當前位置：首頁 > 報告詳情

深圳市標準技術研究院：2022年數字貿易時代個人數據跨境流動安全規制及執法實例研究報告（131頁）.pdf

上傳人： AG 編號：600924 2022-10-14 PDF PDF 131頁 2.18MB

該報告所屬合集： 2025年數據跨境報告合集

打包下載報告合集

文檔加載中……請稍候！
如果長時間未打開，您也可以點擊刷新試試。

下載報告到電腦，查找使用更方便

VIP專享文檔

書簽

分享

收藏

已收藏

版權投訴

/131

立即下載

word格式文檔無特別注明外均可編輯修改，預覽文件經過壓縮，下載原文更清晰！

三個皮匠報告文庫所有資源均是客戶上傳分享，僅供網友學習交流，未經上傳用戶書面授權，請勿作商用。

《深圳市標準技術研究院：2022年數字貿易時代個人數據跨境流動安全規制及執法實例研究報告（131頁）.pdf》由會員分享，可在線閱讀，更多相關《深圳市標準技術研究院：2022年數字貿易時代個人數據跨境流動安全規制及執法實例研究報告（131頁）.pdf（131頁珍藏版）》請在三個皮匠報告上搜索。

1、數字貿易時代個人數據跨境流動安全規制及執法實例研究2022 年 10 月 14 日2021 年度深圳市打造標準專項資金資助項目年度深圳市打造標準專項資金資助項目數字貿易時代個人數據跨境流動安全規制數字貿易時代個人數據跨境流動安全規制及執法實例研究及執法實例研究深圳市標準技術研究院深圳市標準技術研究院技術性貿易措施研究所技術性貿易措施研究所二二 O 二二年十月二二年十月I目錄目錄前言.11 中國及深圳數字貿易發展現狀.21.1 數字貿易概覽.21.2 全球數字貿易發展現狀.41.3 中國數字貿易發展現狀.51.4 深圳數字貿易發展現狀.82.個人數據跨境流動法律監管制度的演化歷程.92.1 個人

2、數據跨境流動的的定義.92.2 個人跨境數據流動法律監管制度的演化歷程.92.2.1 國際/區域組織法律監管制度建立階段(19801994 年).102.2.2 各國法律監管制度建立階段(19952011 年).102.2.3 國際/區域組織及各國法律監管制度完善階段(2012 年至今).123 個人數據跨境流動的典型安全保護機制概述.143.1“充分保護”與限制流動：以歐盟為代表.153.2 行業自律與自由流動：以美國為代表.163.3 數據主權與數據本地化模式：以俄羅斯為代表.194 重點國家及區域組織（或自貿協定）對個人數據跨境流動的安全規制.204.1 中國.204.1.1 中國個人數

3、據跨境流動安全立法現狀.204.1.2 中國個人數據安全監管機構.234.1.3 中國個人數據跨境流動安全監管措施.244.2 香港.354.2.1 香港個人數據跨境流動安全立法現狀.354.2.2 香港個人數據安全監管機構.364.2.3 香港個人數據跨境流動安全監管措施.364.3 歐盟.424.3.1 歐盟個人數據跨境流動安全立法現狀.424.3.2 歐盟個人數據安全監管機構.434.3.3 歐盟個人數據跨境流動安全監管措施.434.4 美國.514.4.1 美國個人數據跨境流動安全立法現狀.524.4.2 美國個人數據安全監管機構.524.4.3 美國個人數據跨境流動安全監管措施.52

4、4.5 日本.554.5.1 日本個人數據跨境流動安全立法現狀.554.5.2 日本個人數據安全監管機構.574.5.2 日本個人數據跨境流動安全監管措施.574.6 新加坡.624.6.1 新加坡個人數據跨境流動安全立法現狀.624.6.2 新加坡個人數據安全監管機構.63II4.6.3 新加坡個人數據跨境流動安全監管措施.644.7 馬來西亞.654.7.1 馬來西亞個人數據跨境流動安全立法現狀.654.7.2 馬來西亞個人數據安全監管機構.664.7.3 馬來西亞個人數據跨境流動安全監管措施.664.8 俄羅斯.674.8.1 俄羅斯個人數據跨境流動安全立法現狀.674.8.2 俄羅斯個

5、人數據安全監管機構.684.8.3 俄羅斯個人數據跨境流動安全監管措施.684.9 印度.704.9.1 印度個人數據跨境流動安全立法現狀.704.9.2 印度個人數據安全監管機構.704.9.3 印度個人數據跨境流動安全監管措施.704.10 區域組織或自貿協定.724.10.1 經合組織（OECD）.724.10.2 全面與進步跨太平洋伙伴關系協定（CPTPP）.754.10.3 亞太經合組織（APEC）.774.10.4 區域全面經濟伙伴關系協定（RCEP）.794.11 小結.815 國內外個人數據安全執法實例分析.845.1 歐盟.845.2 美國.885.3 日本.905.4 新加

6、坡.905.5 中國.925.6 個人數據安全執法特點.936 深圳數字貿易相關產品和服務出口數據跨境合規應對建議.956.1 企業個人數據跨境合規管控要點.956.1.1 個人數據跨境合規主要痛點難點.956.1.2 個人企業數據跨境合規要點.976.2 應對建議.1016.2.1 政府層面.1016.2.2 企業層面.1076.2.3 行業協會/技術機構.110附錄.111附件 1：全球主要數據跨境限制模式.111附件 2：國際組織數據跨境流動框架.112附件 3：中國數據跨境相關法律規定.114附件 4：中國特殊行業數據跨境要求.116附件 5：全球數據跨境法律法規清單.118附件 6：

7、全球數據跨境管控要求清單.119附件 7：全球主要監管機構聯系方式.122附件 8：企業調研會議紀要.1241前言前言近年來，隨著數字化的推進，越來越多的交易在數字平臺上發生，以數字形式出現的商品和服務開始成為了貿易的對象，數字貿易作為一個全新的貿易領域得以蓬勃興起。根據聯合國貿發會議發布的數據，2019 年全球數字貿易規模已經達到了 31925.9 億美元，其規模舉足輕重。2020 年以來，由于“新冠”疫情的肆虐，實物貿易受到了很大的影響，這促使各國對數字貿易給予了更多的重視。數字貿易的發展趨勢已經奠定，即使在疫情過去之后，這種趨勢也不會扭轉，其在貿易整體中扮演的角色將會越來越重要。大規模的

8、個人數據頻繁在國家間流動，個人數據的跨境流動使得公民隱私、商業機密和國家安全面臨威脅，個人數據跨境流動保護問題逐漸得到各國重視。當前在國際層面上，關于個人數據跨境流動的安全規制模式上，影響較大的是歐盟主導的“充分保護”與限制流動、美國主導的行業自律與自由流動以及俄羅斯、印度主導的主句主權與數據本地化模式。這三種模式的不同體現了在當前國際局勢中，歐盟、美國、俄羅斯等國家之間對于個人數據保護和數據跨境流動規制方面的分歧和矛盾，同時也代表了當前國際上對個人數據跨境流動的兩種不同規制路徑和方向。我們通過對這三種模式代表國家監管模式的研究，一方面，探索如何擴大對個人數據跨境流動安全規制的共識，在加強保護

9、個人數據的同時，也能使數據安全有序的跨境流動，這對全球經濟的發展來講意義深遠。另一方面，為我國及深圳相關企業積極面對這種新的監管規制，保持企業自身的競爭優勢，從而有效規避產品及服務在國際市場遭遇此類監管風險。21 中國及深圳數字貿易發展現狀中國及深圳數字貿易發展現狀1.1 數字貿易概覽數字貿易概覽1.數字貿易的定義數字貿易的定義目前，國際社會尚未形成數字貿易的標準定義，國際經合組織（OECD）、國際貿易組織（WTO）和聯合國貿易和發展會議等國際組織主張寬口徑，美國國際貿易委員會和歐盟等主張窄口徑。圖圖 1-1 數字貿易的定義數字貿易的定義根據中共中央、國務院推動數字貿易高質量發展中的界定的指導

10、意見，數字貿易應指被列在服務貿易下的數字貿易以及貿易數字化。數字貿易術語定義團體標準（t/zadt 0001-2021）中，數字貿易是針對實物商品、數據、數字產品、數字化服務等貿易對象，采用數字技術進行研發、設計、生產并通過互聯網等信息通信技術手段，為用戶交付產品和服務的貿易新形態。圖圖 1-2 中國數字貿易的定義中國數字貿易的定義2.數字貿易與傳統貿易的區別數字貿易與傳統貿易的區別3在貿易本質和貿易目的上，數字貿易和傳統貿易具有相似點，但二者在貿易參與者、貿易對象、貿易運輸方式、貿易時效性以及貿易監管政策等方面，均有明顯的差異，如下表所示。數字貿易是在數字經濟背景下應運而生的，降低了貿易成本

11、、豐富了參與主體、促進各方協同，從而推動了全球貿易便利化。表表 1-1 數字貿易與傳統貿易的差異數字貿易與傳統貿易的差異傳統貿易傳統貿易數字貿易數字貿易貿易主體貿易主體大型跨國企業為主互聯網平臺企業的作用凸顯貿易對象貿易對象以有形的貨物和生產要素為主數字產品和服務貿易占比上升貿易運輸方式貿易運輸方式采用陸運、海運等方式無紙化和電子化趨勢明顯貿易實效性貿易實效性交易周期長、貿易成本高大幅弱化地理等因素制約關鍵技術關鍵技術生產制造、交通物流信息通信技術監管部門監管部門海關、檢驗檢疫、外匯管理局數字內容審核部門、產業安全部門貿易政策貿易政策雙邊區域貿易協定等數據監管、隱私保護等3.數字貿易所涉及的行

12、業數字貿易所涉及的行業我們根據中國國民經濟行業分類（2017 版）和國際標準產業分類第4 版對數字貿易所涉及的行業進行梳理，具體如下表所示：表表 1-2 數字貿易所涉及的行業數字貿易所涉及的行業內容類別內容類別產業類別產業類別中國中國國民經濟行業分類國民經濟行業分類（2017版）版）國際標準產業分國際標準產業分類第類第 4 版版數字產品音樂音像制品出版（8624）；錄音制作（877）錄音制作和音樂出版活動（592）游戲互聯網游戲服務（6422）；動漫、游戲數字內容服務（6572）數據處理、儲存及有關活動（6311）電子出版物電子出版物出版（8625）其它出版活動（5819）應用軟件數字出版（8

13、626）軟件的發行（582）廣播、電視、電影及視頻廣播（871）；電視（872）；影視節目制作（873）；電影和廣播電視節目發行（875）電臺廣播（601）；電視廣播和節目制作活動（602）；電影、錄像和電視節目的制作活動（5911）；電影、錄像和電視節目的后期制作活動（5912）；電影、錄像和電視節目的發行活動（5913）依托物理貨物產其他數字內容服務（6579）數據處理、儲存及有4生的上述產品關活動（6311）數字服務社交網站互聯網生活服務平臺（6432）門戶網站（6312）搜索引擎互聯網搜索服務（6421）門戶網站（6312）軟件測試開發軟件開發（651）；集成電路設計（652）計算機程

14、序設計活動（6201）信息技術服務運行維護服務（654）；信息技術咨詢服務（656）；地理遙感信息服務（6571）；其他信息技術服務業（659）計算機咨詢服務和計算機設施管理活動（6311）基于互聯網的通訊服務電信、廣播電視和衛星傳輸服務（63）；互聯網接入及相關服務（641）；互聯網信息服務（642）；互聯網安全服務（644）；其他互聯網服務（649）電信（61）；數據處理、儲存及有關活動（6311）數字平臺云計算平臺互聯網科技創新平臺（6433）數據處理、儲存及有關活動（6311）電子商務平臺互聯網生產服務平臺（6431）；互聯網生活服務平臺（6432）；互聯網公共服務平臺（6434）門戶

15、網站（6312）數據服務及貿易數據存儲和處理服務互聯網數據服務（645）；信息處理和存儲支持服務（655）數據處理、儲存及有關活動（6311）信息集成系統服務信息系統集成服務（6531）數據處理、儲存及有關活動（6311）物聯網技術服務物聯網技術服務（6532）數據處理、儲存及有關活動（6311）其他數據服務互聯網其他信息服務（6429）數據處理、儲存及有關活動（6311）1.2 全球數字貿易發展現狀全球數字貿易發展現狀全球數字經濟蓬勃發展，數字貿易也將繼制成品貿易、中間品貿易后，成為國際貿易的主體。根據聯合國貿易和發展會議報告相關數據，全球數字服務貿易的占比由 2011 年的 48%增長至

16、2020 年的 63.6%。預計到 2030 年，全球貿易年均增長將提高 2 個百分點，服務貿易出口占全球貿易比重將超過四分之一。5圖圖 1-3 2011-2030 年全球數字貿易比重變化（單位：年全球數字貿易比重變化（單位：%）2020 年全球數字服務貿易規模排名前五位的國家分別是美國、愛爾蘭、英國、德國和中國。美國擁有眾多超大型跨國信息通信企業，眾多大型互聯網企業將歐洲總部設在愛爾蘭，中國排名第五位。全球化和數字化是數字貿易產生和發展的主要動因，拓展數字貿易發展空間已成為全球化和數字化發展的必然要求。隨著創新數字技術的出現和互聯網基礎設施建設的逐步完善，新型數字技術在數字貿易中的廣泛應用推

17、動數字貿易發展邊界向外延伸，將進一步拓展數字貿易發展市場。1.3 中國數字貿易發展現狀中國數字貿易發展現狀1、中國數字貿易相關政策中國數字貿易相關政策中國數字貿易相關政策如下表所示：表表 1-3 中國數字貿易政策發展脈絡中國數字貿易政策發展脈絡中國數字貿易政策發展脈絡中國數字貿易政策發展脈絡改善數改善數字貿易字貿易環境環境數字貿易為從數字經濟經濟發展中完全分類出來，與我國電子商務共同發展。政府政策注重改善數字貿易環境2017 年，中華人民共和國網絡安全法指出，“對常態化跨境信息流動實施禁止或限制”“關鍵部門的公司強制要求數據本地化”2018 年，全國人大常委會通過的電子商務法中，就“消費者保護

18、”、“電商平臺審核”等問題做了進一步的明確規定。2019 年 3 月，在政府工作報告中，就跨境電子商務發展釋放了相關政策紅利。同時將跨境電商確定為中國外貿發展新的增長點。2019 年，服務貿易領域的五大關鍵目錄修訂完成，注重利用新技術、發掘新機遇，有針對性地提升產業附加值。提升貿提升貿易數字易數字化水平化水平推動企業提升貿易數字化和智能化管理能2019 年，中國中央國務院關于推進貿易高質量發展的指導意見提出，提升貿易數字化水平，加快數字貿易發展。2020 年，國務院辦公廳關于推進外貿創新發展的實施意見發6力。大力提升外貿綜合服務數字化水平布，加快貿易數字化發展。鼓勵企業向數字服務和綜合服務提供

19、商轉型。支持企業不斷提升貿易數字化和智能化管理能力。建設貿易數字化公共服務平臺，服務企業數字化轉型。2020 年，商務部會同中央網信辦、工業和信息化部聯合啟動了國家數字服務出口基地創建工作，并認定了中關村軟件園等 12 個園區為國家數字服務出口基地。建設數建設數字貿易字貿易示范區示范區2021 發布的“十四五”服務貿易發展規劃提出要依托國家數字服務出口基地，打造數字貿易示范區2021 年 10 月，商務部等 24 部聯合印發的“十四五”服務貿易發展規劃明確，要加強國家數字服務貿易出口基地建設，布局數字貿易示范區。2021 年 11 月，商務部等 10 部門又聯合印發了關于支持國家數字服

20、務出口基地創新發展若干措施的通知。隨后，商務部服貿司在對通知的官方解讀中表示，這些國家數字服務出口基地將成為我國打造數貿示范區的重點2、中國數字貿易進出口情況中國數字貿易進出口情況根據國務院發展研究中心披露的數據，我國數字服務貿易規?？傮w呈上升趨勢，由 2011 年的 1648.4 億美元增長至 2020 年的 2939.9 億美元，年均復合增長率達到 6.6%，數字服務貿易占服務貿易的比重由 36.7%提升至 44.4%。據商務部預測，到 2025 年，中國可數字化的服務貿易進出口總額將超過 4000 億美元，占服務貿易總額的比重達到 50%左右。圖圖 1-4 2011-2020 年中國數字

21、服務進出口規模及增速（單位：億美元，年中國數字服務進出口規模及增速（單位：億美元，%）2011-2020 年，我國數字服務貿易凈出口值從 2011 年的逆差 148.2 億美元扭轉至 2020 年的順差 147.7 億美元，反映我國數字服務貿易的國際競爭力持續增強。7圖圖 1-5 2011-2020 年中國數字貿易凈出口值（單位：億美元）年中國數字貿易凈出口值（單位：億美元）據海關初步統計，2021 年我國跨境電商出口 1.44 萬億元，增長 24.5%。到2025 年，中國跨境電商交易額預期將達 2.5 萬億?？缇畴娚淘谝咔槠陂g進出口貿易額出現了不降反升的跡象，成為穩外貿的一個重要力量。圖圖

22、 1-6 2019-2021 年中國跨境電商進出口情況年中國跨境電商進出口情況3、中國數字貿易區域發展情況中國數字貿易區域發展情況在數字貿易的地區發展格局方面，中國數字貿易的發展水平呈現東強西弱和南強北弱的態勢。數字貿易發展程度比較高的省市主要集中在東南沿海地區，而中西部省市數字貿易發展則相對滯后。數字貿易發展需要良好的互聯網、物流等基礎設施作為支撐，并與地區經濟發展水平密切相關。截至 2022 年 3 月，我國跨境電子商務綜合試驗區數量已達 132 個，其中廣東省有 21 個。2020 年 4 月,國家認定中關村軟件園等 12 個園區為國家數字服務出口基地，多分布于東部沿海地區。81.4 深

23、圳數字貿易發展現狀深圳數字貿易發展現狀1、深圳數字貿易相關政策深圳數字貿易相關政策2020 年，深圳市前海管理局正式發布中國(廣東)自由貿易試驗區深圳前海蛇口片區關于促進數字貿易快速發展的若干意見，這也是國內國際雙循環理念提出后，國內首個以“數字貿易雙循環”建設為核心的政策文件。2021 年 1 月，深圳市人民政府辦公廳發布深圳市數字經濟產業創新發展實施方案（20212023 年），明確指出搶抓數字經濟產業密集創新和高速增長的戰略機遇，加快推動我市數字經濟產業創新發展，著力打造國家數字經濟創新發展試驗區。2021 年 12 月 21 日，深圳市商務局印發了深圳市關于加快推動服務貿易創新發展的若

24、干措施，明確提出“推動數字貿易先行示范發展”。2、深圳市數字貿易發展現狀、深圳市數字貿易發展現狀深圳市是中國數字貿易重要的參與地，擁有巨大的先天優勢。交通樞紐功能突出，毗鄰港澳地區，區位優勢明顯。在大灣區這個國家戰略的指引下，深圳不斷深化服貿領域改革開放。深圳市是互聯網大省，2020 年深圳跨境電商交易企業約 4 萬家，從業人員超過 50 萬人，跨境電商獨立 B2C 站點前 50 名企業有 1/2位于深圳。而中國 70%的跨境電商聚集在華南，華南 80%的跨境電商聚集在深圳，深圳的跨境電商中小賣家已經超過 15 萬家，占據了中國跨境電商“半壁江山”之多，深圳已經成為了名副其實的“跨境電商”之

25、都。深圳擁有諸如華為、中興、騰訊等全球領先的通信技術生產和服務企業，為本市數字貿易的發展提供了先進且便捷的技術支持。近年來深圳市以數字產業化和產業數字化為主線，加快打造數字經濟創新發展試驗區，取得了顯著成效。根據國家統計局統計口徑，2020 年，深圳市數字經濟核心產業增加值達到 8446.6 億元，占全市 GDP 比重 30.5%，總量和比重都位居全國第一。從細分領域看，深圳電子信息制造業產值 2.2 萬億元，約占全國1/5，位居全國大中城市首位，擁有 21 家全國電子信息百強企業；軟件業務收入約占全國 1/10，位居全國大中城市第二位，擁有 11 家全國軟件百強企業。深圳將持續深入實施“鏈長

26、制”，打造若干大中小企業協同發展的特色產業鏈，重點發展軟件與信息服務、工業互聯網、人工智能、數字創意、金融科技、區塊鏈與量子信息、半導體與集成電路等數字經濟產業。依托數字經濟發展優勢與全球數字9貿易規則制定的時間窗口期，加大在數據安全有序流動等方面的先行探索，積極促進數字領域的產品與服務出口。2.個人數據跨境流動法律監管制度的演化歷程個人數據跨境流動法律監管制度的演化歷程2.1 個人數據跨境流動的的個人數據跨境流動的的定義定義個人數據跨境流動的概念最初運用于各國對個人數據的保護立法之中，目前國際上對此并沒有同意的界定。下表給出了國際組織及中國對個人數據跨境流動的法律定義：表表 2-1 國際組織

27、及中國對個人數據跨境流動的法律界定國際組織及中國對個人數據跨境流動的法律界定時間時間國家國家/組織組織法律文件法律文件定義定義1980年經合組織（OECD）隱私保護與個人數據跨國境流動指南個人數據跨境流動是指個人數據跨國界流動。1990年聯合國跨國公司中心關于計算機化的個人數據檔案保護指南跨越國界對存儲在計算機中的機器可讀數據進行處理、存儲和檢索。1981年歐洲會議公約有關個人數據自動化處理的個人保護協定個人數據經由電腦自動化處理或為電腦自動化處理之目的，經由通信網絡跨越國界的溝通2018年中國個人信息和重要數據出境安全評估辦法數據出境，是指網絡運營者將在中華人民共和國境內運營中收集和產生的個

28、人信息和重要數據，提供給位于境外的機構、組織、個人。2018年歐盟通用數據保護條例GDPR對于正在處理或計劃進行處理的個人數據，將其轉移到第三國或國際組織表 2-1 顯示，自 1980 年以來，國際組織開始通過法律或標準文件對“個人數據跨境流動”進行法律界定，而中國對此的概念界定較晚，但概念內涵基本一致。在本項目的研究中，將“個人數據跨境流動”定義為：個人數據跨越國境的訪問、收集、流動、處理和存儲的全過程。2.2 個人跨境數據流動法律監管制度的演化歷程個人跨境數據流動法律監管制度的演化歷程個人數據跨境流動的法律監管制度，是指政府或組織制定并依據法律法規監督管理跨境數據控制者的工作和服務，確立其

29、資格，明確其權利和義務，并在其10業務范圍內進行跟蹤管理，發現問題后進行問責處理。根據信息技術的發展歷程，并結合其每個階段的特征，將跨境數據流動法律監管制度的演化歷程劃分為三個階段:國際/區域組織法律監管制度建立階段、各國法律監管制度建立階段和國際/區域組織及各國法律監管制度完善階段。2.2.1 國際國際/區域組織法律監管制度建立階段區域組織法律監管制度建立階段(19801994 年年)1980 年，OECD 制定了關于保護隱私和個人數據跨境流動的準則，是全球范圍內有關個人數據保護的第一份具有法律約束力的國際性文件，也是跨境數據流動監管的首次嘗試。1981 年，歐盟制定了關于個人數據自動化處理

30、的個人保護公約，它建立了有關個人數據保護的基本原則，首次涉及了跨境數據流動監管措施。1990 年，聯合國發布了關于自動化處理中的個人數據檔案保護指南，對兩個及以上國家間的個人數據流動做出了規定。具體內容見下表。表表 2-2 國際國際/區域組織對跨境數據流動的法律監管制度（區域組織對跨境數據流動的法律監管制度（1980-1994 年）年）時間時間國家國家/組織組織法律名稱法律名稱關于跨境數據流動監管的主要內容關于跨境數據流動監管的主要內容1980 年OECD關于保護隱私與個人數據跨境流動準則避免以隱私保護和個人自由為名，出臺立法或政策限制數據的自由流動1981 年歐盟關于個人數據自動化處理的個人

31、保護公約個人數據傳輸到國外之前，要求獲得數據保護機構的明確授權，轉讓數據的個人必須同意轉讓1990 年聯合國關于自動化處理中的個人的數據檔案保護指南當兩個及以上國家的立法對個人數據提供了彼此間相當的保護措施時，個人數據可以在國家之間自由流通。表 2-2 顯示，在此階段，OECD 及聯合國組織支持跨境數據的自由流動，而歐盟強調了跨境數據流動前的“授權與同意”。其他各國還未開始對跨境數據流動實施監管。2.2.2 各國法律監管制度建立階段各國法律監管制度建立階段(19952011 年年)1995 年，歐盟為適應互聯網的快速發展，將關于個人數據自動化處理的個人保護公約更新為關于個人保護中有關個人數據處

32、理以及此類數據的自由流11動指令，要求必須設立數據監管部門進行個人跨境數據流動的事先審查和批準。自 2002 年起，加拿大、日本、德國等國紛紛出臺了各自的法律監管制度。主要內容見下表。表表 2-3 WTO、歐盟及各國（組織）跨境數據流動的法律監管制度（、歐盟及各國（組織）跨境數據流動的法律監管制度（1995-2011 年）年）時間時間國家國家/組織組織法律名稱法律名稱跨境數據流動監管的主要內容跨境數據流動監管的主要內容1995 年WTO服務貿易總協定成員國可以以隱私保護為由限制跨境服務貿易歐盟關于個人保護中有關個人數據處理以及此類數據的自由流動指令如果查明第三國未能提供其所要求的“充分保護”時

33、，成員國應當采取必要措施以阻止任何相同類型的數據向第三國傳輸2000 年加拿大個人信息保護與電子文檔法案任何組織在收集個人信息時或在此之前都必須以有效的方式告知信息關系人信息的目的，并取得和披露個人信息的目的，并取得信息關系人的同意2003 年日本個人信息保護法日本境內的持有數據者向境外傳輸個人信息等數據時，必須獲得信息所有者的同意，并符合個人信息保護委員會的規定2003 年德國德國聯邦數據保護法在數據主體不知情的情形下，為傳輸之目的存儲個人數據，則應告知數據主題初次傳輸事項及被傳輸的數據類型2004 年亞太經濟合作組織APEC 隱私保護綱領設立隱私框架的九大原則2006 年俄羅斯個人數據保護

34、法對俄羅斯聯邦公民個人信息進行搜集、記錄、整理、保存、核對、提取的數據庫存放于俄羅斯境內2007 年韓國促進信息和通信網絡利用和數據保護法信息通信服務的提供商或用戶必須采取必要手段放置任何重要信息通過信息通信網絡向國外流動12表 2-3 顯示，在此階段，世界貿易組織(WTO)、歐盟繼續完善跨境數據流動監管的相關內容，各國跨境數據流動由自由流動轉向限制流動。其中，加拿大、日本和德國要求必須在獲得數據主體同意后才能進行數據流動，俄羅斯需在境內設立對跨境數據的存儲，而韓國的重要數據不能出境。2.2.3 國際國際/區域組織及各國法律監管制度完善階段區域組織及各國法律監管制度完善階段(2012 年至今年

35、至今)為適應大數據時代數字經濟發展變化，2013 年 OECD 更新了關于保護隱私與個人數據跨境流動的指南，新增問責制原則，最大程度地保護了數據主體的利益。同年，APEC 設立跨境隱私規則體系計劃，對跨境數據流動采取認證機制。2015 年，跨太平洋伙伴關系協定由原來的 4 國發展為 12 國，并達成基本協議，將跨境數據流動納入多邊貿易規則。2016 年，歐盟頒布了一般數據保護條例，擴大了跨境數據流動的適用范圍。具體內容見表 2-4。表表 2-4 中外跨境數據流動的法律監管制度（中外跨境數據流動的法律監管制度（2012 年至今）年至今）時間時間國家國家/組織組織法律名稱法律名稱跨境數據流動監管的

36、主要內容跨境數據流動監管的主要內容2012 年新加坡個人數據保護法令組織與云服務提供商簽訂的書面合同，規定此類合規性問題，同時涉及保護標準和海外地點2013 年亞太經濟合作組織APEC 跨境隱私規則體系對跨境數據流動采取認證機制，即塔臺地區的企業自愿參加隱私保護認證，并進行自我約束OECD關于保護隱私和個人數據跨境流動的指南建議新增“問責制”，不論數據位于何處，數據控制著都應當對其控制下的個人數據負責2015 年日本等 12國跨太平洋伙伴關系協定禁止將使用計算設備或將服務器存儲于本國境內作為開展跨境業務的條件2016 年歐盟通用數據保護條例去掉針對“個人數據處理”中的“自動化”限定，擴大跨境數

37、據流動適用范圍，確保處理個人數據過程中對個體給予適當保護的同時，促進數據不分國界實現自由流通13中國中華人民共和國網絡安全法關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。2017 年澳大利亞1988 年隱私法修正案實體必須采取合理的措施，以確保海外收件人不會違反澳大利亞隱私原則2018 年印度2018 個人數據保護法（草案）每個數據受托人應確保在位于印度的服務器或者數據中心存儲至少一份個人數據的服務副本美國澄清境外

38、合法使用數據法案外國政府是否提供了對隱私和公民權利足夠的實質和程序上的保護中國個人信息和重要數據出境安全評估辦法規定企業在開展數據出境業務時，需自行組織或委托網絡安全服務機構對數據出境開展安全評估2020 年巴西數據處理、數據文件及個人自由法第三國或國際組織提供的個人數據保護水平達到本法規定的充分性程度；證明符合本法規定的原則、數據主體權利和數據保護制度的文件，如用以傳輸的具體合同條款2021 年中國中華人民共和國數據安全法關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生

39、的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。中華人民共和國個個人信息處理者向中華人民共和國境外提14人信息保護法供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。數據出境安全評估辦法數據處理者向境外提供數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估，國家網信部門受理申報后，組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。從表 2-4 中可以看出，本階段各國(組織)在限制跨境數據流動中采用多種監管措施，保

40、證跨境數據在一定限制中快速流動，如新加坡和巴西等國使用統一的合同形式，APEC 采取自我約束機制，OECD 采用問責制，跨太平洋組織和歐盟推行一定區域內的數據自由流動，中國采取數據評估模式，印度要求數據流動前的本地化，美國則在實施數據的“長臂管轄”。綜上，通過對跨境數據流動法律監管制度的梳理，可以看出跨境數據流動經歷了由寬松自由轉向限制流動，再到限制中快速流動的轉變?？偠灾?，跨境數據流動不論是要獲得主體同意，還是簽訂合同，或是采取其他認證方式，都表明了各國對于跨境數據流動的基本態度，即施以一定程度的限制，防止個人數據的隨意輸出及濫用，以此提升對本國公民數據的保護水平3 個人數據跨境流動的典型

