中国企业个人数据跨境传输最佳法律实践探讨

摘要：以GDPR为代表，不同国家或法律区域，正在加强数据主权保护的立法，但其基本态度、法律要求宽严不一，为企业的合规工作带来很大难度。

随着大数据 + 物联网时代的来临，企业利用客户数据进行的挖掘、分析、广告营销等商业化活动日趋频繁，这也包括大量的跨境个人数据传输活动。与此同时，以欧盟的《通用数据保护条例》( 以下简称 GDPR) 为代表，不同国家或法律区域，正在加强数据主权保护的立法，但其基本态度、法律要求宽严不一，为企业的合规工作带来很大难度。

中国企业在参与经济全球化的过程中，面临个人隐私保护及数据合规在内的新挑战和压力，如何能既遵守各国法律法规，又满足企业商业需求，降低企业经营的法律风险，成为了亟待解决的问题。

本文将从分析中国、欧盟和美国三个法律区域近期已生效或即将生效的关于数据跨境传输的法律规定出发，结合实务经验，分析跨境传输的典型场景和近期案例，探讨中国企业个人数据跨境传输中法律合规的最佳实践模式。

1 中美欧关于个人数据安全的立法综述

2017 年以来，不约而同地，中国、欧盟、美国都加强了数据安全的立法。2017 年6 月1 日，

《中国人民共和国网络安全法》正式生效，该法将网络数据安全的含义解释为通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障通过网络收集、存储、传输、处理和产生的各种电子数据的完整性、保密性、可用性的能力。

2017 年 12 月 29 日， 全国信息安全标准化技术委员会发布《个人信息安全规范》(GB/T 35273-2017) 国家标准，并于 2018 年 5 月 1 日正式实施，该标准中，个人信息安全基本原则之一为确保安全，即个人信息控制者在处理个人信息过程中应具备与所面临的安全风险相匹配的安全能力，采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

欧盟长期以来具有数据安全保护的立法传统。1995 年欧盟委员会即通过《关于涉及个人数据处理的个人保护以及此类数据自由流通和第95/46/EC/ 号指令》( 以下简称《95 指令》), 该指令第 17 条中提及处理个人数据的安全要求，如数据控制者应当实施合适的技术和组织措施以保护个人数据免受意外或非法的破坏、损失或者未经授权的披露或访问等，而被选择的数据处理者应当保证并遵守技术安全措施和组织保护措施。

2012 年 1 月 25 日，欧盟委员会出台了替代《95 指令》的《通用数据保护条例》( 以下简称 GDPR)( 草案 )，经多次讨论和修改，GDPR 于 2016 年 4 月 14 日正式投票通过，并于 2018年 5 月 25 日生效。

GDPR 第 32 条重申个人数据控制者和处理者有义务保证在个人数据传输、储存或处理过程中与潜在的风险相称的安全水平，并细化应采取的技术与组织措施，如保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力等；第 33 条规定了个人数据泄露的报告义务。

2016 年欧盟通过《网络与信息系统安全指令》以明确欧盟关于网络安全的顶层制度设计，为关键服务经营者及数字服务提供者规定了确保网络和信息系统安全的义务。

2018 年 3 月 23 日，美国国会通过《澄清海外合法使用数据法案》，该法案要求美国云计算服务提供商有义务依法保存、备份和披露其全球范围内的通讯记录和该服务提供者所拥有、监管和控制的用户信息，体现了国家主权层面对于数据安全的战略安排。

与欧盟不同，美国的数据保护法较为零散，缺乏类似 GDPR 的一般性文本，而是由联邦和州层面众多保护特定行业和领域的数据安全具体法律组成。

比如， 联邦层面的《联邦贸易委员会法》保护消费者权益，适用于联邦消费者线上和线下隐私与数据安全；

《儿童网络隐私保护法》（COPPA） 保护 13 岁以下儿童的在线个人信息，规制运营商收集、使用和披露儿童个人信息的不当行为，并规定了明示通知原则和家长同意的要求等；

