盟境内有机构B，B进行个人数据处理并根据GDPR第3（1）条适用于GDPR，A将B从欧盟境内收集的个人数据传输至欧盟境外（非经欧盟充分性）认定的企业C进行处理，A与C之间需签署SCCs。

场景三：中国企业A在欧盟境内没有机构，欧盟境内的企业B将个人数据传输给A，A向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3（2）条适用于GDPR，A和B之间不需要签署SCCs。

场景四：中国企业A在欧盟境内没有机构，欧盟境内的企业B将个人数据传输给A，A向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3（2）条适用于GDPR，A又将该个人数据传输至欧盟境外的企业C（如sub-processor）进行分析处理，A和B之间不需要签署SCCs，A和C之间需要签署SCCs。

场景五：中国企业A在欧盟境内没有机构，A直接面向欧盟境内数据主体提供产品/服务或对其实施监控分析而根据GDPR第3（2）条适用于GDPR，A直接从数据主体处收集数据并存储在位于中国的服务器上，A无需签署SCCs。但是，A仍然适用于GDPR，且需要满足GDPR对数据保护的相关要求。

首先，关于SCCs模式的选择，在签署SCCs时，有两组概念需要明晰。一组是数据输出方（data exporter）和数据输入方（data importer），另一组是数据控制者（data controller）和数据处理者（data processor），中国企业需要根据实际情况和处理地位来判断具体的身份，选择合适的模式。

其次，关于SCCs条款的补充和修改，GDPR和SCCs都鼓励数据输出方和数据输入方，增加条款或额外的安全保障，只要其不直接或间接地与SCCs相抵触或损害数据主体的基本权利或自由，序言第3条也作了进一步解释。因此，SCCs的补充是被允许的，但不可以和SCCs相抵触，也不可以损害数据主体的基本权利或自由。

SCCs作为数据跨境传输合同中规范双方权利义务的标准条款，进行数据传输的双方拥有选择使用或不使用的自由。数据传输的双方可以进行如下修改：（1）根据实际情况和处理地位来选择具体的身份以及适合的模式；（2）根据实际需要，选择是否适用第7条对接条款（Docking clause），在第9条次处理者的使用（Use of sub-processors）项下选择合适的条款，在第11条赔偿（Redress）项下选择合适的条款，在17条管辖法律（Governing law）项下选择合适的条款及合适的法律，在18条法院和管辖权的选择（Choice of forum and jurisdiction）项下选择合适的法院；（3）根据实际情况填写附件的内容；（4）增加条款或额外的安全保障，且不直接或间接地与SCCs相抵触，或损害数据主体的基本权利或自由。

在签署SCCs时，不仅需要判断因何情况适用GDPR，也需要就SCCs的具体条款进行选择，如下图所示：

（点击图片查看大图）

根据2021年11月1日生效的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）第3条第1款，中国企业在中国境内处理欧盟传输的数据，适用《个人信息保护法》。如果中国企业需要将处理后的数据传输至境外，例如欧盟，根据《个人信息保护法》第38条第1款第（3）项，中国企业需要和数据接收方订立合同，即中国版SCCs。

因此，未来中国企业在接收、处理欧盟传输的数据时，也需要关注中国版的SCCs，尤其需要关注中国版SCCs和欧盟SCCs的不同。例如，（1）二者对于数据处理者和数据控制者的定义不同。《个人信息保护法》下的个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。此概念对应于GDPR的数据控制者。（2）欧盟对于数据安全的国家标准与中国对于数据安全的国家标准的不同之处。