数据跨境传输——中欧规则比较及中国企业的应对之策

来源:北京植德律师事务所

文章摘要
引言 2022年5月25日,正值《一般数据保护条例》(General Data Protection Regulation, 以下简称“GDPR”)正式生效四周年之际。
引言
2022年5月25日,正值《一般数据保护条例》(General Data Protection Regulation, 以下简称“GDPR”)正式生效四周年之际。GDPR被称为“最严格的数据保护法律”,旨在强化个人数据权利保护,促进个人数据自由流通,也为国际数据传输明确了规则。据统计,截至2022年5月,欧盟数据保护监管机关依据GDPR实施罚款的次数已经达到1093次,罚款总额达16亿欧元。[1] GDPR作为具有全球影响力的个人数据立法标杆,不仅深刻影响了全球隐私保护格局,并且为中国《个人信息保护法》、美国《加利福尼亚州消费者隐私法案》、巴西《个人信息保护法》等国家和地区的隐私立法提供了借鉴范式。
伴随着全球数字经济和跨境电子商务迅速发展,全球范围内的数据跨境流通与共享进程加速。然而,GDPR及其相关配套指南等对于数据跨境传输设置了环环相扣的严格限制条件,与此同时,我国的《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》等法律法规也对数据跨境设置了多方位的监管要求。在全球范围内数据国际流动相关立法“井喷式”增长、相关执法日趋严格的同时,跨国企业的数据国际流动需求有增无减,在此背景下,仅满足中国法下数据跨境传输的“单向”合规已是“过去式”,境内数据传出、境外数据回传的复杂业务场景呼唤跨国企业主动满足“双向合规”要求。为此,我们拟分析、比较有关数据跨境传输的中欧规则,梳理其立法、执法动态,并为涉欧企业的数据跨境传输提供合规建议。
一、数据跨境传输立法动态概览
对涉海外业务的中国企业而言,中国与欧盟之间的数据跨境流通与共享面临着来自境外与境内法律法规的双重监管挑战。下表总结了欧盟、英国、中国的数据跨境传输立法动态,需要注意的是,英国脱欧过渡期结束后,不再适用GDPR,而是适用《英国一般数据保护条例》(UK-GDPR),除监管机构外,两部法律没有实质性区别。此外,2021年6月28日,欧盟委员会宣布针对英国数据保护的充分性决定以及“日落条款”,至少未来4年内,个人数据可以自由地在欧盟和英国之间流动,并确保享有与欧盟法律所保证的基本相同的保护水平。

时间

法律/法规等名称

内容概要

欧盟

2018年5月25日生效

《一般数据保护条例》(General Data Protection Regulation)[2]

根据GDPR第五章规定,除特定情形下的例外,个人数据仅被允许流入经欧盟认定能够提供“充分保护”或者“适当安保措施”的第三国或国际组织。

2021年6月4日通过

《标准合同条款》(Standard Contractual Clauses,SCCs)[3]

为应对Schrems II案件的影响,欧盟委员会发布了新版的SCCs,作为GDPR下个人数据合法跨境传输的工具之一。

2021年6月18日通过

《为确保遵守欧盟个人数据保护水平而采用的对数据跨境转移工具补充措施的建议(版本2.0)》(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version2.0)[4]

规定了数据控制者和处理者在使用标准合同条款或具有约束力的公司规则向不能充分保护个人数据的第三国跨境传输个人数据时,识别、确定和实施适当的额外保障措施的要求和方式。

2022年2月22日发布

《行为守则作为数据跨境转移工具的04/2021号指南(版本2.0)》(Guidelines 04/2021 on Codes of Conduct as tools for transfers Version 2.0)[5]

规定了以行为守则作为数据跨境转移工具的适用要求、制定程序、守则内容、制定的参与者、审批制度、监督机构等。

2022年2月23日发布

《数据法案(提案)》(Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data)[6]

通过第七章对非个人数据跨境流动进行了规制,明确了非个人数据流通和共享的路径和举措。

英国

2021年1月1日生效

《英国一般数据保护条例》(UK-GDPR)[7]

英国脱欧过渡期结束后,不再适用GDPR,而是适用UK-GDPR,与GDPR一致,UK-GDPR对于数据跨境采取了限制性传输原则。

2022年3月21日生效

《国际数据传输协议》(International Data Transfer Agreement, IDTA)、《欧盟标准合同条款(国际数据传输附录)》(International Data Transfer Addendum to the EU Commission Standard Contractual Clauses)[8]

英国在脱欧之后,为厘清跨境个人数据传输机制,且综合考虑Schrems II案件的影响,制定了IDTA以及《欧盟标准合同条款(国际数据传输附录)》。

中国

2017年6月1日生效

《网络安全法》

确立了关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应境内存储,境外传输需安全评估的基本原则。

2021年9月1日生效

《数据安全法》

规定了关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

2021年11月1日生效

《个人信息保护法》

规定了包括个人信息保护影响评估、个人信息保护认证、订立标准合同、“告知-单独同意”等在内的个人信息跨境提供的规则。

2022年2月15日生效

《网络安全审查办法》

规定了关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的、掌握超过100万用户个人信息的网络平台运营者赴国外上市的,应当进行网络安全审查。