《金融服务现代化法案》（GLBA）规范金融业收集、使用金融数据行为，保护消费者非公开个人信息安全；

《健康保险携带和责任法案》（HIPAA）规范医疗健康数据的使用和披露行为， 保护病人的健康隐私和医疗信息；

《控制滥发色情与营销邮件法案》（CAN-SPAM）控制对 电子邮件地址的收集使用，限制故意发送商业信息以欺骗或误导收件人的行为；《电话消费者保护法》（TCPA）允许人们要求电话推销员不再给他们打电话。

美国每个州都有不同的隐私和数据保护法律，加利福尼亚州在数据收集方面有比较全面的法律。

2018 年 6 月 28 日，加利福尼亚州通过了一项旨在加强消费者隐私和数据安全保护的法案，即《2018 加州消费者隐私权法》（以下简称 CCPA）， 将于 2020 年 1 月 1 日生效。与经过长时间切磋琢磨后方才颁布的欧盟 GDPR 不同，加州隐私保护立法仅仅在一年四个月后就获得了通过，其原因在于，加州作为硅谷所在地，是如今数字时代的引领者，许多加州企业都从当地消费者处收集数据信息加以利用分析，立法的滞后无疑会使消费者的隐私权置于法律的真空中，其紧迫性促成了这个“美国最严隐私保护立法”的诞生。

虽然中、美、欧关于数据安全的立法形式及内容不尽相同，但其共性是：数据安全是由多个层次共同达成的综合效果，有基础层面的数据管理制度、安全技术和组织措施，有静态层面的数据存储安全，也有动态层面的网络运行、数据处理以及传输等过程中的数据安全，只有这些相互配合，才能最终实现数据的保密性、完整性和可用性，保障数据安全。

2 中美欧关于跨境传输法律规定的重要概念差异比较分析

2.1中国、欧盟、美国加州对于个人数据的定义范围比较

（1）中国个人数据定义

中国个人数据定义主要体现在《网络安全法》与《个人信息安全规范（征求意见稿）》中， 具体定义如下表 所示。

《个人信息安全规范（征求意见稿）》的附录 A 进一步明确，判定某项信息是否属于个

人信息，应考虑以下两条路径：

▲识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。

▲关联，即从个人到信息，如已知特定自然人， 由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等） 即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

（2）欧盟个人数据定义

欧盟个人数据主要为 GDPR 相关表述，即GDPR 第 4 条第（1）款。个人数据是指与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人 , 是指借助标识符，例如姓名、身份标识、位置数据、网上标识符，或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素，可被直接或间接识别出的个人。

（3）美国个人数据定义

根据美国 CCPA 的界定，“个人信息”是指识别、关联和描述的信息，可以直接或间接地被连接至或可以被合理地连接至某一特定消费者或家庭。法律以列举的方式指出，个人信息包括但不限于下列内容：

（a）识别符号，诸如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、账户名称、社会安全号码、驾驶证号码、护照号码的标识符或其他类似标识符；

（b）第 1798.80 节（e）条中描述的任何类别的个人信息，即《加利福尼亚民法典》中规定的：能够描述或联系到特定的个人，包括但不限于姓名、签名、社保号码、物理特性或描述、地址、电话号码、护照号码、驾驶执照或国家身份证号码、保单号码、教育、就业情况、就业历史、银行账户号码、信用卡号码、银行卡号码或任何其他财务信息、医疗信息或健康保险信息；

