|
引言 随着数字经济的发展,数据跨境流动已成为企业运营和国际合作的常态。然而,数据“走出去”所引发的个人信息保护和国家安全问题备受各国立法关注。在中国大陆,近年相继出台了《中华人民共和国个人信息保护法》(下称“个保法”)和《中华人民共和国数据安全法》(下称“数据安全法”),对数据出境活动设立了明确的合规要求。对于企业法务、合规及数据安全管理人员而言,如何在保障业务全球化的同时遵循不同法域的数据跨境法规,防范法律风险,已成为一项重大挑战。本文由上海锦天城(重庆)律师事务所高级合伙人李章虎律师及团队撰写,将在中国法律体系基础上,系统梳理数据跨境传输的定义、适用情形、合法合规路径(如安全评估、标准合同、认证机制)、实施流程和常见误区风险,并对比分析欧盟《通用数据保护条例》(GDPR)与美国《加州消费者隐私法案》(CCPA)等域外规则的差异。通过理论与实务相结合的阐述,旨在为企业提供一份兼具深度与实用性的跨境数据合规指引。 一、数据跨境传输的定义与适用范围1. 概念界定:所谓“数据跨境传输”,一般是指将数据从中国大陆境内提供或传输至境外,包括将境内收集或产生的数据向境外的接收方提供,或者允许境外的机构、个人远程访问、调取中国境内的数据。在法律上,个人信息跨境提供是个人信息出境的重要形式,而非个人信息的重要数据跨境传输也在监管之列。例如,企业将中国用户的个人信息存储在海外服务器,或将境内数据库开放给境外母公司访问,都属于数据出境行为,需要评估相应的法律义务。 2. 法律依据:中国关于数据跨境的监管框架主要来源于三部法律法规及其配套规定:(1)《网络安全法》最早对关键信息基础设施运营者的个人信息和重要数据出境提出了审核要求;(2)《数据安全法》确立了数据分类分级保护制度,对重要数据出境、安全评估以及向境外司法执法提供数据等作出了原则性规定;(3)《个人信息保护法》专章规定了个人信息出境的合规要求和数据本地化情形。根据个保法第38条,向境外提供中国境内的个人信息,需满足法律规定的条件,包括通过国家网信部门组织的安全评估、取得个人信息保护认证、与境外接收方签署标准合同,或者符合法律、行政法规或国家网信部门规定的其他条件。此外,如果我国缔结或参加的国际条约、协定对个人信息出境有条件规定的,可以按照其规定执行。这构成了中国个人信息出境的“两类四种”合法路径。 3. 适用范围:需要注意的是,中国法律下的数据跨境传输监管主要聚焦于两类数据:一是涉及自然人身份识别的个人信息,二是关系国家安全、经济命脉、公共利益等的重要数据。个人信息出境主要受个保法及其配套规章约束;重要数据出境则依据数据安全法及相关规定进行安全评估管理。在实践中,判断某项数据是否属于“重要数据”通常依据行业主管部门制定的重要数据目录。一般而言,涉及大规模人口信息、关键基础设施运行数据、敏感地理环境数据等可能被认定为重要数据,需要严格管控。个人信息方面,无论数据量多少,只要将中国境内的个人信息提供给境外接收方(包括总部、合作伙伴等),均构成“个人信息出境”,触发个保法相关条款。此外,根据数据安全法第36条,境内的组织或个人未经中国有关主管机关批准,不得向外国的司法或执法机构提供存储于境内的数据。这一规定体现了对司法主权的维护,也意味着企业如果收到境外执法调查要求提供国内数据,需通过中国主管部门批准的渠道办理,否则将面临法律责任。 需要说明的是,数据的跨境判定以实际控制和访问为准,并非仅指物理存储地点的转移。例如,即使数据仍存储在境内服务器,但如果被境外主体远程调取查看,这种“域外访问”模式同样被视作数据出境,应当遵守相关合规要求。近期监管动向也表明,对非境内收集产生的数据适用区别原则:根据国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》,不属于在境内收集产生的个人信息向境外提供的,可不适用安全评估、标准合同、认证等出境管理要求。这一拟议规则意味着,如果一家外国公司在境外直接从用户获得个人信息,尽管该用户可能是中国公民,但只要数据未在境内收集,则不视为“中国境内数据出境”。虽然该规定尚未正式生效,但从中可看出我国在明确数据跨境适用边界、避免不必要管制方面的努力。 综上,李章虎律师认为,“数据跨境传输”的内涵在中国法律下主要指向境内数据向境外的提供与输出行为,包括个人信息和重要数据两大类别。企业需首先判断自身处理的数据类型及流向,以明确是否落入跨境监管的范围,从而采取适当的合规措施。 二、数据跨境传输的触发条件与监管要求1. 个人信息出境的触发情形:按照个保法的规定,只要存在将中国境内的个人信息提供给境外接收方的行为,即触发个人信息出境的合规义务。在实践中,这包括多种情形,例如:将境内客户或员工的个人信息发送至境外总部/分支机构,使用跨境云服务商储存个人数据,或者让境外的第三方服务提供商远程访问国内含有个人信息的数据库等。一旦发生上述情形,个人信息处理者就必须依据个保法第38条选择一条合法路径来实施出境(详见下节)。值得注意的是,根据个保法第39条,个人信息处理者在向境外提供个人信息前,应当告知个人境外接收方的名称、联系方式、处理目的和方式、个人信息类别以及个人在其中的权利,并取得个人的单独同意(法律、行政法规另有规定或者符合个保法第13条其他情形的除外)。因此,用户的知情同意也是个人信息出境的前提之一,但需要强调,个人同意并不替代监管要求——即使获得了用户同意,仍需依据法律规定通过评估、合同、认证等方式合法出境,切勿误以为有了用户授权就可任意对外传输数据。 2. 重要数据出境的触发情形:数据安全法对重要数据的出境同样提出要求。一般而言,如果企业掌握的数据被归类为重要数据,那么在向境外提供该等数据之前需要经过安全评估或相关主管部门批准。这在数据安全法第31条等条款中有所体现,并在后述的《数据出境安全评估办法》中得到细化。