41、安全保護機制個人數據跨境流動的典型安全保護機制概述概述目前國際上尚未形成統一的個人數據跨境流動安全保護機制，各個國家在制定本國的個人數據跨境流動監管制度時，往往從實現本國利益最大化的角度，根據一國國內的經濟發展程度、社會價值取向、立法傳統以及國際局勢等因素，設計符合本國國家利益需要的數據監管機制。對此，一些西方發達國家憑借其在互聯網數據產業的先發優勢，通過“長臂管理”擴充其數據管轄范圍，從而獲取更多的數據資源，促進本國經濟發展，這種“進攻型”的立法模式則以美國和歐盟為代表。在個人數據跨境流動的監管和保護方面，歐美則又采取了兩種截然不同15的做法。在歐盟的立法中更加注重對個人數據的保護，形成了較

42、為嚴格的數據傳輸機制；而美國則更加注重個人數據的經濟效益，倡導數據的自由流動。在此背景下，相對落后的發展中國家為保護本國數據產業的發展和維護國家安全，從信息主權的角度，采取數據本地化的保守策略，即在立法要求中將在其境內獲取的數據進行本地化存儲，限制或禁止本國信息向境外流動，這種“防御型”的個人數據跨境流動安全規制方式一俄羅斯的國內立法為代表。3.1“充分保護充分保護”與限制流動：以歐盟為代表與限制流動：以歐盟為代表歐盟將個人數據作為人權來保護，側重數據接收國需要達到歐盟對數據保護的標準?！俺浞直Ｗo”與限制流動模式是指數據輸出國認定第三國或國際組織能夠提供充分或對等保護后，會將其放入許可的白色

43、清單中，個人數據可以自由傳輸至白色清單中的第三國或國際組織。歐盟、新加坡、新西蘭等國家或地區的立法中均規定了“充分保護”。歐盟是“充分保護”與限制流動模式最為典型的代表。2018 年 5 月 25 日，GDPR 正式生效，被稱為“史上最嚴數據保護條例”。GDPR 第五章規定了數據跨境流動的基本原則與具體規則，形成了以“充分保護”標準為核心、以適當保障措施和例外情形為補充的多重保障機制。1、“充分保護”標準GDPR 第 45 條第 1 款規定了“充分保護”標準，在 2015 年 Schrems I 案中，歐盟法院將充分保護界定為“基于第三國國內法和所做的國際承諾，數據保護達到與歐盟必要相等

44、程度水平”，即第三國可以采取與歐盟不同的數據保護方式，但應證明其保護措施能達到與歐盟必要相當程度的保護水平。第三國是否達到“充分保護”標準由歐盟委員會進行認定，且至少四年審查一次，實踐中，在判斷“充分保護”標準時，歐盟委員會傾向于個案認定，即采用情境分析的方法對每個申請主體的情況進行個案裁判。第三國通過“充分性”認定后，歐盟各國的個人數據可以自由跨境傳輸至該第三國，既利于保護歐盟各國的個人數據，也利于雙方的數據自由跨境流動。2、適當保障措施和法定例外情形由于歐盟個人數據保護的重視程度和標準較高，導致進入“充分保護”白名單的國家較少。鑒于全球化時代數據跨境流動的需要，對于未進入“充分保護”1

45、6白名單的國家，GDPR 規定數據控制者或處理者可以通過采取適當保障措施或基于例外情形實現歐盟各國個人數據向第三國或國際組織的跨境傳輸。適當保障指的是數據控制者或處理者在未達到“充分保護”標準的情況下，如果提供了適當保障，且數據主體獲得可強制執行的數據主體權利和有效法律救濟，就可以跨境傳輸數據。根據 GDPR 的規定，適當保障措施可分為需監管機構特別授權和不需監管機構特別授權的保障措施，不同主體可以根據自身情況靈活選擇。此外，GDPR 還規定了向第三國或國際組織傳輸個人數據的 7 種法定例外情形，以滿足數據跨境流動的現實需要。綜上所述，GDPR 所規定的適當保障措施和例外情形旨在保護個人

46、數據的同時促進數據的跨境流動，實現數據跨境流動保護、限制與自由的平衡。3、非個人數據歐盟內自由流動2018 年 10 與 4 日，歐洲議會通過了非個人數據自由流動條例（以下簡稱條例）。條例從禁止歐盟各國數據本地化與促進數據無障礙遷移兩方面出發，力圖實現歐盟單一市場內非個人數據的自由流動與利用。條例賦予了各成員國報告、廢止數據本地化相關規定的義務，同時積極促進非個人數據的跨境遷移，鼓勵和促進歐盟層面制定自律行為守則。條例旨在消除歐盟范圍內的非個人數據自由流動的地域障礙，實現非個人數據在歐盟各成員國內的高度自由流動，以推動形成歐盟單一數字市場，促進歐盟數字經濟的發展?？偠灾?，歐盟形成了一套“內

47、外有別”的數據跨境流動體系：無論是個人數據還是非個人數據，歐盟均積極推動數據在歐盟范圍內的自由流動，而對數據流向歐盟范圍以外設置了限制性標準。GDPR 對世界范圍內的數據跨境流動規則具有較強影響力，成為各國進行數據保護立法的參考模板。許多國家都依照 GDPR 規則完善數據保護機制，以期達到 GDPR 規定的“充分保護”標準。例如，韓國于 2016年年修訂了個人信息保護法，并積極與歐盟委員會談判，希望能借此加入“充分性認定”白色清單。3.2 行業自律與自由流動：以美國為代表行業自律與自由流動：以美國為代表不同于歐盟限制數據自由跨境流動、提高個人數據的保護水平，美國的數據跨境流動規制以行業自律

48、為核心，注重數據的經濟效益和自由流動。此外，美國17積極參與雙邊或多邊協議合作，謀求國家間的數據自由跨境流動和自由貿易、增強自身的全球數據話語權。1、行業自律模式行業自律模式美國深刻地意識到數字時代的數據價值，追求經濟利益和國家利益。在此背景下，美國在聯邦層面并未形成統一的數據保護法，而是采取行業自律模式進行數據保護，鼓勵放寬數據跨境流動的限制。在諸多場景中將個人數據視為商業活動中消費者保護問題，由行業內部制定數據跨境流動的相關規范，利于在尊重市場發展規律的基礎上推動數據自由跨境傳輸，實現“數據石油”的占有和利用。相應的，美國沒有統一的針對數據跨境流動的數據保護法，其有關數據跨境流動的立法分

49、散于重點特定領域，限制重要數據出口，包括醫療健康、教育、兒童隱私、金融等領域的數據1。此外，美國積極通過立法推動國家間的數據自由流動。例如，澄清合法使用海外數據法（Cloud 法案）確立了數據控制者標準，賦予了美國政府調取存儲于他國境內數據的合法權利，即不論數據是否存儲在美國境內，只要該數據為美國公民或企業所控制，通信服務商就應當向美國披露該數據信息?？偠灾?，美國的數據跨境流動規制以促進數據自由跨境傳輸為宗旨，以經濟利益和自由貿易為導向，采取行業自律模式進行數據保護，同時限制重要領域數據的跨境流動，呈現出自治性、分散性、靈活性的特點。2、通過雙邊或多邊合作協議建立國際數據跨境流動規則通過雙邊

50、或多邊合作協議建立國際數據跨境流動規則為推動國家間的數據自由流動，美國積極開展雙邊或多邊對話與合作，通過雙邊和多邊合作達成國家之間數據流動的制度安排，試圖引導國際數據跨境流動規則的建立。（1）美歐：從）美歐：從“安全港安全港”到到“隱私盾隱私盾”如上所述，歐美的數據保護理念與制度設計存在差異，這種差異導致雙方的數據流動存在障礙。出于經濟往來和經濟利益的需要，美國與歐盟先后簽訂了美歐安全港協議和歐美隱私盾協議，形成了數據跨境流動的合作機制。據美歐安全港協議規定了雙方信息傳輸、數出存儲等內容。美國企業加入該協議并按要求作相應承諾，即可被認為達到歐盟指令標準，歐盟各國的個人數據便可傳輸至美國

51、境內進行存儲或處理。美歐安全港協議為美國與歐盟各國搭建了1例如，美國健康保險攜帶和責任法規定了醫療健康數據的跨境傳輸；外國投資風險審查現代化法案則將涉及關鍵或敏感數據的美國企業做出的特定非控股外國投資納入安全審查范圍。18數據跨境流動的合法渠道，緩解了雙方數據流動的限制問題。受到“棱鏡門”事件和利益沖突的影響，歐盟法院于 2015 年宣布美歐安全港協議失效。2016年，美國與歐盟重新談判并簽署了歐美隱私盾協議，在保留美歐安全港協議的基礎之上，增加了更多保障性內容，例如，禁止美國官方監控獲取歐盟成員國公民個人信息、建立年度審查機制等。然而，2020年7月，歐盟法院對SchremsII 案

52、作出最終判決，直接宣布歐美隱私盾協議無效，同時對 GDPR 第 46條規定的其他數據跨境流動的常規途徑提出了更高的標準和要求，包括標準合同條款、有約束力的企業規則等。歐美隱私盾協議失效和歐盟數據跨境傳輸的高標準，導致歐之間的數據跨境傳輸陷入了新的僵局和困境。從“安全港”到“隱私盾”再到“隱私盾”破裂，美國與歐盟的數據跨境流動協議反映了雙方在差異中尋求合作的妥協。然而，雙方在數據保護差異上的利益合作具有極大的不穩定性，可能需要不斷的談判與妥協。（2）美韓協定與美墨加協定）美韓協定與美墨加協定除歐盟之外，美國還積極尋求與其他國家達成數據跨境流動協議。2012 年，美國與韓國簽署美韓自由貿易協定

53、，第一次將數據跨境流動引入自由貿易協定，其中第 15 條第 8 款規定美韓應“盡力避免對電子信息跨境流動施加或保持不必要的障礙”。2020 年，美國、墨西哥與加拿大簽發美國墨西哥加拿大協定，其中第 19 條規定締約國遵守亞太經合組織的隱私跨境規則，約定三方不得禁止或限制數據跨境傳輸。（3）引導區域規則的建立）引導區域規則的建立此外，美國也活躍于引導建立數據跨境流動的國際規則。美國引導亞太經合組織（APEC）先后通過了隱私框架和跨境隱私規則體系（CPBR）。2004 年，美國促成 APEC 通過隱私框架，規定了個人隱私/數據保護的九大原則，其中第 69 條明確規定了“應避免限制成員國之間的個

54、人信息跨境流動”。2013 年，APEC 通過 CPBR，規定若成員國承諾遵守隱私框架的九項原則，則個人數據可以在成員國之間自由流動，而無需受到其他限制。2015 年，在美國的主導下，12 個國家達成跨太平洋戰略經濟伙伴協定（TPP），TPP 鼓勵數據自由跨境流動，禁止數據本地化，帶有明顯的美國特點。由于擔心受到貨幣操縱的影響，美國于 2017 年宣布退出 TPP，但 TPP 對數據跨境流動的影響仍在19持續。2017 年 12 月，以 TPP 為基礎框架的全面與進步跨太平洋伙伴關系協定（CPTPP）生效2。CPTPP 電子商務篇章承繼了 TPP 中禁止數據本地化的原則，認為各成員國應在能夠

55、實現合法公共政策目標的前提下，盡可能不限制商業行為的跨境電子信息傳輸。綜上所述，美國數據跨境流動規制以鼓勵數據自由跨境流動為宗旨，主要包含以行業自律模式進行數據保護和積極參與國際合作以增強數據話語權兩個方面。3.3 數據主權與數據本地化模式：以俄羅斯為代表數據主權與數據本地化模式：以俄羅斯為代表數據本地化是指政府通過制定法律政策等方式將數據保留在本國境內，屬于數據跨境流動的一種限制性政策。數據本地化并不等于禁止跨境數據流動，在滿足數據本地化政策規定的要求后，數據可在允許范圍內進行跨境流動。數據本地化是注重數據安全、數據主權和國家安全的體現，因而，大部分國家都在不同程度上采取了數據本地化措施，俄

56、羅斯就是強調數據本地化存儲的國家之一。俄羅斯的數據跨境流動規制重視數據主權與國家安全，強調數據的本地化存儲，在保護個人數據與國家利益的基礎上限制數據的自由跨境流動。俄羅斯在數據領域具有完備的立法，其立法長期關注國家、國防和軍事安全，并建立了完善的數據本地化規則。首先，俄羅斯聯邦個人數據法第 12 條規定了數據跨境流動的基本規則：數據跨境以本地化存儲為前提，在符合法定情形時可以跨境傳輸，此外，俄羅斯也存在類似歐盟的“白名單”制度，允許數據在法律規定的范圍內跨境流動。其次，俄羅斯建立了較為完善的數據本地化制度，其數據本地化規范主要包含于俄羅斯聯邦個人數據法關于信息、信息技術和信息保護法和聯邦行政

57、處罰法修正案等法律中，涉及個人數據的存儲、處理和對數據本地化違法行為的行政處罰等各個方面?？傮w而言，俄羅斯在建立以108 號公約、白名單和法定例外情形為主要內容的數據跨境規制體系之外，重視數據本地化規則的建立，限制個人數據的自由流動。俄羅斯在數據本地化存儲方面的要求比美國和歐盟更為嚴格，數據跨境2CPTPP 的成員國為除美國外的原 TPP 的 11 個成員國：日本、澳大利亞、文萊、加拿大、智利、馬來西亞、墨西哥、新西蘭、秘魯、新加坡和越南。20流動程度較之歐盟和美國則相對更低。俄羅斯的數據跨境規制模式實現了本國數據的本地化存儲、處理和監督，既利于保護公民隱私權，又利于維護數據主權、數據安全和國

58、家安全。然而，數據本地化措施會為國際貿易與國際合作設置障礙，增加企業負擔與經濟成本，不利于境內外貿易往來和數字經濟的發展。因此，如何平衡數據本地化限制與數據自由流動，是俄羅斯數據跨境流動需要關注的重點。4 重點國家及區域組織重點國家及區域組織（或自貿協定或自貿協定）對個人數據跨境流動對個人數據跨境流動的安全規制的安全規制4.1 中國中國4.1.1 中國個人數據跨境流動安全立法現狀中國個人數據跨境流動安全立法現狀我國數據跨境流動的有關立法呈現出現行有效法律、征求意見稿和草案兼具的特點，其中重要立法主要包括網絡安全法數據安全法個人信息保護法新評估辦法等法律規范。1、立法現狀、立法現狀（1）201

59、6 年年 11 月月 7 日全國人大會常委通過日全國人大會常委通過中華人民共和國網絡安全法中華人民共和國網絡安全法中華人民共和國網絡安全法（以下簡稱網絡安全法）由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于 2016 年 11 月 7日通過，自 2017 年 6 月 1 日起施行。網絡安全法首次規定了數據跨境流動的法律要求，確立了對關鍵信息基礎設施運營者的數據本地化存儲及數據跨境傳輸的安全評估要求3。隨后，國家網信辦于 2017 年 4 月發布了評估辦法，規定了網絡運營者在中國境內運營中收集和產生的個人信息和重要數據本地化存儲及數據跨境傳輸的安全評估要求4。評估辦法堅持數

60、據本地化存儲要求，3網絡安全法第 37 條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定?！?評估辦法第 2 條規定：“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估?！?1規定了數據出境的安全評估重點內容，但并未制定評估部門和具體化評估標準，在實踐操作上仍存在一定的障礙。（2）2021 年年 6 月月 10 日，國

61、家主席習近平簽署第八十四號主席令，正式頒日，國家主席習近平簽署第八十四號主席令，正式頒布中華人民共和國數據安全法布中華人民共和國數據安全法2021 年 6 月 10 日，國家主席習近平簽署第八十四號主席令，正式頒布中華人民共和國數據安全法（以下簡稱數據安全法），自 2021 年 9 月 1 日起施行。2021 年 6 月 10 日通過的數據安全法表明了我國促進數據跨境安全、自由流動的態度，但沒有制定數據跨境的具體規則，僅僅規定重要數據的出境安全管理辦法由國家網信部門會同國務院有關部門制定，即數據安全法的出臺并未改變我國數據跨境立法不完善的現狀。但可以預見的是，數據安全法中確立的數據分類分級

62、保護制度必將成為我國數據跨境法律規制的基礎。（3）2021 年年 8 月月 21 日全國人大常委會表決通過中華人民共和國個人信日全國人大常委會表決通過中華人民共和國個人信息保護法息保護法2021 年 8 月 21 日全國人大常委會表決通過了中華人民共和國個人信息保護法（以下簡稱個人信息保護法）。該法第三章專門規定了個人信息跨境的相關規則，主要包括三部分：第一，個人信息處理者向境外提供個人信息，可以通過經國家網信部門安全評估、經專業機構進行個人信息保護認證和與境外接收方訂立合同等方式5。并且，個人信息處理者應采取保障境外接收方處理個人信息的活動達到該法規定的個人信息保護標準的必要措施。第二

63、，個人信息處理者向境外提供個人信息的，應向個人告知信息出境相關情況并取得其“單獨同意”。第三，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內；確需向境外提供的，應當通過國家網信部門組織的安全評估。個人信息保護法區分了普通的個人信息處理者、關鍵信息基礎設施運營者和處理個人信息達到一定數量的個人信息運營者，對后者提出數據本地化和出境安全評估的特別要求，并明確了普通個人信息處理者向境外提供個人信息的要求。除以5個人信息保護法第 38 條第 1 款規定：“個人信息處理者因業務等需要，確需向中華人民共和國境外提供個

64、人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件?！?2上法律規范外，我國有關數據跨境流動的規范還分散于專門立法或行業規范之中6。（4）2021 年年 10 月月 29 日日，國家互聯網信息辦公室發布了國家互聯網信息辦公室發布了數據出境安全評數據出境安全評估辦法（征求意見稿）估辦法（征求意見稿）2021 年 10 月 29 日，國家網信辦起草的數據出境安全評估辦

65、法（征求意見稿）（下稱“征求意見稿”）正式向社會公開征求意見，本次征求意見稿闡述了網絡安全法數據安全法和個人信息保護法“三駕馬車”中有關數據出境安全評估的適用標準、評估事項、評估流程等問題。綜合我國有關數據跨境流動的現行有效法律、草案和征求意見稿，可以預計我國未來將形成以數據安全法個人信息保護法為核心、以評估辦法為具體要求、重點領域專門規范的數據跨境流動規制體系。我國現行有效法律強調數據本地化存儲和出境安全評估，而個人信息保護法規定的數據本地化政策則更為柔性：對于普通個人信息處理者而言，主管部門的安全評估是其中一種選擇，個人信息處理者可以選擇合同協議等其他方式向境外傳輸個人信息；對于關鍵信息基

66、礎設施運營者和處理個人信息達到一定數量的個人信息運營者，數據出境安全評估則是必然要求。個人信息保護法的數據本地化規定兼顧了個人信息的保護和利用，合理設置了數據出境的限制條件。2、國際合作、國際合作在數據跨境流動的雙邊或多邊合作方面，我國作為APEC成員國，加入了APEC隱私框架，但并未加入 APEC跨境隱私規則體系（CPBR）。此外，在我國加入的自由貿易協定之中，中韓自由貿易協定和中澳自由貿易協定涉及個人信息和數據保護，但兩份協定均僅就采取措施保護電商用戶個人信息達成共識，并未有具體的保護規則和數據跨境、數據流動的相關內容。2020 年 11 月，我國與日本、韓國、澳大利亞、新西蘭及東盟十

67、國共同簽署了區域全面經濟伙伴關系協定（RCEP）。RCEP 第十二章規定的電子商務致力于在亞太區域內達成廣泛適用的電子商務規則，提出締約國應在線上個人信息保護、非應邀商業電子信息監管等領域進行合作。尤其是該章第 15 條關于通過電子方式跨境傳輸信息，明確各締約方不得阻止受協定約束的主體為進行商業行為而通過電子方式跨6例如，我國征信管理條例規定，征信數據和數據處理應在我國境內進行；個人金融信息保護技術規范指出，在我國境內收集的個人金融信息應在境內進行存儲處理和分析。23境傳輸信息。但 RCEP 既沒有明確“商業行為”以及“信息”的概念和范圍，也沒有規定違反“不得阻止”義務的后果。此外，還規定了

68、三類例外情形，即監管例外、合法公共政策例外和基本安全例外，給予了各國極大的自由裁量權7?？梢?，該條更傾向于為促進亞太地區跨境電子商務發展的倡導性約定?，F今，我國正式申請加入 CPTPP，這不僅有利于發展數字貿易和數字經濟，促成我國與墨西哥、加拿大建立良好貿易關系，而且還是我國對國家間數據跨境流動的進一步表態。CPTPP 電子商務一章第 14 條明確規定，“每一締約方應允許通過電子方式跨境傳輸信息，包括個人信息，如這一活動用于涵蓋的人開展業務”。與 RCEP 規定“不得阻止”的消極不作為義務相比，CPTPP 采用積極作為義務的規定，明確傳輸的“信息”包括“個人信息”，不采用“商業行為”一詞，而表

69、述為為開展業務之目的，適用客體和場景明顯更廣。不僅如此，CPTPP 規定的例外情形僅有兩類：監管例外和范圍更窄的公共政策例外8。相較于 CPTPP 相關規定，CPTPP 的內容更明晰、確定，致力于消除各締約國電子信息自由傳輸的壁壘。但值得注意的是，雖然我國相關法律中規定可以按照中國參加的國際條約、協定條件進行個人信息跨境流動，但就加入 CPTPP 是否將會對我國國內法的數據跨境流動規定的具體實施產生影響，以及產生何種影響，還有待進一步檢視9。4.1.2 中國個人數據安全中國個人數據安全監管機構監管機構2017 年實施的網絡安全法明確規定由網信部門負責統籌協調網絡安全工作和相關監督管理工作

70、。個人信息保護屬于網絡信息安全的一部分，也是網絡安全的重要議題之一。因此，各機構在這一領域的監管工作同樣由網信辦負責統籌。網信辦主要針對“互聯網信息內容”實施監管，網信辦有獨立實施檢查調查和約7此處的“監管例外”指 RCEP 第 15 條第 1 款的規定，即“締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監管要求”?！昂戏ü舱呃狻焙汀盎景踩狻狈謩e指 RCEP 第 15 條第 3 款的規定，即“本條的任何規定不得阻止一締約方采取或維持：（一）任何與第二款不符但該締約方認為是其實現合法的公共政策目標所必要的措施，只要該措施不以構成任意或不合理的歧視或變相的貿易限制的方式

71、適用；或者（二）該締約方認為對保護其基本安全利益所必需的任何措施。其他締約方不得對此類措施提出異議?！?此處的“監管例外”指 CPTPP 第 14.11.1 條規定的“締約方認識到每一締約方對通過電子方式傳輸信息可設有各自的監管要求”?！肮舱呃狻敝?CPTPP 第 14.11.3 條規定的“本條中任何內容不得阻止一締約方為實現合法公共政策目標而采取或維持與第 2 款不一致的措施，只要該措施：（）不以構成任意或不合理歧視或對貿易構成變相限制的方式適用；及（）不對信息傳輸施加超出實現目標所需限度的限制”。9個人信息保護法第 38 條第 2 款規定：“中華人民共和國締結或者參加的國際條約、協

72、定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行?！?4談處罰等監管措施的權力。工業和信息化部（“工信部”）屬于國務院部委，下設的信息通信管理局（“信管局”）為電信管理機構，負責具體監管電信和互聯網市場的用戶個人信息保護。網絡用戶個人信息安全屬于公安機關網絡安全保衛部門的監管范圍。在企業與用戶之間，App 運營企業屬于網絡服務提供者，用戶為網絡服務消費者，根據消費者權益保護法，市場監督管理局有權保障消費者的個人信息安全，追究經營者的侵權責任。4.1.3 中國個人數據跨境流動安全中國個人數據跨境流動安全監管措施監管措施1、網絡安全法、網絡安全法（1）明確了相關定義）明確了

73、相關定義1網絡運營者網絡運營者：“網絡”是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統”，而“網絡運營者”是指“網絡的所有者、管理者和網絡服務提供者”。網絡運營者范圍很廣，不僅包括電信或互聯網服務提供者，還包括為內部使用目的擁有和運營信息網絡的公共機構和私營實體。2關鍵信息基礎設施運營者關鍵信息基礎設施運營者：網絡安全法第三十一條將關鍵信息基礎設施相對模糊的界定為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域”的基礎設施，“其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公

74、共利益”。3個人信息個人信息：網絡安全法首次在法律層面規定了統一的個人信息定義。網絡安全法國遵循際主流的個人信息的定義，采用識別標準界定個人信息，第七十六規定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。4重要數據重要數據：網絡安全法首次在法律層面提出了重要數據的概念（第31 條），但未對其具體界定。（2）首次提出了數據境內存儲。首次提出了數據境內存儲。網絡安全法的一個重大的立法發展是首次在國內法律層面明確規定了數25據境內存儲的要求。網絡安全法第三十七條規定

75、，境內存儲數據要求僅適用于關鍵信息基礎設施運營者。關鍵信息基礎設施運營者應在中國境內存儲在境內運營收集和產生的個人信息和重要數據，且僅得出于業務需要，經過相關監管機關安全評估，方可向境外傳輸此類信息和數據。（3）處罰處罰網絡安全法第六十六條規定，關鍵信息基礎設施的運營者違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。另外，數據跨境轉移也可能涉及刑事責任

76、，刑法修正案（九）補充規定了拒不履行信息網絡安全管理義務罪：“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重后果的；（三）致使刑事案件證據滅失，情節嚴重的；（四）有其他嚴重情節的。2、數據安全法、數據安全法（1）數據出境的主體：關鍵信息基礎設施的運營者）數據出境的主體：關鍵信息基礎設施的運營者&其他數據處理者其他數據處理者1關鍵信息基礎設施的運營者“關鍵信息基礎設施”定義參照網絡安全法和關鍵信息基礎設施安全保護

77、條例。2其他數據處理者數據安全法將數據的收集、存儲、使用、加工、傳輸、提供、公開等活動明確界定為“數據處理”，而實施上述活動的主體則為“數據處理者”。但此“數據處理者”從其內涵和法律意義來看不同于 GDPR 項下的“數據處理者”。實施收集、存儲、使用、加工、傳輸、提供、公開數據等行為的跨國公司，無論其是否建設、運營、維護、使用上述關鍵信息基礎設施，均因其實施數據處26理行為而落入數據安全法第三十一條的規制主體范疇。（2）數據出境的對象：重要數據）數據出境的對象：重要數據數據安全法并非要求所有數據出境均應進行審查，而是針對企業在中華人民共和國境內運營中收集和產生的重要數據進行數據出境安全管理。對

78、于“重要數據”的范疇，數據安全法第二十一條在概念界定的基礎之上提出了“重要數據目錄”，該目錄則是由國家數據安全工作協調機制統籌協調有關部門制定。數據安全法第二十一條規定，國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地

79、區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。3 3重要數據的出境管理重要數據的出境管理數據安全法第三十一條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定?！北緱l規定了重要數據出境安全管理的規定，主要涉及兩方面內容，一是關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；二是除關鍵信息基礎設施的運

80、營者處理的重要數據外，其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。關于“重要數據”的范圍，主要指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍應參照國家”重要數據目錄”和國家重要數據識別的相關標準。27（3）處罰）處罰數據安全法第四十八條規定，違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停

81、相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。2、個人信息保護法個人信息保護法個人信息保護法進一步完善了關于個人信息出境的管理規定，在網絡安全法基礎之上，增加了專業機構的個人信息保護認證、國家網信部門的標準合同等方式，個人信息出境的合法路徑日益便利。（1）明確了個人信息出境的條件明確了個人信息出境的條件個人信息保護法第三十八條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構

82、進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。尤其需要強調的是，要求個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。另外，根據個人信息保護法第十二條規定，國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。（2）明確了個人信息不得出境的情

83、形明確了個人信息不得出境的情形1 1非經主管機關批準，不得向外國有關司法、執法機構提供境內個人信非經主管機關批準，不得向外國有關司法、執法機構提供境內個人信息。息。28個人信息保護法第四十一條規定，中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。2 2列入負面清單的境外組織、個人。列入負面清單的境外組織、個人。個人信息保護法第四十二條規定，境外的組織、個人從事侵害中華人民共

84、和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。3 3我國對其采取對等限制措施的國家和地區。我國對其采取對等限制措施的國家和地區。個人信息保護法第四十三條規定，任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。（3）明確了個人信息出境的程序明確了個人信息出境的程序1 1告知并取得個人同意告知并取得個人同意個人信息保護法第三十九條規定，個人信息處理者向中

85、華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。2 2應當進行個人信息保護影響評估應當進行個人信息保護影響評估個人信息保護法第五十五條規定，向境外提供個人信息的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估應當包括下列內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應。個人信息保護影響評估報告和處理情況記

86、錄應當至少保存三年。3 3符合一定條件的，應當進行安全評估符合一定條件的，應當進行安全評估首先是關鍵基礎設施運營者向境外提供個人信息，應當進行安全評估。個29人信息保護法第四十條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。我國網絡安全法第三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按

87、照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。數據安全法第三十一條規定：關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據的出境安全管理，適用網絡安全法的規定。其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。國家機關向境外提供個人信息，應當進行安全評估。個人信息保護法第三十六條規定，國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。而根據個人信息保護法第三十七條的規定，法律、法規授權的具有管

88、理公共事務職能的組織為履行法定職責處理個人信息，適用本法關于國家機關處理個人信息的規定。因此，法律、法規授權的具有管理公共事務職能的組織和國家機關一樣，向境外提供個人信息，也應當進行安全評估。國家網信辦于 2021 年 10 月發布的數據出境安全評估辦法（征求意見稿）第四條規定了出境需要評估的重要信息范圍：“數據處理著向境外提供數據，符合以下情形之一的，應當向所在地省級網信部門向國家網信部門申報數據出境安全評估：（一）關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；（二）出境數據中包含重要數據；（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；（四）累計向境外提供超過十

