数据跨境流动 | 东盟跨境数据流动示范合同条款（全文翻译）

按：

译者序言

东南亚国家联盟（Association of Southeast Asian Nations－ASEAN，简称“东盟”）成立于1967年，截至2020年10月，成员国包括文莱、柬埔寨、印度尼西亚、老挝、马来西亚、缅甸、菲律宾、新加坡、泰国、越南。东盟地处太平洋、印度洋、大西洋与亚洲大陆之间相联系的地缘控制区，是中国通向世界的国际大通道，也是“一带一路”战略的关键地区。根据公开资料，东盟范围内的网络安全和个人信息保护水平发展不一，其即有拥有全球领先的网络安全建设的新加坡，也存在老挝、柬埔寨、缅甸等尚在进行网络安全基础建设的盟国。在网络安全和数据保护的全球化进程中，东盟急需获得统一的网络安全和数据流动标准，以整体增强东盟网络安全和数据保护水平，获得更多全球竞争优势。鉴此，在个人数据保护和流动方面，东盟做出了一系列努力，直至在今年1月22日发布了《东盟数据管理框架》(DMF)以及《东盟示范合同条款中跨境数据流的部分》(MCC)：

-   2016年，基于2015年《2025年东盟经济共同体蓝图》和《2020年东盟信通技术总体规划》的建议，并在大量吸收亚太经济合作组织(APEC)隐私框架(2015)内容以及其他国际公认的个人数据保护标准或框架基础上，东盟部长会议通过了《东盟个人数据保护框架》（ASEANFramework on Personal Data Protection），确立了一系列原则，指导成员国和区域层面的数据保护实践。东盟数据保护框架旨在推动区域一体化与合作，推动东盟建设安全、可持续、转型升级的数字经济。要实现这一目标，加强个人数据保护，推动东盟成员国之间的数字贸易和信息流动是关键。东盟数据保护框架旨在灵活适应成员国在数据和隐私保护监管方面的不同的成熟度。在成员国层面适用该框架的经济体可以采取适用本国国情的例外措施，并且该框架不具有国内和国际的约束力。

-   2018年，基于2015年《2025年东盟经济共同体蓝图》和《东盟个人数据保护框架》的号召，东盟发布了《东盟数字数据治理框架》（ASEANFramework on Digital Data Governance），该框架规定了战略重点、原则和倡议，以指导东盟成员国在数字经济中对数字数据治理(包括个人和非个人数据)的政策和监管方法。

• 该框架确定了四大战略重点：(1)数据生命周期系统；(2)跨境数据流；(3)数字化和新兴技术；(4)法律、法规和政策。

• 在战略重点之下，该框架提出了四大重要倡议，包括：

-   2019年11月，在老挝人民民主共和国万象举行的第19届东盟贸易部长级会议上通过的《东盟跨境数据流通机制的关键方法》建议东盟重点发展其中两个机制，即东盟示范合同条款和东盟跨境数据流通认证。

基于上述发展背景，2021年1月22日，东盟发布了《数字化总体规划2025》。作为对《东盟数字数据治理框架》四大重要倡议及相关重要文件的回应和落实，第一届东盟数字部长会议批准发布《东盟数据管理框架》(DMF)以及《东盟示范合同条款中跨境数据流的部分》(MCC) ，作为落实区域数字经济和数字贸易的东盟内部的个人数据流动的具体举措，以期促进数据相关的业务运营，减少谈判和合规成本，同时确保跨境数据传输过程中的个人数据保护。有关东盟跨境数据流通认证的细节正在制定，预计将于2021年完成。

东盟认为，DMF和MCC两份文件将：

(1)  指导东盟成员国内企业建立数据管理系统的指南，该系统包括基于在整个数据生命周期中的数据集用途的保障措施和数据治理结构。DMF将有助于提高东盟企业在管理数据方面的知识和能力，并有助于遵从个人数据保护要求，同时使公司能够将数据用于业务增长。

(2)  MCC将作为实施东盟跨境数据流通机制的第一步，以便在东盟成员国之间进行数据传输，而不论相关东盟成员国是否有数据保护法；鼓励东盟成员国推广使用MCC作为私营企业之间区域性数据传输的最低标准。

(3)  帮助东盟企业与其商业伙伴和消费者建立信任、透明和问责的数据保护品牌，满足其外国客户的数据保护标准和法规的要求，并为接受外国公司的新数字机遇做好准备;

(4)  可以向公民保证，采用这些标准的东盟数字经济中企业所持有的个人数据将得到保护，从而增强公民对数字经济的信任和参与;

(5)  DMF和MCC的采用并不要求东盟成员国引入额外的法规或修改现有的法规，是一种灵活的且仅仅作为最低要求的非约束性条款。

我们试图以上下文形式，向读者简要介绍有关《东盟数据管理框架》(DMF)以及《东盟示范合同条款中跨境数据流的部分》(MCC)的简要内容，并向大家分享两份文件的全文译本，以飨读者。

《东盟示范合同条款中跨境数据流的部分》(MCC)