具体来说,凡涉及国家核心数据(如国家安全、经济命脉、重大公共利益相关的数据)原则上禁止出境或需特殊审批;其他列入各行业重要数据目录的数据,企业在对外提供时应履行事前评估和报告义务,确保不会危害国家安全或公共利益。相比个人信息,重要数据的范围和判定更具不确定性,需要企业密切关注行业监管部门的指引。例如,一家汽车公司如果收集了涉及地图测绘、高精度定位的数据,这类可能被认定为重要数据,出境前就应当向网信部门申报安全评估。 3. 特定主体和规模情形:中国监管对数据出境设置了一些量化和主体触发条件,主要针对个人信息处理者:如果达到特定规模或特殊身份,其个人信息出境将触发更严格的要求。具体包括: 关键信息基础设施运营者(CIIO)向境外提供个人信息的,无论数量多少,都必须申报安全评估。这源自网络安全法和个保法对CIIO数据本地化和出境监管的要求,旨在防范关键领域数据外泄的风险。 处理个人信息达到100万人以上的数据处理者向境外提供个人信息的,必须申报安全评估。此即通常所说的“百万人条款”,也是个保法第40条规定的数据本地化要求之一。如果某企业处理中国境内用户数据规模巨大(超过百万人),即使未被认定为CIIO,法律上也要求其将个人信息存储在境内,确需出境时通过国家网信部门的安全评估。 跨境提供个人信息的累积数量达到一定门槛的,同样需要申报安全评估。根据《数据出境安全评估办法》第四条,自上年1月1日起累计向境外提供10万人的个人信息,或者1万人的敏感个人信息,即触发强制安全评估。换言之,即便企业总体用户不满百万,但如果在过去一年里对外提供的数据量达到上述阈值,也需走安全评估路径。这一门槛设置相对较低,体现了监管对频繁数据外传行为的严格管控。 上述条件一旦满足,安全评估路径就成为法定要求,企业不得以签署标准合同或其他方式替代。对此,《个人信息出境标准合同办法》第4条也特别强调:个人信息处理者不得通过拆分数据量等手段,企图以签订标准合同替代本应申报安全评估的情形。因此,李章虎律师认为,企业应如实判断自身情况,切勿抱有侥幸心理试图规避监管。 4. 豁免与例外情形:虽然中国现行法律未在明文中设置如GDPR第49条那样的跨境传输例外条款,但从最新政策动向看,未来可能引入有限的豁免情形。例如,上述《规范和促进数据跨境流动规定(征求意见稿)》提出,对于订立或履行个人作为一方当事人合同必须提供个人信息(如跨境购物物流、签证办理)、跨境人力资源管理必须提供员工信息、紧急情况下为保护人身安全等场景,允许不经评估、合同或认证即进行跨境提供。同时,征求意见稿还建议,对一年内向境外提供不满1万人的个人信息不作强制评估或合同要求。这些拟议条款实际上与国际通行做法(如GDPR的特定例外)接轨,体现出监管在安全与发展之间的平衡考量。尽管目前这些豁免尚未正式生效,企业仍应以现行规定为准严格履行合规义务,但对于上述特殊急需场景,也可关注未来政策调整并提前规划应对预案。 总之,一旦企业的数据跨境传输行为触发了法律所规定的情形(无论是主体资格、数据性质还是数量门槛),都必须按照相应要求采取合规措施。这既是法律义务,也是维护数据安全、降低风险的必要举措。 三、数据跨境传输的合规路径选择针对不同的数据类型和触发条件,中国法律提供了多种合规路径。企业应根据自身情况选择适当的路径,以符合法律要求。个保法第38条明确了个人信息出境的三种主要路径(再加上国际条约/协定的适用):安全评估、标准合同和个人信息保护认证。以下分别介绍各路径的适用情形和特点,并讨论如何选择: (1)国家网信部门组织的安全评估路径:安全评估是最严格的出境数据审查形式,适用于上一节提到的重点情形,包括CIIO、大规模个人信息处理者,以及超过指定数量门槛的数据出境等。在安全评估路径下,企业需要向监管机关提交申请并通过官方审查后方可对外提供数据。根据《数据出境安全评估办法》,安全评估采取“企业自评估 + 官方评估”相结合的方式: 企业风险自评估:在申报安全评估前,数据处理者应先行开展数据出境风险自评估,并形成报告。评估内容包括:出境数据及境外接收方处理数据的目的、范围、必要性;出境数据的规模、种类、敏感程度,出境可能带来的国家安全/公共利益/个人权益风险;境外接收方所处国家地区的数据保护政策和网络安全环境对出境安全的影响;境外接收方履行数据安全义务的能力和措施;拟订立的法律文件是否充分约定了数据安全责任义务等。这一自评估过程类似于GDPR下的数据保护影响评估(DPIA),目的是促使企业充分识别跨境传输的风险点并落实缓解措施。 提交评估申请:企业自评估后,应准备好申报材料,通过所在地省级网信部门转报国家网信办进行评估。申报材料一般包括:数据出境安全评估申报表、自评估报告、企业与境外接收方拟签订的合同或法律文件,以及其他必要材料。省网信办收到材料5个工作日内先行审核完整性,再报送国家网信办;国家网信办收到材料7个工作日内决定是否受理。整体流程具有严格的时限要求。 官方评估内容及期限:国家网信办牵头会同有关部门,对申报的跨境数据传输可能带来的安全风险进行评估,重点关注:数据出境目的的正当性,境外法律环境是否对数据安全有不利影响,出境数据规模及敏感性,数据在出境后是否能得到充分保护等。评估还会审查双方签署的合同义务是否健全,以及申请人遵守中国法律法规情况。评估应当在45个工作日内完成,复杂情形可适当延长。评估结果将以书面形式通知申请企业。 评估结果效力:通过安全评估后,结果有效期为2年。在有效期内,如出境目的、数据类型或境外接收方发生重大变化,或境外法律环境变化导致风险增加,企业需要重新申报评估。有效期届满若需继续出境的,应提前60天重新申请。国家网信办也可在发现已通过评估的活动不再符合安全要求时,通知企业终止数据出境。可见,安全评估并非一劳永逸,企业需持续监控和管理出境数据的安全状况。 