89、萬人以上個人信息或者一萬人以上敏感個人信息；（五）國家網信部門規定的其他需要申報數據出境安全評估的情形?！眹揖W信辦于 2021 年 12 月發布的網絡安全審查辦法做出了重要補充，其中第五條第一款和第七條分別規定：“關鍵信息基礎設施運營者采購網絡產品30和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查?！?、“掌握超過 100 萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查?！标P于具體的評估流程，目前信息安全數據出境安全評估指南規定了包括總體流程、自行評估及主管部門評估流程及

90、出境后的評估等具體內容。（4）個人信息出境的其他形式個人信息出境的其他形式若個人信息出境尚未達到以上安全評估要求時，可選擇個人信息保護認證、與境外方簽訂合同等辦法。1 1個人信息的保護認證個人信息的保護認證個人信息保護法規定，按照國家網信部門的規定經專業機構進行個人信息保護認證的也可以出境。從已經有媒體所公布的相關信息來看，支付寶（中國）網絡技術有限公司，騰訊云計算（北京）有限責任公司，北京百度網訊科技有限公司云計算事業部等，因建立的個人信息安全管理體系符合國家標準及隱私政策要求，成為國內首批通過個人信息安全管理體系認證的試點單位，已于 2019 年2月 2 日獲得中國網絡安全審查技術與認證中

91、心個人信息安全管理體系認證證書。2 2與境外接收方訂立合同與境外接收方訂立合同個人信息保護規定，按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，也可以出境。數據出境安全評估辦法（征求意見稿）中第九條對合同的簽訂、雙方的責任和義務等條款列出了相關規定：“數據處理者與境外接收方訂立的合同充分約定數據安全保護責任義務，應當包括但不限于以下內容：（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施；（三）限制境外接收方將出境數據再轉移給其他組織、個人的約束條款；（

92、四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區法律環境發生變化導致難以保障數據安全時，應當采取的安全措施；（五）違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款；（六）發生數據泄露等風險時，妥善開展應急處置，并保障個人維護個人信息權益的通暢渠道?！?1（5）處理個人信息的境外機構的注意事項處理個人信息的境外機構的注意事項個人信息保護法第三條第二款規定，在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情

93、形。如個人信息出境后，符合上述規定，仍適用本法。此時，境外機構應設置專門機構和指定代表。個人信息保護法第五十三條規定，本法第三條第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。3、數據出境安全評估辦法數據出境安全評估辦法數據出境安全評估辦法（以下簡稱評估辦法）的發布一是落實上位法的數據出境管理規定和要求；二是保障數字經濟健康有序發展；三是應對數據跨境傳輸和境外匯聚的安全風險。（1）明確了適用范圍。明確了適用范圍。評估辦法第二條規定：“數據處

94、理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息，應當按照本辦法的規定進行安全評估；法律、行政法規另有規定的，依照其規定?！睂ⅰ皵祿鼍场倍x為“向境外提供”，將需要安全評估的出境數據定義為“在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息”。具體適用范圍如下圖所示：32圖圖 4-1 數據處境安全評估的適用范圍數據處境安全評估的適用范圍（2）明確了數據出境總體評估原則明確了數據出境總體評估原則評估辦法第三條明確規定：“數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合，防范數據出境安全風險，保障數據

95、依法有序自由流動?！薄笆虑霸u估”即數據在安全評估通過之前不得出境?！俺掷m監督”則體現在第十二條規定：“數據出境評估結果有效期二年。在有效期內出現以下情形之一的，數據處理者應當重新申報評估：（一）向境外提供數據的目的、方式、范圍、類型和境外接收方處理數據的用途、方式發生變化，或者延長個人信息和重要數據境外保存期限的；（二）境外接收方所在國家或者地區法律環境發生變化，數據處理者或者境外接收方實際控制權發生變化，數據處理者與境外接收方合同變更等可能影響出境數據安全的；（三）出現影響出境數據安全的其他情形。有效期屆滿，需要繼續開展原數據出境活動的，數據處理者應當在有效期屆滿六十個工作日前重新申報評估。

96、未按本條規定重新申報評估的，應當停止數據出境活動?！保?）明確風險自評估和安全評估的流程及事項明確風險自評估和安全評估的流程及事項1 1評估流程評估流程評估辦法第五條明確規定：“數據處理者在向境外提供數據前，應事先33開展數據出境風險自評估”，評估辦法第六、七、十、十一條規定了安全評估的具體流程，具體流程如下圖所示：圖圖 4-2 數據出境評估流程數據出境評估流程2 2評估事項評估事項評估辦法第五條和第八條分別規定了風險自評估和安全評估的具體事項，詳見下表。表表 4-1 風險自評估和安全評估的具體事項及對比分析風險自評估和安全評估的具體事項及對比分析風險自評估風險自評估安全評估安全評估對比分析對

97、比分析數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性數據出境的目的、范圍、方式等的合法性、正當性、必要性前者較后者增加“境外接收方”處理目的等合法性、正當、必要性出境數據的數量、范圍、種類、敏感程度出境數據的數量、范圍、種類、敏感程度前者與后者一致數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險雖然前者與后者一致，但后者在表達上與所有安全評估事項構成“總分”關系，而欠前者與其他自評估事項構成“并列”關系，邏輯上存在一定差別數據處理者在數據轉移環節的管理和技術措施

98、、能力等N/A數據處理者防范風險的措施和能力更適合進行自行評估34能否防范數據泄露、毀損等風險境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求前者與后者基本一致數據出境和再轉移后泄露、毀損、篡改、濫用等的風險出境中和出境后泄露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險前者與后者基本一致個人維護個人信息權益的渠道是否通暢等數據安全和個人信息權益是否能夠得到充分有效保障后者涵蓋的范圍比前者更廣與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義

99、務數據處理者與境外接收方訂立的合同中是否充分約定了數據安全保護責任義務前者與后者基本一致N/A境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安全的影響僅在后者列出，增加了評估部門的審核事項N/A遵守中國法律、行政法規、部門規章情況僅在后者列出，增加了評估部門的審核事項（4）明確了數據出境的合規流程）明確了數據出境的合規流程下表給出了數據出境的合規流程：35圖圖 4-3 數據出境合規流程數據出境合規流程4.2 香港香港4.2.1 香港個人數據跨境流動安全立法現狀香港個人數據跨境流動安全立法現狀目前，香港與數據跨境傳輸相關的法規主要有兩個：香港立法會制定的個人資料（私隱）

100、條例和香港個人資料私隱專員公署發布的保障個人資料：跨36境資料轉移指引，其中保障個人資料：跨境資料轉移指引是對個人資料（私隱）條例指導性說明。1995 年，香港參考 1980 年經濟合作與發展組織的隱私保障指引和 1995 年歐盟的數據保障指令制定了個人資料（私隱）條例（香港法例第 486 章）（以下簡稱“條例”），其中第 33 條對數據跨境傳輸做了具體規定，但由于各種原因，第 33 條一直沒有正式實施。2021 年，香港立法會對條例進行修訂，但第 33 條仍未正式實施。雖然條例第 33 條尚未實施，但香港個人資料私隱專員公署于 2014 年發布了保障個人資料：跨境資料轉移指引（以下簡稱“指引

101、”），旨在為資料使用者提供合規指引。4.2.2 香港香港個人數據安全個人數據安全監管機構監管機構香港個人資料私隱專員（PCPD）負責對個人數據安全進行監管。4.2.3 香港香港個人數據跨境流動安全個人數據跨境流動安全監管措施監管措施1、個人資料（私隱）條例、個人資料（私隱）條例（1）基本概念）基本概念條例第 2 條將個人資料定義為“指符合以下說明的任何資料（a）直接或間接與一名在世的個人有關的；（b）從該資料直接或間接地確定有關的個人的身份是切實可行的；及（c）該資料的存在形式令予以查閱及處理均是切實可行的”。由以上定義可以看出，條例“個人資料”與歐盟通用數據保護條例（GDPR）中“個人數據

102、”以及我國的個人信息保護法中“個人信息”不同，前者更強調“確定”性，即要明確到個人具體身份，而后兩者則強調“可識別”性，即僅需群體中挑出個體，但無需具體到個人身份。另外，條例也未對個人資料進行細分，如敏感信息等。條例中也未對跨境傳輸進行具體定義，但在香港個人資料私隱專員公署出臺的保障個人資料：跨境資料轉移指引（以下簡稱“指引”）中對個人資料跨境轉移做出如下定義：“轉移資料至香港境外通常涉及把個人資料由香港37發送或傳輸至另一司法區作儲存及或處理，例如以送遞、郵遞或電子方式傳送載有個人資料的文件或電子文件”。（2）具體規定）具體規定1）規制對象）規制對象條例第 33（1）條規定了禁止轉移到香港以

103、外地方的個人資料范圍以外的地方，并對個人資料的范圍進行了限定：“(a)其收集、持有、處理或使用是在香港進行的個人資料；或(b)其收集、持有、處理或使用是由主要業務地點是在香港的人所控制的個人資料”。目前，第 33 條一直未正式實施，因此條例中現有的與數據跨境相關的規定主要有：（a）禁止未經當事人同意將個人資料用于新目的（附表 1 保障資料原則第3 原則第（1）款）;（b）資料使用者需對其代理人的行為負責，包括海外服務者提供者（第 65條第（2）款）;（c）資料使用者需確保資料處理者（包括香港內外聘用的處理者）對個人資料的保存時間不超出必要時間（附表 1 保障資料原則第 2 原則第（3）款）；（

104、d）資料使用者聘用的資料處理者須保證傳輸到其的資料處理者（包括香港內外聘用的處理者）的數據安全（附表 1 保障資料原則第 4 原則第（2）款）。2）例外情況）例外情況根據條例第 33（2）條，除下列情況外，禁止將個人資料轉移到香港范圍以外的地方：（a）轉移到“白名單”中制定的地方；（b）目的地司法管轄區有足夠的的數據保護制度；（c）資料當事人的書面同意；（d）為避免和減輕對資料當事人的不利影響而進行的轉移；（e）個人資料的使用不受保障資料第 3 原則的限制（使用限制）；（f）資料使用者采取合理的預防措施和盡職調查（例如：合同條款）。3）處罰規定）處罰規定根據條例第 64A 條，資料使用者沒有合

105、理辯解而違反第 33 條，即屬犯38罪，最高可被判處罰款港幣 10,000 元。根據條例第 50 條，專員亦可向違反第 33 條或保障資料原則的資料使用者發出執行通知（第 50 條）。根據條例第 50A 條，違反專員發出的執行通知即屬犯罪，可被判處罰款及監禁，及如罪行在定罪后持續，可處每日罰款。2、保障個人資料：跨境資料轉移指引、保障個人資料：跨境資料轉移指引指引主要對條例第 33 條的使用范圍進行了澄清，并對第 33 條中指出的例外情況即可進行個人資料轉移的情況進行了說明。（1）對條例第）對條例第 33 條適用范圍的澄清條適用范圍的澄清1）條例第）條例第 33 條的適用對象條的適用對象第

106、33 條適用于“資料使用者”。根據條例第 2（1）條，就個人資料而言，“資料使用者”指“獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人”，同時，根據條例第 2（12）條，“如某人純粹代另一人持有、處理或使用的任何個人資料，而該首述的人并非為其任何本身目的而持有、處理或使用(視屬何情況而定)該資料，則(但亦只有在此情況下)該首述的人就該個人資料而言不算是資料使用者”。例如，通信服務商為其他資料使用者傳輸個人資料，則就個人資料而言，通信服務商就不屬于資料使用者，不受第33 條管制。但是，若某人使用通信設施或服務傳輸其控制的個人資料，那么該人就必須遵守第 33 條的規定。2）條

107、例第）條例第 33 條的適用情形條的適用情形第 33 條規定的資料轉移主要涉及以下兩種情形：（i）將個人資料經由香港轉移至境外；（ii）香港的資料使用者在兩個司法區之間轉移個人資料。下表中給出了是否構成將個人資料轉移至香港境外的幾種常見情形2：表表 4-2 是否構成將個人資料轉移至香港境外的幾種常見情形是否構成將個人資料轉移至香港境外的幾種常見情形序號序號具體情形具體情形是否構成是否構成1聘用香港境外的資料處理者（無論在香港境內存儲或境外存儲個人資料）是2把個人資料交予香港境外的代理商用于電話營銷是3把顧客或員工的個人資料存儲于公司數據庫，供其下轄子公司（位是39于世界各地）共用4在香港發郵件

108、給香港接受者，但因網絡線路問題需經香港境外服務器中轉否5未經允許的第三者在香港境外查閱個人資料，如黑客入侵否例如，一名香港境內人士將個人資料經互聯網轉移至另外一位香港境內人士，其網絡線路途經香港境外，但在其個人資料在傳輸過程中沒有被查閱或儲存，那么這種情況不屬于第 33 條適用范疇。然而，如果資料接受者位于香港境外，那么該行為就要受到第 33 條的管制。例如，一家跨國公司在位于香港境內的服務器存儲個人資料，但其在香港境外辦事處的工作人員可以下載有關資料，這種情況就也屬于第 33 條適用范疇。因此，某一數據轉移行為是否屬于第 33 條適用范圍應視實際情況進行判定。指引中還特別指出，資料使用者授權

109、第三方對個人資料進行處理的趨勢愈發普遍，因此，在這種趨勢下，資料使用者必須通過某種方法（例如簽訂合同等）來防止資料處理者對資料的保存超過處理該資料所需的必要時間，防止資料未經授權被查閱、處理、刪除或使用等。（2）對條例第）對條例第 33 條例外情況的說明條例外情況的說明針對條例第 33 條提到的 6 種例外情況（即可以進行個人資料轉移），指引在第二部分進行了詳細說明。1）第）第 33(2)(a)條專員在憲報指明的司法區白名單條專員在憲報指明的司法區白名單個人資料私隱專員（以下簡稱“專員”）會對其他司法區的資料保護（或數據保護）機制進行評估，以確定這些司法區是否有“與條例大體相似或達致與條例的目

110、的相同的目的之法律”正在生效。專員需要確定該司法區對個人資料的保護程度是否與條例規定的相符，轉移至香港境外的個人資料獲得的保護范圍與條例所要求的是否相似，從而確定該司法區是否可以加入資料轉移“白名單”。專員會不時根據有關司法區資料保護（或數據保護）方面法律的變化對“白名單”進行復核，并通過憲報進行公告。資料使用者可以將個人資料轉移至“白名單”上任一司法區。2）第第 33(2)(b)條該地方有條該地方有“與條例大體上相似或達致與條例的目的相同的目與條例大體上相似或達致與條例的目的相同的目的之法律的之法律”正在生效正在生效40這條外情況主要是針對沒有被專員評估的司法區，而不是專員已評估但評定為不足

111、以納入白名單的司法區。如果資料使用者要將個人資料轉移至白名單外的司法區，只需其有合理理由確保該區域有“與條例大體相似或達致與條例的目的相同的目的之法律”。為符合和這項要求，資料使用者可參考“白名單”的編制方法，對擬接收者所在區域的資料保護（或數據保護）機制進行專業評估。該評估應綜合考慮各種因素，包括適用范圍、是否有相同的保護原則、當事人的權利和救濟方法、遵守程度以及傳輸限制等。資料使用者不能僅依靠主觀信任，必須證明其相信是客觀合理的。資料使用者應妥善保存可作評估依據的相關爭?。ㄈ绶梢庖姡?，以證明其有合理理由相信該司法區有“與條例大體上相似或達致與條例的目的相同的目的之法律”正在生效。3）第）

112、第 33(2)(c)條資料當事人以書面同意轉移條資料當事人以書面同意轉移該條規定明確當事人同意是個人資料轉移的條件之一。當事人必須自愿且明確得以書面形式表示同意資料使用者將其資料轉移至香港境外，并且沒有撤回該書面同意。因為給予同意表明資料當事人允許其個人資料傳輸到一個資料保護程度不確定的地區，甚至低于香港標準的地區，因此取得同意對于資料使用者而言更為嚴苛。資料使用者應明確告知資料當事人資料傳輸的目的以及給予這種同意的后果，即其資料可能獲得低于香港標準的保護。同時，為取得資料當事人的書面同意，資料使用者應以易于理解和可讀的方式告知當時人其個人資料轉移目的地等信息，如下圖所示：41圖圖 4-4 資

113、料使用者取得資料當事人同意的有效形式資料使用者取得資料當事人同意的有效形式4）第第 33(2)(d)條避免針對資料當事人的不利行動或減輕該等行動所造成的影條避免針對資料當事人的不利行動或減輕該等行動所造成的影響響該項要求適用于在資料轉移前取得資料當事人的同意是不可行的，并且如果可行，資料當時人會給予同意，轉移的目的是為了保護資料當事人的個人利益。例如，為履行以資料當事人為主體的合同必須轉移，如不轉移會給資料當事人帶來巨大的經濟損失。必須注意的是，這一項例外適用范圍很窄，資料使用者必須能夠證明其理由是合理的，并提供相關的事實證明材料。5）第第 33(2)(e)條條例第條條例第 VIII 部的豁免

114、部的豁免如適用條例VIII 部分給出的豁免條款（第 52、58、59、60B、61、62 和63C 條），資料使用者可提供相關證明材料進行資料跨境轉移。6）第第 33(2)(f)條已采取所有合理的預防措施及作出所有應作出的努力條已采取所有合理的預防措施及作出所有應作出的努力，以確以確保處理個人資料的方式不會違反條例的規定保處理個人資料的方式不會違反條例的規定指引中表明，資料使用者可以通過簽訂合同（包括但不限于）以確保個人資料獲得與條例所規定的同等的保護，從而可以合法得將個人資料轉移至香港境外。指引在附件中給出了資料轉移的合同范本，但這一示范條款僅為建議，不做強制要求。資料使用者也可采用非合同式

115、的監督及審核機制，監督資料接受者是否遵守條例附表 1 所列的資料保護原則。香港的境外接受者必須滿足資料保護原則的第 2 條到第 6 條規定。2、監管機制監管機制（1）法定監管機構）法定監管機構香港個人資料私隱專員公署成立于 1996 年 8 月 1 日，是一個獨立的法定機構，負責監察條例的施行3，公署由個人資料私隱專員負責，私隱專員由香港特別行政區行政長官委任。私隱專員主要通過審查及回應查詢和投訴來處理有關個人的信息保護的事項。（2）個人信息保護的法律救濟）個人信息保護的法律救濟香港對個人信息保護的法律救濟途徑主要是向私隱專員投訴。香港市民若認為自己的個人信息安全存在危險或是受到侵害時，可向私

116、隱專員進行投訴，由私隱專員審閱、處理、調查后發出執行通知或警告。私隱專員的投訴處理流程如下42圖所示：圖圖 4-5 投訴處理流程投訴處理流程市民若對私隱專員的處理結果不滿意，可以向上訴委員會上訴或向法院提起訴訟。4.3 歐盟歐盟4.3.1 歐盟個人數據跨境流動安全立法現狀歐盟個人數據跨境流動安全立法現狀2015 年，歐盟委員會啟動了單一數字市場戰略（Digital Single MarketStrategy），旨在將 28 個成員國市場打造成統一的數字經濟市場。該戰略是歐盟發展內部數字市場乃至全球數字市場最為核心與重要的戰略，而作為該戰略三大支柱之一的正式促進數據自由流動政策，以發揮數字經濟的

117、發展潛力。為了配合43戰略實施，歐盟第 29 條工作小組于 2016 年 2 月發布了實施 GDPR 的行動計劃，2016 年 4 月，歐盟理事會和歐盟議會通過了通用數據保護條例（General DataProtection Regulation，下稱 GDPR）。該條例被視為歐盟近年來取得的最大成就之一，它取代了歐盟于 1995 年互聯網發展初期通過的數據保護指令（DataProtection Directive,DPD,下稱 95 指令）。根據 GDPR 第 99 條關于生效和適用的規定，GDPR 自官方公報發布滿 20 日，即 2016 年 5 月 24 日生效，并自其生效后滿兩年，即

118、 2018 年 5 月 5 日直接適用于歐盟全體成員國，以“一個大陸，一部法律”實現在歐盟 28 個成員國內部建立起統一的個人信息保護和流動規則。由于 GDPR 的域外適用效力，被稱為史上最嚴數據保護法的 GDPR 在全球范圍內引起廣泛關注。4.3.2 歐盟個人數據安全監管機構歐盟個人數據安全監管機構每個歐盟成員國的本地數據保護機構（“DPA”）繼續存在并執行數據保護法，其在 GDPR 中被稱為監管機構。歐盟數據保護委員會（“EDPB”）是一個獨立的歐盟機構，負責發布指南并就與 GDPR 相關的事項提供建議。歐盟數據保護委員會同樣需要確保其數據保護成員機構之間的一致性；必須就數據保護機構進行的

119、特定活動發表意見，并且在機構間發生爭議時，扮演爭議解決的角色。所有歐盟成員國的數據保護機構均參與到歐盟數據保護委員會的各方各面。歐洲經濟區（EEA）國家（挪威，冰島和列支敦士登）的數據保護機構的參與程度則比較有限。歐盟數據保護專員公署（“EDPS”）也是歐盟數據保護委員會的成員。歐盟數據保護專員公署負責監督歐盟機構中數據保護規則的應用。4.3.3 歐盟個人數據跨境流動安全監管措施歐盟個人數據跨境流動安全監管措施1、GDPR 制度要點概述制度要點概述相較于 95 指令 GDPR 在地域適用范圍、權利義務配置、監管體系設計等方面進行了較大調整。（1）擴張域外適用效力擴張域外適用效力相較于 95 指

120、令依據傳統管轄權原則確認適用范圍，為應對網絡空間無國界的特征和數據跨境流動常態化的現狀，GDPR 超越了一般以屬地管轄為主，屬人44管轄為輔的原則，而從更為抽象的意義上將所有涉及歐盟地區數據主體個人數據處理的行為均納入了管轄范圍。GDPR 在第 3 條中規定了“屬人”、“屬地”、“保護”、“國際公法”等多種管轄權適用依據：其一，第 3 條（1）規定數據控制者或處理者在歐盟境內的實體機構實施的個人數據處理行為，不論數據處理行為是否發生在歐盟境內。根據 GDPR 序言第 22 條，對于是否存在歐盟內實體機構或營業場所的判斷，只要是通過穩定的安排能夠真正有效的開展活動即可，不拘泥于分支機構亦或是子公

121、司的法律形式。歐洲數據保護委員會（EuropeanData Protection Board，EDPB）認為只要實體機構與數據控制者或處理者之間存在著“無可擺脫的聯系”，則數據控制者或處理者實施的數據處理行為（無論是否發生在歐盟境內）均應受到 GDPR 的約束。其二，第 3 條（2）依據保護原則規定即便數據處理者、控制者以及數據處理行為均不發生在歐盟境內，單位了保護歐盟及歐盟境內居住的數據主體的合法權益明知要向歐盟數據主體提供產品或服務或監控其行為的個人數據處理行為，均應受到 GDPR 的約束。其三，第 2條（3）條規定雖然數據控制者設立在歐盟境內，但依據國際公法，其所在地區適用歐盟成員國法律

122、時，其行為也受到 GDPR 約束（2）擴張數據主體權利擴張數據主體權利GDPR 第三章（第 12 條-23 條）規定了數據主體的權利，包括透明度及模式、知情與數據的訪問、更正與刪除，反對權和自動化決策、權利限制等五個部分的內容。相較于 95 指令所規定的數據主題權利，GDPR 在以數據主題“知情同意”為基本框架，保留、細化并拓展了 95 指令中已有的查詢、更正、刪除、反對、免受完全自動化決定權等數據主體權力體系，并新增了被遺忘權、閑置處理權和數據可攜帶權。（3）強化數據控制者、數據處理者問責強化數據控制者、數據處理者問責GDPR 在引入一站式監管機制降低數據控制者等企業日常合規負擔的同時，也要

123、求數據控制者、數據處理者內部建立完善的問責機制，更多地以企業內部合規性業務規定推進 GDPR 的落地。具體來說，主要體現在設置數據保護官、對數據處理活動實現文檔化管理、實行數據保護影響風險評估制度、對高風險數據處理活動向監管機構事先咨詢、向監管機構和數據主體實行數據泄漏事件的報告和通知、強調匿名化與假名化安全保障湊是等等。除此之外，GDPR 與 95 指令45顯著不同指出還在于 GDPR 考慮到大數據、云計算產業的諸多業務發展需求，在大多數情況下明確了數據處理者和數據控制者負有同等業務，并且明確數據處理者在數據安全、數據泄露、數據保護影響風險評估等方面對數據控制者負有協助業務，以及數據處理服務

124、終止時的數據刪除或返還業務。（4）豐富數據跨境流動機制豐富數據跨境流動機制為應對日益增長的全球跨境流動和 95 指令體系下監管體制之間的不協調，歐盟在此次數據保護改革中著力數據跨境傳輸機制進行了完善，重點在于提升數據跨境流動監管政策的流動性，明確禁止成員國數據跨境流動監管學科的適用，并注重發揮行業協會等社會監督和市場自律作用，最終形成了基于充分認定、并有拘束力公司規則、標準合同條款、經批準的行為準則、經批準的認證機制或標志等構成的多源數據跨境流動監管路徑，實現用戶隱私、數據安全與數據跨境流動需求之間的協調與平衡。（5）改革數據保護監管體制改革數據保護監管體制為確保 GDPR 在適用過程中能實現

125、對不同成員國之間的協調，相較于 95 指令的監管體系，GDPR 在監管機構、監管模式、監管手段等方面均作出了重大變革，在整個歐盟層面，GDPR 的首要變化在于設立歐盟數據保護委員會（EDPB）取代了 95 至零下的第 29 條工作組（WP29），EDPB 由各成員國數據保護監管機構負責人和歐盟數據保護專員（EDPS）組成，負責代表整個歐盟層面發布有關個人數據保護的相關意見、指南、協調一站式監管機制并促進交流等，以確保GDPR 在歐盟各成員國內適用的統一性。除此之外，GDPR 新增監管一致性機制，以應對跨境數據流動場景下設計多個成員國監管機構的情形，減輕監管成本和企業合規成本，力圖實現一站式管理

126、服務。在一致性機制下，當涉及多個監管機構市，則需要區分主導監管機構和線管監管機構，由主要營業地的數據保護監管機關作為主導監管機關，數據控制者等監管對象只需向主導監管機構履行相關業務，由主導監管機構及時將相應監管事項通知其余相關監管機構，后者僅在有限的緊急情況下才得對領土內的被監管對象采取措施。2、個人數據跨境流動的原則與流程個人數據跨境流動的原則與流程GDPR 共 11 章 99 款，其中第 5 章 44-50 款是對個人數據跨境流動的具體規定。它不僅涉及數據跨境流動的基本原則，事實上也明確了數據跨境流動的把關46流程。概括地說，個人數據是否可以跨境流動到歐盟經濟區以外的地區，首先要符合一般數

127、據保護原則，如目的限制、數據最小化、有限的存儲期、數據質量要求、按設計和默認情況進行數據保護及處理、特殊類別個人數據的處理、確保數據安全的措施等。在此前提下，需要遵循以下原則：（1）“充分保護水平充分保護水平”原則原則如果歐盟委員會認定第三國（或該第三國領土一個或多個特定部分）或某個國際組織，對個人數據實現了“充分”保護，個人數據向該第三國或國際組織的流動可以進行。GDPR 第 45 條第 2 點規定了在評估保護水平是否充分時，應特別考慮到下列因素：（a）法治、尊重人權和基本自由、一般和部門性相關立法。它包括關于公共安全、國防、國家安全和刑法以及公共當局獲取個人數據的立法，以及關于此類立法、數

128、據保護規則、專業規則和安全措施的實施規定，如將個人數據傳輸到第三國或國際組織所遵循的規則、判例法以及有效和可執行的數據主體權利和保障數據主體權利的有效行政和司法補救；（b）存在獨立監督機構并有效運作，負責確保數據保護規則的強制執行。包括充分的執法權，以協助數據主體行使其權利并向其提供建議、意見，并與成員國的監管當局合作；（c）已加入的國際承諾，或具有法律約束力的公約、文書以及因參與多邊或區域體系而產生的其他義務，特別是在個人數據的保護方面?？梢?，“充分性”決定的標準包括：（a）符合歐盟的基本價值觀，特別是將個人數據保護作為基本人權的觀念。歐盟在評估第三國或第三國境內的領土或特定部門時，尤其關注

129、其尊重法治、訴諸司法的機會、國際人權規范和標準的落實、一般法律和部門法等。（b）有明確和客觀的標準，如現行具體的數據加工活動以及適用的法律標準和立法的范圍。（c）確保提供的保護水平基本上相當于歐盟內部的保障水準。（d）確保有效的獨立數據保護監督，具有與歐盟成員國數據保護當局的合作機制，并應向數據主體提供有效的、可強制執行的權利保障，包括行政和司法救濟?！俺浞中浴睕Q定并非一勞永逸，而是每四年就要經過重新評估。GDPR 要求歐盟委員會監測和定期審查第三國或國際組織特定部門的數據保護水平，這一定期審查要與有關第三國或國際組織協商進行，并考慮到第三國或國際組織的所有相關事態發展。在監測和進行定期審查的

130、過程中，歐盟委員會應考慮到歐洲議會和理事會以及其他有關機構的意見和調查結果，評估和審47查結果要向歐洲議會和歐洲理事會報告。當歐盟委員會認為第三國或第三國境內的特定部門、某一部分或國際組織不再能確保充分的數據保護，就應禁止向該第三國或國際組織傳輸個人數據。如果出現這種情況，歐盟委員會應及時將理由通知第三國或國際組織，并與他們進行協商如何加以糾正。（2）“適當保障適當保障”原則原則在沒有獲得“充分性”決定的情況下，數據控制者或處理者應采取措施，通過對數據主體的適當保障措施，以彌補數據保護水平不夠的情況。GDPR 第 46 款第 2 點規定了適當的保障措施包括：利用企業約束規則、歐盟或監管機構通過

131、的標準數據保護條款、歐盟委員會授權的合同條款等。這些措施應確保遵守數據保護要求，能保障數據主體的權利，包括提供可執行的規定和有效的法律救濟措施。這些措施應遵守與個人數據處理有關的一般原則。數據流動也可由行政當局或具有相應職能的國際組織執行，比如通過諒解備忘錄，在為數據主體規定可執行和有效的權利的情況下加以傳輸。在不具有法律約束力的行政安排中規定的保障措施，應獲得主管監督機構的授權。GDPR鼓勵數據控制者和處理者采用歐盟委員會提供的標準合同條款為數據主體提供權利保障。此外，GDPR 第 47 款第 1 點規定了有約束力的公司規則應符合以下條件：(a)該規則具有法律約束力，適用于企業集團的每一個有