MCCs是一种自愿性标准，旨在为传输个人数据的基本注意事项提供指导。MCCs是东盟公布的数据跨境流动时应当遵守的最低义务的体现，这些义务源自《东盟个人数据保护框架》（ASEANFramework on Personal Data Protection），并在充分考虑东盟现实环境的基础上，与全球最佳实践保持一致，以确保在企业之间传输数据时的问责制和个人数据的安全性。MCCs的主要内容结构均为：定义部分、数据出口商义务部分、数据进口商义务部分，以及商用条款。

具体而言，MCCs区分了两种情形，包括：

-      数据控制者到数据处理者：供数据出口商使用，他们将数据传输给数据进口商，数据进口商是承包商或供应商，在这种关系中也称为“数据处理者”，他们代表传输公司（也被称为 "数据控制者"）处理数据，包括从数据处理者向下游数据处理者（也被称为 "次处理者"）的继续传输。数据处理者的常见例子包括人力资源服务或薪酬管理员、物流或配送公司公司和其他第三方商业服务提供商。

-      数据控制者到数据控制者：当数据出口商将数据传输给数据进口商使用时，数据进口商出于自身目的处理传输的数据，并在收到数据后拥有对数据的完全控制权。

MCCs需要遵守的共同前提：

-      传输各方应遵守所在国规定：一个东盟国家的控制者或处理者只有在提供了适当的保障措施，并且在东盟国家法律要求的情况下，才可以将个人数据传输到另一个东盟国家，条件是为数据主体提供可执行的权利和有效的法律补救措施。此类保障措施可由东盟MCCs下的东盟成员国通过的示范数据保护条例来规定。此外，数据出口商必须根据其所在的各东盟成员国的法律来履行其作为控制者或处理者的一般职责。

-      传输双方之间的基本同等保护：为了提供适当的保障，东盟成员国中双方之间的MCCs应考虑到有必要确保在此基础上传输的个人数据得到与东盟各成员国所保障的基本同等的保护。数据进口商只有在另一个进口商遵守MCCs时，并以其他方式确保保护的连续性或在数据主体同意的基础上，才允许数据进口商向另一个东盟成员国中的进口商进行传输。

-       数据保护基本前提：

• 收集、使用和披露的合法依据：数据出口商保证根据适用的东盟成员国法律收集、使用、披露和传输数据。在没有此类法律的情况下，数据主体已获得通知并在合理及切实可行的情況下同意有关目的。

• 基准数据保护条款：数据进口商将根据《东盟个人数据保护框架》（2016年）中有关收集、通知、用途、准确性、安全保障、访问和更正、传输、保留和责任的基准条款处理数据。

• 数据泄露通知：如果数据进口商发现本合同项下个人数据的任何遗失或未经授权的使用、复制、修改、披露、销毁或访问，应立即或在双方指定的合理时间内通知相关当局和数据出口商，不得无故拖延。（周杨）

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

8. 欧盟《数字市场法》选译之一：解释性备忘录

9. 欧盟《数字市场法》选译之二：序言和条文

10. 欧盟《数字服务法》选译之一：解释性备忘录

11. 欧盟《数字服务法》选译之二：序言

12. 欧盟《数字服务法》选译之三：（实体规则方面的）条文

13. 欧盟《数字服务法》《数字市场法》简评

14. 欧洲法院：欧盟成员国的数据保护机构都可对Facebook提出隐私方面的诉讼
    

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议（全文翻译）

17. 外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器？

围绕着TIKTOK和WECHAT的总统令，本公号发表了以下文章：

1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

2. 理解特朗普禁令中的Transactions

3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

6. 外媒编译 | TikTok 零点时间：最后一刻的交易

7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复
   

美国方面的个人信息保护立法：

1. 美加州消费者隐私法案（CCPA） 修正案汇总中译文（DPO沙龙出品）

2. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

3. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

4. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

5. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

6. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

7. 美国隐私立法 | 加州《CCPA实施条例》全文翻译（DPO社群出品）
   

中国个人信息保护立法系列文章

1. 中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较

2. 中国个人信息保护立法 | 合同所必需：魔鬼在细节之中

第29条工作组/EDPB关于GDPR的指导意见的翻译：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

15. EDPB | 《GDPR下数据控制者及数据处理者概念的指南（07/2020）》全文翻译

16. EDPB | 《针对向社交媒体用户定向服务的指南（第8/2020号）》全文翻译
    

关于美国出口管制制度，本公号发表过系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

5. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”

6. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

7. 美国出口管制 | ARM+美国公司收购=更强的出口管制？

供应链安全文章：

1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕（外媒编译）

3. 供应链安全 | 英国政府推进《电信（安全）法案》以确保供应链安全

人脸识别系列文章：

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）

4. 人脸识别技术的规制框架（PPT+讲稿）

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 人脸识别技术的法律规制研究初探（DPO社群成员观点）
   

7. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

8. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

9. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

10. 解读世界首例警方使用人脸识别技术合法性判决二审判决（DPO社群成员观点）

11. 人脸识别技术研究综述（一）：应用场景

12. 人脸识别技术研究综述（二）：技术缺陷和潜在的偏见

13. 美国人脸识别技术的法律规范研究综述 | 拼凑式（Patchwork）的范式

14. 美国《2020年国家生物识别信息隐私法案》中译文

15. 人脸识别技术是潘多拉盒子还是阿拉丁神灯？