安全评估路径体现了政府主导的事前审批和持续监管。对企业而言,李章虎律师认为,这一流程耗时长、要求高,适用对象也多为涉及重大敏感数据的情形。但通过安全评估往往意味着较高的合规确定性。企业如属于必须评估的范围,应及早启动准备,包括完善内部数据治理、与接收方协商合同、安全措施等,以提高评估通过率。 (2)个人信息出境标准合同路径:标准合同是中国借鉴国际经验所推出的一种合同自律+备案监管模式,类似于欧盟GDPR下的标准合同条款(Standard Contractual Clauses, SCCs)机制。依据《个人信息出境标准合同办法》(国家网信办令第13号),通过签署标准合同向境外提供个人信息时,需同时满足以下适用条件: 非关键信息基础设施运营者; 处理个人信息的数量低于100万人; 自上年1月1日起累计向境外提供个人信息少于10万人; 自上年1月1日起累计向境外提供敏感个人信息少于1万人。 只有同时符合上述四项条件的个人信息处理者,才能采用标准合同方式合规出境。换言之,对于中小规模的数据处理者,标准合同提供了一条相对快捷、成本较低的路径;但一旦超出规模或主体限制,则需转而选择安全评估或认证途径。值得注意的是,正如前文提及,企业不可通过拆分数据等方式人为规避上述门槛,否则将被视为违规。 标准合同路径的具体要求包括: 签署合同及合同内容:企业须使用监管部门提供的标准合同范本文本作为基础,不得对其中核心条款做实质修改。该范本合同涵盖了出境个人信息双方的权利义务,如数据出境的目的和方式、境外保存地点和期限、接收方再转移限制、双方安全保障措施、个人权利救济途径等内容。双方可以在范本的附录中就未尽事项进行约定,但不得与范本条款相冲突。实际上,这类似民商事领域的格式合同,一部分条款已被预先设定以确保符合中国法律的个人信息保护标准。 开展出境影响评估:在合同签署之前,个人信息处理者需进行个人信息保护影响评估(PIA),并出具评估报告。评估重点包括:出境目的、数据范围和必要性,出境数据规模和敏感程度、可能给个人权益带来的风险,境外接收方所承担义务及其安全能力,出境后数据被篡改、泄露等风险及救济渠道,以及境外所在国法律政策对履行标准合同的影响等。这一要求确保企业在签约前充分考虑潜在风险,并针对性地在合同和技术措施中作出安排。 备案义务:标准合同签署生效后10个工作日内,个人信息处理者应向所在地省级网信部门提交备案材料。备案材料主要是已签署的标准合同文本和前述影响评估报告。备案并非审批性质,监管部门一般不对每份合同逐一批复同意,但承担备案的不实检查、抽查等监督职责。企业需对备案材料的真实性负责,如未备案或提供虚假材料可能被追究法律责任。 变更与更新:如果标准合同有效期内,出境活动的性质发生重大变化(例如目的、数据类型或敏感程度改变,境外法律环境变化影响个人权益等),企业应重新进行影响评估,必要时补充或重签合同,并履行新的备案。这保证了合同约定能随情势调整而保持有效保护。 总体而言,李章虎律师认为,标准合同路径操作性强,企业自主性高,适合大多数未达到安全评估门槛的跨境个人信息传输情形。其优势在于企业可依据范本迅速展开合规安排,不需要等待监管审批,较大程度降低了时间和成本。也有观点认为这一模式与GDPR的SCC机制相衔接,方便跨国企业一并考虑中欧条款协调。不过,企业仍需注意严格按照范本要求订立合同、完整履行评估和备案义务,以免因形式瑕疵导致合规失败。 (3)个人信息保护认证路径:认证是个保法第38条列明的第三种数据出境合规方式,即通过由专业机构进行的个人信息保护认证来证明数据跨境处理符合要求。这一路径在立法上确立后,近两年逐步得到完善。2022年11月,中国国家认证认可监督管理委员会(CNCA)和国家网信办联合发布了《关于实施个人信息保护认证的公告》,推出了首批个人信息保护认证制度和实施规则。据此,一些企业(特别是跨国公司)开始尝试通过第三方认证的方式来证明其跨境数据活动符合法律要求。然而,由于当时缺乏针对“个人信息出境认证”的具体指引,实践推进相对缓慢。直到2025年1月,国家网信办公布了《个人信息出境个人信息保护认证办法(征求意见稿)》,为这一合规路径提供了更明确的指引。 根据最新动向,个人信息出境认证的适用范围与标准合同基本重合:同样要求非CIIO,且数据出境规模在一定限度内。征求意见稿拟规定,认证适用于同时符合“非关基”和“一年内累计向境外提供个人信息10万人以上、不满100万人,或者敏感个人信息不满1万人的”出境活动。也就是说,对于那些数据量中等偏上(超过标准合同10万人的上限但低于100万)的企业,认证提供了一个可能选项,弥补了此前此类企业只能走繁琐安全评估的困境。当然,最终规则尚未落地,实际操作中仍需关注正式发布内容。 与标准合同侧重于对具体出境交易的约束不同,认证更关注企业整体的数据保护体系是否达标。根据已发布的认证实施规则及推荐性标准(如GB/T 35273《个人信息安全规范》、TC260《个人信息跨境处理活动安全认证规范》等),通过认证路径一般涉及以下要点: 企业需建立完善的个人信息保护体系,涵盖组织架构、制度流程、安全技术措施、跨境数据管理政策等方面,并在境内外接收方之间签署具有法律约束力的文件(如企业内部的数据跨境处理政策/BCR之类),明确双方责任义务。 由认可的第三方认证机构对企业展开评审,包括文件审核和现场检查,验证其在个人信息出境方面的措施是否满足中国法律和标准要求。 认证机构出具评估报告,对符合要求的予以认证证书。认证证书需定期监督审核,确保企业持续合规。一旦企业无法持续符合标准,认证可能被撤销,相应的数据出境行为也需中止或改走其他路径。 目前,个人信息保护认证在国内仍属新生事物,市场上获得该认证的案例不多。但随着制度的完善,其优势将逐渐显现:例如,对于大型跨国公司内部频繁的数据传输,通过一次认证即可涵盖长期稳定的传输活动,而无需对每次传输单独备案;又如,认证结果可以作为企业隐私合规水平的背书,提升合作伙伴和公众的信任度。