132、關成員或從事聯合經濟活動的企業集團，包括其雇員，并由其執行。（b）明確賦予數據主體處理其個人數據的可強制執行的權利。（c）規則必須含有以下內容，即有企業集團內部結構及其每個成員的聯系方式，涉及跨境流動的個人數據目錄、處理類型及其目的、受影響的數據主體類別以及有關第三國的情況，體現一般數據保護原則的要求，數據主體的處理權利和行使這些權利的手段（包括提出申訴、獲得補償等），投訴程序，企業集團或從事共同經濟活動的企業集團內的、以確保核查是否符合 BCR 的機制，報告和記錄規則變化并向監督機構報告這些變化的機制，與監督機構的合作機制，向數據監管機構報告的機制，對永久或定期訪問個人數據的人員進行適當的數

133、據保護培訓規定等。（3）禁止未授權傳輸原則禁止未授權傳輸原則GDPR 第 48 款規定了：法院的任何判決以及第三國行政當局要求數據控制者或處理者傳輸或披露個人數據的任何決定，只有在基于國際協議的情況下，如48第三國與歐盟或其成員國之間生效的司法協助條約，才能得到承認或執行。歐盟認為，有些第三國通過法律、法規和其他法律行為直接規范該國管轄下的自然人和法人的信息加工活動，這可能包括司法判決或行政當局的決定，要求控制者或加工者傳輸或披露個人數據。這些法律、法規和其他法律行為的域外適用可能違反國際法，也可能妨礙對歐盟境內自然人的保護。因此，GDPR 規定，只有在滿足本條例規定的數據跨境傳輸條件的情況下

134、才允許傳輸。（4）例外原則例外原則GDPR 第 49 款第 1 點規定了在既沒有達到“充分保護水平”，又沒有適當保障措施的情況下，數據的跨國界傳輸只有在滿足下列條件之一時方可進行：（a）在被告知進行此類傳輸的風險后，數據主體明確同意；（b）為執行數據主體與控制者之間的合同或執行應數據主體要求采取的合同前所必須進行的傳輸；（c）傳輸對于在數據控制者與另一自然人或法人之間訂立或履行為數據主體利益而訂立的合同是必要的；（d）由于公共利益的重要原因；（e）傳輸是建立、行使或辯護法律要求所必需的；（f）在數據主體實際或法律上沒有能力表示同意的情況下，為了保護數據主體或其他人的切身利益；（g）傳輸是根據歐

135、盟或成員國法律向公眾提供信息的登記冊進行的，該登記冊可供公眾或任何能夠證明合法利益的人查閱，但僅限于在特定情況下，符合歐盟或成員國法律規定的條件下才能進行。上述前三種情況不適用于公共當局在行使公共權力時開展的活動，第四種情況中所述的公共利益應在歐盟法律或數據控制方所涉成員國的法律中得到承認。在沒有被認定為“充分保護”的情況下，歐盟或其成員國法律可出于重大公共利益原因，明確限制向第三國或國際組織傳輸特定類別的個人數據。如果是成員國做出此類決定，應將這些規定通知歐盟委員會。由此亦可見“充分保護”水平在 GDPR 數據傳輸中的首要地位。（5）延伸保護原則延伸保護原則這一原則是要實現個人數據在歐盟境內

136、、境外實現同等保護。GDPR 要求，在任何情況下，如果歐盟委員會沒有就第三國的數據保護水平做出“充分性”認定，數據控制者或處理者應利用解決方案，為個人數據出境的數據主體提供可執行和有效的保障措施，使其繼續受益于基本權利和保障。對于第三國和國際組織，GDPR 第 50 款規定歐盟委員會和監管機構應采取以下適當步驟，對傳輸至其中49的數據加以保護：（a）建立國際合作機制，促進可有效執行的、保護個人數據的立法；（b）在執行保護個人數據的立法方面提供國際互助，包括通過通知、投訴移交、調查協助和信息交換，以實現對個人數據和其他基本權利及自由的適當保障；（c）讓利益攸關方參與旨在促進國際合作以執行保護個人

137、數據立法的討論和活動；（d）促進個人數據保護立法和做法的交流和記錄，包括與第三國的管轄權沖突。為實現上述目標，監管當局之間的合作就顯得尤為重要。當個人數據被傳輸至歐盟。以外時，自然人可能會冒著無法行使數據保護權利的風險，特別是免受非法使用或披露該信息的侵害風險大大增加。同時，監管當局可能會發現他們無法就境外活動的投訴進行調查?？缇潮尘跋卤O管當局的共同努力也可能因預防或補救法律制度不一致以及資源限制等而受到阻礙。因此，GDPR 認為有必要促進數據保護監督機構之間更密切的合作，以幫助他們與國際同行交流信息和開展調查。為了發展國際合作機制以促進和提供國際互助，執行保護個人數據的立法機構和監督當局應基

138、于雙向對等并符合本條例的精神，與他國主管當局交流信息并開展與行使其權力有關的活動?；谏鲜鲈瓌t，基于 GDPR 的個人數據跨境流動的流程可用下圖表示：圖圖 4-6 基于基于 GDPR 的個人數據跨境流動流程圖的個人數據跨境流動流程圖3、個人數據跨境流動的條件、個人數據跨境流動的條件GDPR 在第 1 條中，即明確了個人數據在歐盟境內的自由流通不得因為保護自然人而被限制和禁止。而針對數據控制者向歐盟以外的第三國或國際組織，或者再次將數據轉移至另一個第三國或國際組織，GDPR 規定了三種情形：（1）如果轉移目的國或國際組織經歐盟委員會認定達到充分標準，則進入50了白名單，向該國或國際組織進行數據轉

139、移無需特別授權。（2）數據控制者已采取了適當的保障措施，且數據主體能夠行使權利和獲得司法救濟。具體包括具有約束力的集團企業規則（Binding Corporate Rules，以下簡稱“BCR”）、符合歐盟頒布的標準合同條款（Standard Contractual Clauses，以下簡稱“SCC”)、符合歐盟批準的行為準則（CSACode of Conduct）以及經批準的認證機制（certification mechanism）、封印或者標識。（3）其他特殊情況，例如數據主體明確知情并同意，是履行數據主體與數據控制者間合同所必需的特殊情況，或非重復進行、只涉及有限數據主體、為數據控制者追

140、求合法法益并且提供了適當的措施。108 號公約和 GDPR 對于數據跨境流通的相關規定存在明顯的承繼關系。一方面，歐盟也倡導個人數據在歐盟境內的自由跨境流通，要求不得增設相關的限制和禁止；另一方面，歐盟對于歐盟內部個人數據的對外（即第三國或國際組織）轉移保持著非?？酥频膽B度，并建立了白名單白名單+標準合同標準合同+內部準則內部準則+例外例外的合規框架。這是目前世界上唯一一個規范成員國對外數據跨境流轉的合規框架。該框架目前被世界各國所廣泛承認，各國家及地區采取積極的立法行動，以謀求加入歐盟白名單，例如美國的安全港/隱私盾協議、英國的數據保護法案、新加波的個人數據保護法、迪拜的迪拜國際金融中心數據

141、保護法等，都采用了這個框架。4、歐盟數據跨境管控機制范式、歐盟數據跨境管控機制范式（1）標準合同條款）標準合同條款標準合同條款（Standards Contractual Clauses，SCCs）是由歐盟委員會“預先批準”的合同范本條款，根據通用數據保護條例（GDPR），確保適當數據保護保障措施的合同條款可作為從歐盟向第三國傳輸數據的依據。2021 年 6 月 4日，歐盟委員會發布了 GDPR 下的現代化標準合同條款，用于從歐盟/歐洲經濟區（或以其他方式受 GDPR 約束）的控制者或處理者向歐盟/歐洲經濟區（不受GDPR 約束）以外的控制者或處理者傳輸數據。一項適用于數據控制者與數據處理者之

142、間的數據委托處理活動，一項適用于向第三國傳輸個人信息的情形?！驹L問下載】https:/ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/standard-contractual-clauses-scc/standard-contractualclauses-international-tra51nsfers_en（2）充分性認定國家）充分性認定國家充分性認定是只有當第三國對于個人數據的保護水平達到歐盟的要求，歐盟成員國的個人數據才能進行數據跨境流動。根據通用數據保護條例（

143、GDPR）規定，認定第三國是否提供了“充分的”數據保護，通過第三國個人數據保護相關法律制度的完備情況、執行情況等因素判斷。目前，充分性決定的國家包括:安道爾、阿根廷、加拿大(商業組織)、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭、韓國?！驹L問下載】https:/ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/adequacy-decisions_en（3）約束性企業規則）約束性企業規則約束性企業規則（Binding Corporate Rule

144、s，BCRs）是個人數據從歐盟出口到其他沒有被歐盟確認滿足充分性保護的國家，而提供的對個人數據足夠保護的法律手段?？鐕?、集團公司如果具備歐盟成員國數據管理機構認可的約束性企業規則，則可以直接進行集團內部的數據跨境傳輸，而無需在另行批準?？鐕?、集團公司如果具備歐盟成員國數據管理機構認可的約束性企業規則，可以直接進行集團內部的數據跨境傳輸，無需在另行批準。約束性企業規則制定出后需經主導性的歐盟成員國內的數據保護機構批準授權方可實施。目前，歐盟委員會以及各成員國的數據保護機構會公示已經授權的 BCRs的企業包括：【訪問下載】https:/edpb.europa.eu/our-work-too

145、ls/accountability-tools/bcr_en4.4 美國美國美國對個人數據流動采取積極利用態度，兼顧經濟性與自由性，但并未放松監管。美國對個人信息流動限制力度較小，其他國家或地區加入美國主導的數據流動門檻相對較低。但必須認識到，美國確立這一方針與其本地企業利益密切相關，亞馬遜、谷歌、微軟等跨國科技企業的發展異常依賴數據的獲取與處理。524.4.1 美國個人數據跨境流動安全立法現狀美國個人數據跨境流動安全立法現狀在數據跨境流動方面，2018 年美國頒布的澄清境外數據的合法使用法（又稱云法案（Cloud 法案）規定，符合條件的外國政府加入簽訂數據流動協議后，可以直接命令美國境內的

146、組織傳送數據，美國也可以根據協議相應條款直接獲取該成員國或地區境內組織的數據信息。但云法案確立了“數據控制者”標準，即只有符合“數據控制者”標準的國家或地區才能與美國進行數據交換。4.4.2 美國個人數據安全監管美國個人數據安全監管機構機構美國目前還沒有一個絕對的數據保護監管機構。消費者保護機構（例如：聯邦貿易委員會（FTC）有權制裁侵犯消費者隱私的行為并要求公司采取補救措施。聯邦貿易委員會法第 5 部分禁止市場中出現不公平、欺騙或欺詐行為，公司不遵循隱私政策或相關立法的行為構成欺騙性行為，因此賦予 FTC 以這一領域內的執法權力。另外，FTC 是一系列聯邦隱私法的主要執法機構，包括但不限于

147、GLBA，FCRA 和兒童在線隱私保護法（COPPA）。此外，其他的消費者保護機構（例如：聯邦通信委員會）也有針對數據保護執法的權利。對于如 CCPA 的州層面立法而言，各州的檢察總長可能為其執法機構。4.4.3 美國個人數據跨境流動安全監管美國個人數據跨境流動安全監管措施措施1、監管模式、監管模式（1）以屬人原則為主）以屬人原則為主Cloud 法案明確了兩個基本問題，一是美國政府對于非美國本土，即境外的但由美國自身控制的數據擁有絕對的管轄權，二是外國政府若想訪問調取位于外國本土境內但由美國控制的數據，必須允許美國訪問完全由其控制的其他數據，由此作為同等待遇，而且美國可以隨時關閉該渠道。美國通

148、過 Cloud 法案明確了自身對于境外由自身所控制的數據管轄權，即通過“數據控制者標準”主張數據的管轄。具體而言，只要是美國的數據服務者依據美國存儲通信法案所規定的義務要求保存、備份、披露通信內容、記錄或其他信息，且這些數據為美國的數據服務者擁有、監管或者控制，則美國當仁不讓53地對這些數據享有管轄權，即使數據存儲地點位于國外。因此，可以推斷出美國其實是通過自身的數據基礎優勢將數據服務擴展至其他國家境內，進而利用他國的數據服務空白搶占數據的擁有、監管或控制，并依據 Cloud 法案的“數據控制者標準”對于美國服務商主張屬人管轄，由對美籍服務商的對人管轄轉變成對其擁有、監管或者控制的數據的對物管

149、轄，從而實現對境外非美國本土數據的管理約束?；跀祿綌祿刂普咴俚綌祿刂普咚鶎賴业臄祿鳈喙茌牭嚷撓刁w系，充分顯現了美國的長臂管轄原則，其本質上是一種屬人管轄權在全球的拓展延伸，目的在于實現美國對全球數據市場的搶奪占領。（2）屬地原則為輔屬地原則為輔依據“數據控制者標準”，美國境外由美國數據服務商控制的數據，美國具有管轄權，境內由美國服務商控制的數據更加不用質疑美國管轄權的合法性。美國為了避免自身本土境內的數據被他國所占有，采取了嚴格的管控措施，一方面通過設置前文所述的嚴格限制數據外流措施，允許美國境內的數據他國無法接觸，以此確保屬地管轄原則的適用；另一方面，嚴格限制外國高科技產業在美國

150、的發展，例如華為等高科技企業在美國或在由美國控制的自由市場上均會遭到嚴格抵制，甚至賦予“中國霸權論”等標識進而嚴格限制外國企業的進入，此舉保障了美國數據市場管轄權的單一性，實現境內屬地管轄原則的充分適用。美國依托遍布全球的美國數據服務商等物理基礎設施和領先的科技經濟實力，輔以美國國際上對外宣稱的跨境數據自由流動體系，以及迅速制定的如Cloud法案下對于境外數據的數據控制者標準”，實現了數據市場的充分占有，進而依托對屬人原則的擴展適用實現對境外數據的管轄權爭奪；對于境內的數據采取嚴格適用屬地管轄原則，并通過限制數據流出和抵制外國企業進入本國來保證屬地原則在其國內的穩固地位。2、Cloud 法案法

151、案（1）立法宗旨）立法宗旨Cloud 法案的主旨蘊含著“雙重改變”，一方面法案改變了 SCA 阻止美國公向美國政府提交他們所儲存的電子數據，另一方面法案也改變了 SCA 禁止美國公司向外國政府披露相關的電子數據。Cloud 法案確立了美國政府奉行的“數據控制者標準”，通過修訂存儲通訊54法案（the Stored CommunicationsAct，以下簡稱 SCA 法案）內容，繞開了 MLAT（Mutual Legal Assistance Treaties）司法協助條約，為快速獲取存儲在本國地理范圍之外的數據打下基礎。根據 SCA 法案，網絡服務提供者均應當按照法律規定保存、備份、披露通信

152、內容、記錄或其他信息，只要上述通信內容、記錄或其他信息為該服務提供者所擁有（possession）、監管（custody）或控制（control）。Cloud法案對網絡服務提供者能否向政府披露位于國家地理疆域之外服務器存儲的信息做出了明確規定，無論此通信、記錄或其他信息是否存儲在美國境內，美國政府都有權在法定的情形下隨時調取，網絡服務提供者均負有提供該數據的司法協助義務。同時，Cloud 法案規定了美國網絡服務提供商向外國政府快捷提供電子數據的情形。作為全球最大數據控制者所在地的美國，不可能對外國政府關于電子數據的請求無動于衷，缺乏規則設計層面的回應。CLOUD 法案的內容填補了 SCA法案的

153、缺漏，為外國政府在實務中快捷獲取電子數據提供了可能，凸顯了美國為促進電子數據流動所做的努力。簡而言之，Cloud 法案確立的“數據控制者標準”解決了美國政府獲取本國數據控制者跨境電子數據的難題，也為其他國家獲得美國數據控制者相關電子數據提供了可能的途徑。（2）主要內容）主要內容1 1適用對象適用對象根據 Cloud 法案的規定，美國獲取境外的電子數據應當為涉及到美國公民并屬于美國公司控制下的數據，只有在涉及法定的犯罪，才能啟動調取電子數據的程序。Cloud 法案中調取美國數據的外國政府并非是普遍意義的國外組織，而是應當具備法定的適格條件，并遵循相關程序才能成為法案適用的主體。2 2美國調取數據

154、的范圍及其例外美國調取數據的范圍及其例外根據 Cloud 法案的規定，僅在涉嫌危害美國國家安全的犯罪、嚴重的刑事犯罪等重大案件才適用該法案，這排除了不具備網絡性的普通刑事案件。同時，法案規定了調取數據的例外情形。如果同時滿足以下三個條件，網絡服務提供者可以免除披露數據的義務。第一，產生立法沖突。披露義務將會導致服務提供者違反“符合資格的外國政府”的立法并因此產生法律沖突。第二，違背司法公正。如果該個案的具體情形違背司法公正，該法律流程應當被撤銷或修改。第三，適用55對象不適格。適用對象的確不是“美國人”且不在美國居住，適用對象產生了認識錯誤。以上三個條件是否滿足應當由法院進行相應“禮讓分析”，

155、即對所涉利益、法律結果以及關聯性進行審查才能得出最后結果。3 3外國政府調取美國數據外國政府調取美國數據如果外國政府需要調取存儲在美國的數據，應當首先符合“有資格的外國政府”的認定條件。該認定條件主要表現為三個方面：第一，該政府是否擁有相關法律制度并具有良好的法治環境。第二，該政府是否具有有效監管獲取電子數據的機制與能力。第三，該國政府應當展現出對全球信息自由流動和維護互聯網開放、分布以及互聯本質的決心和承諾。Cloud 法案規定了調取證據應當遵循的條件。法案第 17 條例舉了遵循條件的具體要求，總體說來聚焦于數據披露過程中保障數據隱私，防止數據的不合理擴散，主要體現為最小化、范圍限定以及數據

156、相互訪問三個原則?？偠灾?，美國 Cloud 法案對境外電子數據的“獲取”和“提供”做出原則性的規定，既劃定了電子數據獲取的法定范圍，又設置了對外提供電子數據的資格條件與法律程序，有效保障了美國獲得跨境電子數據的權利。4.5 日本日本4.5.1 日本個人數據跨境流動安全立法現狀日本個人數據跨境流動安全立法現狀日本個人數據跨境流動安全立法可分為國內與國際兩個方面，如下表所示：表表 4-3 日本個人數據跨境流動安全立法現狀日本個人數據跨境流動安全立法現狀名稱名稱生效時間生效時間制定主體制定主體重點內容重點內容國內主要國內主要規范規范政府與民間數據活動推進基本法2016.12日本總務省打通跨境數據流

157、動中的政府與民間數據壁壘個人信息保護法2017.05日本國會構建日本跨境數據流動基本規則，設立個人信息保護委員會跨境數據流動指南2021.01個人信息保護委員會細化跨境數據流動的具體規則與程序執行，強化數據泄漏處理56國際雙邊國際雙邊/多邊規則多邊規則CPTTP 協定2018.12亞太 11 國確定跨境數據流動非歧視性待遇日歐 EPA 協定2019.02日本、歐盟跨境數據同等保護，日歐數據互相自由流動日美數字貿易協定2020.01日本、美國免除數據服務稅，禁止源代碼訪問，強化數據知識產權保護RCEP 協定2022.01中日韓與東盟數據境外存儲，境內外數據同等保護國內規范上:為進一步推動數據流動

158、，2016 年 12 月頒布的政府與民間數據活用推進基本法，統一數據標準，進一步提升政府與跨境民間數據的交互往來；2017 年 5 月生效的個人信息保護法影響頗遠，首次在法律層面構建了日本跨境數據流動的基本規則，確立了數據向境外轉移的風險防控，還規定了數據境外傳輸過程中的同等保護，設立跨境數據流動的個人信息保護委員會作為監督機關，同時明確規定境外第三方跨境數據流動的從業者的安全義務；個人信息保護委員會為促進跨境數據流動，2021 年 1 月頒布了跨境數據流動指南，對跨境數據流動的事項以及程序等進一步細化。國際雙邊/多邊規則有以下幾個協議文件：CPTTP 協定，2018 年 3 月全面與進步

159、跨太平洋伙伴關系協定（簡稱 CPTPP 協定）核準生效，該協定由日本主導談判，內容包含眾多日本數據治理元素，比如在第 14 章電子商務的規定中明確了數字產品的非歧視待遇，嚴格限制數據本地化，要求成員國出臺規制跨境數據流動的法律框架等；日美數字貿易協定，2019 年 10 月日本與美國簽訂了數字貿易協定，這一協定不僅剔除了締約方監管要求，而且對貿易源代碼，計算設備位置等要求也一并剔除，同時在數據服務稅上推動免關稅傳輸，反映出美日對跨境數據自由化與知識產權保護的新高度；日歐 EPA 協定，2018 年 7 月日本與歐盟簽署了經濟伙伴關系協定（簡稱日歐 EPA 協定），根據通用數據保護條例（簡稱 G

160、DP）的一般規定，歐盟原則上禁止將個人數據帶出歐洲，但是如果數據保護達到歐盟同等情況則例外，在日歐 EPA協定中歐盟與日本達成數據保護的“充分性認識”，承認了日本跨境數據保護的地位，此后日本與歐盟的個人與企業數據可以進行自由流動，與國內數據流動無57異；CEP 協定，2020 年 11 月中日韓以及東南亞等國家通過區域全面經濟伙伴關系協定（簡稱 RCEP 協定），協定于 2022 年生效，這一協定相較于 CPTTP的規定較為寬松，倡導數據跨境自由流動與境外存儲，僅對數字產品待遇、源代碼訪問等問題進行了規制。4.5.2 日本個人數據安全監管日本個人數據安全監管機構機構個人信息保護委員會（PPC）

161、負責監督個人信息保護法的實施與執法情況。4.5.2 日本個人數據跨境流動安全監管日本個人數據跨境流動安全監管措施措施1、監管模式、監管模式日本在探索進程中吸收歐盟、美國跨境數據流動規制的長處，根據本國的實情，逐漸形成了政府主導、民間參與、嚴密監督的跨境數據流動管轄機制。如下圖所示。圖圖 4-7 日本個人數據跨境流動的政府與民間共治日本個人數據跨境流動的政府與民間共治（1）政府主導政府主導內部機構合力，中央到地方一體化治理推進。數據跨境流動不僅促進了日本與外國經濟的交流，同時也對日本政府的治理方式提出更高要求，單一部門的治理難以形成治理支撐，通過內部機構協同合作，構建從中央到地方政府的一體化58

162、治理成為日本治理跨境數據流動的必然選擇。其一，中央依托情報通信技術綜合戰略室（簡稱 IT 綜合戰略室），推進跨境數據流動治理的體制改革。日本的數據治理統一由中央內閣情報官（Chief In-telligence/Innovation/Information/Officer，簡稱中央政府 CIO）統一負責，對內閣官房、總務省、經濟產業省以及全府省進行數據安全評估，其下設的 IT 綜合戰略室、內閣總務官室、內閣廣報室以及內閣情報調查室等部門更是推進跨境數據治理的重要部門，2013 年 8月設立的 IT 綜合戰略室影響最為深遠，其主要任務包含 IT 戰略的立案與推進，加強 IT 治理，推進 IT 體

163、制整改等，目前日本跨境數據治理相關的機構協調工作主要由這一機構負責統籌。其二，地方政府機構治理推進。地方治理以地方政府 CIO 或者副 CIO 主導推進，地方政府 CIO 在跨境數據流動中組織經常性的會議，實行首長負責制。同時，根據個人信息保護法中“服務設計”第 12 條的內容，2018 年開始地方政府紛紛制定了數據治理的中長期計劃，覆蓋了跨境數據治理的相關內容，地方跨境數據流動治理的計劃、程序、信息利用等內容交由地方政府推進，政府 CIO 還設立了信息管理組織 PMO/PJMO 部門強化治理管理，吸收數據治理分科會的治理意見。（2）民間參與民間參與為了推進跨境數據流動治理，2017 年日本頒

164、布了政府與民間數據活動推進基本法，成立政府與民間數據活動推進基本計劃實行委員會，吸收民間法人團體參與跨境數據治理。日本地方參與跨境數據治理的社團有很多，如日本電子產業協會、IT 團體聯盟、EBPM 推進委員會、地方大數據開放推進機構、國立情報學研究所、數據流動推進協議會等，為統一職能，近年來地方法人社團有逐漸合并的趨勢。2017 年 6 月，日本成立了數據流動推進協議會（Data Trading Alli-ance，DTA），該協會成立的目的是設置技術以及數據流動環境，主要由日本的大學、企業以及律師等社會部門構成，協會成了技術標準委員會，推動日本跨境數據流動的統一標準制定，幫助數據提供商以及用

165、戶安全收集、利用數據。2018年 9 月，民間企業牽頭成立了政府與民間數據流動共享協議會（Data PlatformConsortium，DPC），任務是分析數據技術動向，推動跨境機關與團體的信息交換等，促進跨境數據交換中政府與民間的數據流動。2021 年 4 月上述兩個部門聯合 IT 團體聯盟、國立情報研究所等成立數據社會推進協會（Data Society59Alliance，DSA），職權覆蓋了從跨境數據傳輸技術標準到政策制定等，民間團體在跨境數據治理中發揮的力量進一步提升。2、PPC 監管監管為了對個人數據跨境流動進行監管，2017 年生效的個人信息保護法，設立了個人信息保護委員（Per

166、sonal Information Protection Commission，PPC），形成跨境數據流動的一元監管機制。PPC 是獨立于政府和企業的第三方機構，設立最主要目的是對日本境內外數據交互傳輸過程中的風險進行安全監督，PPC 監督的對象包括行政機關、地方公共團體以及公民個體等跨境數據，監管職能包含推進個人信息保護相關的基本方針，對個人信息處理的監督，加強與國外的聯系等。個人信息保護委員主要實施數據流動前以及流動過程中的監管，如下圖所示。在數據跨境流動前，PPC 對行政機關或網絡服務商等進行機構評估，通過評估報告審核其是否滿足數據安全條件?？缇硵祿鲃舆^程中，PPC 主要有 4 種監督

167、措施。指導和建議，個人信息保護委員會通過收到的特定個人信息保護評價書、投訴咨詢窗口收到的信息、特定個人信息的泄露事件發生時要求的報告等從各種各樣的信息源中收集到關于特定個人信息的處理的信息，委員會在監督實施時，將綜合利用這些信息，根據需要進行報告征收，及時進行適當的指導和建議等，并通過網站等及時提供應廣泛發布的信息。檢查，對于向個人信息保護委員會提交特定個人信息保護評價書的機構，要求采取特定個人信息保護評價書中記載的全部措施，委員會對關于記載事項的實施狀況、系統的實現、對特定個人信息文件的管理狀況及自主檢查的狀況等進行檢查。境外合作機構的監視，PPC 推進設置監視系統，通過信息提供網絡系統監視

168、信息聯合狀況的體制整備，內閣網絡安全中心（NISC）等實現跨境信息合作的監督。緊急應對措施，在檢測到對處理特定個人信息的信息系統等的網絡攻擊等事實或征兆的情況下，根據案件的特性及規模，靈活運用報告聯絡體制等，另外，從有效把握實際情況的觀點出發，原則上讓發生了事故的機關進行事實關系等的調查，關于調查結果要求報告，但是可以根據實踐需要，決定與相關機關聯合研究實施現場檢查。60圖圖 4-8 PPC 監管內容與過程監管內容與過程3、個人信息保護法個人信息保護法2003 年日本國會通過了個人信息保護法（日語：個人情報保護関法律），同年也通過了行政機關持有的個人信息保護法（日語：行政機関保有個人情報保護関

169、法律）及獨立行政法人等持有的個人信息保護法（日語：獨立行政法人等保有個人情報保護関法律）。根據個人信息保護法在 2015 年修訂中確立的規則，日本政府將根據個人信息保護的國際動向、信息通信技術的發展等因素，每隔三年研究和修訂個人信息保護相關法令。2020 年 6 月 12 日，日本公布了個人信息保護法修改法案，這次修改旨在促進大數據利用的同時解決數據的跨境流動中面臨的風險。（1）概要概要不論收集個人信息的主體是日本國內企業還是外國企業，個人信息保護法均未要求企業將從日本國內收集到的個人信息或個人數據保存在日本國內。但如果企業向日本國內的個人提供商品或服務時從個人取得個人信息，即便是在日本境外處

170、理該等個人信息或者從該等個人信息加工而成的匿名化加工信息，該企業也將作為個人信息處理業者成為個人信息保護法域外適用的對象。此外，將日本國內的個人數據提供給日本境外第三方時原則上需要取得本人的同意，但如果滿足個人信息保護委員會規則中規定的標準等，則可以不經本人的同意轉移至境外第三方。這一制度設計與歐盟一般數據保護條例（GDPR）61中的相關規定有著相似之處，但個人信息保護法并沒有規定如同 GDPR 般對違反規定者的高額罰金制度。（2）向境外提供個人數據的條件向境外提供個人數據的條件1 1需要事前取得本人同意需要事前取得本人同意企業在日本開展經營活動時，在日本國內收集個人數據后可能將其提供給境外關

171、聯企業或其他第三方以存儲或處理，此時，企業作為個人信息處理業者就向日本境外第三方提供個人數據應事前取得本人的同意。在取得本人同意時需要向本人充分披露信息，例如將向哪國、出于何目的提供該等數據，以便其本人判斷是否同意向境外第三方提供。此外，法令中并未詳細規定取得本人同意的具體方法。2 2不需要事前取得本人同意的情形不需要事前取得本人同意的情形個人信息處理業者即使向日本境外第三方提供個人數據，在下列情形中可以不經過本人同意：向個人信息保護委員會規則規定的、其個人信息保護制度與日本個人信息保護制度同等的白名單國家的第三方轉移個人數據。2019 年日本與歐盟相互認定了信息保護的充分性，只要滿足法定條件

172、，日本與歐盟之間的數據轉移不需要本人的同意。中日之間尚未相互認定信息保護的充分性。境外第三方符合個人信息保護委員會規則中規定的以下標準：a.基于信息提供方與接收方之間的合同等（與 GDPR 中標準合同條款（Standard Contractual Clauses:SCC）類似的制度設計），或者信息提供方與接收方屬于同一公司集團且有共通適用于雙方的內部規章、隱私政策等（與 GDPR中有約束力的公司準則(Binding Corporate Rules,BCR)類似的制度設計），能確保個人數據的保護機制;b.取得了APEC 跨境隱私規則體系（Cross Border Privacy Rules:CB

