不同国家数据跨境法规解读

目前，针对数据跨境的治理在全球范围内并未形 成统一的规制体系，不同国家和地区主要通过双 边或多边区域性合作实现对数据跨境的协调管理。

一、欧盟数据跨境法规解读

欧盟数据跨境法规规制的出发点在于保障个人数 据主体的数据权利，因此并不禁止数据的跨境流 动，也不强制要求本地化，但对数据接收方的数 据保护水平或保障措施等做出要求，具体而言，数据控制者主要可通过以下三种方式进行个人数 据跨境传输活动：

1. 个人数据可传输至获得欧盟“充分性认定” 的国家或地区，也即“白名单”制度。 该名单由欧盟委员会根据个人信息保护立法状况、 执法能力，是否存在有效的救济机制等做出综合 评估。截至目前，中国尚未获得欧盟“充分性认 定”，国内企业暂时无法通过该等路径进行数据 跨境传输。此外，美国虽未获得充分性认定，但 与欧盟不断就数据跨境磋商并达成双边协定，并 根据《欧美隐私盾协议》（EU-U.S. Privacy Shield）取得类似“白名单”地位，后该协议在 Schrems II案中由欧盟法院宣告无效，但双方于 2022年3月25日就新的《跨大西洋数据隐私框架》 （Trans-Atlantic Data Privacy Framework）达 成原则性一致，欧美数据跨境流动开启了新的可 能性。

2. 针对未获得“充分性认定”的国家和地区， 企业可采取以下任一由欧盟认可的充分保障 措施来进行跨境传输活动： （1）通过公共当局之间有法律约束力和可执行 性的文书。 （2）建立有约束力的公司规则，主要适用于集 团型跨国企业，即集团可以就集团内统一适用的 数据处理机制申请个人数据监管机构认可，获准 后个人数据可以从集团内的一个成员合法传输给 另一个成员。 （3）与数据接收方签署欧盟委员会通过或批准 的标准合同条款，考虑到操作难度、成本等，该 措施实践中为多数企业采纳。此外，2021年6月 4日，欧盟委员会对合同条款进行了更新，自 2022年12月27日起，双方需签署新版合同并根 据要求对境外接收方所在地的法律环境及数据保 护水平进行评估。 （4）遵守行业协会拟定的并经欧盟委员会事先 认可的行为准则。 （5）数据接收方的数据处理流程通过相关认证， 每三年需更新一次。

3. 特定情形下的豁免。 如跨境流动取得了数据主体的明确同意，或该跨 境流动是为了履行与数据主体之间的协议所必需， 为公共利益等，应属例外，该条路径实际适用场 景较少。 值得注意的是，若公司未按照前述要求进行个人 数据传输，则需就相关主体所受损失进行赔偿， 并需缴纳最高达2000万欧元或就一项经营而言其 上一财政年度全球全年营业额的4%（两者以较 高为准）的行政罚款4。

二、美国数据跨境法规解读

美国奉行宽松的数据跨境流动政策，在联邦层面 并未明确对数据跨境流动进行限制；但与欧盟立 法偏重个人数据权利保护不同，美国数据跨境法 规与贸易政策深度绑定，对重要或关键部门或领 域的数据跨境流动进行分散但严格的管控，同时 通过立法赋予国内执法机构对境外数据进行长臂 管辖的权力。

首先，美国针对特殊或关键行业或领域的数据出 境构建了分散但严密的监管体系，例如针对外商 投资领域，美国将涉及关键技术、关键基础设施 或美国公民敏感个人信息的投资或交易纳入国家 安 全 审查 的范 围 ， 由美 国外 资 投资 委员 会 （CFIUS）进行安全审查5，防止外国企业涉足 处理美国公民敏感个人数据的美国企业。又如， 军用或军民两用物项的进出口管控中要求部分关 键技术与特定领域的数据出口传输到位于美国境 外的服务器保存或处理的情形，需要取得商务部 产业与安全局（BIS）出口许可6。同时，针对金 融、医疗、电子通信等其他特殊领域的数据出境， 亦出台相应的监管措施7，从而构建起严密且多 层次的数据主权监管体系。此外，美国亦积极通 过执法开展数据监管，如中国某知名云服务提供 商因被怀疑获取或传输美国数据而被美国商务部 调查等。

其次，美国通过长臂管辖授予本国广泛的数据管 理权力，例如美国可以基于国家安全需要调取境 外存储的数据，并且可调取数据的范围并不限于 美国人的数据，所涉企业也不局限于美国企业或 总部在美国的外国企业。外国企业只要在美国提 供业务并且与美国发生了充分的联系，就可能被 要求提供数据8。因此，中国企业赴美经营需要 更加关注中美贸易政策及其相关合规风险。

3.俄罗斯数据跨境法规解读

由于特殊的历史文化背景和政治经济环境，俄罗 斯数据跨境法规的一个显著特点是更为关注国内 数据安全，对数据跨境流动施行严格管控，提出 了数据本地化的监管策略，但这并不意味着俄罗 斯禁止数据的跨境流动，在满足特定条件的情况 下，数据处理者可以将个人数据传输至境外。

具体而言，俄罗斯数据本地化的要求是指相关公 司均需在俄罗斯境内的服务器上存储和处理俄罗 斯公民的个人信息，并将境内服务位置告知联邦 通 信 、 信息技术和大众媒体监管局 （Roskomnadzor，以下简称“联邦监管局”）9， 受监管主体包括俄罗斯实体、在俄罗斯有官方代 表和分支机构的外国实体，以及在俄罗斯没有官 方机构但针对俄罗斯消费者开展业务的外国实体。 此外，通常情况下，个人数据处理者向境外传输 个人数据有以下两条路径：

1. 个人数据可传输至获得“充分性认定”的国 家或地区（中国于2022年被列入白名单第二 组）。但自2023年3月1日起，个人数据处理 者需就跨境意图提前通知联邦监管局，联邦 监管局有权限制或禁止其向进行境外传输10。

2. 若个人数据传输至未获“充分性认定”的国 家或地区，则个人数据处理者需取得联邦监 管局申请许可，该种路径下，个人数据处理 者和境外接收方都承担更重的合规义务。另 一方面，俄罗斯数据执法力度相较而言较轻， 其数据存储本土化规则自2015年9月开始实 施以来，联邦监管局检查发现的违规企业数 量较少，但依据2019年行政罚款规定，对于 违反数据本地化要求的运营者，最高将处以 1800万卢布的罚款。