当然,认证过程专业性强、周期长且费用较高,企业应根据自身跨境数据规模和资源投入能力来决定是否选择该路径。 (4)国际条约/协定路径:如前所述,个保法第38条还提及,如果我国缔结或者参加的国际条约、协定对个人信息跨境提供的条件有规定的,可以按照其规定执行。这相当于为未来的国际合作机制预留了空间。举例来说,若中外之间签订了双边协议,互相承认对方的数据保护制度达到一定水准,那么企业依据该协议可能即可跨境传输相关数据,而不必逐一走评估或签合同。目前,中国尚未与其他国家达成类似欧盟“充分性决定”那样的数据保护协议。不过,中国已于2021年申请加入《数字经济伙伴关系协定》(DEPA),也积极参与亚太经合组织(APEC)跨境隐私规则体系(CBPR)的讨论。这些举措显示出中国寻求国际规则对接的意愿。假以时日,若出现被中国认可的数据充分性安排或多边框架,企业将迎来更加便捷的合规路径。但在此之前,仍需依照国内现行法律履行各项义务。 综合而言,李章虎律师认为,我国的数据跨境合规体系提供了多元路径供企业选择。在满足监管底线要求的前提下,企业可以根据自身性质和数据特征采用最适宜的方式:对于敏感度高、规模大的数据,安全评估虽严但稳妥;对于一般性个人信息,标准合同简便易行;对于跨国经营且有实力打造全面合规体系的,可尝试认证机制。同时保持对国际规则的关注,及时调整策略。一旦选定路径,企业还应确保内部流程同步匹配,例如获取用户同意、制定跨境数据管理制度、培训相关人员等,形成端到端的合规闭环。 四、数据跨境传输合规的实务流程指引在明确法律要求和路径后,企业需要将合规要求落地到实际操作。以下提供一套典型的数据出境合规工作流程,帮助企业有序开展: 1. 内部数据审计与分类:首先,企业应对自身所处理的数据进行全面盘点和分类。这包括明确哪些数据涉及个人信息、是否包含敏感个人信息,以及哪些可能属于重要数据。同时,梳理数据流向,列出目前或计划中的跨境数据传输场景。例如,人力资源信息传回海外总部、用户订单数据交付境外服务商分析等。通过这一审计,确定本企业涉外数据清单。 2. 评估触发条件,选择合规路径:基于清单,逐项评估每个跨境场景是否触发法律规定的评估或备案条件。关键判断包括:企业是否属于CIIO?个人信息处理量是否超百万人?拟出境的个人信息在数量上过去一年是否超10万人(敏感1万人)?涉及的数据是否可能被认定为重要数据?如果任何一项满足强制安全评估要求,那么该场景必须走安全评估流程。否则,在可选范围内,可考虑标准合同或认证路径。一般而言: 必要评估场景:关键信息基础设施运营者的数据传输、大规模用户数据(百万级以上)传输、连续数据输出超阈值的,以及重要数据类别的传输,一律优先准备安全评估。 一般场景:不触发强制评估的大多数个人信息出境,可在标准合同与认证之间选择。对于短期、单一的数据提供行为(如一次性业务合作),标准合同操作简单;对于长期、动态的数据持续流动(如企业集团内长期共享数据),且企业有足够投入意愿,认证能提供更全面保障。 境外请求场景:如面临外国司法机关的数据调取要求,应立即评估其合法性并启动向中国主管部门的报批流程,绝不可私自对外提供(遵守数据安全法第36条)。 3. 安全评估实施要点:对于需走安全评估的场景,企业应成立专项工作组,重点把握: 按照《数据出境安全评估办法》第五条要求准备自评估报告,详尽分析数据出境的各项风险和应对措施。这需要法律合规、信息安全、业务部门协同完成。报告既是企业内部风控文件,也是提交网信办审核的重要材料,必须保证质量和真实性。 与境外接收方协商并拟定数据出口协议等法律文件。文件中明确双方在数据使用、存储、安全措施、再转移限制、违约责任等方面的约定,力求全面且符合监管要求(事实上,这可以参考标准合同的条款要求来制定)。 按要求向属地网信办提交申报材料,密切跟进受理进展。期间可根据网信办反馈及时补充或修正材料。评估期间,企业应做好应对最长期约90日(45+延长期)的准备,避免影响业务连续性。 拿到评估结果后,若通过则按照批复要求开展后续传输;如未通过,应分析原因,进行整改(如减少数据内容、加强加密措施等)后再行申请,或考虑其他替代方案(例如在境内处理数据,不出境)。 4. 标准合同实施要点:对于选择标准合同路径的场景,企业应: 使用国家网信办公布的标准合同范本文本,与境外接收方充分沟通后签署合同。确保不删减或修改范本的强制条款,附录中增补的条款不与主合同冲突。 开展个人信息出境影响评估(PIA)并撰写报告。建议参考监管指南,逐项评估境外接收方所在国法律环境、企业拟采取的安全措施等。评估过程应有法务和安全团队参与,以保证覆盖法律和技术双重方面。 在合同签署且评估完成后10个工作日内备案。向所在地省网信办提交备案所需的合同和评估报告等材料。可以事先了解当地网信办的备案流程(部分地区网信办发布了备案指引和模板),按照要求准备纸质或电子材料。备案后注意留存备案证明(如有)备查。 完成备案后,即可按照合同约定开始数据传输。但企业仍应持续监督境外接收方履约情况。如果发生数据泄露等安全事件或接收方违反合同用途的情形,应及时采取补救并向监管报告,同时有权依据合同追责。 若跨境安排有变更(比如更换境外接收方、新增数据类别等),应重新评估风险、签订新的合同条款并再次备案。企业应建立内部变更管理机制,确保任何涉及数据出境的变更先过合规审查关。 5. 认证实施要点:对于拟采用认证路径的,企业需考虑: 对照个人信息保护认证实施规则和相关标准进行合规差距分析。这通常包括检查企业在组织治理(是否设立数据保护官、制定制度)、流程控制(跨境前是否评估、告知、同意等)、技术措施(传输加密、访问控制)、数据生命周期管理等方面是否达到认证要求。 