173、PR）的認證等。624.6 新加坡新加坡4.6.1 新加坡個人數據跨境流動安全立法現狀新加坡個人數據跨境流動安全立法現狀2012 年 10 月 15 日，新加坡國會通過個人數據保護法（Personal DataProtectionACT。PDPA），并于 2014 年起全面實施，作為專門針對個人數據管理的立法，該法是新加坡的一部基礎性法律。2013 年 1 月 2 日，頒布 PDPA附屬法例個人數據保護條例（Personal Data Protection Regulation，PDPR）及其實施細則。由此，PDPA 與現行法律法規共同構成了新加坡的數據管理體系的基本法律框架。新加坡于 202

174、0 年 11 月 2 日通過了2020 年個人數據保護（修正）法案（PDPA 修正案），PDPA 經歷了自 2012 年頒布以來的首次全面修訂，PDPA 修正案中的大部分條款于 2021 年 2 月 1 日開始生效。最突出的是其引入了一個強制性的數據泄露通知制度，要求遭受數據泄露的組織通知 PDPC 和受影響的個人。另外，由于專業領域（例如醫療、教育、金融等）的數據內涵更加豐富，保護難度更大，因此，對于專業領域的數據流動，PDPC 會與各專業領域的主管部門進行合作，制定相關咨詢指引，共同監管。例如，2014 年 5 月 16 日發布的電訊行業咨詢指引、2014 年 5 月 16 日發布的房地產

175、中介行業咨詢指引、2018 年 8月 31 日修訂的教育行業咨詢指引、2017 年 3 月 28 日修訂的醫療保健行業咨詢指引、2018 年 8 月 31 日修訂的社會服務業咨詢指引、2018 年 5 月 22 日修訂的運輸服務出租汽車記錄咨詢指引、2019 年 3 月 11 日發布的公司管理咨詢指引等。下表給出了新加坡數據跨境流動監管的法規框架：表表 4-4 新加坡數據跨境流動監管的法規框架新加坡數據跨境流動監管的法規框架法規類別法規類別法規名稱法規名稱法案2012 年個人數據保護法2016 年信息通信媒體發展法案附屬條例2021 年個人數據保護（違法構成）條例2013 年個人數據保護（禁止

176、調用注冊表）條例2021 年個人數據保護（執行）條例2021 年個人數據保護條例632021 年個人數據保護（上訴）條例2021 年個人數據保護（數據泄露通知）條例其他附屬條例2013 年個人數據保護（法定機構）通知2014 年個人數據保護（訂明執法機構）通知2020 年個人數據保護（指定執法機構）通知2015 年個人數據保護（制定醫療機構）通知法院規則第 105 號命令（2012 年個人數據保護法）4.6.2 新加坡個人數據安全監管新加坡個人數據安全監管機構機構個人數據保護委員會（Personal Data Protection Commission，PDPC）是新加坡數據跨境流動的主要監管

177、責任部門，負責建立個人數據保護機制，進行監管和政策實施。PDPC 的目標是提高社會對數據保護重要性的認識，并幫助新加坡的企業建立符合個人數據保護法要求的數據保護能力。值得注意的是，在教育、醫療、金融等專業領域，數據內涵更加豐富、保護難度也更大，因此 PDPC 會與各專業領域的行業主管部門密切合作，共同管理專業領域的數據跨境流動。各行業主管部門也會以保護和促進產業發展、維護國家安全等為目的，對數據跨境流動作出特殊的監管要求。對于數據濫用和數據壟斷等違反公平競爭的企業行為，PDPA 不直接負責監管，由競爭和反壟斷專業主管部門負責監管。此外，信息通信部（Ministry of Communica

178、tions and Information，MCI）下屬的信息通信和媒體發展局（Infocomm Media Development Authority，IMDA）也是數據跨境流動的監管部門之一，在 PDPA 的監管和政策實施過程中，IMDA 會與 PDPC 緊密合作，為其提供必要的技術等方面支持。PDPC 的監管對象是私人部門涉及數據獲取、使用、儲存、傳輸和跨境轉移的各類組織。PDPC 制定數據跨境流動和使用規則，要求監管對象建立完善的數據傳輸機制、審核機制以及相應的問責工具，沒有遵守相關規定的組織需要承擔相應責任。此外，PDPC 會對監管對象（主要是企業）進行評估認證，對符合條件的企業授予

179、“數據保護信任標識”，受認證的企業在數據使用和傳輸上能夠享受更加便捷的監管要求。該做法在確保安全的基礎上，有效降低了數據跨境流動的交易成本。644.6.3 新加坡個人數據跨境流動安全監管新加坡個人數據跨境流動安全監管措施措施新加坡數據跨境流動監管重點關注事前和事后兩個階段，事前監管主要通過制定規則的方式提出要求和進行引導，事后監管主要根據投訴和訴訟等情況進行監管和執法。1、個人數據跨境流動的條件、個人數據跨境流動的條件首先，PDPC 對數據由境外流入新加坡境內不設限制。其次，對于在新加坡純中轉的數據，PDPC 原則上不進行監管，但如果涉及數據交換，則要對負責數據交換的“橋公司”按照國內同等監管

180、要求進行監管。監管最嚴格的環節在數據向境外流出。PDPC 規定企業在新加坡境內使用數據必須遵守相關規則，將數據轉移出新加坡的行為必須合規。一是對數據流動目的地國家或特定部門、地區進行充分性或等效性評估認證。除非數據接收國家和地區滿足 PDPA 法律要求，有能力對個人信息提供相同標準和力度的保護，否則不允許組織將個人數據轉移到境外。二是設定允許數據跨境流動的其他法定理由，包括征得數據主體同意、證明為履行合同義務必要或關乎生命健康的重大情形、屬于公開的個人數據、僅作為數據中轉，非上述理由不得向境外流動。為確保數據接收國家和地區滿足 PDPA 法律要求，有能力對個人信息提供相同標準和力度的保護，須簽

181、訂并履行相關合同，合同必須（a）要求接收者對于被轉移個人數據制定至少可以與 PDCA 所規定的保護相當的保護標準；以及（b）指明依合同可以將個人數據轉移到的國家和地區。新加坡對違反 PDPC 的個人數據跨境傳輸行為發出以下處罰指令：停止違法收集、使用；銷毀違法收集的個人數據；提供訪問或更正個人數據的權限；最高罰款 100 萬美元。2、對基礎設施的要求、對基礎設施的要求新加坡對數據跨境流動沒有明確的本地化要求，不要求建立商業實體、在當地建設數據中心或者進行特定數據容災備份，對企業投資數據中心（IDC）也沒有限制。另外，新加坡對網關不設限制。這些舉措對于新加坡集聚全球資本和數據要素起到較好效果，有

182、助于新加坡成為亞洲地區數據儲存和交換中心，也有利65于新加坡吸引來自全球的信息基礎設施方面的外商直接投資。此外，此外，新加坡還積極尋求加入地區性國際合作組織，尋求區域內的數據自由流動。2018 年，新加坡加入了亞太經合組織主導的“跨境隱私權保護規則體系”（Cross-Border Privacy Rules system，CBPRs）。該體系涉及的業務規則主要包括對跨境隱私信息的評估、審查、認可和執行。通過加入該體系，新加坡使其國內機制主動對接國際數據保護規制，以便實現同 CBRPs 成員國的數據自由傳輸。作為東盟主要倡導國和東盟數字經濟發展的龍頭，新加坡在東盟跨境數據流動治理機制的構建中起到

183、了引領和示范作用。新加坡以建設亞太地區數據中心為導向的發展規劃，與東盟數字經濟時代“東盟中心地位”的戰略有著連貫性和契合性。新加坡在數據保護和數據跨境流動監管的過程中積累了可推廣借鑒的經驗，也為整個東盟跨境數據流動治理邁出了獨立探索的一步。新加坡規制與東盟規制在審核批準、合同形式實施、監管機構設置等多個方面有著很大的相似性。4.7 馬來西亞馬來西亞4.7.1 馬來西亞馬來西亞個人數據跨境流動安全立法現狀個人數據跨境流動安全立法現狀2010 年，馬來西亞頒布 2010 個人數據保護法案（PDPA），該法案于 2014年 2 月 15 日生效。隨后幾年，馬來西亞相繼發布了相關的附屬條例、標準、特定

184、行業實務守則、指南等，與 PDPA 共同構成了馬來西亞數據保護的基本法規框架。下表給出了馬來西亞數據保護的法規框架。表表 4-5 馬來西亞數據保護法規框架馬來西亞數據保護法規框架法規類別法規類別法規名稱法規名稱法案2010 個人數據保護法案（PDPA）附屬條例2013 年個人數據保護條例2013 年個人數據保護（數據用戶類別）指令2013 年個人數據保護（數據用戶注冊）條例2013 年個人數據保護（費用）條例2016 年個人數據保護（復合犯罪）條例662016 年個人數據保護（用戶數據類別）修訂指令2016 年個人數據保護（法庭上訴）條例標準2015 年個人數據保護標準特定行業實務守則2017

185、年銀行及金融業實務守則2017 年公用事業（電力）個人資料保護實務守則2017 年馬來西亞保險和伊斯蘭保險行業個人資料保護實務守則2017 年通信數據用戶個人資料保護實務守則指引PDPA 及附屬條例指導文件數據用戶指南草案4.7.2 馬來西亞馬來西亞個人數據安全監管個人數據安全監管機構機構馬來西亞的數據保護監管機構是“個人數據保護局”（以下簡稱為“JPJD”）。JPJD 隸屬于馬來西亞通訊及多媒體委員會。4.7.3 馬來西亞馬來西亞個人數據跨境流動安全監管個人數據跨境流動安全監管措施措施1、2010 個人數據保護法案（個人數據保護法案（PDPA）（1）具體規定）具體規定根據 PDPA 第 1

186、29 條“將個人數據轉移到馬來西亞以外的地區”規定，數據使用者不能將個人數據轉移到馬來西亞以外的司法區，PDP 指定的司法區除外。PDP 指定可進行個人資料轉移的司法區需要滿足以下條件：1）該地區具有與PDPA 相似或與 PDPA 相同目的的法律；或者 2）該地區可以提供與 PDPA 相同保護程度的個人數據保護下表給出了馬來西亞個人資料轉移的條件（必須符合以下其中一項條件）：表表 4-6 馬來西亞個人資料轉移的條件馬來西亞個人資料轉移的條件序號序號個人資料轉移的條件個人資料轉移的條件備注備注1數據主體書面同意2為了履行數據主體與數據用戶之間的合同必須轉移3為了履行數據主體與第三方之間的合同必須

187、轉該合同是應數據主體的要求而訂67移立或者該合同符合數據主體的利益4為執行法律程序或為了確立、行使或捍衛合法權利5避免針對數據主體的不利行為或減輕類似行為造成的影響資料使用者有合理的理由相信獲得數據主體的書面同意是不切實際的，以及如果獲得這種同意是切實可行的，則數據主體會給予同意6資料使用者已采取合理的預防措施和盡職調查7為保護數據主體的利益或符合公共利益必須轉移2017 年，PDP 發布了個人數據保護（向馬來西亞以外的地方轉移個人數據）草案（draft Personal Data Protection(Transfer of Personal Data to Places OutsideM

188、alaysia）以征求公眾對馬來西亞的個人數據可能轉移到的司法管轄區白名單的意見。白名單地區主要包括歐盟、英國、美國、加拿大、瑞士、新西蘭、阿根廷、烏拉圭、安道爾、法羅群島、根西島、以色列、烏恩島、澤西島、澳大利亞、日本、韓國、中國、香港、臺灣、新加坡、菲律賓和迪拜等共 23 個國家和地區，但截至目前，該白名單尚未生效。（2）處罰措施）處罰措施馬來西亞對違反 PDPA 規定的行為將處非常高的經濟處罰或監禁，例如，違反 PDPA 七項數據保護原則中的任何一項，將被處以最高 30 萬馬幣（約 60400歐元）的罰款和/或 2 年的監禁；非法收集、披露和出售個人數據將被處以最高50 萬馬幣（約 10

189、0680 歐元）的罰款和/或最高 3 年的監禁。4.8 俄羅斯俄羅斯4.8.1 俄羅斯個人數據跨境流動安全立法現狀俄羅斯個人數據跨境流動安全立法現狀從立法體系看，其目前涉及數據管理的國家專門立法有兩部，即關于信息、68信息技術和信息保護法(第 149 號法令)和俄羅斯聯邦個人數據法(第 152號法令)。此外，俄羅斯聯邦大眾傳媒法俄羅斯聯邦安全局法俄羅斯聯邦外國投資法等法律也對數據管理做出了相關規定和要求。關于信息、信息技術和信息保護法于 2006 年由俄羅斯聯邦議會通過，用以取代包括 1995 年關于信息、信息化和信息保護法在內的多部聯邦法律。該法主要調整相關主體在進行尋找、獲得、傳遞、生產

190、和傳播信息以及使用信息技術和進行信息保護時產生的法律關系。法令規定了信息擁有者、信息系統運營者需要承擔的信息保護義務，包括：預防非法獲取信息和(或)將其傳遞給無權獲取該信息的人員；及時發現非法獲取信息的事實；對違法獲取信息規定可能產生的后果進行警告；不采取破壞信息處理設備和手段功能的行為；迅速恢復因非法獲取信息而被異化和銷毀的信息；經常檢查信息保護水平。俄羅斯聯邦個人數據法同樣確立于 2006 年，該法旨在保障公民個人數據處理中的權利和自由，并對個人數據的跨境轉交提出了同等保護的要求。該法規定：在進行個人數據跨境轉交前，處理者有義務確認數據跨境轉交的其他國家保證會對個人數據主體的權利進行同等保

191、護；擁有同等保護的其他國家實施的個人數據跨境轉交依照本法進行；為了保護俄羅斯聯邦憲法制度體系，維護道德、保護公民權利以及保障國防和國家安全，可以中止或者限制數據跨境轉交行為。該法同時提出了同等保護的例外情況。4.8.2 俄羅斯個人數據安全監管俄羅斯個人數據安全監管機構機構俄羅斯最主要的數據監管部門是俄羅斯通信/信息技術和大眾傳媒聯邦監督局（Roskomnadzor）。4.8.3 俄羅斯個人數據跨境流動安全監管俄羅斯個人數據跨境流動安全監管措施措施1、俄羅斯數據跨境流動基本規則、俄羅斯數據跨境流動基本規則俄羅斯現行生效的個人信息保護法是 Federal Law No.152-FZ of 27 J

192、uly2006“On Personal Data”。該法 12 條集中規定了“個人數據的跨境傳輸”，具體如下：應根據本聯邦法律將個人數據跨境傳輸到歐洲委員會個人數據自動化處理時個69人保護公約的公約國及其他充分維護個人數據主體權利的國家。為維護俄羅斯聯邦憲法制度原則、道德、健康、權利和公民合法利益以及保障國防和公民安全，個人數據的跨境傳輸可能會被禁止或限制。維護個人數據主體權利的授權機構批準歐洲委員會個人數據自動化處理時個人保護公約的公約國和充分維護個人數據主體權利的國家的名單。只要相關國家的現行法規和所采取的保證個人數據安全的措施與該項公約的規定相符，即便該國家不屬于歐洲委員會個人數據自動

193、化處理時個人保護公約的公約國，也可列入充分維護個人數據主體權利的國家名單中。在開始跨境傳輸個人數據之前，處理者有義務確保在個人數據傳輸到的外國境內對個人數據主體的權利提供充分的保護。向不能對個人數據主體權利提供充分保護的外國境內傳輸個人數據可在以下情況下進行：個人數據主體以書面形式同意跨境傳輸其個人數據；俄羅斯聯邦國際條約規定的情況；聯邦法律以維護俄羅斯聯邦憲法制度原則、保障國防和國家安全以及為保障運輸系統安全穩定運行、在運輸系統方面保護個人、社會和國家的利益不受非法干涉為目的規定的情況；個人數據主體作為合同當事人履行合同；不能取得個人數據主體的書面形式同意，但為了保護個人數據主體或他人的生命

194、、健康和其他切身利益。2、簡要分析、簡要分析總的來說，個人信息保護法區分了為個人數據提供充分保護的國家和不提供個人數據保護的國家。如果數據接收方位于法律僅提供“不充分保護”的國家，則“個人數據法”要求滿足某些條件。具體來說，由于俄羅斯于 2001 年簽署加入歐洲理事會第 108 號公約（theCouncil of Europes Convention for the Protection of Individuals with regard toAutomaticProcessing of Personal Data）。因此，俄羅斯 No.152-FZ 聯邦法案允許個人信息從俄羅斯境內傳輸至

195、其他第 108 號公約的簽署國。簽署國主要是歐洲國家，加上摩洛哥和烏拉圭。其次，根據 No.152-FZ 聯邦法案，Roskomnadzor 可以將非第 108 號公約70的簽署國，加入其個人信息跨境流動的“白名單”中。按照 Roskomnadzor 的說法，其主要評判標準是該國是否具備有效的個人信息保護法律、是否設立了個人信息保護機構，以及是否針對違反個人信息保護法律的行為建立了有效的懲罰措施等。目前，該名單的當前版本包括安哥拉，阿根廷，澳大利亞，貝寧，加拿大，佛得角，智利，哥斯達黎加，加蓬，以色列，哈薩克斯坦，馬來西亞，馬里，墨西哥，蒙古，摩洛哥，新西蘭，秘魯，卡塔爾，新加坡，南非，韓國和

196、突尼斯。最后，如果轉移到上述國家之外的國家（即不在其他國家名單上或不是“個人數據公約”簽署國的司法管轄區）目前可以在相關數據主體的書面同意下進行。4.9 印度印度4.9.1 印度個人數據跨境流動安全立法現狀印度個人數據跨境流動安全立法現狀截至目前，印度尚未有正式的數據保護立法。受歐盟通用數據保護條例（GDPR）的啟發，印度高級別專門委員會于 2018 年 7 月 27 日正式發布了 2018年個人數據保護法案（草案）（The Personal Data Protection Bill,2018）。2019 年 12 月 11 日，在該草案的基礎上進行了修訂，發布了2019 年個人數據保護法案（

197、送審稿）（The Personal Data Protection Bill,2019），并已提交至國會進行審議，印度 PDP Bill 又被稱為印度版的 GDPR。4.9.2 印度個人數據安全監管印度個人數據安全監管機構機構盡管印度擁有諸多對各類活動進行監管或監督的管理機構，但印度并沒有專門負責個人數據保護的國家級監管機構，僅由電子和信息技術部負責實施信息技術法，并頒布相關條例及解讀。有鑒于此，法案建議成立印度數據保護局。4.9.3 印度個人數據跨境流動安全監管印度個人數據跨境流動安全監管措施措施1、2019 年個人數據保護法案年個人數據保護法案（送審稿送審稿）（The Personal D

198、ata ProtectionBill,2019）（1）個人數據的分類）個人數據的分類71個人數據只指關于自然人的數據，這些數據可以直接或者間接識別該自然人的身份，包括特點、個性、特性或者關于身份的其他特質（不管這些數據是線上還線下的），還應該包括從這些數據推斷出來的關于個人情況分析。草案將個人數據分為：個人敏感數據；個人關鍵數據；個人普通數據。個人敏感數據：包括健康數據，財務數據，官方證件信息，性生活，性取向，生物數據，基因數據，跨性別身份，雙性戀狀態，種姓和部落，宗教、政治信仰和所屬派別，其他法律認為屬于敏感數據的信息。在 2018 年草案中，密碼也屬于個人敏感數據，但是在新的草案中被刪除。

199、個人關鍵數據：目前該法案還沒有給出具體的范圍，但是賦予了政府定義什么是“個人關鍵數據”的權利，相信草案正式成為法律后，政府會通過實施細則來對此加以定義。個人普通數據：其他不屬于這兩類的數據，則屬于個人普通數據。用戶將數據提供給服務商，從而獲得服務。草案將數據來源者稱為數據委托人（dataprincipal），將獲取數據并基于數據提供服務的一方稱為數據受托人（datafiduciary），將兩者之間的關系定義為信托關系。社交平臺就屬于數據受托人的一種。（2）具體規定）具體規定2018 年草案中規定的個人敏感數據必須在印度備份儲存（at least oneserving copy），在符合相關規定

200、的情況下才允許出境，這一規定在新的草案中也被修改為“個人敏感數據可以在境外處理，但是應該繼續儲存在印度（shallcontinue to be stored in India）?！眰€人敏感數據要出境處理，必須獲得數據委托人的明確同意（explicit consent），此外還需要獲得數據保護管理相關部門（Authority）的同意。個人關鍵數據只能在印度境內的服務器或者數據中心收集、處理、傳播等，除非因為健康服務或急救服務所必需，或者中央政府的同意。2018 年草案規定個人普通數據應當在印度備份儲存，除非政府允許在國家戰略意義和某些必要情況下，豁免某些個人普通數據的本地化儲存，另外個人普通數據

201、在符合規定的情況下可以出境。但是在 2019 年草案中，個人普通數據不再72被強制要求在印度進行本地化備份儲存。（3）處罰措施）處罰措施如果違反 2019 年草案，將會面臨嚴重的罰款。如果出現數據違法行為但沒有迅速采取適當措施等情況時，將罰款額最高為 5000 萬盧比或 2%的上一財年全球營業額，取高者。如果沒有獲得他人同意就處理他人數據，或者數據違法出境的，罰款額最高為 1.5 億盧比或 4%的上一財年全球營業額，取高者。還有其他一些不合規的行為，也會面臨罰款。除此之外還有其他處罰規定，在此不一一介紹。4.10 區域組織或自貿協定區域組織或自貿協定4.10.1 經合組織（經合組織（OECD）

202、1、OECD 數據跨境相關文件數據跨境相關文件經濟合作與發展組織（Organization for Economic Co-operation andDevelopment,OECD），簡稱經合組織。該組織由 20 個成員國初始成立，此后又有國家陸續加入。根據成員國于 1960 年通過，并于一年后生效的協定，OECD應促進健康且可持續發展的世界經濟增長，在多邊合作的背景下擴大全球的貿易往來。在信息技術逐漸融入世界經濟的二十世紀末，其成為了經濟發展和人類生活水平提高的重要動力，OECD 為應對新技術帶來的問題并利用其更進一步助力經濟發展，于 1980 年發布了“關于隱私保護和個人

203、信息跨境傳輸的指南”（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）（以下稱“指南”），該指南于 2013 年根據新的數字經濟環境進行了修訂，2021年 OECD 又發布了對指南實施效果的審查報告并提出了新的行動建議。此外，OECD 于 1985 年和 1998 年分別發布了“跨境數據流動宣言”（Declaration onTransborder Data Flows）（以下稱“1985 宣言”）和“關于保護全球網絡隱私的部長級宣言”（Declaration on the Prote

204、ction of Privacy on Global Networks）（以下稱“1998 宣言”），對數據跨境和隱私保護問題表明了立場。OECD 委員會于 2007 年發布了一份“隱私保護執法跨境合作建議”（Recommendation of theCouncil on Cross-border Co-operation in the Enforcement of Laws Protecting73Privacy），以向成員國提出具體建議措施的方式指導隱私保護執法的合作。2021年 10 月，OECD 發布了“增強數據訪問和共享的委員會建議”（Recommendationof the Cou

205、ncil on Enhancing Access to and Sharing of Data），提出了最大化數據共享優勢的通用原則和政策指引。2、指南中的數據跨境規則、指南中的數據跨境規則（1）指南數據跨境規則概述）指南數據跨境規則概述指南的出臺代表了個人信息收集和管理的全球共識，其在設立之初即具有支持 OECD 三項原則的作用，即多元民主、保護人權和開放市場經濟。指南在數字經濟風險與機遇并存的背景下，認識到加強全球制度和執法合作的必要性，同時追求保護隱私保護、個人自由和數據自由流動等多元價值。指南的制定為技術的不斷變化留出了空間，其在保障相關原則的應用清晰明確的同時，通過較大的應用范圍確保

206、了相應的靈活度，例如包含了對全種類的處理媒介和處理方式以及全類型數據的規制。此外，指南的原則可以在國際和國內兩個層面得以適用，具有良好的兼容性。2013 年指南一共分為六個部分，第一部分是總則部分，包括了相關定義和對指南規制范圍的規定；第二部分是國家應用的基本原則，包括了限制收集原則、數據質量原則、目的特定原則、使用限制原則、安全保護原則、開放原則、個人參與原則和責任原則；第三部分是對數據控制者的具體責任規定；第四部分是國際應用中的基本原則，即數據自由流動和對流動的合法限制；第五部分是各國執行本指南而應當實施的具體措施；第六部分是加強國際合作和隱私框架互操作性的措施。相較于 1980 年指南，

207、2013 年指南不僅對隱私責任、數據跨境傳輸和隱私執法的規定進行了更新，還增加了隱私管理項目、安全泄露通知、國家隱私戰略、全球隱私框架互操作性等新概念。指南中的數據跨境制度主要規定在第四部分中，但在第一部分總則的第六段中也有相關內容?？倓t中的第六段賦予了成員國在指南所設定的最低標準之上，進一步補充保護隱私和個人自由規定的權力，即使這些措施對數據的自由跨境流動造成了影響，但這類對數據流動的限制措施應當以盡量減少影響的方式制定。這一授權體現了 OECD 對成員國各自的不同隱私保護價值取向和政策的尊重，也在一定程度上有助于成員國之間達成共識。結合第四部分的第十八段來看，第74六段所授權對數據跨境流動

208、的限制措施不是無限制的，仍應當遵循比例原則，需要結合數據的類型、敏感程度、數據處理目的和范圍等因素綜合考量。第十六段是對第二部分中責任原則的重申，其規定了對數據跨境中所帶來的風險應當由數據控制者承擔相應的責任，從而確立這一類型責任主體。第十七段詳細規定了兩種成員國應該避免設定數據跨境限制的具體情形，第一類是在其他國家已經充分的遵守了 OECD 的相關指南；第二類是數據傳輸目標國家已經具備了充足的安全防護，安全防護既包括了強制執法機制也涵蓋了數據控制者所采取的措施。第十七段的規定旨在使個人信息在出境后，獲得與境內相似水平且符合指南的保護。從效力上講，OECD 的上述文件僅以指南、建議的形式制定，

209、并不具備強制效力，因此也無法要求成員國執行。但 OECD 作為較早提出隱私保護制度的組織，以此種非強制方式為全球各國提供了包容各國不同情況的制度框架，相關制度文件也成為了世界各國制定相應數據跨境制度的重要參考，在尋求數據自由跨境國際解決方案的今天具有積極意義。（2）指南）指南 2021 審查概述審查概述2021年3月，OECD委員會發布了對“委員會關于指南建議的實施情況報告”。該報告是數字經濟政策委員會（CDEP）下屬的數據治理和隱私工作組（DGP）于 2018 年 11 月決定開始，針對指南的實施、傳播和持續相關性情況進行的調研報告。該報告是基于 28 個成員國家和 3 個非 OECD 成員

210、國所填寫的問卷資料做出的，該報告還參考了大量相關主題的專家會議資料、研究報告和會議觀點。該報告根據調研結果，最終由委員會通過了報告中建議的下一步行動方案，方案中委員會邀請 CDEP 一同支持指南的實施和傳播，并在五年后向委員會報告情況。這次的指南審查更加確認了指南在全球作為隱私和個人信息保護最低標準的這一地位，在現實中各個成員國以及非成員國，已經在其本國的隱私立法、執法和政策實踐中將指南貫穿其中，其已成為解決隱私保護和全球數據跨境問題的有效方案。但在現實情況下，指南設定的規則也受到諸多挑戰，審查注意到，新冠疫情中數字技術的重要作用伴隨著非常嚴重的隱私和人權問題，這涉及到了指南中的各種隱私保護原

211、則。此外，越來越深入的數據自動收集、分析、使用以及人工智能的應用已成為現在隱私立法、執法、責任模式和數據跨境流動框架的重大挑戰，這需要對指南的內容進行進一步的解釋以適應發展。各國的反饋普遍認75為，相較于對指南本身的修改，關注如何實施指南以及修改此前通過的指南“補充說明備忘錄”，以支持指南的實際應用更為重要。在各國提出的關注材料中，其認為有三個方面需要加以特別注意。第一是對責任原則的具體實施，在信息科技飛速發展的背景下，組織在法律責任和倫理層面被責任原則賦予了新的角色，其成為了應當采取積極保護措施的個人信息管理者。個人數據的控制者和處理者也被要求主動履行相應義務以減小對個人和組織在法律和聲譽方

212、面的風險。第二是與數據跨境流動相關的數據本地化問題，各國認為指南中與數據儲存地無關的數據控制者負責原則是有益的，同時，遵循比例原則的跨境限制也有助于數據的自由有序流動。有國家另外指出，考慮“保障或者限制”政府訪問私營數據這一問題將有助于促進基于信任的數據流動。第三是需要進一步落實指南對隱私和個人數據的保護，這包括為數據可攜帶權等數據主體權利指明實踐落地的方向。在指南之外，監管沙盒、認證機制、透明度報告和隱私增強技術等新的隱私制度和技術也在報告中被推薦。3、增強數據訪問和共享的委員會建議、增強數據訪問和共享的委員會建議2021 年通過的“增強數據訪問和共享的委員會建議”，在第三部分中提出，為培育

213、有效且負責的數據訪問、共享和使用，建議相關國家為在信任基礎上的數據跨境訪問和共享創造條件。其具體措施包括，第一，在尊重隱私、知識產權等基本人權和重要利益的基礎上，盡可能減少數據跨境訪問和共享的限制，尤其是為了全球的公共利益。第二，要求對數據跨境進行限制的相關條款必須是非歧視、透明、必須和與風險成比例的，這些限制應當考慮到其他因素，例如數據的敏感程度、數據處理的目的和范圍，以及問責的方式。第三，鼓勵加強不同法域之間就數據訪問和共享的對話與合作，例如增強不同制度之間的兼容性或建立國際通行的標準。將上述建議內容與指南對比可以發現，第二條是對指南第十八段的重申，加強不同法域合作也是指南的核心觀點之一，