（c）加利福尼亚法律或联邦法律项下受保护的分类的特征；

（d）商业信息，包括购买、获得或考虑过的个人财产，产品或服务的记录，或其他采购或消费的历史或倾向；

（e）生物识别信息；

（f）互联网或其他电子网络的活动信息，包括但不限于浏览历史、检索历史以及有关消费者和网站、应用程序或广告的交互所产生的信息；

（g）地理位置数据；

（h）音频、电子、视觉、嗅觉或类似的信息；

（i）职业信息或相关雇佣信息；

（j）教育信息，即《家庭教育权利和隐私法案》（20U.S.C.1232g，34C.F.R. 第 99 部分） 定义的不可公开获取的个人可识别信息；

（k）从本分部界定的任何信息中得到的推论，通过创建关于消费者的画像，以反映消费者的偏好、性格、心理倾向、犯罪倾向、行为、态度、智力、能力和天赋。

此外，沿袭加州民法典的规定，“个人信息”不包含公开可得信息。“公开可得”系指从联邦、州或地方政府记录中可合法获取到的信息。

综上所述，不论中国、欧盟、美国，都将个人信息的保护范围从直接可以识别的个人信息，延伸到可间接识别的信息。

相较于中国将个人信息划分为基本信息和敏感信息的处理方式，美国将个人信息划分为公开可得信息及非公开可得信息，进行区别保护。欧盟对于个人信息并未进行区分保护，其从保护范围和保护力度上可以说严于中国和美国。

2.2中国和欧盟对数据跨境传输的认定范围比较

2.2.1中国数据跨境界定

2017 年 8 月 25 日，中国信息安全标准化技术委员会发布的《数据出境安全评估指南（征求意见稿）》中，对数据出境（cross-border data transmission）的定义为：网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。包括三种情况：

向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；

数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

另外包括两种例外情况，非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。

2.2.2欧盟 GDPR 对数据跨境传输的定义

跨境处理是指（a）个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内；或者（b）个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的， 但其对不止一国的数据主体具有实质性影响。

按照 GDPR 第 44 条规定，“转移”是指对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织， 控制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进行转移。

相较于中国的征求意见稿中排除“非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境”以及“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境”。GDPR 的数据转移所规制的范围更为广泛。

值得注意的是，关于规制方式，GDPR 是基于个人信息权对数据跨境传输进行规制，而中国《网络安全法》第 37 条则针对个人信息和重要数据的出境提出评估要求。

2.3数据跨境传输中企业需要履行的义务

2.3.1中国相关要求

2017 年 4 月 11 日，中国国家互联网信息办公室（以下简称“国家网信办”）发布《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下亦简称“2017 年评估办法”）。按照《评估办法》的要求，企业在数据出境前， 对于非重要和敏感数据，应自行组织评估、制定出境计划后方可出境；对于重要数据应在行业主管部门或国家网信办组织数据安全评估后方可出境。

此外，该《评估办法》第十一条还规定了数据不得出境的三种情形：

▲个人信息出境未经个人信息主体同意，或可能侵害个人利益；

▲数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；

▲其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

该条款表明，凡可能侵害个人、社会、国家利益的数据均可能无法传输出境。另外，《评估办法》第十二条规定企业每年至少对数据出境状况进行一次安全评估，并将评估情况汇报给主管机构或监管部门。

2019 年 6 月 13 日，国家网信办又发布了《个人信息出境安全评估办法（征求意见稿）》（以下亦简称“2019 年评估办法”），按照其要求， 个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估；而对于 2017 年评估方法中所称的“重要数据”，没有进行相关的规定。

与 2017 年评估办法相比， 其没有划分企业需要自评估的情形与申报相关部门评估的情形，而是采取了一种“一刀切” 的方式，没有规定例外情况；并综合采取网络安全能力评估、标准化合同条款、网络运营者的不真正连带责任等方式对网络运营者进行规制。

且值得注意的是，在 2017 年的评估办法中， 规定了个人信息出境需经个人信息主体同意， 而在 2019 年评估办法中，网络运营者则是仅需就个人敏感信息征得信息主体同意，对于其他个人信息类型，只需尽通知义务；但与此同时， 个人信息主体也有了获得网络运营者合同副本的权利。