选择具备资质的第三方认证机构洽谈,提交认证申请。认证机构会安排文件审查和现场审计,企业应配合调取证据、接受员工访谈等。提前准备好证明合规的文档(如隐私政策、流程文件、安全策略、培训记录等)有助于顺利通过审核。 对于认证过程中发现的不符合项,积极整改。例如加强海外接收方的约束,可以通过签署企业内部跨境数据管理政策或加入约束性公司规则(BCR),使整个集团对个人信息保护有一致承诺。 获得认证后,将证书信息向监管部门备案或公告(如有要求),并在企业对外沟通中予以说明(增强信任)。同时,保持与认证机构的联络,在证书到期前安排复评,持续维持认证状态。 6. 其他注意事项:企业在执行合规流程时,还应注意以下操作层面的细节: 获取个人同意或其他合法性基础:跨境传输前务必根据个保法要求取得个人对向境外提供其信息的同意(除非基于合同必要、公共利益等法律规定情形)。告知内容要清晰具体,并给予用户真实的选择权。 数据最小化和脱敏:实践中,可通过技术手段降低跨境数据的敏感程度,从而降低合规风险。例如,只传输必要字段,或在出境前对个人标识符进行去标识化处理(如编码、摘要化)再提供给境外。如果能确保数据不可逆匿名化,则已不属于个人信息出境,可减少法律约束。 建立内部审批机制:建议企业制定数据出境管理制度,要求任何部门拟对外提供数据时,须报经法务合规部门审核许可。这能防止私自传输行为。制度中应明确违规擅自出境的内部问责措施。 培训和意识提升:对员工开展定期培训,尤其是IT部门、业务对接部门,使其了解数据出境的法律风险和流程要求。例如,禁止员工私自将含个人信息的客户资料上传至海外SaaS工具等。 监控与应急:配置技术手段监控数据流向,对异常的跨境访问或传输及时预警。建立数据泄露应急预案,一旦境外发生数据泄漏或被不当获取,能迅速启动封堵、通知用户和报告监管部门等措施,将损害降至最低。 通过上述步骤,李章虎律师认为,企业可以将法律要求融入日常运营,实现对数据跨境活动的全过程管控。合规流程看似繁琐,但其核心目标在于确保数据出境“可知、可控、可追溯”,进而保护个人权益和国家安全,同时保障企业合法开展全球业务。 五、常见误区与法律风险防范在推进数据跨境合规实践中,企业可能会遇到一些认识上的误区。如果未能纠正这些误区,可能埋下法律风险隐患。李章虎律师认为,以下列举常见误区并给出风险防范要点: 误区1:只有个人信息出境才需管,非个人数据不受限。不少企业误以为数据出境合规仅涉及个人信息,其它业务数据可以自由传输。事实上,中国的监管范畴涵盖了重要数据等非个人信息类别。如果企业的数据被划为重要数据,即便不涉及个人隐私,同样需要履行安全评估等要求。忽视这一点可能导致重要业务数据违规外传,危及国家安全或公共利益,企业将面临数据安全法项下的处罚。防范建议:及时关注行业主管部门发布的重要数据目录,对照自查;对可能敏感的非个人数据,谨慎评估出境必要性,必要时咨询主管部门意见。 误区2:数据不“落地”海外就不算出境。有些技术人员认为,只要数据服务器还在国内,哪怕开放给境外访问也不算跨境提供。这是错误的。监管更关注数据是否被境外主体获取或控制,而非数据物理存储位置。例如,境外总部远程查询国内数据库,实际效果等同于数据传至境外。根据监管草案明确说明,“不是在境内收集产生的个人信息向境外提供”才可不受出境限制。反之,凡是境内产生的数据被境外获取,都视为出境。所以企业千万不要借“远程访问”之名逃避合规。防范建议:将跨境远程访问纳入出境管理范围,与物理传输一体管控;采用技术措施限制境外访问敏感数据,如设置访问权限、VPN审计记录等。 误区3:取得个人同意即可自由向外传输。很多企业重视用户授权,在App隐私政策中告知会将数据传到海外,并获得了用户勾选同意。但需注意的是,中国法律要求的安全评估、标准合同等是强制性义务,并不会因用户同意而免除。个人同意仅是出境的前提之一,不能替代监管所要求的实质安全措施。例如,某企业即使取得所有客户同意将数据存美国,如果未经评估或签合同,仍属违法出境。防范建议:把用户知情同意和监管合规视作两条独立链路,缺一不可。既要做好用户层面的告知授权,又要落实法律层面的评估备案要求。 误区4:数据量小、次数少,无需特别合规。一些中小企业认为自己跨境传输的数据规模很有限,监管不会关注。然而法律并未豁免小规模出境义务(未来可能豁免1万人以下/年,但尚未实施)。即使一次只传输几百条个人信息,也需要合法合规。此外,小规模并不意味着风险低——一旦单条数据涉及敏感个人信息(如基因、财务数据),泄露影响也可能很严重。防范建议:不以数据量大小作为是否合规的判断标准,只要发生跨境传输行为,就严格按照流程办理。对于偶发的小量传输,也至少应签订标准合同作为基本保障。 误区5:签自拟合同或英文合同即可满足要求。跨国企业有时倾向于沿用集团的英文数据传输协议,或自行起草条款。然而,中国的标准合同范本具有法定效力,必须严格按照范本订立,企业自行拟订的合同即使内容类似也不被视为合法路径。此外,标准合同需要备案中文文本。如果仅签署英文合同未备案,同样不符合法规要求。防范建议:务必使用官方标准合同中文版本,与境外方签署双语对照文本也可以,但中文为准。不要擅自删减范本条款。有特殊约定需求,可放在附录部分协商,但需确保不违背主合同精神。 误区6:拆分数据集可以规避评估。面对10万人这一评估红线,有企业考虑将数据集拆开多次传输,每次低于门槛以走合同路径。这种做法已被明令禁止。监管部门能够通过备案及网络监测发现蓄意拆分行为,并会认定为非法出境。一旦查实,企业将面临严惩。防范建议:诚信履行合规义务,不要心存侥幸设计规避方案。数据出境行为都有迹可循,与其事后补救不如事前依法申报。 误区7:采用加密等技术手段传输就不算违规。一些技术团队认为,只要把数据加密或脱敏后再传到境外,就不存在泄露风险,可以不受法律约束。