214、這體現了以上策略在數字經濟時代對促進數據跨境共享的重要性。4.10.2 全面與進步跨太平洋伙伴關系協定（全面與進步跨太平洋伙伴關系協定（CPTPP）1、CPTPP 與與 TPP 的關系的關系美國于 2017 年 1 月 23 日正式退出跨太平洋伙伴關系協定（TPP），但 TPP76依然是目前全球范圍內最高標準的貿易協定文本。在美國退出 TPP 后，2017 年11 月 11 日，除美國外的 11 個國家宣布將 TPP 更名為 CPTPP，繼續推進 TPP 有關的貿易談判。CPTPP 完全繼承了 TPP 有關電子商務和數據跨境流動的條款。2、CPTPP 具體要求具體要求美國的信息產業非常發達，世

215、界上最大的 IT 產品生產商和服務商均來自美國。2010 年，美國 IT 產業在全球占比達到了 26%。數據跨境流動對 IT 產業的發展至關重要。美國國際貿易委員會曾預估，降低個人數據跨境傳輸門檻可以使美國 GDP 提高 0.1%-0.3%。因此，美國一直以來都是個人數據自由跨境流動的堅定擁護者，而其他締約國出于不同的利益考量，要求對數據跨境流動加以限制。最終，TPP 成員在第 14 章確立例如電子商務條款，其中第 14.11 條和 14.13 條確立了數據跨境流動規制的基本框架，以促進企業跨國傳輸和存儲數據的能力。事實上，在簽訂 TPP 之前，美韓自貿協定中就含有數據跨境流動的規定，但不具有

216、法律約束力，只是鼓勵締約方應盡量避免對跨境數據流動施加或維持不必要的限制。（1）個人數據跨境自由流動和禁止數據本地化的規定個人數據跨境自由流動和禁止數據本地化的規定首先，第 14.11 條規定了個人數據自由跨境流動原則，該條要求 CPTPP 締約方“允許通過電子手段進行跨境信息傳輸，包括個人信息，只要是為了所涵蓋的人的業務的開展”。因此，該條規定使得所涵蓋者可以在 CPTPP 方的領土之間，處于商業進行數據傳輸。然后，第 14.1 條列舉了“所涵蓋的人”的范圍。第 11.1條規定的金融機構、金融機構的投資人和低約一方的跨境金融服務提供者并不屬于“所涵蓋的人”的范圍。因此，該條也排除了政府采購、

217、政府收集或處理數據的其他行為。也就是說，CPTPP 并非適用于所有情形下的跨境信息流動，僅適用于信息提供者的商業行為。當前大多數的數據流動都是符合 CPTPP“電子傳輸”這一規定，從這個角度來看，大多數涉及數據跨境流動的措施都可以納入CPTPP 的管轄范圍。其次，第 14.13 條是禁止數據本地化的規定。該條禁止締約方以要求涵蓋的人使用其本國領土內的計算機設備或將計算機設置在其境內，作為在本國開展業務的條件。但并未規定是否同樣適用于涵蓋范圍之外的人在境內開展業務的情形。（2）數據跨境自由流動和數據本地化措施的例外數據跨境自由流動和數據本地化措施的例外77CPTPP 試圖消除因限制數據流動而引起

218、的數據保護主義。第 14.11 條和 14.13條承認成員方對“通過電子方式進行的數據傳輸”和“計算機設備的使用”有各自的監管需求。更具體地說，CPTPP 允許締約方為實現合法公共政策目標而采取限制數據流動的措施，只要該措施不超過實現目標的限度即可。CPTPP 第 32 章的安全例外條款對“基本安全”沒有做內容限定，不像 GATT（關稅及貿易總協定）第 21 條限定到狹窄的軍事安全。因此，CPTPP 版本的安全例外可以包容保障網絡安全和數據安全的需要。2、小結小結CPTPP 是第一個對跨境數據流動作出具有法律約束力承諾，并對數據保護主義進行限制的貿易協定，而且 CPTPP 簽訂時 12 個成員

219、方在數字貿易治理理念方面存在較大的差異，能最終以專章的形式對電子商務進行規定是一個重大突破，另外，與 GATS 相比，CPTPP 更側重于數據自由流動。一方面，CPTPP 確立了數據跨境自由流動的原則，另一方面則是禁止締約國采納和維持數據本地化措施4.10.3 亞太經合組織（亞太經合組織（APEC）亞太經濟合作組織（APEC）于 1989 年成立，是亞太地區最高級別的經濟合作論壇。APEC 目前有 21 個成員經濟體。APEC 于 1999 年成立了電子商務指導組（ESCG，Electronic Commerce Steering Group），開始逐步構建亞太地區電子商務政策環境。而后，又于

220、 2003 年成立了數據隱私分組（Data Privacy Subgroup）。2005 年，APEC 成員經濟體簽署了APEC 隱私框架。與其他隱私框架不同，APEC 對成員經濟體未施加條約義務，APEC 隱私框架只是建議性的，不具有法律約束力，現實中的世紀作用很小。為了使隱私保護框架能夠真正發揮作用，APEC 于 2012 年正式啟動了跨境隱私規則體系（Cross-Border Privacy Rules，CBPR），該體系旨在推動 APEC 經濟體間五丈子的數據流動，建立跨境電子商務中個人信息保護規則。目前已有九個 APEC 成員經濟體參加：美國、墨西哥、日本、加拿大、新加坡、韓國、

221、澳大利亞、中國臺北和菲律賓。1、CBPR 運行機制運行機制CBPR 只對自愿加入的成員經濟體企業具有約束力，通過 CBPR 認證的企業，78被認為是符合 APEC 隱私保護要求的，可以在 APEC 區域內實現數據的自由傳輸。CBPR 體系主要包括如下 4 個方面的內容：1.認證標準，即在判斷相關主體是否能成為 CBPR 體系認證的責任代理機構（Accountability Agent）時適用；2.準入問卷，即組織在申請認證為符合 CBPR 體系時適用；3.評估標準，即在 CBPR體系認證的責任代理機構在審查組織對準入問卷的回答時適用；4.監管合作安排，即用于確保參與 APEC 的經濟體能夠執行

222、 CBPR 體系的要求。CBPR 體系的實踐流程具體包括：自我評估、合規審查、承認或接受跨境規則、爭議解決和執行。在具體實踐中，相關組織通過向責任代理機構提交自評估問卷及相關文件，并發起 CBPR 體系的認證程序。然后由 APEC 認證的第三方機構評估申請組織的隱私政策和實踐情況，并根據 CBPR 體系給予認證。同時，第三方機構還要負責解決個人和認證組織之間的爭議。其中，自我評估的內容主要包括以下內容：（1）通知。組織是否向個人提供關于其個人信息傳輸的清晰且易于訪問的陳述。（2）信息收集的限制。收集個人信息是否僅限于所述目的。（3）個人信息的使用。個人信息的使用是否僅限于實現收集目的和其他兼容

223、或相關的目的。（4）選擇。組織是否向個人提供與其個人信息的收集、使用和披露相關的權利。（5）個人信息的完整性。個人信息控制者是否保持個人信息記錄的準確性和完整性。（6）安全保障。組織是否以合理的安全措施保護個人信息。（7）訪問和更正。組織是否為個人提供訪問和更正其信息的權利。（8）責任制。該組織是否有責任遵守實施 CBPR 體系的措施。此外，責任代理對申請組織進行合規審查，并與申請組織一同評估并確保其內部政策符合 CBPR 體系，并在授予認證之后的每一年對申請組織進行重新認證。794.10.4 區域全面經濟伙伴關系協定（區域全面經濟伙伴關系協定（RCEP）1、RCEP 主要內容主要內容2020

224、年 11 月，15 個國家簽署了區域全面經濟伙伴關系協定（RegionalComprehensive Economic Partnership,RCEP），包括東盟國家、中國、日本和澳大利亞等地區主要國家。RCEP成員國的經濟總量和人口總數都約占世界的30%，RCEP 將成為 WTO 之外的全球最大區域自由貿易協定，包含了發達經濟體、發展中經濟體和最不發達經濟體等不同發展階段的經濟體，將加強西太平洋地區的經濟和貿易的一體化程度。在 RCEP 協議的 1.3 章中闡明了 RCEP 建立的目標，即要通過建設一個現代經濟伙伴協議來促進貿易和投資，特別是要促進不同經濟體之間貨物和服務貿易的自由化，從

225、而將這一地區營造成為有競爭力的投資市場。RCEP 領導人聯合聲明認為這一協議將有助于支持在新型冠狀病毒疫情下構建開放、包容和基于規則的貿易和投資安排，并促進經濟復蘇和加強區域供應鏈。作為自由貿易協定，RCEP 的內容反映了其促進降低關稅和貿易壁壘，加強跨經濟體貨物和服務貿易的目標。RCEP 協議一共分為 20 個章節，包含了對貨物或服務投資、政府采購、標準和科技監管、知識產權、電子商務和對其他問題的安排。數據跨境流動是在數字貿易的發展中興起的，也逐漸成為數字經濟發展的動力，數據跨境流動規則也成發展數字貿易需要考慮的具有重大影響的要素。因此，數據跨境流動規則也成為 RCEP 保障數字貿易的重要部

226、分。RCEP 全文中，在第八章的服務貿易章節和第十二章的電子商務章節對數據跨境流動作出了規定。2、RCEP 對數據跨境流動的具體要求對數據跨境流動的具體要求具體而言，第八章的附件一包括了對金融服務信息傳輸的相關要求。從第九條第一款可以看出，RCEP 原則上尊重各締約方各自對于信息傳輸和處理的相關規定，并沒有要求締約方法律的必須保持某種一致，RCEP 對金融信息傳輸規制具有一定的任意性。但同時，RCEP 為保障數字金融服務貿易的正常進行，要求締約方不能阻止金融服務提供者進行其金融服務活動必需的相關信息傳輸，這種數據的流動也不僅限于電子形式，這為金融信息的跨境傳輸提供了兜底保障。第九條的第三款和第

227、四款則是再次強調了 RCEP 對各國自身監管制度和權利保護制度的尊重。除規避締約方在 RCEP 中所作出的承諾和規定的義務外，例如不得阻止金融信息傳輸的義務，各締約方可以根據實際情況自由地進行數據管理活動，80包括要求遵守數據本地備份、數據存儲、相關系統保障和數據、隱私權利保護的制度。此外，如果締約方并未對特定跨境數據或信息提供作出承諾，締約方不會被強制要求授權允許。RCEP 協議第十二章對電子商務的規定中，首先在第十四條通過對計算設施的所在地的規定對數據本地化作出了要求，其次在第十五條直接涉及了以電子形式的數據跨境規范。所謂計算設施的位置就是進行數據存儲和處理的位置，對計算設施的本地化要求就

228、是數據本地化要求，這是對數據跨境流動的重要限制性措施。RCEP 在第十四條第一款允許各締約方自身法律體系存在對相關計算設施的使用和位置上的規定或限制，這再次體現了 RCEP 對締約方自身制度的尊重。但在第二款，RCEP 對這種限制計算設施位置的締約方內部規定進行了限制，要求不得將所使用設施必須置于境內的規定，作為進入該締約方內部市場的前提條件。這一規定成為了 RCEP 為促進締約方之間貿易往來，而向締約方設定義務的條款。第三款為這一義務設定了兩項豁免事由，第一項是即便締約方存在對第二款的違反，但只要是為實施“合法公共政策”的必須行為即可豁免，但該公共政策如果與RCEP 促進區域貿易流動、降低貿

229、易壁壘的理念相違背，形成了變相對其他締約方的歧視或限制，則無法豁免。第二項是對締約方為保護“基本安全利益”行為的豁免，這一豁免與“合法公共政策”的相對豁免不同，這是絕對豁免第二款所設定的義務，可以看出 RCEP 對各國主權安全保護的高度尊重。第十二章第十五條與前述第十四條采取了相似的規定結構。在允許締約方存在對電子信息傳輸的內部監管規定的基礎上，為締約方設定了不得阻止正常經營活動中的信息跨境傳輸活動。同樣，第三款也規定了，在不構成貿易歧視和不合理限制的前提下對“合法公共政策”的相對豁免，和對“基本安全利益”的絕對豁免。RCEP 在數據跨境傳輸的規則中未對各締約方設定強制義務，始終保持了對締約方

230、內部監管體系包容，締約方不需要對內部數據法律體系進行大規模的變更就可順利融入 RCEP 下的數據跨境體系。如果 RCEP 締約方之間出現不可自行解決的矛盾，就可以將矛盾交由 RCEP 聯合委員會解決，但委員會并無強制性權力。這更加體現了“共商共建共治”的數據治理合作特點，照顧了發展中經濟體數字經濟和數據立法的尚在起步階段，需要保護數字主權以對自身經濟發展加以保障的現實情況。同時，RCEP 兼顧了發達經濟體對數據安全和個人數據、隱私權利的81保護，從而能夠在發達、發展中和最不發達經濟體之間找到共鳴和平衡，最大限度實現同一框架下的平等數據跨境制度體系，促進締約方之間的自由貿易往來。從另一個方面來說

231、，RCEP 的強制效力不足是對各國間數字經濟和數字立法發展差異的妥協，雖然并不能在締約國之間建立如歐盟內部那樣的數據自由流動體系，但卻是全球數字治理中為解決國家間巨大的差異的積極嘗試。4.11 小結小結根據對上述國家或地區個人數據跨境流動的法律監管制度，進一步從審核批準、實施機制、問責制度三個方面進行分析1、審核批準制度審核批準制度“主體同意”和“數據本地化與分級管理”是審核批準制度中普遍實施的兩種措施。主體同意措施規定未經數據主體同意不得向境外傳輸相關數據；數據本地化與分級管理結合數據性質和數據用途對數據處理行為進行管理，不禁止一般個人數據的跨境流動。各國審核批準制度內容詳見下表。下表顯示，

232、各國普遍采取了主體同意和數據本地化與分級管理。主體同意保證數據主體對其個人數據持有一定程度的控制權。數據本地化與分級管理保護個人數據免遭數據損失并保持隱私性。審核批準制度是跨境數據流動的第一道門檻，需要守住數據安全的底線，只有賦予個人知情權和數據流村，數據流動才會有跡可循。表表 4-7 各國（組織）審核批準制度對照表各國（組織）審核批準制度對照表措施措施國家國家/組織組織主要內容主要內容主體同意日本日本境內的數據持有者向境外傳輸個人信息等數據時，必須事先獲得信息主體的同意，對傳輸雙方名稱、傳輸日期等內容進行具體記錄，且必須按照個人信息保護委員會的規定保存一定期限。歐盟信息控制者對個人信息的處理

233、和利用必須以信息主體的“同意”許可為前提美國禁止所有個人、企業和未經授權的政府部門對通信內容的竊聽，禁止對存儲于電腦系統中的通信信息未經授權的訪問及對傳輸中的信息未經授權的攔截。中國我國將撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為，視為已經個人信息主體同意印度除非法規另有規定，個人數據傳輸始終需要征得個人的同意822、實施機制實施機制實施機制中有合同形式、非合同形式以及組織內部保障措施三種類型。合同形式采用統一的合同形式明確彼此之間的數據保護義務及責任；非合同形式采取所有除合同外的可預防數據泄露的措施；組織內部保障措施對于經過組織認定的對個人數據保護充分的國家，可直

234、接向其傳輸數據。表 4-8 顯示，歐盟在實施機制中采取的措施非常全面，適用于不同的數據流動場景。新加坡采取合同形式，選擇固定的合同模板，可使得跨境數據監管實現集中高效管理。中國采取非合同形式，更側重于審核個人數據內容的正當性和可執行性，以期實現同等數據保護水平。日本、俄羅斯采取組織內部保障措施，設立一定范圍的數據合法自由流動區域，使數據通過流動實現其更大的價值。美國為維護自身在全球貿易中的主導地位，將“單邊主義”作為其跨境數據流動管理的核心理念。2020 年歐盟法院就美國隱私盾協議無效的宣判，也揭示出美國優先對外“單邊主義”政策在跨境數據流動中的機制問題。表 4-8 各國（組織）實施機制對照

235、表新加坡數據控制者在收集個人數據之前需經數據主體的同意，但不指定特定的通知形式數據本地化與分類管理美國外資安全審查機制，要求其國內通信基礎設施應位于美國境內，將通信數據、交易數據、用戶信息等僅存儲在美國境內中國我國關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲俄羅斯對俄羅斯聯邦公民個人信息進行搜集、記錄、整理、保存、核對(更新、變動)、提取的數據庫存放于俄羅斯境內印度每個數據受托人應確保在印度境內服務器或數據中心存儲至少一份個人數據的服務副本；關鍵個人數據必須在位于印度的服務器或數據中心中處理國家國家/組織組織實施機制實施機制主要內容主要內容歐盟合同形式在進行

236、跨境數據流動時采用“標準合同條款”，可以根據主題類型不同，選擇不同的范本非合同形式歐盟采取“約束性公司規則”，使得個人數據可以在集團之間跨境傳輸企業約束規則限于集團內的傳輸，而無論數據居于何處，都會得到同樣的保護。組織內部歐盟在全球設定了 12 個國家和地區作為白名單范圍，安道爾、阿根廷、澳大利亞、加拿大(部分)、法羅群島(屬丹麥)、格恩西、以色列、833、問責制度問責制度跨境數據流動的監管機構要定期審查企業行為、對數據泄露事件進行調查和對違法行為做出裁決并處罰，可歸結為處罰權和裁量權。監管機構依據有無懲罰權和裁量權可分成三類。第一類，無處罰權、無裁量權，監管機構對跨境數據流的監管主要依據法律

237、法規執行，其主要職責為提供咨詢服務、制定年度報告、審查備案企業。如日本。第二類，有處罰權、無裁量權，監管機構對違反個人數據保護法的行為進行行政處罰，處罰最高可達企業全球營業額 4%，如俄羅斯等。第三類，有處罰權、有裁量權，監管機構除了依法懲處企業之外，還可自行裁定具體事件的模糊之處，如新加坡、中國和和印度。此外，歐盟作為國際組織，雖沒有處罰權力，卻要推動成員國的實施相應的法律和處罰。表表 4-9 各國跨境數據流動的監管機構及其權利對照表各國跨境數據流動的監管機構及其權利對照表國家監管機構處罰權裁量權其他日本個人信息保護委員會評估其他司法管轄區法律中的保護標準俄羅斯聯邦通訊、電信技術和大眾傳媒監

238、管服務局最該罰款金額為 7 萬5000 盧布新加坡韓國通信委員會和韓國花聯網與安全局不超過 100 萬美元的罰款中國國家互聯網信息幫同事警告、責令改正或通報批評，50 萬以下的處罰印度因素數據保護局最高可達 5 億盧比美國聯邦貿易委員會曾開出 50 億美元的罰單馬恩島(英屬)、澤西、新西蘭、瑞士、烏拉圭。新加坡合同形式將個人數據進行傳輸是該個人與傳輸方履行合同所需或應個人的請求，為了該個人與傳輸方訂立合同而進行傳輸。印度合同形式傳輸是按照標準合同條款或者集團內計劃進行的，且上述合同和計劃已獲得數據保護局的批準。中國非合同形式規定企業在開展數據出境業務時，需自行組織或委托網絡安全服務機構對數據出

239、境開展安全評估。日本組織內部保障措施授權將個人數據傳輸到已建立同日本保護標準相當的個人信息保護體系的境外國家俄羅斯組織內部保障措施除歐洲理事會第 108 號公約的簽署國(歐洲各國以及摩洛哥和烏拉圭)，還包括以下國家：安哥拉，阿根廷，澳大利亞，加拿大，智利，哥斯達黎加，以色列，哈薩克斯坦，馬來西亞，墨西哥，蒙古，摩洛哥，新西蘭，秘魯，卡塔爾，新加坡，南非，韓國等845 國內外個人數據安全執法實例分析國內外個人數據安全執法實例分析5.1 歐盟歐盟1、Futura International 電話營銷未充分實現數據主體權利電話營銷未充分實現數據主體權利（1）案件事實概述）案件事實概述該公司向現有或潛

240、質客戶撥打營銷電話，盡管有幾名投訴人員直接告知來電者不希望在收到此類電話，并以郵寄信件的方式宣布不想這樣做，但該公司仍然撥打類似電話。另外，該公司撥打電話時并未告知有關通話會被記錄，或者只是告知了會記錄對話，而不會向他們傳達有關其個人數據處理的任何其他信息，例如處理的目的，數據控制者的身份或他們擁有的權利。同時，該公司對數據主體進行了過多的信息記錄。監管機構還發現，該公司見個人數據跨境傳輸到位于歐洲經濟區（“EEA”）之外的呼叫中心，對此跨境轉移行為沒有提供足夠的保障措施。（2）處罰時間）處罰時間2019 年 11 月 21 日（3）處罰依據）處罰依據GDPR 第 5 條、第 6 條、第 13

241、條、第 14 條、第 21 條。（3）處罰形式）處罰形式罰款：500000 歐元（5）違規分析）違規分析該公司未能有效地實現現有和潛在客戶的退出要求，違反了關于數據主體拒絕權的相關規定；該公司記錄相關通話的數據處理行為，未能履行充分性告知義務；該公司對數據主體進行了過多的信息記錄違反了數據處理最小范圍原則；該公司再進行個人數據的跨境傳輸過程中，未能履行向歐盟境外傳輸個人數據的相關義務。（6）合規指引）合規指引公司在進行電話營銷活動時必須做到：851）允許個人有效行使 GDPR 規定的權利，包括選擇退出直接營銷的權利，并制定流程以確保自動執行此類反對意見；2）在電話中告知個人相關權利，并聽過按

242、電話鍵或接受電子郵件為他們提供訪問整個隱私政策的選項；3）向任何第三方運營商明確說明必須向消費者提供哪些信息以及可能記錄哪些評論，并實施適當的自動化流程以防止在客戶關系數據庫中進行過多的術語記錄；4）若將個人數據傳輸到 EEA 以外的任何數據中心，須采取適當的保護措施，例如訂立標準合同條款。2、西班牙監管因違反數據法對、西班牙監管因違反數據法對 Vodafone 罰款罰款 815 萬歐元萬歐元（1）案件事實概述案件事實概述2020 年，西班牙數據保護機構（AEPD）收到 191 起對 Vodafone 的投訴，AEPD 調查了其中 162 起投訴，發現 Vodafone 向未經授權的個人撥打電

243、話或發送信息。經調查，該公司將許多業務外包，但沒有相關組織或技術手段來驗證所處理數據的合法性或來源。（2）處罰時間處罰時間2021 年 3 月（3）處罰依據處罰依據兩筆罰款因違反歐盟通用數據保護條例(General Data Protection Regulation，簡稱 GDPR)共計 600 萬歐元，兩筆罰款因違反 GDPR 和西班牙電信和數字權利法律總計 200 萬歐元，以及一項涉及 cookie 的西班牙法律規定的違法行為的 15萬歐元的罰款。（4）處罰措施處罰措施罰款 815 萬歐元，其中 200 萬歐元的罰款歸因于其服務提供商向不符合歐洲數據保護要求的國家進行個人數據國際傳輸。

244、（5）違規分析違規分析該公司未經主體同意處理數據主體的個人數據，違反了 GDPR 關于同意的規定，不具備數據處理的合法性基礎。（6）合規指引合規指引861）處理個人數據應當經過數據主體授權；2）委托第三方進行數據處理時，應當簽訂數據處理協議以規范數據處理者的處理行為合法、合規；3）若將個人數據傳輸到 EEA 以外的任何數據中心，須采取適當的保護措施，例如訂立標準合同條款。3、挪威數據保護部門對挪威數據保護部門對 Ferde 公司處以罰款公司處以罰款，涉嫌向中國跨境傳輸圖片數涉嫌向中國跨境傳輸圖片數據據（1）案件事實概述）案件事實概述2021 年 5 月，挪威數據保護局，決定對 Ferde 公司

245、罰款 500 萬挪威克朗（約498,065 歐元）。根據調查顯示，Ferde 公司因缺乏數據處理協議、在人工處理超過 1200 萬張車牌圖像之前沒有進行風險評估、同時涉嫌在 2017 年至 2019 年期間向中國進行缺乏適當法律依據的數據轉移。（2）處罰時間2021 年 5 月（3）處罰依據處罰依據違反 GDPR 第 28 條第三款、第 32 條、第 44 條而招致罰款（4）處罰措施處罰措施挪威數據保護局對 Ferde 公司罰款 500 萬挪威克朗（約 498,065 歐元）（5）違規分析違規分析根據 GDPR 第 28(3)條規定，數據處理者的處理行為應當受到合同或其他法律規定的法律行為的

246、約束，該合同對數據處理者和控制者都有法律約束力，并確立處理行為的內容和期限、性質和目的、個人數據的類型和數據主體的種類以及數據控制者的權利和義務。公司指定第三方供應商處理客戶數據，未簽署數據處理協議，在不知道供應商數據處理的流程下，還將數據傳送給處理者，違反 GDPR第 28(3)條規定。公司在對數據處理之前沒有進行風險評估違背了 GDPR 第 32條規定，即違反數據完整性與保密性的要求。公司在缺乏有效法律依據的情況下將圖片傳輸至中國，未能保障向第三國數據傳輸的合法性因此違背了 GDPR 第44 條規定。（6）合規指引合規指引871）個人數據由第三方處理時，必須簽訂數據處理協議，應當包括處理行

247、為的內容和期限、性質和目的、個人數據的類型和數據主體的種類、保護數據而采取的技術和組織措施的細節以及數據控制者的權利和義務；2）數據控制者處理、存儲個人數據應確保充分保護個人數據，通過采取適當的技術或組織措施保護其免受未經授權或非法處理以及意外丟失、破壞或損壞；3）在向第三國進行數據傳輸時要充分保障傳輸的合法性。4、Google 定向廣告推送事件定向廣告推送事件（1）案件事實概述案件事實概述谷歌向用戶提供的信息（例如數據處理目的，數據存儲時間或用于廣告個性化的個人數據類別），過度分散于多個文件中，需要用戶經過五六個步驟才能訪問；對于廣告個性化投放的數據處理目的、基于不同目的收集和處理的數據

248、類別的描述過于籠統和含糊。用戶無法據此了解谷歌到底適用用戶的同意還是根據公司自身利益來處理數據。Google 還預先勾選了廣告個性化的顯示框，但是，根據 GDPR 的規定，只有用戶明確的肯定行動（例如勾選未預先勾選的顯示框），同意才是明確的；谷歌要求用戶必須完全同意隱私政策中的服務條款和數據處理條款，而非區分各種不同目的（如個性化廣告或語音識別等）來同意各項條款。（2）處罰時間處罰時間2019 年 1 月 1 日（3）處罰依據處罰依據Art.4 nr.11 GDPR、Art.5 GDPR、Art.6 GDPR、Art.13 GDPR、Art.14 GDPR（4）處罰措施處罰措施罰款：50

249、00 萬歐元（5）違規分析違規分析1）違反透明性原則，用戶無法輕易訪問 Google 提供的信息。谷歌在用戶訪問個人數據上缺乏透明度，一方面，用戶無法了解谷歌“大規模的、侵入性的”數據處理達到了什么樣的程度；另一方面，即使是谷歌已經提供的信息，對用戶來說也是不易獲得的，原因是這些信息過度分散于多個文件中，需要用戶經過五88六個步驟才能訪問。2）違反了為廣告個性化處理提供法律依據的義務。首先，用戶的“同意”并未充分了解情況。比如 Google 對廣告進行了稀釋操作，打散在 Google 搜索、Youtube、Google 主頁、Google 地圖、Playstore、Google 圖片中，個人信

250、息在多個文件中被過度傳播（預計 20 個）。其次，用戶的“同意”既不是具體的也不是明確的。創建帳戶后，用戶可以通過單擊“更多選項”按鈕修改與帳戶關聯的某些選項，在“創建帳戶”按鈕上方訪問。實際上，用戶不僅必須點擊“更多選項”按鈕來訪問配置，而且還預先勾選了廣告個性化的顯示。但是，根據 GDPR 的規定，只有用戶明確的肯定行動（例如勾選未預先勾選的方框），同意才是“明確的”。最后，在創建帳戶之前，要求用戶勾選“我同意 Google 的服務條款”框和“我同意如上所述處理我的信息，并在隱私政策中進一步說明”才能完成創建帳戶的過程。（6）合規指引合規指引1）企業應當以簡單明了、透明以及易獲得的形式

251、將 GDPR 第 13 條和第 14條要求提供的信息提供給數據主體，特別注意相關信息不應過度分散，確保用戶能夠通過相對容易的操作訪問其個人數據；2）對數據收集和處理的目的描述應當是明確而清晰的；3）選擇和適用恰當的合法性基礎；4）在獲取用戶的同意時，應當確保該同意是明確而具體的，即針對不同的處理行為獲取相應的同意，禁止“一攬子”授權同意。5.2 美國美國美國聯邦貿易委員會（以下簡稱 FTC 或委員會）是美國獨立的執法機構，負責保護消費者及加強經濟各領域的競爭。自 2002 年以來，FTC 已對 80 起針對從事涉及消費者個人數據保護不足的不公平或欺騙行為的公司提起訴訟。FTC的問責手段主要為

252、與違法企業簽訂和解協議，要求其指定企業安全計劃并接受FTC 兩年一次的評估，同時企業高層需提交企業遵守 FTC 指令的證明文件。2020年 FTC 年度報告披露的數據安全執法案例如下。1、Tapplock 事件事件Tapplock 與 FTC 處理的一系列互聯網相關的措施類似，同時也是第一個指89控聯網設備中的數據安全和物理安全漏洞的案件。Tapplock 解決了 FTC 的指控，即其通過謊稱其聯網智能鎖的設計“牢不可破”并采取合理措施保護從用戶那里收集的數據來欺騙消費者。根據 FTC 的指控，Tapplock 的 API 上的一個漏洞允許研究人員繞過賬戶身份驗證并獲得對 Tapplock 用

253、戶賬戶中所有信息的完全訪問權限，包括用戶名、電子郵件地址、個人資料照片、位置歷史記錄和智能鎖的精確地理位置。另一個漏洞讓研究人員可以鎖定和解鎖附近的 Tapplock 智能鎖。FTC 和解協議禁止 Tapplock 就設備安全或個人信息隱私作出欺騙性聲明。還要求 Tapplock 實施全面的安全計劃，包括員工培訓。最后，公司必須每兩年接受一次第三方評估，并且必須每年進行合規性認證。2、SkyMed 事件事件在與 SkyMed International,Inc.（一家銷售空中疏散計劃和其他旅行緊急服務的公司）達成和解時，FTC 指控 SkyMed 未能采取合理措施保護從注冊緊急旅行會員的人那里