在某种程度上，2019 年评估办法部分推倒了 2017 年评估办法中的一些规范要求，但部分内容的模糊性和可操作性也引起了广泛的关注和讨论，如：

▲是否即便中小企业或小规模、偶尔的跨境数据传输，也需要花费大量的合规成本，进行相对繁琐的申报；

▲作为评估实施主体的省级监管部门，是否有足够的行政资源来面对如此大量的安全评估需求；

▲该项安全评估属于备案还是行政审批等等。对于这些问题，目前尚无相关的权威性回应，均有待进一步观察和明确。

虽然《个人信息和重要数据出境安全评估办法（征求意见稿）》与《个人信息出境安全评估办法（征求意见稿）》均处于征求意见阶段， 但是对于需要进行跨境数据传输的企业来说， 事先了解将生效的法律、新法与旧法间的关系， 并制定相应的合规制度，能够有效减少法律生效后的合规成本。

2.3.2GDPR 跨境数据转移的前置要求

相较于中国目前正在征求意见的评估办法， GDPR 对于跨境数据转移的前置许可条件更为复杂。企业要履行以下义务后，才能进行数据转移 [1]：

·列入充分保护名单的国家

·对于充分性决定的替代方案（数据控制者或数据处理者提供恰当的保障）

a)有约束的公司规则

b)标准合同条款：通过示范条款的方式， 认可某些第三国的数据安全和隐私信息的适当性保护水平。

c)经批准的行为准则

d)经批准的认证机制、封印或者标识，主要适用于公共机构之间约束性企业规则，通过使用约束性企业规则，企业集团整体成为一个“安全港”，个人数据可以在集团之间跨境传输，企业约束规则限于集团内的传输，而无论数据居于何处， 都会得到同样的保护。

GDPR 同时规定了一些可以在不具备上述要求的情况下跨境传输的例外情况，包括数据主体的明确同意、为公共利益考虑、保护数据主体合法权益（数据主体确因特殊情况无法明示同意）、为数据控制者之合法权益等情形。综上所述，GDPR 对于未列入充分保护名单的中国企业来说，需要在公司治理和数据保护所做的内部合规做很多具体工作，才能达到替代充分性保护的要求。

2.3.3欧美跨境数据传输的演变：从《安全港协议》到《隐私盾协议》

总体而言，美国在数据安全立法方面持自由态度。2015 年的《跨太平洋战略经济伙伴关系协定》，又称 TPP 协定，便是在美国的主导下达成的。

其中，“商业信息跨境自由传输条款” 被加入到了电子商务章节，以限制各国政府关于数据本地化存储的规定，实现数据跨境自由流动的目的。[2]

此外，美国还遵循联邦与地方共同立法的原则，这也导致各州之间会产生标准不一致的情况。即使加州制定了 CCPA 这样符合欧盟期望的“严苛”的隐私保护法，也未必表明其他各州愿意借鉴这样的做法。

不过为了解决这一尴尬困境，早在 2000 年，美国与欧盟之间便以《安全港协议》的形式，对两地间的跨境数据流动加以规制。《安全港协议》主要确定了七项隐私保护原则：通知原则，选择原则，向前转移原则，安全原则，数据完整性原则，接入原则， 执行原则。[3] 企业只需要加入《安全港协议》， 自觉履行行业规定，便能够进行数据的跨境传输。这在很大程度上减轻了企业的合规义务， 但宽松的行业政策和欧洲委员会不到位的调查监督，也为后来的协议失效埋下了隐患。[4]

随着2013 年斯诺登事件的发生，欧盟成员国便纷纷开始质疑《安全港协议》的有效性，直到 2015年 10 月 6 日，欧盟法院正式裁决该协议无效。

2016 年初，《隐私盾协议》的出现，补足了美欧之间数据传输约定方面的缺陷。与《安全港协议》相比，《隐私盾协议》似乎更多的是对政府部门访问个人数据加以限制，同时强化了行政部门和执行机构的监管作用，如：强化了FTC、美国商务部、欧洲数据保护机构、联邦贸易委员会和欧盟数据保护机构的合作。

对于企业而言，从基本原则来看，并没有太多改变。不过，《隐私盾协议》规定了公示和审查制度， 如美国企业在收集欧盟用户数据时，需明确告知数据采集、传输的使用流程和目的，即履行“稳健义务”。