实际上,加密传输当然是必要的安全措施,但并不能改变数据跨境的法律性质。除非数据经过不可逆匿名化处理,不再属于个人信息,否则无论如何加密,出境前都须履行合法性手续。当然,加密可以作为安全评估和合同中的保护措施之一,但不是合规的替代。防范建议:坚持先合规后传输,在合规框架内充分运用加密、分级存储等技术手段提升安全,但不要误以为技术可以绕开法律。 误区8:香港、澳门地区传输不算出境。根据《中国人民共和国宪法》和相关法律,香港、澳门特别行政区和台湾地区均不属于中国大陆关境,因此将数据传输至港澳台应视为出境。有企业错误地将香港服务器当作境内,存放大陆用户数据未履行任何手续,这是违法的。防范建议:明确各法域的适用范围,凡是数据要离开大陆(无论到港澳台还是其他国家),均按跨境要求处理。港澳地区虽有本地数据保护法,但这不影响大陆法律对数据出口的管辖。 9. 法律风险及后果:如果企业未遵循上述合规要求擅自出境数据,一旦被监管发现或被他人举报,将面临严厉的处罚和声誉损失。根据个保法和数据安全法: 行政处罚:个保法第66条规定,违反跨境规定的,可处5000万元以下或上一年度营业额5%以下罚款,责令整改、限期停业整顿并可通知下架App等;对直接负责的主管人员处以罚款。此外,数据安全法对未批向境外提供数据也设定了最高500万元的罚款及停业整顿、吊销执照等处罚。这些金额和措施足以对企业造成重大打击。 刑事风险:在极端情况下,如果非法向境外提供数据行为严重危害国家安全,相关责任人可能触犯刑法中的提供侵略、窃取国家秘密等罪名,面临刑事追责。 民事责任:个人信息主体若因企业违规出境导致信息泄露、滥用,可能提起民事诉讼索赔。特别是在GDPR或其他法律管辖下的用户,还可能通过境外法院起诉企业,增加法律纠纷成本。 商业与信誉损失:一旦被曝光非法传输数据,企业将失去客户和公众信任,合作伙伴(尤其是跨国伙伴)可能出于合规要求终止数据共享与业务合作。例如,欧盟公司若知晓中方伙伴未遵守PIPL出境要求,可能担心其无法保障数据安全从而拒绝合作。这对国际业务拓展非常不利。 风险防范要点:企业管理层应高度重视数据跨境合规,将其纳入整体风险管理框架。具体措施包括:建立定期合规审计机制,对数据活动进行检查;指定专门的负责部门或人员(如数据保护官、首席合规官)监督数据出境合规;密切关注法律法规和监管动态,及时更新企业政策;一旦发生违规,立即启动补救并与监管沟通,争取从轻处理。同时,加强与专业法律顾问的合作,获取最新合规建议。通过以上措施,企业可大大降低违规风险,在复杂的监管环境中立于不败之地。 六、域外数据跨境规则比较:GDPR与CCPA数据跨境流动是全球性议题,各法域在监管逻辑和具体规则上存在差异。下面对欧盟GDPR和美国CCPA两部具有代表性的法律进行比较分析,以帮助企业理解不同监管模式下的合规要点和风险。 (一)欧盟GDPR的数据跨境传输制度欧盟的《通用数据保护条例》(GDPR)以严格和完善的个人数据保护著称,其中对数据跨境传输(即个人数据向欧洲经济区以外国家的传输)的管制尤为严格。GDPR的出发点是确保“等同水平”的数据保护,即欧洲居民的个人数据无论流转到哪里,都应受到不低于欧盟境内的保护水平。 GDPR第44条等规定,除非满足特定条件,否则不得将个人数据传输到第三国或国际组织。概括而言,GDPR下主要有以下合法传输机制: 充分性决定(Adequacy Decision):如果欧盟委员会认定某一第三国的数据保护法律水平“充分”等同于欧盟标准,则欧盟可对其作出充分性决定,允许数据自由向该国传输,而无需额外措施。截至目前,欧盟已认可包括日本、韩国、英国等在内的若干国家/地区为充分保护(但尚未包括中国)。美国则在2023年通过新的“跨大西洋数据隐私框架”争取恢复充分性,但在Privacy Shield被法院否决后企业仍需谨慎观察。充分性决定体现了政府间互信,对于获认可国家的企业而言是最便利的跨境方式。 标准合同条款(Standard Contractual Clauses, SCCs):这是目前使用最广泛的机制。欧盟委员会制定了多套SCC范本,涵盖不同场景(如控制者-处理者、控制者-控制者等)。数据输出方与接收方签署SCC后,即承诺按照GDPR要求保护个人数据,包括授予数据主体权利、提供补救、接受欧盟监管等义务。SCC无需逐案审批,企业只需确保内容不被修改且切合自身情况即可使用。由于中国未被列为充分性国家,欧洲企业向中国传输个人数据时通常采用SCC。这意味着中国的数据接收方必须配合签约并履行相应义务。 具有约束力的企业规则(Binding Corporate Rules, BCR):BCR是一套跨国企业集团内部的隐私政策,经欧盟监管机构批准后,可在集团内多个法人实体间自由传输个人数据。BCR通常适用于跨国公司内部大量、反复的数据流转,类似中国拟推行的认证路径。BCR的制定和批准过程较长,需要满足GDPR规定的一系列内容(如申诉机制、第三方受益人权利等)。 认证机制和行为准则:GDPR也允许通过获得认可的隐私认证或遵守行业行为准则并附加具有法律约束力的承诺,作为跨境传输的保障措施。不过截至目前,适用于国际传输的认证/准则机制尚未成熟,企业主要还是依赖SCC或BCR。 特例(Derogations):GDPR第49条提供了一些例外情形,在没有充分性或保障措施时,仍可合法传输个人数据。这些情形包括:数据主体明确同意且已被告知风险、为履行与数据主体的合同所必要、为重大公共利益、法律主张需要、为保护数据主体或他人切身利益(如生命安全)等。但GDPR强调这些例外只能作为个案使用,不得用于经常性大规模传输。因此企业不能以用户同意等方式来规避上述主要机制的要求。 GDPR的跨境传输制度体现出以个人权利为中心的逻辑。为了防范个人数据在第三国被滥用或缺乏保护,GDPR要求出口方在传输前尽到审慎义务,确保接收方所在国具备充分法律保障或通过合同等使其承担相应责任。