254、收集的個人信息。該公司云數據庫不安全，其中包含大約 130,000條會員記錄。FTC 還聲稱 SkyMed 向消費者歪曲了其已經調查了數據泄露并認為沒有醫療數據被泄露的事實，并且認為該數據庫沒有被不當訪問。事實上，SkyMed 沒有調查該事件，只是將其從數據庫刪除。該投訴還指控，近五年來SkyMed 通過在其網站的每個頁面上展示“HIPAA 合規”印章，這給人的印象是其隱私政策已經過審查并符合健康保險便攜性和問責法（HIPAA），以此欺騙消費者。事實上，沒有任何政府機構或其他第三方審查過 SkyMed 的信息實踐是否符合 HIPAA。根據和解協議，SkyMed 被禁止歪曲其保護個人數據的方式、

255、數據泄露的情況和應對措施，以及該公司是否已獲得或參與任何政府資助的隱私或安全計劃。該公司還被要求向受影響的消費者發送通知，詳細說明安全事件中暴露了哪些數據。最后，SkyMed 必須制定全面的信息安全計劃，并由 FTC 授權的第三方對其信息安全計劃進行兩年一次的評估。和解協議還要求 SkyMed 高級管理人員每年提交公司遵守和解協議的證明材料。3、Ascension 事件事件抵押貸款行業數據分析公司 Ascension Data&Analytics,LLC，聘請了一家供應商對抵押文件進行文本識別掃描。供應商 OpticsML 將文檔內容存儲在兩個配90置錯誤的云存儲位置，沒有對未經授權的訪問進行

256、任何阻止的保護措施。結果，超過 60,000 名消費者的敏感個人信息在互聯網上暴露了一年。FTC 指控Ascension 違反了 Gramm Leach-Bliley 法案的保障措施規則，該規則要求金融機構制定、實施和維護全面的信息安全計劃。作為該計劃的一部分，金融機構必須監督其第三方供應商，確保他們能夠執行維護客戶信息的適當保護措施，并通過需通過合同的形式保證供應商執行。同時，其還必須識別可合理預見的客戶信息風險，并評估控制這些風險的任何保護措施的充分性。FTC 聲稱，對于 OpticsML等供應商，Ascension 未能做到這兩點。作為解決 FTC 指控的擬議和解方案的一部分，Ascen

257、sion 將被要求實施具有審計、執行認證和報告未來數據泄露的數據安全計劃。5.3 日本日本2021 年 3 月，日本個人信息保護委員會對 Line Corp.進行調查，該消息應用程序提供商的日本用戶數據被一家中國子公司訪問，該中國子公司的工程師能夠看到 2018 年 8 月至 2021 年 2 月期間存儲在日本的用戶個人信息。委員會于要求Line 提交事件報告之后進行現場檢查，調查人員根據個人信息保護法訪問了 Line及其母公司 Z Holdings Corp.，表示檢查“旨在準確判斷是否遵守法律”，Line 對附屬公司的監督及其對數據的訪問。Line 公司表示已終止其在中國的對話系統的開發、

258、維護和運營。5.4 新加坡新加坡1、Toll Logistics(Asia)等公司數據庫遭黑客入侵事件等公司數據庫遭黑客入侵事件（1）案件事實概述）案件事實概述Toll Logistics(Asia)、Toll Global Forwarding、Toll Offshore Petroleum Services和 Toll(TZ)因違反 PDPA 將員工個人數據傳輸給愛爾蘭的人力資源軟件供應商，并遭受到黑客入侵其網絡系統，受到勒索。（2）處罰時間）處罰時間2022 年 5 月 19 日（7）處罰依據處罰依據91違反了 PDPA 將員工個人數據傳輸至愛爾蘭的人力資源軟件供應商，但對所轉移的個人數

259、據的訪問僅限于同一公司內的實體，且沒有證據表明因公司違反傳輸限制義務而造成的任何損失或損害，且公司及時采取了補救措施（已簽訂相關保護協議）。（8）處罰形式處罰形式警告（9）合規指引合規指引若將個人數據傳輸到新加坡以外的任何數據中心，須采取適當的保護措施，例如集團內部協議或有約束力的公司規則。2、NUInternational Singapore Pte Ltd 和和 Newcastle Research andInnovation Institute Pte Ltd 數據庫遭勒索軟件入侵事件數據庫遭勒索軟件入侵事件（1）案件事實概述案件事實概述勒索軟件于2020年8月30日前后先后讓入侵了NU

260、International Singapore PteLtd 母公司管理的英國數據庫（包含 1083 條新加坡個人記錄）和由本公司的一家相關公司托管的馬來西亞數據庫（包含 194 條新加坡個人記錄），導致到這這些數據泄露。這些數據由位于新加坡的 NUInternational Singapore Pte Ltd 轉移到其英國母公司和位于馬來西亞的先關公司。（2）處罰時間處罰時間2021 年 6 月 23 日（3）處罰依據處罰依據違反了 PDPA（4）處罰形式處罰形式限其在決定發布 30 日之內，制定符合 PDPA 第 26 條的集團內部協議或由約束力的公司規則，按照 PDPA 第 26 條和

261、2021 年個人數據保護條例第 10（3）條對其同意、審查和通知程序進行必要的修改。以上措施實施 7 日內通知委員會。（5）合規指引合規指引就任何轉移出新加坡的個人數據，制定遵守 PDPA 第 26 條的集團內部協議或有約束力的公司規則，公司與數據轉移先關的同意、審查和通知程序應符合PDPA 第 26 條和 2021 年個人數據保護條例第 10（3）條規定。925.5 中國中國1、滴滴事件、滴滴事件（1）案件事實概述）案件事實概述2021 年 7 月 4 日，因“滴滴出行 App”存在嚴重違法違規收集使用個人信息的問題，國家互聯網信息辦公室發布關于下架“滴滴出行”App 的通報。國家互聯網信息

262、辦公室依據相關規定，通知應用商店下架“滴滴出行 App”，要求滴滴出行科技有限公司嚴格按照法律要求，參照國家有關標準，認真整改存在的問題，切實保障廣大用戶個人信息安全。（2）處罰時間）處罰時間2021 年 7 月 4 日和 9 日（3）處罰依據）處罰依據“滴滴出行”App 存在嚴重違法違規收集使用個人信息問題（4）處罰形式）處罰形式7 月 4 日，“滴滴出行”APP 被責令下架。7 月 9 日，“滴滴企業版”等 25款 APP 被全部責令下架。（5）合規指引）合規指引企業應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區并經個人信息主體同意。同時企業還應將網絡運營者

263、的聯系人及其聯系方式等信息明確告知個人信息主體；企業在收集個人信息時應針對需要出境的個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內容進行詳細分類以應對數據出境安全評估的需要。同時，企業應及時了解本行業主管部門有關重要數據的規定及更新，對相關重要數據分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求；企業在完成數據安全自評估后，應形成安全自評估報告。內容包括評估對象的基本情況、安全自評估組織實施情況、評估結果、數據安全風險點、檢查修正建議等，并根據法規標準，將安全自評估報告上報行業主管部門。行業主管部門不明確的，上報國家網信部門。若企業在數據出境之前未

264、啟動安全自評估，或者未保存至少兩年的自評估報告并上交主93管部門，則可能面臨處罰；企業收集個人信息必須經過自然人的同意，對外公開其處理個人信息的規則，同時也要明確告知處理個人信的目的、方式和范圍。此外，企業在收集用戶個人信息時應注意避免違規私自收集、過度收集、超范圍收集用戶數據信息。如未經用戶同意自動開啟收集地理位置、身份證號、人臉、指紋、讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務無關的功能。網絡運營者應在隱私政策中詳細列舉收集和使用個人信息的業務功能，所收集的個人信息類型。收集個人生物識別信息等敏感信息時，應在顯著位置明示告知，專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的

265、、處理規則；企業應建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。企業在開展數據處理活動中應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施。若發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。根據法律、行政法規規定，提供數據處理相關服務應當取得電信增值業務經營許可等行政許可。5.6 個人數據安全執法特點個人數據安全執法特點根據對歐盟、美國、日本、新加坡、中國個人數據安全執法實例分析，各國的執法特點如下表所示：國

266、家國家執法特點執法特點備注備注歐盟以罰款為主，罰款金額較大GDPR 根據違反的具體條款的不同，將罰款分為兩個梯度：較輕的一類，處罰上限是 1000萬歐元或全球營收的 2%之中的高者；較重的一類是 2000 萬歐元或全球營收的 4%之中的94高者美國與違法企業簽訂和解協議，要求其指定企業安全計劃并接受 FTC 兩年一次的評估，同時企業高層需提交企業遵守 FTC 指令的證明文件日本新加坡警告，要求涉案企業整改最高罰款 100 萬美元中國巨額罰款，要求下架整改中國個人信息保護法則以情節嚴重為標準將罰款劃分為100萬元以下和5000萬元以下/上一年度營業額百分之五以下兩檔。根據網絡安全法第六十六條：關

267、鍵信息基礎設施的運營者違法在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。956 深圳數字貿易相關產品和服務出口深圳數字貿易相關產品和服務出口數據跨境合規應對建數據跨境合規應對建議議在數字貿易相關產品和服務出口過程中，針對個人數據跨境流動中所涉及的各利益相關方中，形成“政府-企業-機構-個人”的協同治理，多元化的主體發揮各自的優勢，建立跨部門協同合作關系。具體而言，應明確各方

268、在個人數據跨境流動安全合規中的角色定位。政府是個人數據跨境流動合規的最高監管者，在制度層面和監管層面負主要責任；企業是個人數據的采集者、控制者，與使用者作為共同責任主體，對個人數據跨境流動合規承擔主要責任；行業組織和第三方機構是個人數據安全的有益助力，承擔政府和企業橋梁的作用；社會公眾（個人）作為個人數據的提供者與政府一同參與對個人數據跨境流動合規的管控和治理。6.1 企業個人數據跨境合規管控要點企業個人數據跨境合規管控要點6.1.1 個人數據跨境合規主要痛點難點個人數據跨境合規主要痛點難點1、數據多樣，跨境數據的法律屬性識別與分類困難、數據多樣，跨境數據的法律屬性識別與分類困難（1）數據體量

269、大。）數據體量大。大數據背景下，企業生產經營過程中產生的數據呈爆炸式增長，且涉及數據類型豐富多變。從數據主體角度，包括客戶數據、用戶數據、合作方數據、供應商數據、內部員工數據等。從業務經營角度，包括產品數據、日常經營數據、研究/研發數據、內務管理數據等，極大增加了企業數據管理的難度和成本。（2）屬性識別難。）屬性識別難。關于個人信息、重要數據等在監管定義上通常采用“概括式”的表達形式，雖為企業提供了一定靈活度，也為企業對數據的法律屬性類型識別帶來了模糊性和不確定性；不同法域對個人信息、重要數據等概念定義存在差異甚至沖突，對企業跨境數據的屬性識別和應用管控造成困難。例如，歐盟96的電訊運營商會要

270、求合作的中國手機制造商提供其手機設備的標識符如 IMEI信息，以保障網絡運營商對設備的使用，根據中國標準，設備硬件標識符屬于個人信息，于是國內的手機制造商會要求歐盟運營商簽署數據處理協議；但歐盟運營商依據所在國法律，認為因整個業務流程中，運營商僅獲取了硬件標識符，未能獲取其他任何數據，進而無法通過硬件標識符識別到特定使用該硬件的用戶，不具備可識別性，不是個人信息，于是拒絕簽署數據處理協議（DPA）。（3）載體拆分難。）載體拆分難。多種類型的非結構化數據，可能同時集合在同一載體或分散在不同載體中，難以拆分、合并和精準識別，如何按照數據來源、內容、用途等進行數據分類梳理，成為企業數據跨境流動合規管

271、控的實務難題。例如，公司內部搭建的文檔管理平臺，存儲了內部包括項目業務資料、商務合同、財務單據等大量文件，文件中的業務資料如果標識了他國的交通路網、能源節點、敏感區域位置則可能涉及他國重要數據；商務合同中可能包含簽署雙方的法人代表個人信息；財務金融單據中可能涉及敏感個人信息等。但因為數據量大，且以非結構化的形式出現，難以對每類數據做精準識別。2、規則變動，規則要求多層次、多類型、不斷演進、規則變動，規則要求多層次、多類型、不斷演進（1）全球規則層次多樣。全球規則層次多樣。全球尚未形成統一的個人數據跨境治理框架，各國家/地區受國家安全、數據主權、人權保護、地緣政治、貿易模式等因素影響，制定了側重

272、點不同、各個層次的數據跨境規則，數據治理和數據跨境流動政策具有很大差異，并積極尋求擴大各自數據生態系統，企業數據跨境規則研究和遵從難度顯著增加。（2）不同法域規則沖突。不同法域規則沖突。企業在開展數據跨境流動活動時，需要同時考慮數據輸出地和輸入地的個人數據跨境規則，但不同法域個人數據跨境規則的不同，對企業“雙向合規”帶來困難；由于長臂管轄等因素，同一法域的個人數據處理行為也可能需要滿足多法域規則，存在法律沖突隱患，對企業個人數據跨境合規應對和治理能力提出考驗。例如，數據的處理必須具備合法基礎，但各法域的數據處理的合法基礎不盡相同。在我國境內處理歐洲公民的數據，需要同時滿足個保法及 GDPR 的

273、要求。我國個保法為避免擴大解釋，未將“數據主體利益”及“控制者合法利益”兩個邊界較模糊的合法基礎納入條款范圍。若以“合法利益”為基礎在中國境內進行進行數據處理，則可能因失去法律承認的合法基礎而違規。97（3）規則動態發展變化。規則動態發展變化。自歐洲 GDPR 正式發布以來，隱私和數據保護的立法和更新浪潮在全球范圍內迅速蔓延；各國家/地區對數據保護的重要性形成了普遍認知，基于公民權益、國家安全、數據主權等多重考量的數據跨境規則呈現明確化、具體化的特征，使企業數據跨境合規體系的設計、執行和維護成本進一步加大。例如，GDPR 第 15 條對隱私儀表盤提出了要求：“數據控制者不得使用任何的技術手段阻

274、止用戶行使訪問權，在可能的情況下，數據控制者應該給予數據主體遠程訪問其數據的權利，特別是提供在線服務的訪問工具，例如隱私儀表盤?！眱赡旰?，西班牙通過默認數據保護指南，對隱私儀表盤提出了十分詳盡的配置要求。即便其不具備強制執行的效力，也有著極高的參考價值。西班牙作為歐盟成員國之一，率先在用戶控制方面提出了要求，將會影響到其他國家細化規則的進度，這將大大增加企業合規成本。6.1.2 個人企業數據跨境合規要點個人企業數據跨境合規要點企業數據跨境流動合規管控關鍵管控點主要有：數據跨境前的評估數據跨境中的執行數據跨境后的管理適用范圍適用范圍階段階段合規管控要點合規管控要點數據跨境合規管控關鍵管控點跨境前

275、：評估1.1 數據字段清單梳理1.2 數據跨境流轉路徑識別1.3 數據境外接收方識別和能力評估1.4 跨境目的的合法性、必要性評估1.5 跨境字段最小化評估1.6 特殊類型數據篩查、攔截（國家秘密、核心數據、個人信息等）1.7 約定數據發送方與境外接收方的數據安全保護責任義務1.8 企業內部相關會簽審批1.9 向監管機構備案/獲得授權1.10 相關人員培訓98跨境中：執行2.1 加固跨境保障機制（簽署跨境轉移協議，隱私告知書等）2.2 保障傳輸安全性2.3 記錄數據處理過程2.4 嚴格管控訪問權限2.5 監控和防范數據泄露風險2.6 保障數據主體權利和相應通道跨境后：管理3.1 目的完成后及時

276、刪除/銷毀數據3.2 如超出目的范圍跨境，重新進行合規評估3.3 開展數據跨境合規審計具體而言，數據跨境合規治理的思路主要包含了明確管控數據對象、摸查關鍵情形場景、識別外部合規需求、開展數據跨境風險評估、數據跨境風險治理以及重要數據合規延展這些步驟。（1）明確管控數據對象）明確管控數據對象美國的 CPRA 和 CCPA、歐盟的 GDPR、中國的個保法中，“直接或間接的可識別性”是判斷個人信息的根本依據，直接可識別性包括了姓名、身份ID 等基本身份信息，指紋、聲紋、虹膜等生物識別數據。而間接可識別性指代的是與其他信息相結合能識別出特定個人的數據范圍的不確定性，如常用的設備數據、位置數據等。因此首

277、先在合規時應梳理和明確受管控的對象。（2）摸查關鍵情形場景）摸查關鍵情形場景關注點一：開展現狀調研，識別數據跨境場景關注點一：開展現狀調研，識別數據跨境場景現狀調研可采用以下幾種方式進行，以為合規差距分析和明確合規治理重點埋下堅實的基礎：信息采集和人員訪談；審閱制度流程及法務文件；實地走訪觀察。關注點二：梳理路徑，制定數據流轉摸底工具關注點二：梳理路徑，制定數據流轉摸底工具可采用工具表單和數據流轉示意圖的方式對數據跨境的情況進行記錄和梳理。如依靠跨境場景識別表，梳理數據跨境流轉情況，包括具體業務場景、涉及部門、文件形式、具體字段、數據來源地區、數據跨境識別、涉及系統等，并依據識別表繪制數據流轉

278、圖，厘清業務細分場景下的數據跨境流轉的邏輯與路徑（包括系統、數據主體所在地、跨境流轉情況等），形成公司業99務數據跨境全景圖。（3）識別外部合規需求）識別外部合規需求關注點一：研究數據跨境監管規則關注點一：研究數據跨境監管規則了解數據跨境流通的國際規則，掌握其中的主要的邏輯結構，這也是其中的關鍵點：跨境模式：跨境模式：主要涵蓋了不允許出境、滿足條件出境和自由出境這三種模式，其中滿足條件出境為主流模式；跨境核心要素要求：往往集中在同意、同等/充分性保護和批準/評估；充分性保障措施：部分國家規定了具體條件，比如標準協議、集團內部規則等；豁免條件：在滿足某些條件的情況下，可不履行同等的保障條件，及對

279、保障條件的部分豁免。（4）開展數據跨境風險評估）開展數據跨境風險評估關注點一：關注點一：制定跨境風險評估標尺在數據跨境前、中和后分別進行評估大致內容包括：跨境前環節：數據字段/流轉情況的梳理、最小化評估、合法性評估、第三方合規等內容是否已評審通過等；跨境中環節：監管機構審批/備案、標準合同條款協議、數據主體同意是否已合規執行、跨境傳輸過程是否完整記錄等；跨境后環節：目的達成后數據是否及時刪除，是否有超出傳輸目的的使用情況等。關注點二：確定風險評估方法關注點二：確定風險評估方法以“風險導向”為合規策略進行風險等級劃分。風險影響等級具體判斷標準如下：表表 4-10 風險影響等級具體判斷標準風險影響

280、等級具體判斷標準風險影響等級定義說明風險影響等級定義說明風險影響等級風險影響等級描述描述高高高危風險項會導致很高的數據跨境合規風險，是監管機構關注的重點，一旦被監管機構查處，會嚴重影響此模塊業務的正常運營；或一旦被發現和利用，可能會直接導致數據泄露，對公司造成重大經濟損失或產生重大聲譽風險，對模塊業務運行造成較大的影響。中中中危風險項會導致一般的數據跨境合規風險，一旦被監管機構查處，100有中等或較高概率影響此模塊業務的正常運營；或一旦被發現和利用，可能會直接導致數據泄露，對公司造成一定的經濟損失，對模塊業務運行造成一定的影響。低低低危風險項會導致較低的數據跨境合規風險，對模塊業務正常運營、個

281、人信息安全以及公司經濟損失等的影響較低且發生的幾率較低。此類問題對模塊業務的影響受限于特定的條件或需與其他問題組合才能導致較大的危害，從而問題發生的可能性低于風險級別為中的問題。（5）數據跨境風險治理）數據跨境風險治理因此，應該從制度設計和實施落地執行兩個層面，制定跨境數據風險治理方案，主要包括以下兩點：風險控制與治理：針對風險評估結論，制定風險治理方案并進行優先級排期，優先處置影響重大、高緊迫度的風險，緩釋影響中小、低緊迫度的風險，適配可落地的技術和組織措施，包括對各業務執行問題的糾正，以及對現有合規管控基線的優化；成果內化與長效運維：堅持合規與業務發展相結合、體系完善與落地執行相結合的治理

282、原則，制定可落地、可推廣、可持續的數據跨境風險管控和合規治理規則、指引、方法和工具，逐步完善的數據跨境風險治理體系。關注點一：監管方交流與報批報備關注點一：監管方交流與報批報備多數的監管要求均涉及到監管機構的參與，如跨境前的監管審批、標準協議的報備等。部分國家出具了具體的報備流程指引，如歐盟的約束性公司規則（BCRs）審批流程，企業需與其進行溝通。關注點二：合理部署數據中心關注點二：合理部署數據中心跨國企業在部署業務系統的服務器時，應以合規為前提，結合成本、技術等對服務器的選址進行部署。合規考量針對有本地化需求的，建議部署在本地，如對一般個人信息有本地化需求的俄羅斯，對敏感個人信息有本地化需求

283、的印度、巴基斯坦、阿聯酋等。針對沒有本地化要求的國家，在數據中心選址時，應考慮布局國家/地區的數據保護能力被認可的程度。盡量在國家廣泛認可的“充分保護”國家建立數據101中心或數據港，以便數據存儲及合理利用。成本、技術考量應綜合考慮成本、技術等因素，包括當地對企業的政策、當地政策、當地的網絡水平、技術成本等。關注點三：調整關注點三：調整 SCC 模板體系模板體系部分國家要求簽署本國監管機構的 SCC，短期內針對未明確規則的國家/地區可以歐盟版本的 SCC 為基礎，針對有明確監管要求的國家/地區可采用當地的 SCC 協議。長期可關注國別的差異、主體角色的差異，調整 SCC 的模板及使用規范。關注

284、點四：數據出境征得個人的單獨同意關注點四：數據出境征得個人的單獨同意應以個人同意作為數據處理合法性基礎，企業應充分履行告知義務，向個人信息主體告知境外接收方名稱或姓名、聯系方式、處理目的、處理方式、個人信息的種類及個人向境外接收方行使本法規規定權利的方式和程序等事項。關注點五：建立數據跨境前評估機制關注點五：建立數據跨境前評估機制數據跨境前至少對以下事項進行評估：數據跨境可行性評估：對數據跨境目的、范圍、方式等合法性、正當性、必要性進行評估，對境外接收方的安全管控能力進行評估；數據跨境字段最小化評估：判斷跨境數據字段是否最小化，是否涉及敏感信息等；數據跨境安全性評估：對跨境環節的安全管控能力進

285、行評估，包括組織管理和技術管控兩層次，例如傳輸通道、脫敏加密保障等。6.2 應對建議應對建議6.2.1 政府層面政府層面（一）國家層面（一）國家層面1.以法益衡量為手段，確立分級分類監管體系以法益衡量為手段，確立分級分類監管體系針對個人數據跨境流動，建議以市場機制為主，遵循政府監管與企業自律相102結合的原則進行監管?？紤]到現階段我國數據跨境流動政策體系建設較薄弱，個人數據及隱私保護法律層次較低且規定分散，應盡快出臺個人數據保護法。立法過程應充分考慮我國實際，梳理典型出境數據現實場景及目的地，形成以數據保護為原則，外加若干例外情況的靈活認定方式。由于數據跨境流動評估工作涉及到法律環境、合同范本

286、、數據安全能力等諸多領域，很難依托企業或個人能力完成，因此應確保評估標準一致。評估標準確立后，政府還需建立類似與歐盟標準合同范本的數據跨境流動協議范本，使企業能夠通過法律機制管控個人數據的出境風險。對于涉及到國家安全或者產業發展的重要數據，應結合數據離境后的潛在風險進行實地分析，實現梯度性監管。一方面，積極借鑒美國、歐盟數據分類經驗，依據行業及信息的具體分類標準，確定“重要”數據內涵及涵蓋范圍。政府、金融、交通、通信等相關行業主管部門需聯合行業協會及第三方組織，探索制定對應領域內重要數據的列表及識別標準，并根據數據泄露、濫用或者非法篡改等對國家安全的影響程度而劃分數據出境風險等級。重要數據離境

287、時先對其進行風險評估，依據風險程度，針對完全限制出境、出境后備案、審批后出境等不同情形采取不同監管方式；另一方面，分區域分企業實施試點先行。如，在海南自由貿易港等自貿區建立數據自由貿易港，借助區內制度優勢進行監管模式的創新實踐。政府還可鼓勵百度、阿里巴巴等企業率先開展數據出境管理實踐，如，借鑒歐盟 GDP條款在企業內部設置數據安全官，負責與監管部門的對接，以此帶動全行業的數據保護和流動的規范。2、明確相關部門的監管保護職責明確相關部門的監管保護職責對個人數據跨境流動安全的機關既重視立法保護，同時還要有有效的監督保障機制。一直以來，中國個人信息保護領域的監管體系比較復雜，網信、市場監管、工信、公

288、安以及教育、醫療、衛生、金融等相關領域的管理部門都有監管職能，導致實踐中權責交叉、執法沖突的現象時有發生。個人信息保護法的頒布意味著多主體的監管架構已經確立：一方面，國家網信部門對個人信息保護有統籌協調和監督管理的職能；另一方面，國務院有關部門、縣級以上地方人民政府有關部門，在相應的職責范圍內也負有監管職能。這意味著，業務部門分頭監管的機制會繼續延續，國家網信辦的主導和統籌地位則得到進一步強化。從監管103保護機制的建立而言，歐盟逐步了確立“一站式”組織機制，目的在改善歐盟數據保護法在不同地區之間的統一適用性，這樣一來，既可以增強個人與企業的法律預期，也能提高監管機構解決相關糾紛的效率。中國可

289、借鑒該模式，完善個人數據跨境監督機制程序?？刹扇〉拇胧┌ǎ旱谝?，國家或者平臺出于某種目的而對個人信息進行收集和處理，直接接觸這些信息數據的是內部工作人員，因此，限制其接觸時間以及地點等方面確有必要。第二，提高市場準入門檻，規定必須具有一定的主體資質才能對個人信息進行收集。第三，在用戶提出更改或者刪除某種信息數據時，積極與用戶核對并完善。若監督機構存在不作為的行為，行為人可以申請司法救濟以維護自己的權益。同時應著力推進行業自律組織，以提升執法效率，減輕執法的負擔。當個人數據在跨境流動過程中遭遇侵權時，應提供明確的救濟方式。當前，存在信息處理者與信息主體的地位失衡導致維權難度高，成本與收益不均衡

290、導致司法訴訟的激勵困境等問題，因此，針對個人數據侵害極易涉及不特定多數人的權益，按照侵害行為及其影響范圍和造成損害大小的不同，救濟渠道也有多個維度，實施多維并進的程序救濟，應當包括訴、調解、協商、訴訟等。在未來，應在以公益訴訟等集體救濟模式為主導的制度的構建上，完善配套機制的構建。3.推進多邊數據跨境流動談判，打造聯合監管同盟推進多邊數據跨境流動談判，打造聯合監管同盟從美國和歐盟的經驗可以看出，數據跨境流動監管需要多國之間的協作配合。在跨境數據保護趨嚴的時代背景下，不同國家之間的跨境數據保護體系及監管機構的互動逐步深化。據中國貿易報報道，截至 2020 年初，來自不同國家的 18個監管機構發

291、出 444 份正式或非正式跨境互助請求，回應率高達 79.5%?？梢?，聯合監管已成為數據跨境流動監管的重要發展趨勢。隨著“一帶一路”建設的深入，中國國際影響力日益攀升。我國應抓住這一時代契機，在完善國內數據監管規則的同時，由國家網信部門牽頭，聯合商務部、外交部等相關部門，啟動數據跨境流動的合作工作推進機制。在多邊貿易談判中，適當嵌入數據跨境流動談判內容，主動尋求統一適用的數據跨境流動規則。對于非洲、東南亞一些與中國關系良好的國家，應借鑒歐盟“白名單”制度，采取跨境數據流動監管的對等措施，形成數據跨境流動信任體系。另外，我國還可嘗試加入 APEC 中的 CBP機制。該機制雖然由美國主導，但其數據

292、流動規則較為彈性，與我國數據保護要求契合，有104助于減輕企業開展跨境業務時個人數據跨境流動的合規負擔。4.借力中美政府間對話機制，制衡美方借力中美政府間對話機制，制衡美方“數據霸權數據霸權”在互聯網領域，美國既是技術發起者，亦是規則制定者。在互聯網基本架構、總交換節點等關鍵技術環節，美國占據絕對優勢。憑借技術優勢，美國近年來積極布局，謀求全球“數據霸權”。如，監聽世界各國的“棱鏡計劃”，借助光纖網進行數據采集的“上游計劃”，利用互聯網骨干樞紐非法收集數據的“布拉尼計劃”，均反映出美國這一企圖。對此，中國可借鑒美歐“安全港框架”與“隱私盾框架”的協議內容，在已有的政府間經濟對話機制中進行協商。

293、針對美國“數據霸權”主義行為，我國還可借鑒歐盟與美國經貿談判時的做法，要求美國澄清數據保護主義與數據保護之間的關系，以此避免美國對中國數字貿易的不正當限制。此外，為應對美國“長臂管轄”帶來的不利影響，談判中我國應明確自身立場及底線，并制定相應反制手段，如，嚴格對美重要數據出境的框架管理，為中美數據跨境流動提供對等的政策環境。具體而言，相關部門需要進一步明確數據安全法的國際執法協作框架與條件，設計符合國家安全和利益的數據執法調取方案，以此為基礎與美國達成雙方認同的數據執法調取協議。5.規定統一機構評估情形，厘清監管機構責任規定統一機構評估情形，厘清監管機構責任同歐美國家相比，我國在互聯網硬件、相

294、關設施等方面制定了一系列法律規定，但規定的評估情形并不統一，且對應監管機構應負責任不明。對此，我國應借鑒歐美評估數據保護水平經驗，提高國家網信部門的統籌能力。行業主管或監管部門需要參與統一評估，并制定評估情形與對應標準。具體來說，統一評估機構從整體出發，避免對多領域的綜合數據出境重復評估和評估標準混亂的情況，同時也可滿足不同行業的實際情況和特殊安全需求。數據跨境安全的前提是監管機構要有明確的評估責任。數據跨境安全評估職責應由行業主管和監管機構承擔，如經過其專業評估，數據跨境后仍被泄露、損毀或惡意利用，評估機構應承擔相應責任，賠償數據主體的損失。行業主管或監管機構在評估重要數據時，由于保管不力造

