数据处理协议审查要点

来源 / 威科先行法律信息库

大数据时代，数据对于企业的商业价值不言而喻。许多企业为了更高效地开发和使用数据，往往将数据处理业务，如数据收集、分析、管理、储存等，外包给数据服务商。企业有权决定数据处理的目的、方式等，是数据控制者（controller）[1]；而数据服务商则代表企业、根据企业指示处理相关数据，是数据处理者（processor）[2]。企业作为数据控制者，承担着更大的合规义务和风险，在面对2018年5月正式实施的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》（简称“《个人信息安全规范》”）和欧盟《通用数据保护条例》（General Data Protection Regulation，简称“GDPR”）时，如何管理数据处理服务也成为企业特别关心的问题之一，而第一步就是订立数据处理协议（Data Processing Agreement）。本文所称“数据处理协议”（Data Processing Agreement）专指企业与专业数据服务商，或者说数据控制者与数据处理者之间的协议，一般是主合同数据服务协议（Data Service Agreement）的从合同，它针对数据服务中关于数据处理的特别事项进行详细约定。

本文将从律师实务角度介绍和说明此类数据处理协议的审查要点。

1. 明确数据处理协议的法律适用和限制数据处理的范围

各个国家对于数据或个人信息的立法背景大相径庭，欧盟法起源于人权保护，美国法着眼市场调整，中国法则更加关注国家安全，依此制定的法律规定也存在诸多明显区别。因此，约定适用什么法律很有必要，不同的约定也会对数据处理协议的履行效果产生不同影响。实践中有部分中国企业委托境外数据服务商（或者其境内现地法人实体）处理数据，而这些境外数据服务商有可能在欧洲亦有实体机构，因此可能出于其集团内部的统一合规要求而提出在与中国企业的数据处理协议中约定适用GDPR。但是实际服务涉及数据的范围如果仅限于中国公民、居民的个人信息，处理地又在中国境内，理应适用中国法律。因此这样的约定不仅无法有效约束数据处理者，反而还使中国企业增加了本不应承担的GDPR合规风险，应当避免。建议数据处理协议双方依据协议履行的现实情况明确、恰当地选定适用法律。

在约定适用法律之外，数据处理协议还应当明确限制数据处理的范围，不得超出个人信息主体授权同意的范围[3]。建议详细、具体地列明数据的类型、数据主体的类型和数据处理的目的等，进一步限制数据处理者不得在约定范围之外处理数据。如果需要列明的内容较多，可以采用附录形式。

2. 设置安全性条款

数据安全是否合规也是数据处理活动中要重点关注的问题。审查数据处理协议时应当注意服务商是否具备相应的数据安全能力，是否承诺将综合考虑现有技术、成本、数据性质、处理范围、处理目的等因素采取对应的、合理的安全措施。如有，协议中是否列明这些安全措施，例如：数据加密；确保数据处理系统和服务的保密性、完整性、有效性；确保发生数据安全事件时能够复原有关数据；防止非授权访问、读取、复制、修改、删除数据；确保数据转移、传输过程中无法被读取、复制、修改、删除；确保能够核查数据何时被何人读取、修改、删除等；确保严格依照控制者的指示处理数据；定期检测、评估安全措施的有效性；持续性更新安全措施等。同样，双方可以约定具体的数据安全措施，列明在附录中。此外，还可以关注服务商是否有书面安全政策，以确保上述安全措施的施行。

3. 约定控制者有权审计及审计方式

为确保服务商依照服务协议和数据处理协议履行义务，建议在数据处理协议中约定企业有权审计(audit)服务商数据处理活动[4]，例如审计安全措施的有效性。在此基础上，应当细化审计的方式。时间方面，应当约定审计是定期的或者也可以不定期；还可以约定频度，比如一年至多一次。审核主体方面，应当约定是否只能由企业进行审核，还是企业有权委托第三方进行审核；委托的第三方是否需要双方共同选定，还是企业单方有权指派；服务商是否有权因第三方是竞争对手等原因拒绝该第三方进行审计。流程方面，可以约定审核前控制者应当提前几日通知，并提供审核方案以便服务商配合。内容方面，双方可以在数据处理协议中先否定性约定不得审核的内容，例如商业秘密，还可以约定在每次审核前共同商议审核范围、期限、方式等。费用方面，应当约定审核费用由哪方承担或以何种比例共同承担。

4. 确定服务商的通知与协助义务

数据处理活动中可能面对不同的事件，应当在数据处理协议中分别明确服务商的通知与协助义务。如果发生数据安全事件，例如未经授权或意外登录系统；非授权处理、删除、丢失数据，违反保密条款、安全性条款等，服务商应当及时通知企业的义务。可以要求服务商制定数据安全事件应急预案，并在协议中承诺按照制定的应急预案处置。服务商还有协助企业上报监管机关、通知受影响的主体的义务。此外，数据处理活动中还可能面对数据主体要求行使权利的投诉或请求，司法或行政机关要求调查、查询、查封等。同样的，服务商应承担及时通知的义务，还应积极协助企业处理收到的请求或要求，比如提供有关数据和处理记录等。服务商的上述义务应当在数据处理协议中确定。[5]