特别是2020年欧洲法院“施雷姆斯II”判决后,即使采用了SCC,出口方仍需评估接收国的法律环境(例如情报机构获取数据的可能性),必要时实施额外技术措施(如加密、分片存储等)以保障数据安全。这与中国安全评估中评估境外法律环境有异曲同工之处。 违反GDPR的跨境规定可能招致严厉处罚。GDPR将非法跨境传输视为重大违规行为之一,最高可罚款2000万欧元或公司全球年营业额4%(以高者为准)。近年来已有知名企业因跨境数据合规问题被重罚的案例。例如,某美国社交媒体公司因将欧洲用户数据传回美国而未充分保障,被爱尔兰数据保护委员会罚款达12亿欧元(约合人民币90多亿元),这是迄今为止GDPR最大罚单之一。这表明欧盟监管机构对未经适当保护的跨境传输持零容忍态度。 对企业而言,应对GDPR跨境要求的关键在于提前规划和持续监控:在从欧盟获取个人数据或向欧盟提供个人数据时,务必选择合适的机制(如签署新版SCC、申请BCR等),并执行transfer impact assessment(传输影响评估)来审查目的国的风险。如果发现目的国(例如中国或美国)的法律可能对数据主体权利造成不利影响,则考虑采取例如数据加密、严格访问控制、分布式存储等措施作为补充。必要时,还应准备在监管要求时能够暂停或终止传输,以避免违法。总的来说,GDPR体现的是“跨境可控,保护先行”的理念,其高标准和高罚则需要企业投入相当资源予以遵守。 (二)美国CCPA及相关制度下的数据跨境问题与欧盟注重统一立法不同,美国迄今没有全国性的通用数据保护法律框架。对于个人信息跨境传输,美国采取的是相对宽松的态度,更强调产业自主和消费者权益。其中,加州的《加州消费者隐私法案》(CCPA)及其修正的《加州隐私权法案》(CPRA)是目前美国隐私保护领域的重要法规,但其关注重点与GDPR/PIPL不同,对数据跨境本身并未设置类似的限制条件。 1. CCPA对跨境传输的规定:严格来说,CCPA并不直接规范个人信息跨国界传输行为。也就是说,无论加州居民的个人信息是否被传输到美国以外,CCPA并未要求企业必须采取额外的法律措施(例如政府审批或标准合同)才能进行跨境传输。这反映出美国整体对于数据跨境流动持较为开放的立场,认为数据的地理位置并不改变企业对消费者隐私的保护义务。 然而,CCPA有其他相关要求可能影响跨境场景:比如,CCPA要求当一家企业与第三方共享个人信息用于商业目的时,如果该第三方被定义为“服务提供商”(Service Provider),双方必须签订合同,限制服务提供商对个人信息的处理用途,不得将信息用于未经授权的目的。这一要求实际上与GDPR下控制者-处理者合同义务以及PIPL下委托处理合同义务类似。换句话说,虽然CCPA不区分数据是在本地还是跨境处理,但要求企业与受托处理信息的合作方签订合同以保护信息不被滥用。如果跨境传输是发生在企业和境外服务商之间,那么仍需满足该合同义务。因此,间接地,CCPA确保了一些跨境情况下的数据得到合同保障。 此外,CCPA引入了“不得出售个人信息”(Do Not Sell)的规则。如果企业向境外第三方出售(sell, 定义为为了有价值对价而提供个人信息)加州消费者的数据,那么消费者有权选择退出“sale”。企业必须在其隐私政策中披露是否有将个人信息出售或共享给他方,以及是否涉及境外。这在一定程度上对数据跨境流动也有影响:企业如将数据发送给境外的广告合作伙伴用于行为定向,就可能被视为“sale”,需要提供opt-out机制。尽管这不是针对跨境本身的管控,但要求业务上透明并尊重消费者选择。 2. 美国整体环境下的跨境逻辑:美国对于企业数据处理更多采用自我监管和执法相结合的模式。企业需公开其隐私政策并守信履行,联邦贸易委员会(FTC)可以依据《联邦贸易委员会法》处罚对消费者欺骗或不公平的隐私实践。若企业声称跨境数据同样安全却未做到,FTC可认定其构成欺骗行为。但美国并未像欧盟/中国一样,从立法上全面设定数据出境前置条件。理论上,美国企业可以自由将数据存储或处理在全球任何地点,只要保障符合其向用户的承诺和适用的行业法规(如医疗信息受HIPAA限制、金融数据受GLBA限制等)。 这一开放态度部分源于美国强调数据自由流动促进商业创新的理念,同时美国政府也倾向于确保执法部门可以根据需要调取企业数据(不论其存储于国内还是海外)。例如,2018年《澄清境外合法使用数据法》(CLOUD Act)明确美国执法机关有权要求受美国司法管辖的服务商提供其控制下的数据,即便数据存放在境外。也正是因为这一点,欧盟对于数据传回美国格外警惕(认为CLOUD Act等可能侵犯欧盟居民隐私)。 3. 合规与风险差异:对于需要同时遵守中、美、欧法律的企业来说,美国法律环境的一个显著特征是:跨境本身不是重点,重点在于数据用途和消费者权益。企业在美国境内外传输数据无需报批,但如果未能履行CCPA等赋予消费者的权利(如未提供数据访问、删除、拒绝销售等渠道),将面临执法风险。2020年以来,CCPA在加州的执行逐步加强,已有多起针对企业违反CCPA(包括数据泄露、未提供退订销售功能等)的执法案例和和解,罚款金额从几十万到几百万美元不等。相比GDPR的天价罚款,美国的执法力度相对温和一些,但值得注意的是,CCPA允许消费者在特定数据泄露情况下对企业提起诉讼索赔,集体诉讼的赔偿额可能十分可观,这对企业也是一种风险。 4. 企业应对:在美国框架下经营,企业更关注隐私政策透明度、网络安全措施和消费者权利响应。跨境传输时,要确保不会触发其他法律问题。例如,将欧洲数据拿到美国处理,必须考虑GDPR要求;将中国数据存于美国云中,要考虑中国的管控(如是否需先评估);纯粹将美国本土消费者数据跨境传输其实法律压力不大,但也需防范不同司法管辖的冲突——典型的如中国数据安全法不允许擅自向外国执法提供数据,而美国法院可能下令企业提交相关数据。