同时，美国商务部还会定期对加入和退出《隐私盾协议》的企业进行更新并公示， 这变相提高了企业对数据跨境传输保护的重视程度。更重要的是，《隐私盾协议》还要求跨国公司进行数据传输或委托第三方进行处理数据时，需要保证该数据至少能得到同等水平的持续性保护，若产生相应风险，一般将由原“盾内”企业承担，除非该企业存在免责事由。

这一规定其实是在警示着每个跨国企业认真对待跨境数据传输，在进行数据收集、处理、传输前厘清各方所需承担的责任，避免产生不必要的纠纷与损失。

虽然《隐私盾协议》只是美欧之间的跨境数据传输协议，但有学者认为，作为对欧美跨境数据传输的重新约定，《隐私盾协议》必然会带来新一轮的全球数据隐私保护变革。[5] 这对

中国企业未来的数据跨境传输合规有着深远的指导意义。

综上所述，欧盟对于个人信息的保护范围和保护力度都严于中国和美国。不过中美与欧盟的不同之处在于，前两者都在大力发展互联网科技，而后者相对实力薄弱，这导致双方的利益诉求不同。

随着《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》的公布，中国政府似乎也在逐步规范企业跨境数据传输的行为，不过这始终是单方行为，跨境数据传输能否顺利进行、相关数据保护制度是否完善，需要两国甚至多国的磋商与认可。而美欧之间的《隐私盾协议》似乎为各国进行跨境数据传输指明了方向，美国与中国在发展互联网科技上的共同利益诉求，使得该案例更具有指导意义。

2 中国企业跨境传输的需求场景

对于拥有跨境业务的中国企业，跨境数据传输有以下四种典型的需求场景。

2.1中国企业作为境外公司数据处理的承包商

随着各类产品和服务的全球化，数据处理也呈现日渐全球化的趋势。例如，某个人消费者在欧洲购买的某种保险产品，其后台大数据的处理工作可能交由中国的某一个数据处理公司作为分包商进行，在这个过程中，产生于欧洲消费者个人的数据会通过移动或电脑设备传输到跨国公司的数据服务器中；接下来为了达到数据处理和分析的要求，跨国公司需要将数据跨境传输给中国的数据处理商做分类、匿名化、数据分析或者数据销毁，由此产生自欧洲传输大数据至中国的需求。

2.2中国企业的产品销售地为境外

中国企业的产品现在不仅在国内有市场， 很多中国产品销往欧洲、美国或者其他国家或地区。在一些情形下，作为产品生产者和销售者的中国企业，基于产品功能要求、售后服务或产品升级换代等多种考虑，需要收集消费者（客户）的数据。在这个过程中，来自境外的客户数据将可能传输回中国做数据处理。

2.3中国企业（社会组织）向境外客户提供商业服务

依法律规定或者商业需求，一些商业服务必须由境外客户交由中国企业（组织）完成， 例如在中国知识产权的申请、法律服务。通过这种服务，一些境外客户的数据会自境外传输到中国。

2.4中国企业境内数据需要与境外客户数据平台实现共享

对于同时设有境内和境外公司的中国企业， 存在存储于不同销售地的客户数据。此类企业可能需要通过一个客户平台整合这些客户数据， 境外销售地的客户数据需要跨境传输实现数据平台的数据共享。

在上述四种典型的需求场景中，前三种场景为境外数据传输到境内，而最后一种场景涉及客户数据从境内向境外传输。数据流向不同， 因而企业需遵守的法律也需区别审视。

根据GDPR 要求，一方面，个人信息只能流入欧盟认可的能提供“充分保护”或者“适当保障措施” 的国家或地区；另一方面，在中国企业将境内数据向境外传输时，需要符合国内法的相关要求，如《网络安全法》《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《数据出境安全评估指南（征求意见稿）》等。