295、成的商業機密泄露等問題，應對企業進行合理賠償。另外，盡可能多地開拓新型評估方式，如采取第三方專業機構進行評估，減輕監管機構和企業的評估負擔。6.發揮業界優勢，提升數據安全管理能力發揮業界優勢，提升數據安全管理能力105企業作為數據控制者，在跨境數據流動活動中應承擔安全義務。礙于目前跨境數據流動管理的現狀，我國企業普遍缺乏跨境數據流動安全管理的意識和實際管理措施。第一，企業跨境數據流動安全自律意識較為缺乏，合作過程中泄露關鍵數據的情況時有發生。第二，企業尚未建立跨境數據流動保護制度。對此，中國應借鑒美國建立行業性的數據保護自律機制，鼓勵企業加強與國內外監管機構的對接合作，并要求企業設置數據安全官

296、，對企業申請外國監管機構或第三方認證提供幫助和指導。通過引入第三方機構及行業協會力量，實現數據跨境流動的評估認證，以此激發企業嚴格合規的積極性。與此同時，政府應要求企業加強數據跨境安全監測，建立多維度隱私保護機制，并鼓勵互聯網龍頭企業在技術層面積極創新，先試先行。另外，還可大力支持阿里、騰訊等企業參與制定國際標準，在全球范圍內推廣中國數據安全技術和管理經驗。通過鼓勵這些龍頭企業與 IBM、SAP 等國際科技企業合作，增強中國企業在云計算服務行為準則制定中的話語權。（二）深圳層面（二）深圳層面1.用好特區立法權完善地方層面個人數據跨境流動規則用好特區立法權完善地方層面個人數據跨境流動規則數據安全

297、法第 6 條已賦予各地對本地區收集和產生的數據及數據安全的管理職權，作為經濟特區和中國特色社會主義先行示范區，深圳在“用足用好經濟特區立法權”的指引下，能夠也應當在數據安全法的框架下創制個人數據跨境流動規則，在數據入境、數據審查、數據分級分類、數據確權等方面發揮先試先行先探索的特區使命。2.實施個人實施個人數據跨境流動合規數據跨境流動合規行業自律規制的監管行業自律規制的監管現代個人數據治理的目標并非單一的政府監管，而是需要探索多元主體更深層次的合作治理精神，以推動形成政府、企業、相關社會組織、公眾共同參與個人數據跨境流動合規的良好環境。深圳可借鑒美國的個人數據跨境流動監管制度中大量運用采用的自

298、律規制的特點，在外部，鼓勵和發揮自律規制的自主性優勢，鼓勵企業和行業制定推薦性標準、行業良好實踐等行業自律性規范，發揮其重要作用，重視和尊重市場主體“由下而上”的規則提煉；同時，也要強化對自我規制的“再規制”，如對地方個人數據保護政策的制定和執行進行適當的監督，避免行業自律的失衡及得不到有效實施，采用的方法包括效仿諸如美國的由專門的行政機關對自律性規范成員的具體實施情況進行監督并對違反者實施處罰，或者是授106權消費者獨立請求權或授權消費者組織提起集體訴訟的權利并由法院對企業遵守自律性規范的情況進行審查。在內部，應積極推進企業將“內部管理型規制”作為重要抓手，通過綜合性的激勵手段，培養信息處理

299、者的內部治理機制。此外，可積極探索鼓勵引入第三方認證市場等市場化的規制機制，借力第三方，既可以充分利用私人組織的專業和資源優勢，又能夠降低政府的成本，將監管投入從分散的市場主體轉移到相對集中的第三方認證機構之上。3.利用國際層面的磋商談判機制利用國際層面的磋商談判機制個人數據跨境流動與數字貿易密切相關，因此應充分利用規則磋商談判機制，協調跨境數據的流動規則的協調。以美國為例，盡管歐盟個人數據跨境流動安全監管的政府主導立法模式與美國行業自律模式大相徑庭，但是數據在二者之間有流動的需求，因此，兩國/地區先后談判達成了“安全港”、“隱私盾”兩項協議。隨著中國個人信息保護法的出臺，中國個人信息安全和隱

300、私保護日臻完善，因此，在數字全球化背景下，以數字貿易談判為抓手，在當前規則制定呈現碎片化的態勢下，深圳應充分發揮自己在標準和規則研究方面的優勢，積極推動國家標準以及深圳標準與他國的個人數據跨境流動安全標準的協調和互認，應當關注的不僅僅是標準本身，還應包括標準本身的實施機制（即對他國的行業自律標準的可執行性進行審視），在個人數據跨境流動領域，最大可能地避免貿易壁壘，為企業“走出去”提供助益。4.以基礎設施和產業發展為重點，全面強化數字生態系統保障以基礎設施和產業發展為重點，全面強化數字生態系統保障深圳應繼續加大對云計算服務核心技術研發的投入力度，支持構建自主的操作系統、數據庫系統和安全管理系統，

301、提升云計算和數據中心的能源效率。加強信息通信基礎設施建設，加快推動 5G 建設和應用。積極開發數字技術在智慧城市、先進制造業和現代服務業的應用，促進形成強大的產業生態。積極實施走出去戰略，支持我市數字企業出海發展，鼓勵走出去企業使用國內數字服務。以粵港澳大灣區為契機，探索建立區域數據中心，開展離岸數據處理業務。加強我市基礎教育中數字經濟和數字技術相關的通識內容，加強再就業技能培訓中針對數字技術應用技能的培訓。1076.2.2 企業層面企業層面1.關注法律法規的地區差異性關注法律法規的地區差異性隨著信息技術的發展，大型企業將利用人工智能、區塊鏈等多項技術創新爭奪數據市場的話語權。技術發展所帶來的

302、集群效應也可以幫助企業實現在無須人為干預的情況下進行大量的數據傳輸的可能，這降低了中小企業進入數據市場的門檻，那么通過這些企業產生的數據流也將更廣泛地流入市場，增強數據市場的活力。然而，針對不斷增加的流量，不同國家及區域的監管者并未就該現象及其所帶來的更普遍的數據安全需求提供協調的監管。全球化的數字數據和服務貿易既沒有伴隨著互聯網法律而實現普遍協調，也沒有實現真正的數據保護和數據隱私法的融合。這些都將引發經濟損害的風險，阻礙數據服務領域的創新。在缺乏國際統一的數據保護的立法的情況下，各國及地區普遍地在法律中設置了法律適用域外效力的條款，包括歐盟及我國。在這種情況下，企業在不同的司法行政區開展業

303、務時，必須密切關注當地監管要求的不同。例如，中國企業在面對國外監管機構的調查時，可能會被要求向其提供根據中國法律法規規定的不可傳輸的特定類型數據，在這種情況下，國外監管機構根據其執法權限對中國企業所提出的數據要求會與中國數據保護的相關法律產生沖突。外國監管和地緣政治考慮有時反映了外國的戰略目標。公司必須了解這些復雜性，盡力避免因商業慣性引發的對適用法律規定的理解差異，并重視由此種理解差異引發的商業教訓。2.主動適用，防范風險主動適用，防范風險盡管在不同的司法行政區，法律規定存在不同，沖突也間或發生，但這絕不意味著企業只能以消極的態度去對待這些關于數據安全的法律規定，相反，企業應當以積極態度去適

304、用。在 GDPR 的語境下，盡管 GDPR 沒有要求歐洲以外的公司在其業務中采用其設立的合規性標準，但受其實施的影響，實際上很多跨國公司基于不同的原因都在主動適用，例如某些在歐盟區域運營的跨國公司要求其分支機構保持合規的一致性，或是要求其供應商也符合 GDPR 的要求來規避關聯業務所可能產生的風險。歐盟對公司層面的數據治理政策相當重視，一旦經監管機構認定某公司在公司層面形成了適當的公司規則，對涉及數據處理和控制過程進行了足夠控制，則被認可為適當的保障措施，在此規則下數據可以進行流動及傳輸。因此主動合規不僅能夠幫助企業規避風險，更為重要的是能為企業建立108良好的聲譽，更順利地開展跨境業務。隨著

305、歐盟等國家和地區對數據監管的立法和執法力度加強，以及走出去的中國企業數量的不斷攀升，中國與其他國家及地區的貿易摩擦同樣也在不斷升級，我國企業勢必將面對更為嚴格的數據安全監管。對于具有跨境業務需求的中國企業而言，在進行數據跨境的處理時，首先需要考慮其營業地法律的要求，主動適用中國的相關規律規定，并根據中國數據跨境流通監管模式的配套制定相應的管理規定。在滿足上述要求后，通過內部及外部盡職調查，關注數據跨境的流程，確認關鍵節點，例如出境地、入境地、境外存儲地以及中轉地等相關業務地點，同時考察企業是否遵守了這些業務相關地區的法律要求，以及如何設置符合當地數據安全要求的合規策略。盡管考慮到不同司法行政區

306、的規定可能存在不一致的地方，企業需要在兼顧地區差異性的同時，適度調整自己的合規標準及流程等，主動適用當地法律，以避免后續可能面對的多重法律風險。3.利用數據合規的工具利用數據合規的工具，構建數據合規體系，構建數據合規體系由于種種原因，在域外法律“標準對立”和“規則重疊”的背景下，對個人數據傳輸的限制和數據本地化要求層出不窮。雖然這些復雜性阻礙了某些數據的流動，但是在跨境數據流成為當今國際貿易的重要組成部分的大背景下，允許個人數據繼續自由流動已成為不可逆轉的趨勢。那么，對數據主體及其數據提供某些保護則成了監管的重點。對于數據主體而言，數據的收集、使用和傳輸通常很難被觀察到，由于信息不完整也在一定

307、程度上導致數據主體對其權利解讀存在偏差，數據主體經常誤解其交易的性質和后果。那么從企業的角度而言，可以從信息獲取時的合同管理入手，也就是說企業在處理其與數據主體的合同條款上，應當盡量使用平白、簡單的語言，并以合理的方式對重要條款向數據主體做出提示，以消除非熟練數據主體由于閱讀或理解與信息隱私相關的條款或上述誤解而面臨的信息障礙。不論是 GDPR 或是中國現有的數據保護相關法律規定，都為企業提供了豐富的工具包，為企業進行數據跨境合規工作做出了具體的指引。GDPR 向企業提供了多種多樣的合規性工具，例如數據處理登記冊的具體實施要求、設立專門數據合規官的要求，以及在進行高風險處理之前，進行數據保護影

308、響評估的要求。企業在數據合規體系搭建的過程中，應當考慮如何將這些數據合規工具應用到具體109的日常合規工作中，這不僅有利于為企業技術創新提供安全保障，也將為企業面對外部調查時作為其是否具備合規性的證據要素，為企業提供防護盾。對于中國企業來說，可以通過自行評估與聘請獨立評估機構進行評估的方式，考慮是否有采用上述合規性工具的必要性以及如何在控制成本的前提下利用法律法規所提供的合規策略。針對企業數據跨境的相關需求，GDPR 和我國安全評估辦法草案都建議企業采用其推薦的標準合同。根據 GDPR，在第三國未能達到充分性保護水平的情況下，歐盟境內數據控制人和境外的數據控制人或處理者可以簽訂歐盟委員會審批的

309、標準合同，通過該工具達到 GDPR 的預期，從而實現數據跨境傳輸。這些合規工具被采用后，不僅有利于中國企業規避相關的法律風險，同時也為中國企業提供了與歐盟境內企業在同一共識下平等對話的機會，將有助于企業獲取商業機會和贏得商業信譽。4.強化數據安全保障強化數據安全保障布局完善產學研用投協同的數據安全科技創新生態，加強數據安全新技術、產品和服務的應用和推廣。對數字基礎設施進行安全加固，推進國產化部署，防范系統、網絡后門以及非法數據通道。推動數據加密、隔離、防泄露、溯源、銷毀等技術研發，提升數據跨境流動全環節風險監測和安全防護水平，以實現數據系統攻不進，數據傳輸切不斷，數據資產竊不走、數據濫用行為賴

310、不掉的目標。例如，標記化技術，支付標記化是使用一個唯一的數值來替代傳統的銀行卡主賬號的過程，同時確保該值的應用被限定在一個特定的商戶、渠道或設備。支付標記可以運用在銀行卡交易的各個環節，與現有基于銀行卡號的交易一樣，可以在產業中跨行使用，具有通用性。其優勢體現在三個方面：敏感信息無需留存；持卡人卡號與卡片有效期在交易中不出現，支付標記僅可在限定交易場景使用，支付更安全；支付標記化不僅可防范交易各環節的持卡人敏感信息泄露，同時也降低了欺詐交易的發生概率。前幾年中國銀聯和蘋果公司合作，在中國推出移動支付方案“蘋果支付”，有人曾擔心個人賬戶數據會泄露至國外公司，但實際上中國銀聯在設計中采用了支付標記

311、化技術，有效規避了敏感信息泄露的風險。除此之外還有區塊鏈技術以及其他可實現數據“可用而不可見”的創新技術等鼓勵研制具有行業針對性的數據安全防護和出境管理解決方案，組織開展重點領域試點示范，探索行業最佳產品和服務實踐，推動技術創新、應用推廣和產110業化。綜上所述，對于具有數據跨境需求的企業而言，需要深入地理解數據跨境相關司法行政區的相關法律規定，并在此基礎上建立相應的數據合規體系，同時提升數據安全保障技術水平。盡管現階段的數據跨境合規仍具有極高的不確定性，相關工作也較為繁雜，但企業仍應考慮主動適用，以規避風險。企業在進行數據跨境業務時，也可適時考慮借助外部顧問來協助企業完成盡職調查、合規框架構

312、建等相關工作。各司法區實際上也考慮到了數據跨境合規工作的復雜性，因此也為企業提供了相關的工具，如果企業能夠將這些合規工具結合進日常的合規體系，也將極大地幫助企業實現數據合規。6.2.3 行業協會行業協會/技術機構技術機構1.建立與完善個人數據跨境流動的行業自律制度建立與完善個人數據跨境流動的行業自律制度行業組織和技術機構是連接政府和企業的橋梁，是技術性貿易措施應對中的“政府-企業-行業組織-公眾”四位一體模型中的重要一環。由于政府規制實施直接控制的能力有限，各國都師徒引入行業協會和企業自律規制。如美國主張的數據規制體系就更側重于行業自律的形式進行自我規制與事后問責，一般通過合同產生約束力，企業

313、加入協會即為統一接受自律規則的約束，以此用較為細致的合同和交易機制設計，來推動跨境數據流動自由化和國際數字市場的發展?？v觀我國，相關如何降低監管成本，提高監管能力仍是我國目前監管制度的重要改善方向。因此，可以學習歐美等國的行業自律經驗中的管理經驗，通過制度設計和模式重構，在后續的立法中對數據安全和隱私保護規制的基本原則和法律框架進行細化和明確化，通過明確的政策指導和透明的法律條文規定，為我國行業自律提供合法高效的合規指引。相關行業組織也應積極主動在個人數據跨境流動領域有所作為，承接個人數據跨境流動合規的行業自律工作。行業自律組織應積極開展行業標準和規范的制定，以此對個人數據跨境流動的政府監管制

314、度形成有益的補充。2.引入第三方機構評估，提高個人數據跨境保護水平引入第三方機構評估，提高個人數據跨境保護水平中國監管機構評估主要采取主體分散的評估模式，缺乏第三方機構評估的形式，因此極易造成評估標準不一致、重復評估的情況。面對大量的數據流動，不111同評估部門對數據跨境理解及對數據安全程度要求存在差異，最終得出不同評估結果實屬常態。經過行業主管部門和監管機構評估后，數據在跨境過程中仍存在被泄露、損毀、篡改、濫用的情況，且評估機構所承擔的責任也未明確。為解決這一困境，我國可借鑒美國經驗，引入第三方機構評估數據跨境安全水平，并及時從以下方面規范第三方評估市場。第一，對評估機構進行評估能力、評估資

315、質的認證。第二，監督管理第三方評估機構評估的形式、過程及方式。第三，明確第三方評估機構失職或造成損失的責任。引入第三方評估機構并規范其運作方式，以此提升數據跨境流動的評估水平。與此同時，行業自律組織應當將這一系列活動定期予以公開，做到陽光下操作。附錄附錄附件附件 1：全球主要數據跨境限制模式：全球主要數據跨境限制模式模式模式國家國家立法概況立法概況立法詳情立法詳情國家安全與數字紅利并舉，在促進數字經濟發展的同時尋求本地化中間路線印度提倡對個人數據進行分級，對一般個人數據、敏感個人數據、關鍵個人數據實施不同的數據本地化和跨境流動限制。從 2018、2019

316、兩部個人信息法案針對數據跨境規則的變化可以看出，印度并不想實施嚴格的“數據保護主義”，但又不能放任數據的自由流動，因此其數據本地化策略在想要融入數據全球化趨勢，刺激印度數字經濟發展的同時，保護數據安全。其最終確定的中間路線是：在實施本地化要求的同時，印度提倡對個人數據實施分級分類。對敏感數據、關鍵個人數據提出嚴格的本地化要求：在印度境內存儲副本，在極少特定的情況下可以跨境流動，其中，關鍵個人數據離境條件比敏感個人數據更為苛刻；而對一般個人數據不做要求。俄羅斯通過數據本地化政策要求數據首次存儲在俄羅斯境內，滿足合規條件的情況下有序出境。2014 年，俄羅斯通過了個人數據本地化規則，要求收集和處理

317、俄羅斯公民個人數據的所有運營者使用位于俄羅斯境內的數據中心，要求數據首次存儲必須在俄羅斯境內的服務器上。在執法層面，俄羅斯也希望通過數據本地化存儲加強政府執法權和對數據的控制力?！癥arovayas Law”要求在互聯網上傳播信息的組織者保留俄羅斯用戶的互聯網通信數據、用戶本身的數據和某些用戶活動的數據，在俄羅斯境內留存數據 6 個月，并應要求向俄羅斯當局披露。提倡數據美國主張將“數據跨境基于當前在信息通信產業、計算機行業和數字經112跨境自由流動，推動跨境數據自由流動規則構建自由流動”納入協議條款、限制重要技術數據、確定長臂域外管轄。濟上具有絕對的全球領先優勢，美國的

318、數據流動政策更注重個人數據跨境自由流動，主要目的在于利用數字產業全球領導優勢主導未來數據的流向。因此，美國在與各國的新一輪貿易談判中都主張將“數據跨境自由流動”納入協議條款，以破除許多國家利用數據跨境流動而設置的市場準入壁壘；同時，限制重要技術數據出口和特定數據領域的外國投資，最后，通過“長臂域外管轄”擴大國內法域外適用的范圍，進一步擴展數據主權，以滿足新環境下美國政府跨境調取數據的執法需要。歐盟對內實施單一化戰略，對外設置較為靈活的數據出境模式。在成員國內部，歐盟數據流動政策旨在消除歐盟境內數據自由流動障礙，實施歐盟數字化單一市場戰略。為了實現數字化單一市場，歐盟通過GDPR 在成員國間的直

319、接適用，消除成員國數據保護規則的差異性，實現個人數據在歐盟范圍內的自由流動。通過非個人數據在歐盟境內自由流動框架條例則致力于消除各成員國的數據本地化要求的壁壘。針對數據向成員國之外的出境，歐盟為企業提供了遵守適當保障措施條件下的轉移機制，包括公共當局或機構間的具有法律約束力和執行力的文件、約束性公司規則（BCRs）、標準數據保護條款（歐盟委員會批準/成員國監管機構批準歐盟委員會承認）、批準的行為準則、批準的認證機制等。這些機制為在歐盟收集并處理個人數據的企業提供了可選擇的數據跨境流動機制。新加坡、日本主張數據保護和數據自由流動相結合，為企業設置多樣化的出境條件，并積極參與數據跨境流動合作機制。

320、以建設亞太地區數據中心為導向，新加坡建立了與歐盟類似的彈性化的數據跨境傳輸要求，使其成為跨國企業設立亞太區域數據中心的有利助力。同時，新加坡積極加入 CBPRs（APEC 跨境隱私規則體系），尋求區域內數據自由流動。雖然日本在數據跨境轉移的規則形式上參考了歐盟，但對規則的解釋更為彈性，為數據跨境自由流動提供了更多的空間。與此同時，日本積極積極參與美國為主導的跨太平洋伙伴關系協定(TPP)和 APEC 的 CBPR 規則體系，也通過制定補充規則以彌合歐盟和日本在數據保護規則上的差異，于 2019 年實現了日歐之間雙向互認。附件附件 2：國際組織數據跨境流動框架：國際組織數據跨境流動框架國際組織國

321、際組織概況概況框架詳情框架詳情113經濟合作與發展組織（OECD）促進成員國內部數據跨境流動。2013 年，OECD 對 OECD1980 年指南進行了一次全面修訂，形成了隱私保護和個人數據跨境流通指南（簡稱“OECD2013 年指南”）。指南中將個人數據跨境流通定義為“個人數據跨越國家邊境流動”，并明確促進數據在成員國之間的自由流動。其中第四部分為數據自由流通和合法限制的原則（第 15-18 條），主要內容包含成員國應履行的再出口影響評估義務、確保通暢、安全的義務、管理與保護責任，克制態度、禁止妨礙數據流動、確保限制和風險成比例的義務。2007 年，在 OECD1980 年指南的基礎上，OE

322、CD 通過了隱私保護及跨境合作執行建議，要求成員國執行跨境合作執行隱私保護相關法律時，對企業提出了便利執行合作的行動要求。不難看出，OECD 對于成員國內部的數據跨境流通總體持較為開放的態度。亞太經濟合作組織(APEC)建立跨境規則體系，確立具體評估標準2013 年，亞太經濟合作組織（以下簡稱“APEC”）通過了跨境隱私規則體系（Cross BorderPrivacy Rules System，以下簡稱“CBPR”）。CBPR 旨在“確保個人信息跨國界自由流動的同時，為個人信息的隱私與安全建立有意義的保護”，要求“各國政府應確?？缇硵祿鬏敳淮嬖诓缓侠淼恼系K，同時應在國內以及與外國政府合作在國

323、際上保護其公民個人信息的隱私和安全?！盇PEC 彈性化的多邊隱私與數據保護監管合作模式取得了一定的成效，作為是亞太地區第一個數據保護協同框架，APEC 隱私框架建立了一整套的落實措施，其跨境隱私規則體系（CBPR）是當前多邊監管合作中較為成熟的機制，確立了評估標準：國內隱私法、隱私保護執法機構、信任標志（trust-mark）提供商、隱私法與 APEC 隱私框架的一致性等，要求各成員國確?？缇硵祿鬏敳淮嬖诓缓侠淼恼系K。東南亞國家聯盟(ASEAN)通過數字治理框架對成員共進行監管指導，重點發展示范合同條款及跨境流動認證第一屆東盟數字部長會議批準發布東盟數據管理框架（ASEAN Data

324、 ManagementFramework，簡稱 DMF）以及東盟跨境數據流動示范合同條款（ASEAN Model ContractualClauses for Cross Border Data Flows，簡稱MCCs），以期促進東盟地區數據相關的商業業務運營，減少談判和合規成本，同時確?？缇硵祿鬏斶^程中的個人數據保護。東盟數據保護框架旨在靈活適應成員國在數據和隱私保護監管方面的不同的成熟度，但不具有國內和國際的約束力。2018 年，基于東盟經濟共同體114藍圖 2025和東盟個人數據保護框架的號召，東盟發布了東盟數字數據治理框架（ASEANFrameworkonDigitalDataG

325、overnance），規定了戰略重點、原則和倡議，以指導東盟成員國在數字經濟中對數字數據治理（包括個人和非個人數據）的政策和監管方法。2019 年 11 月，東盟通過東盟跨境數據流動機制的關鍵方法，建議東盟重點發展其中兩個機制，即“東盟示范合同條款”和“東盟跨境數據流動認證”。附件附件 3：中國數據跨境相關法律規定：中國數據跨境相關法律規定法律法規名法律法規名稱稱相關條款相關條款核心規定核心規定時間時間性質性質廢存廢存情況情況網絡安全法第 37 條1.框架性規定，主體限于關鍵信息基礎設施運營者在境內搜集的個人信息2.需境內存儲，若有需要境外提供，需經安全評估2017 年生效法律現行有效個人信息

326、和重要數據出境安全評估辦法（征求意見稿）全篇1.涉及個人信息和重要數據未做區分設計2.自評估的具體內容3.監管進行安全審查的標準4.不得出境的情況2017 年發布征求意見稿行政法規(網信辦)征求意見稿信息安全技術數據出境安全評估指南（征求意見稿）全篇1.自評估具體流程2.個人信息及重要數據的評估要點（合法正當、風險可控）3.發送方的技術和管理能力要求4.接收方的安全保護能力及所在地區政治法律環境要求2017 年發布征求意見稿國家標準(國標委)征求意見稿個人信息出境安全評估辦法（征求意見稿）全篇1.僅涉及個人信息2.安全評估申報材料3.重點評估內容4.出境記錄保存要求5.不得出境的情況2019

327、年發布征求意見稿行政法規(網信辦)征求意見稿數據安全第 28 條1.涉及個人信息和重2019 年發布征行政法規征求115管理辦法（征求意見稿）要數據未作區分設計2.網絡運營者發布、共享、交易或向境外提供重要數據前，應當評估風險，并報監管部門同意3.向境外提供個人信息按有關規定執行求意見稿(網信辦)意見稿網絡安全審查辦法第 5 條第 33條1.數據指各種形式的信息記錄，未作其他區分2.未有細致的規定，僅規定了促進數據有效利用，促進數字經濟發展的基本立場3.境外調取需經批準2021 年生效法律現行有效個人信息保護法第 36 條、第38 條、第 39條、第 40 條、第 41 條、第42 條、第 4

328、3條1.國家機關處理的個人信息應在中國境內存儲；確需向境外提供應進行安全評估2.境外提供的合法基礎：安全評估、認證、標準合同、其他3.告知義務4.關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者需境內存儲，出境需評估5.司法協助需經批準，并遵從國際條約規定6.可對境外組織采取的行動7.對境外組織的反制2021 年生效法律現行有效數據出境安全評估辦法（征求意見稿）全篇1.需申報數據出境安全評估的條件和情形2.數據出境風險自評估及評估重點3.申報數據出境安全評估的材料、流程、有效期、注意事項等2021 年發布征求意見稿行政法規(網信辦)征求意見稿網絡數據安全管理條例（征求意見第五章

329、1.數據處理者向境外提供數據的必要條件2.數據出境需要獲得2021 年發布征求意見稿行政法規(網信辦)征求意見稿116稿）個人單獨同意要求3.數據出境安全評估要求4.數據處理者向境外提供數據所履行義務要求5.企業向市級網信部門進行數據安全報告要求6.數據處理者從事跨境數據活動需建立健全相關技術和管理措施附件附件 4：中國特殊行業數據跨境要求：中國特殊行業數據跨境要求行業行業法律法規名稱法律法規名稱發布機構發布機構具體要求具體要求金融關于銀行業金融機構做好個人金融信息保護工作的通知中國人民銀行在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。個人金融信息（數據）保護試行辦法中國人

330、民銀行在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律、法規、規章及有關主管部門菱形規定外，不得向境外提供境內個人金融信息。境內金融機構未處理跨境業務時，應當事先取得信息主體的明示同意，并依法開展出境安全評估。個人金融信息出境后，境內金融機構應當建立個人金融信息出境記錄并且至少保存 5 年。JR/T0171-2020個人金融信息保護技術規范中國人民銀行因業務需要，確需向境外機構提供個人金融信息的，具體要求如下：應符合國家法律法規及行業主管部門有關規定；應獲得個人金融信息主體明示同意；應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估，確保境外機構數據安

331、全保護能力達到國家、行業有關部門117與金融業機構的安全要求；應與境外機構通過簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。中國人民銀行金融消費者權益保護實施辦法中國人民銀行金融消費者權益保護實施辦法在中國境內收集的消費者金融信息的存儲、處理和分析應當在中國境內進行。因業務需要，確需向境外提供消費者金融信息的，應當同時符合以下條件：為處理跨境業務所必需；經金融消費者書面授權；信息接收方為完成該業務所必需的關聯機構（含總公司、母公司或者分公司、子公司等）；通過簽訂協議、現場核查等有效措施，要求境外機構為所獲得的消費者金融信息保密；符合法律法規

332、和其他相關監管部門的規定。保險公司開業驗收指引中國保險監督管理委員會業務數據、財務數據等重要數據應存放在中國境內，具有獨立的數據存儲設備以及相應的安全防護和異地備份措施。征信業管理條例國務院征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行。交通網絡預約出租汽車經營服務管理暫行辦法交通部、工信部等七部委網約車平臺公司應當遵守國家網絡和信息安全有關規定，所采集的個人信息和生成的業務數據，應當在中國內地存儲和使用，保存期限不少于 2年，除法律法規另有規定外，上述信息和數據不得外流。醫療人口健康信息管理辦法（試行）衛計委不得將人口健康信息在境外的服務器中存儲，不得托管、租賃在境外的服

333、務器。出版網絡出版服務管理規定國家新聞出版、廣電總局、工業和信息化部圖書、音像、電子、報紙、期刊出版單位從事網絡出版服務，應當具備以下條件：有從事網絡出版服務所需的必要的技術設備，相關服務器和存儲設備必須存放在中華人民118共和國境內。出版地圖管理條例國務院互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內，并制定互聯網地圖數據安全管理制度和保障措施。附件附件 5：全球數據跨境法律法規清單：全球數據跨境法律法規清單國家國家/地區地區法律法規名稱法律法規名稱歐盟GDPR英國GDPR英國數據保護法墨西哥關于私主體個人數據保障義務的聯邦法律土耳其個人數據保護法(LPPD)巴西巴西通用數據保護法(LGPD)哥倫比亞2012 年第 1581 號成文法2013 年第 1377 號成文法秘魯個人數據保護法俄羅斯第 152 FZ 號數據保護法第 242 FZ 號數據保護法第 405 FZ

相關圖表

相關報告

聯系我們

0731-84720580
sgpjbg002
工作日 9:30 - 18:00

關于我們

侵權處理

關于我們

出版物經營許可證
工信部備案號：湘ICP備17000430號-2
公安備案號：湘公網安備43010402001071號

三個皮匠報告專業的行業報告下載站，每日更新，歡迎大家關注！

copyright@2008-2013 長沙景略智創信息技術有限公司版權所有
網站備案/許可證號：湘B2-20190120

客服

小程序

服務號

折疊

午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站