5. 限制数据出境

欧盟法和中国法均对数据出境作出限制。GDPR规定仅在符合第五章规定的情况下可以向欧盟以外的国家或国际组织传输个人数据，包括三个层次：第一，充分性决定（adequacy decision）[6]；第二，合理保护措施（appropriate safeguards）,包括约束性公司规则（binding corporate rules）、标准合同条款（standard contractual clauses）等；第三，豁免（derogation），包括数据主体明示同意、公共利益等。[7]《网络安全法》第37条则要求个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当进行安全评估。因此，数据处理协议中应当按照适用法律的要求限制数据出境。一方面，协议应约定数据处理的地点，未经不得在约定范围以外的地点处理数据。类似“控制者确认并同意处理者可以在任何国家存储和处理客户个人数据”的表述可能不妥。另一方面，数据确需出境时应明确各方义务，例如按照GDPR可以要求欧盟域外接收者签署欧盟委员会采纳的标准合同条款[8]，或在中国法下要求数据出境前进行安全评估[9]。

6. 明确分处理者使用规则

数据处理服务外包关系有时不会仅限于两家公司之间，还可能存在总承包商和分包商（也即分处理者，sub-processor）的供应链。虽然分包是一种常见做法，但数据越多地向外流传风险固然也越高。企业作为控制者应当衡量协议涉及数据的性质、敏感程度、处理需求等，在数据处理协议中明确分处理者的使用规则。除了预先在协议中统一同意或不同意使用分处理者外，企业固然可以有限度地授权服务商使用分处理者，并在协议中约定使用规则。可以约定服务商计划使用分处理者之前通知企业，只有在取得企业书面授权同意后才可使用分处理者；或者约定服务商可以使用分处理者，但在一定时间内企业有权否决。[10]如果在订立数据处理协议时已经有使用分处理者的计划，也可以以附录形式列出控制者同意使用的分处理者名单，并限制分处理者处理数据的目的和范围。

如果使用分处理者，对服务商和分处理者的相应义务应当在数据处理协议中约定清楚。服务商应当确保分处理者履行与服务商在协议项下相同程度的数据保护义务，并监督其处理活动的合规性；数据处理协议中对数据出境的规定也适用于分处理者。即使企业授权同意使用分处理者，服务商也应当对分处理者的违约向控制者承担责任。此外，还可以约定企业是否有权要求服务商对分处理者的活动进行审计。

7. 约定删除、销毁或归还数据条款

在数据服务协议期限届满后，企业有权要求服务商删除、销毁或归还有关数据。数据处理协议中应当约定服务商在何时删除、销毁或归还有关数据，可以在接到控制者的书面指示之后、在服务目的达成之后或者其他条件下。 数据服务协议还可以约定在合同履行过程中企业是否有权提出上述要求。服务商应当依照企业指示，通知并确保其他持有相关数据的分处理者删除、销毁或归还有关数据。此外，就删除、销毁或归还产生的费用负担，双方也可以在数据处理协议中约定。

8. 其他

除上述要点之外，还可以审查数据处理协议中是否有：

（1）保密条款（约定服务商及其员工应当对处理的数据保密等）；

（2）责任条款（约定企业与服务商之间的责任负担、免责或赔偿等）；

（3）指示条款（约定主合同的数据处理指示是否穷尽，新指示以何种方式下达等）等。

结语

数据控制者在取得用户的事先授权同意之后，可以在用户已经同意的数据处理目的范围内委托数据处理者处理数据，一般情况下无需再次取得用户同意。因此，数据处理协议，作为约束数据控制者和数据处理者行为的法律文件，其订立需要特别谨慎。订立一个良好的数据处理协议是企业成功管理数据处理活动的基石，也是展示其数据合规的证据之一。企业可以参考上述审查要点，结合自身实践的具体情况与数据服务商订立数据处理协议。

（作者：冯坚坚竞天公诚律师事务所合伙人 胡科竞天公诚律师事务所合伙人蒋昕妍竞天公诚律师事务所律师）

注释：

1. GDPR第4(7)条；《个人信息安全规范》第3.4条。

2. GDPR第4(8)条。

3.《个人信息安全规范》第8.1（a）条。

4.《个人信息安全规范》第10.5条；GDPR第28.1（h）条。

5. GDPR第28.1条。

6. 欧盟委员会认定下列国家或地区具有与欧盟相同水平的数据保护要求，可以向其传输数据：安道尔、阿根廷、加拿大（部分）、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、美国（部分）、乌拉圭。

7. GDPR第 44-50条。

8. 欧盟委员会示范标准合同条款，https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

9. 《个人信息和重要数据出境安全评估办法（征求意见稿）》，http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

10. GDPR第28.1(h)条。