3 中国企业跨境传输客户个人数据的主要法律风险分析

3.1惩罚性赔偿概念不熟悉导致跨境传输模式违法

GDPR 对违法行为的处罚数额巨大。按照GDPR 的相关规定，当地监管部门有权对于个人数据保护不力的企业施加最高 20,000,000 欧元或上一年度全球销售总额 4%（以较高者为准）的罚款。

此类巨额罚款在法律上可被定义为惩罚性赔偿。作为典型案例，近日，ICO（英国信息专员办公室）就针对去年发生的两起信息泄露事件接连开出巨额罚单，其中对于万豪酒店数据泄露事件（涉及全球约 3.39 亿条客户记录等个人数据，其中包括 3000 万条欧洲人的信息），

拟处以 1.24 亿美元的罚款；对英国航空 50 万用户信息泄露一事开出了高达 1.83 亿英镑（约合人民币 15.8 亿元）的罚单，约占 2018 年英国航空总收入的 1.5%。

很多中国企业对于惩罚性赔偿的概念不熟悉，相较而言，我们在中国的法律体系中经常看到的赔偿都是单纯形式上的补偿性赔偿。这种补偿性赔偿是基于最基本的功能，即填补侵权行为和违约行为给受害人所造成的财产性损失。这种补偿不能超过受害人所遭受的经济损失数额。而惩罚性赔偿则有可能大大超出受害人的实际损失，其作出须充分考虑违法行为的性质、违法者的主观恶意程度等，以起到对不法行为人的惩罚和遏制未来违法的功能。

企业如因对惩罚性赔偿概念不熟悉而忽视跨境传输的合法合规，其采取的违法商业模式将会带来巨大的违法成本。

相对而言，欧盟及美国长期以来有尊重人权的传统。欧美企业多数设有隐私官、数据合规官等职位，专注对企业所收集的客户数据的保护。2007 年《欧盟基本权利宪章》第 8 条明确指出，“人人均享有个人信息之保护”[6]。2018 年 5 月 25 日正式实施的 GDPR 又在个人信息保护领域向前跨出了一大步，开创性地规定了一系列新概念、更加严格的数据传输对个人数据的保护措施。

因此在产品或服务设计研发上，中国企业客户数据保护意识的欠缺可能会导致产品或服务设计中存在固有缺陷——这种违法的数据传输模式必然导致数据传输过程中的违法违规。

同时，我们也从 GDPR 所规定的行政罚款的处罚依据上看到，数据监管部门考虑处罚数额的基础是企业是否存在前期主动地保护客户数据的技术和法律行为，以及与监管部门的配合程度。

一定程度上，企业若能重视数据安全方面的合规工作，将数据安全的理念融入自身商业模式，就可以很大程度地避免和克减罚单。

3.2滞后的个人信息保护观导致遗漏多重合规下的具体环节

中国企业对客户数据的商业认识有些仍停留在认为其仅是为企业所用的资产，并未意识到客户数据上承载的个人权利。虽然中国近年在数据领域的立法突飞猛进，但是对企业的教育仍需要时间和案例。如 2017 年 7 月爆发的新三板挂牌公司数据堂涉嫌非法大量传输客户数据事件，相关数据包括手机号码、上网基站代码等 40 余项信息要素，记录了手机客户具体的上网行为，甚至部分数据能够直接进入公民个人账号主页，危害巨大。

跨境传输不仅可能牵涉不同的商业主体， 还牵涉不同传输环节下不同的监管主体、不同的法律管辖 [7]。中国企业滞后的信息保护观念导致面临遗漏多重合规具体环节的风险。

因此，对于涉及跨境传输数据的中国企业来说，不仅需要做到国内的数据传输合规，还需要做到境外的传输目的国或者传输国的法律合规，把握好数据传输目的地、传输地、数据控制者、处理者、数据主体的多重合规。

