- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-22 23:39:44 浏览次数：次

国际数据传输标准合同条款

国际数据传输是全球数字经济的命脉，也是企业数据合规中最复杂的环节之一。标准合同条款是企业进行跨境数据传输时使用最为广泛的合规工具之一。SCC通过合同机制解决数据输出方和接收方之间的数据保护责任分配问题，为数据主体提供不低于输出国法律保护标准的保障。

标准合同条款的概念最早由欧盟数据保护机构提出，并在欧盟GDPR框架下得到系统化发展。2021年6月，欧盟委员会发布了新版SCC，取代了2010年旧版。新版SCC在结构、适用范围和灵活性方面均有重大变化。其模块化设计使得SCC的功能不仅覆盖传统的控制者到控制者和控制者到处理者场景，还扩展至处理者到处理者、处理者到控制者以及多角色参与的场景。

SCC的模块结构是其2021年版的核心创新。模块一用于控制者向控制者的传输，双方均为数据控制者。模块二用于控制者向处理者的传输。模块三用于处理者向处理者的传输，即数据处理者之间进行数据传输。模块四用于处理者向控制者的传输。每个模块包含不同的条款和保证义务，以适应不同数据传输场景的法律关系和风险分配。

SCC的主要内容覆盖数据传输全链条。条款明确了各方的定义、角色认定和法律责任分配。数据输出方和接收方需共同向数据主体保证提供不低于GDPR标准的保护。条款要求双方实施适当的技术和组织安全措施，包括加密、假名化、访问控制和数据最小化。泄密通知义务要求接收方在发现数据泄露后及时通知输出方，输出方进而通知数据主体和监管机构。数据主体作为第三方受益人享有直接向数据传输方索赔的权利。在数据接收方违反SCC的情况下，数据主体可要求赔偿损失。

SCC的补充措施要求在特定情形下具有强制性。2021年版SCC明确要求数据输出方和接收方在数据传输前评估接收方国家法律环境。如果接收方国家法律可能影响SCC保护效果，输出方和接收方需考虑采取补充措施。这些措施包括但不限于技术层面的端到端加密，组织层面的数据最小化传输，合同层面的额外保证条款以及透明度措施，如透明公开和定期审计。Schrems II判决后，补充措施要求被强化，数据输出方需对每一数据传输进行个案评估。

SCC的填写和签署过程涉及多个环节。输出方需根据数据传输具体情况选择适合的模块组合，填写各方身份信息和角色认定，描述数据传输的具体内容、目的、数据类别、数据主体类别和保留期限，选择适用的法律基础并记录在附录中。SCC的附录部分具有关键的法律效力，包括各方名单和数据传输描述、技术和组织安全措施详细描述以及子处理者名单。SCC双方签署完成后即产生合同约束力。

SCC与其他跨境传输机制的关系是企业需要整体把握的问题。充分性认定是SCC的替代机制，当接收方国家被欧盟认定为具有充分数据保护水平时，无需使用SCC即可接收传输。有约束力的公司规则适用于全球同一企业集团内部的数据传输，如总部与子公司之间的数据共享。批准的行业行为准则和认证机制也被认可为合法传输工具。SCC适用于未被充分性认定覆盖的接收方国家，是适用范围最广的传输机制。

SCC在英国脱欧后的适用出现了新的变化。英国从欧盟独立后，原有欧盟SCC在英国境内不再直接适用。英国信息专员办公室发布了英国版本的SCC，用于从英国向境外传输个人数据。英国SCC与欧盟SCC在结构上存在差异，但功能和保护水平相当。跨国企业如果同时从欧盟和英国传输数据，可能需要同时签署欧盟SCC和英国SCC两套合同。2024年后，英国还发布了新的国际数据传输协议，作为SCC的替代选项。

非欧盟国家的类似SCC机制正在全球范围内发展。新加坡PDPA要求企业在跨境传输数据时，确保接收方提供与PDPA相当的保护标准，SCC是实现该要求的主要工具。巴西LGPD明确将标准合同条款列为企业合法跨境传输数据的路径之一。韩国PIPA 2023年修订后调整了跨境传输制度，合同条款仍在合规框架中占有重要位置。中国个人信息保护法要求向境外提供个人信息的个人信息处理者与境外接收方订立合同，确立双方的权利义务，国家网信办发布了标准合同条款范本。

SCC的管理是持续性的企业合规义务。企业需建立完整的数据传输登记册，记录每一笔基于SCC的数据传输活动，内容包括传输双方、数据类型、传输目的、选择的模块、补充措施以及合同签署日期。企业需定期审查SCC覆盖的数据传输是否仍然适用。当控制者与处理者之间的SCC关系发生变更时，需更新合同内容。监管机构可随时要求企业提供数据传输记录。

SCC的生效、修改和终止条款需符合商业和法律实践。新版SCC允许双方根据需要增加子处理者，并通过更新附录实现。SCC在双方签署后即生效，除非双方另有约定，否则有效期与数据传输关系的存续期一致。一方在另一方严重违反SCC义务时有权终止SCC。SCC终止后，接收方需在数据输出方指示下删除或返还个人数据。服务期限届满或SCC终止后的数据处理需在合同终止条款中做出安排。

北京企密安提供SCC合规与落地服务。服务内容包括数据传输场景识别与角色认定、模块选择与条款填写、技术与组织措施评估、接收方国家法律环境分析、补充措施方案设计以及SCC签署与登记管理。如需具体方案，欢迎联系北京企密安：010-63711822，或访问baomiwang.com了解详情。

FAQ

问：2021年版欧盟SCC的主要变化是什么？答：主要变化包括模块化设计覆盖四个传输场景、明确补充措施要求以应对Schrems II判决、强化数据主体第三方受益人权利以及将模块作为附录形式纳入与数据处理协议的整合。

问：SCC是否适用于所有国家之间的数据传输？答：SCC适用于从欧盟或适用GDPR的国家向未被充分性认定覆盖的第三国传输个人数据。但SCC本身不适用于第三国之间的数据传输。不同国家可制定自己的标准合同条款用于传输。