这时企业陷入两难。现实中,一些跨国公司会选择将数据按区域本地化存储(非法律强制而是出于冲突风险考虑),例如把中国用户数据留在中国,把欧盟用户数据留在欧盟,把美国数据留在美国,以避免卷入跨境执法冲突。这体现的就是各地法律不协调带来的合规策略调整。 综上,在CCPA乃至整个美国体系下,数据跨境更多是商业决策问题而非法律许可问题。美国强调通过行业标准和法律责任来间接规范企业的跨境行为,而不会像欧盟、中国一样设立专门的政府审批或合同备案程序。这种差异要求企业法务在制定全球数据策略时,充分理解各法域监管逻辑:在欧盟/中国,要先满足监管要求再传输;在美国,则要注重内部治理并兼顾他国要求,自由度更高但也要防范消费者起诉和信用危机。 (三)不同法域监管逻辑与风险差异分析通过上述比较,可以看出中国、欧盟、美国在数据跨境监管上的理念分野: 中国:强调数据主权和安全,在保障个人权益的同时,非常关注国家安全、公共利益的维护。监管模式偏重政府把关,要求企业履行报告评估义务后方可出境,体现的是“安全底线”优先逻辑。这意味着在中国经营的数据越敏感、规模越大,企业需要越早介入监管沟通,合规成本相应提高。 欧盟:基于对隐私权的高度重视,追求个人数据保护在全球范围的“一致性”。其逻辑是只要数据来源于欧盟,无论流往何处,都必须受到相当于GDPR的保护,否则将限制流动。欧盟模式依赖法律文件(Adequacy、SCC、BCR等)的约束力,加以独立监管机构的强力执法。这需要企业对目的地法律环境具备判断能力,并可能投入加密等额外措施保障合规。 美国:奉行数据自由流通和产业自主,对跨境本身不设行政壁垒,但通过事后执法和消费者诉权维护个人利益。“宽进严管”可以概括其特点:企业数据使用和传输相对自由,但若滥用导致消费者权益受损,将承担法律责任。不过这种“严管”相较欧盟还是宽松许多,更强调市场机制和诉讼救济。 上述逻辑差异直接导致了企业在不同法域面临的风险类型不同: 在中国,合规风险主要在于监管审核不通过或被认定违规出境,后果是行政处罚为主,外加潜在刑事责任。企业需要高度注意政策动态,因为中国的法规仍在快速演进中,合规要求可能进一步细化或调整(例如前述豁免征求意见稿等)。对跨国企业而言,还要警惕中外法律冲突:如一旦外国要求提供数据,但中国禁止,企业可能“两头为难”,处理不当会有违反一方法律的风险。 在欧盟,风险在于隐私监管严罚和民众诉讼。企业不仅要担心巨额罚款,也要顾及被曝光违反GDPR带来的声誉损害,这在欧洲市场将直接影响用户信任和业务关系。尤其值得注意的是,欧盟监管强调公司管理层对于合规的义务,严重情况下负责人可能面临问责。 在美国,风险更多来自私权救济和舆论压力。由于缺少统一执法,高额罚单相对少见,但企业若发生数据泄露或被曝光滥用隐私,在公众和客户层面将遭受不利影响,并可能引发集体诉讼赔偿。此外,美国多州隐私法陆续出台(如弗吉尼亚州、科罗拉多州也有类似CCPA的法律),企业需要跟踪各州要求,避免疏漏。 对于跨国运营的企业来说,应对之道在于综合平衡:需要建立内部规则,根据数据类别和来源地,分别适用不同地区的最高标准。例如,一些企业推行“本地本原则”,即用户数据尽量留在本地市场处理,减少跨境流转,从而分别满足各地法律(典型如金融服务、云计算企业这样做以避免跨境烦恼)。另一些企业则投入资源打造全球统一的隐私合规体系,力求满足最严要求(如采用GDPR标准贯穿始终),以“一套标准走天下”。无论哪种策略,都要求企业法务/合规团队对多法域法规非常熟悉,并与IT、安全部门紧密合作,将法律要求转化为技术实现。 值得一提的是,国际间也在探索协调与互认。如APEC的CBPR体系试图在亚太建立成员间的跨境数据保护互信;欧盟与美国持续就数据传输问题谈判;中国也积极参与数字贸易规则制定。这些努力如果取得突破,未来企业在跨境合规上或可减负。不过在当前阶段,不同法域的要求仍需各自满足,企业不可掉以轻心。 结语在全球数字化和数据驱动业务的时代,数据跨境传输既孕育机遇也伴随风险。中国的法律实践表明,维护数据安全与主权已上升为国家战略,企业必须顺应这一大势,建立健全合规机制。《个人信息保护法》《数据安全法》以及配套法规为数据出境架设了“高压线”,督促企业在“走出去”之前构筑安全防线。本文通过对中国数据出境定义、条件、路径、流程的系统梳理,并结合域外GDPR和CCPA规则的对比分析,可以看到:不论监管逻辑如何差异,确保个人信息和重要数据在跨境流动中得到充分保护,已成为各国监管共识。 对企业而言,李章虎律师认为,合规不应被视为业务的对立面,而是可持续发展的基石。一个遵循各地数据法规运营的企业,不仅避免了巨额罚款和业务中断,更向客户和合作伙伴传递了值得信赖的信号。特别是在当前地缘政治和贸易环境下,数据合规甚至与企业的国际声誉、市场准入直接相关。作为企业法务、合规和数据安全管理人员,更应当肩负起“合规赋能业务”的职责,通过提前布局合规体系、强化员工意识、运用安全新技术等手段,将法律要求转化为企业核心竞争力的一部分。 在实践中推进跨境数据合规或许并非易事,可能遇到制度理解、沟通协调、投入成本等方面的困难。然而,这正体现了专业价值所在——合规工作需要扎实的法律素养与实践智慧的结合。我们有理由相信,随着法规的进一步完善和国际合作的深化,数据跨境传输的制度红利将逐步显现:当风险可控、权利有保障时,数据才能自由地创造价值。展望未来,企业应持续关注国内外立法动态,及时调整策略。在合法合规的轨道上,畅通无阻地开展全球数据业务,为数字经济时代的发展贡献力量。
| 
发表于 2025-8-11 10:57:18
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享