多重合规需要中国企业有专职人员关注国际各国的数据立法最新规定和动向，并时时顺应数据传输的使用法律，更新企业产品或服务。

3.3数据传输过程中的安全保障不达标，导致直接违反相关适用法律的要求

不论中国还是欧盟，对于跨境数据传输都提出了安全保障的要求。

针对数据自中国出境的情形，《个人信息和重要数据出境安全评估办法（征求意见稿）》

（《评估办法》）和《数据出境安全评估指南（草案）》（《评估指南》）要求，数据自中国出境区分为需要事先进行安全评估的数据以及需要企业自行事先进行安全评估的数据。

在《个人信息出境安全评估方法（征求意见稿）》中，则是将“个人信息出境安全风险及安全保障措施分析报告”作为企业申请个人信息出境安全评估所必须提交的材料，如果不提交或提交虚假的个人信息出境安全风险及安全保障措施分析报告即进行相关的数据传输，将按照相关法律规定进行处罚。

具体而言，按照现行《网络安全法》的规定，企业违反跨境数据转移安全评估规定的，由有关主管部门责令改正，给予警告，没收违法所得，处 5 万至 50 万元以下的罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处以 1 万至 10 万元的罚款。

数据自欧盟出境的，按照 GDPR 的跨境数据传输要求，由于中国尚未与欧盟就数据跨境传输达成双边或者多边协议，中国也尚未被欧盟认定为属于充分性保护个人数据的国家名单， 中国企业如存在数据自欧盟出境的需求，应充分注意到欧盟对于企业跨境传输的安全保障要求。其要求包括但不限于：企业应具备有约束力的公司规则保障跨境传输、企业应有标准合同条款、数据主体的明确确认同意等。

4 个人数据跨境传输合规安全实践模式的建议

数据合规具有重要战略意义， 短期看是企业进军国际市场， 特别是开辟欧洲市场的敲门砖，也是中国企业融入国际贸易和服务的通行证。长期看，对数据安全的保障是企业的核心竞争力之一，更是企业的重要社会责任。

数据跨境传输合规相比传统的法律合规， 操作难度更大。这主要体现在三个“跨越”：

首先，是由于数据的流动性特点，决定了合规工作需要跨越企业各部门；

第二，是跨越了公司的边界， 企业需要对合作伙伴，如数据处理者的数据安全同样担负责任；

第三，第三，是跨越了国界，数据在跨境传输时，将面临更多的监管和挑战。

关于数据跨境传输安全的最佳实践模式， 本文结合数据隐私合规实务，建议中国企业从以下维度参考合规策略。

4.1跨境传输模式的法律风险评估

如企业商业模式涉及个人数据的进出口， 应组织对企业跨境部分数据传输进行合规和技术安全风险评估和审计， 包括但不限于以下内容：

4.1.1通过尽调，确认个人数据出境地、入境地、境外存储地以及中转地

通过对企业的数据流风险审计调研，我们发现并不是所有企业均明确知晓客户个人信息的出境、入境、境外存储地及中转地。此外， 很多企业“认为”本企业的个人数据是本地存储， 经过尽调发现使用云服务以后，实际的存储地是在境外服务器上，从本质上来说，这些业务模式都是跨境数据传输。

4.1.2进行不同国家数据法规比较研究，调研风险系数高的传输地域

个人数据的传输往往涉及多国法域的合规， 包括数据进口地、数据出口地以及数据中转地。虽然各国数据立法的进度各有不同，但是各国数据主权的规定的总体趋势日渐严格。出海企业势必需要对主要销售目的地国家的个人信息保护规定、特别是一些半官方机构的个人信息保护要求进行尽调和研究。

4.1.3企业的技术外包方个人信息方面的资质和技术手段

通过调研，盘点企业的数据家底，找到主要传输目的地和数据中转地的法律规定与现行企业个人信息跨境传输流程和政策的差距，并按照风险评估的高低级别逐一予以解决。

4.2跨境传输的差距补强方案建议

4.2.1选择适当的经营地 / 数据港

在大数据时代，各国均认识到人类需要建立保护个人隐私和数据安全的新秩序，使数字经济能够有序健康地发展，并且这种保护范围应该是全球性的。GDPR 通过法律责任共担的制度设计，将数据控制者、处理者、接收者等数据处理各环节的企业联系在了一起，并通过全球产业链进行传递。因此，中国企业必须积极应对，将数据合规融入日常业务发展之中。

一方面，对一些跨国企业或经营跨境业务的企业而言，其经常面临跨境数据传输的需求， 而根据 GDPR 要求，个人信息只能流入欧盟认可的能提供“充分保护”或者“适当保障措施” 的国家或地区。

另一方面，在中国企业将境内数据向境外传输时，也需要符合国内法的相关要求，如：《网络安全法》《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估方法（征求意见稿）》《数据出境安全评估指南（征求意见稿）》。

因此， 跨国公司可以考虑调整布局，在欧盟成员国或欧盟认可的“充分保护”国家建立数据中心或数据港，以便利其数据存储及合理利用，实现业务和数据保护的平衡，降低数据跨境传输的成本及合规风险与合规成本。

4.2.2考核外包技术方的跨境传输支持

跨境数据传输通常会涉及不同国家的技术外包公司。而作为个人数据传输者，一方面要履行企业的商业义务，另一方面要尽到对个人数据主体的法律义务；此外，还需要接受不同国家数据主管部门的行政监管。

根据相关法律法规，对外数据传输者要概括承受数据外包方的对外法律责任。中国企业可借鉴供应链管理的相关经验，通过相关制度和合同，针对外包方进行管理和考核，并应特别关注其在数据保护方面的能力和状况、合作伙伴资质，并通过评审、调研、签署特别合同（条款）等方式规避数据跨境传输风险。

而在《个人信息出境安全评估方法（征求意见稿）》中， 也参照 GDPR“标准合同条款 SCC”，规定了网络运营者与境外个人信息接收者签订数据合同的必要条款，并将该种合同作为企业申请个人信息出境安全评估所必须提交的材料。这对企业而言是非常重要的信号。

在技术上，不同国家对跨境传输的技术保障，都做出了需要满足最低技术要求的规定。例如，GDPR 对跨境传输的技术，规定了最低限度的要求，如个人信息的脱敏、匿名化等。企业需重新审视技术外包方的信息安全技术是否符合最低限度要求或者通过当地信息安全的技术认证。

4.2.3优化隐私政策和用户协议中的跨境传输章节

隐私政策和用户协议通常来说是企业对外宣示其数据安全保护工作最重要的法律文件。

虽然很多企业在网站和 APP 上均允许个人客户访问隐私政策和用户协议，但是对于跨境传输部分企业和用户个人的权利义务，在企业的隐私政策和用户协议中鲜有规定。

此外，隐私政策和用户协议不仅是顶层对企业数据隐私政策的归纳总结，还应是企业产品技术隐私安全保护的体现，即能通过落于书面的规定，结合技术切实保护个人隐私。

举例来说， 为了证明客户明知个人数据将被跨境传输处理， 就需要企业的产品界面有明示同意功能的设置。这些需求均要在技术上确保实现。

4.2.4加强对跨境传输发生个人信息泄露事件的预案演练

实务中，中国的出海企业往往对发生数据泄露有预案，但是欠缺预案准备及实操演练。跨境数据传输， 其实是造成个人信息数据泄露的重要场景之一， 并且也很容易成为企业被国际媒体关注的公关事件。

一旦发生跨境传输导致的数据泄露事件，如果事先没有完整的预案和操演，面对各种媒体的报道，很难不进退失据。因此，企业应尽可能提前准备跨境数据传输发生安全事件的场景并提前预演， 及时发现其组织和技术方面可能存在的缺陷，并予以弥补。

5 结语

对于客户数据的跨境传输是企业日常的商业需求。在各国加强数据保护安全立法及数据主权保护的平衡中，企业应加强数据合规意识， 在对商业需求、法律风险和合规成本的综合考虑中找到适合企业自身的跨境数据传输最佳实践方案，最大限度地降低违规风险。

作者：

娄鹤，陈国彧（上海市海华永泰律师事务所，上海 200120）

本文选自《信息安全与通信保密》2019年第八期