2021年11月14日发布

《网络数据安全管理条例(征求意见稿)》

规定了包括数据出境安全评估、个人信息保护认证、订立标准合同、取得个人同意、编制数据出境安全报告等在内的数据跨境安全管理制度。

2021年10月29日发布

《数据出境安全评估办法(征求意见稿)》

坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,细化了评估对象以及评估事项等要求。

2021年12月24日发布

《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》《境内企业境外发行证券和上市备案管理办法(征求意见稿)》

将境内企业境外直接和间接发行上市纳入统一监管,境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定,并要求建立健全保密制度。

2022年4月2日发布

《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》

规定了对外提供、公开披露、数据出境涉及国家秘密、机关单位工作秘密的文件、资料等情形下的审批、备案要求。

2017年8月30日发布

《信息安全技术数据出境安全评估指南》

规定了以出境目的和安全风险为对象的评估总体流程,明确了合理正当和安全可控的评估要点,并对数据接收方安全保护能力做出详细规定。


二、数据跨境传输执法动态概览
(一) 欧盟执法案例
1、Schrems系列案件推动了SCCs的修订
在SchremsI案中,奥地利公民马克西米利安·施雷姆斯 (Maximillian Schrems)向爱尔兰数据保护监管机构提出申诉,主张基于《安全港协议》[9],Facebook的爱尔兰子公司将他的个人数据传输到美国,美国政府不仅能够访问其个人数据,而且未采取措施防止大规模监视,要求禁止Facebook的爱尔兰子公司将其个人数据传输至Facebook美国总部。据此,爱尔兰高等法院受理后要求欧盟法院对《安全港协议》的效力加以确认,最终《安全港协议》于2015年10月被欧盟法院判定无效。[10]
2020年7月,在Schrems II案件中,欧盟法院认定欧美《隐私盾协议》[11]无效,同时对旧版欧盟《标准合同条款》的效力提出了质疑。从SchremsI案到SchremsII案,欧盟不断强化对数据市场的控制力和话语权,然而这一裁决也极大影响了个人数据跨境机制的稳定性,依据《隐私盾协议》进行欧盟数据传输的公司例如花旗集团、Facebook、亚马逊、谷歌、毕马威等被迫停止将欧盟境内的个人数据传输至美国,或在美国的服务器上存贮欧盟个人数据。
在SchremsII的判决中,欧盟法院确定了标准合同条款的有效性,但同时要求在个案具体场景中,对数据传输行为的合法性基础进行验证审核。由此,2021年6月,欧盟委员会发布了新版的SCCs草案,进一步加强了对数据进口方的规制。
2.Google Analytics可能违反GDPR跨境数据传输条款
2021年12月,奥地利数据保护局(DPA)公告认为,一家奥地利网站使用GoogleAnalytics收集个人数据并跨境传输至美国Google,违反了GDPR。原因包括在于网站运营商与谷歌之间签订的SCCs没有提供GDPR规定的适当安保措施,具体而言,根据美国监控法,包括《外国情报监视法》(FISA702)以及第12333号行政命令,谷歌受到美国情报机构的监控,另外,谷歌的安保措施未能有效弥补SchremsII判决中确定的法律保护漏洞。
无独有偶,受到SchremsII案件的影响,2022年2月10日,法国国家数据保护机构(CNIL)发布官方公告,由于美国被认为没有充分的、等效的个人数据保护措施,因此CNIL认为一家法国网站使用Google Analytics并向美国跨境传输个人数据的行为违反了GDPR,要求该网站遵守GDPR规定,如有必要,需停止使用该项服务。
由此可见,欧盟以重视个人隐私保护为核心理念,侧重于构建实质上的个人数据保护的跨境传输规则,并非仅仅是纸上谈兵的协议就可以一签了事,涉欧的数据跨境传输可能受到来自欧盟居民、数据保护组织的挑战申诉以及监管机构的持续性审查。
(二) 中国执法案例
1、涉数据跨境流动的境外上市执法案例
2021年7月,国家网络安全审查办公室根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》的规定,认为“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”应构成公共服务及交通运输领域的关键信息基础设施运营者,国家网络安全审查办公室组织开展对其关键信息基础设施采购网络产品和服务活动的网络安全审查,以有效防范采购活动、数据处理活动以及境外上市可能带来的国家安全风险。
由此可见,在数字经济全球化的大背景下,为保障数据安全的同时又实现数据流动的价值,以“滴滴出行”为开端,我国企业境外上市中针对涉及数据跨境的网络安全强监管时代已经到来。境内企业境外直接和间接发行上市被要求纳入统一监管,境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定,并建立健全保密制度。
2、特殊类型数据跨境流动的执法案例
除境外上市过程中涉数据跨境的执法案例之外,涉特殊类型的数据跨境执法案例也广泛引起关注。例如,中国科技部曾发布行政处罚公告,华大科技与华山医院未经许可与英国牛津大学开展中国人类遗传资源国际合作研究,华大科技未经许可将部分人类遗传资源信息从网上传递出境,违反了《人类遗传资源管理暂行办法》第四条第十一条第十六条规定。再如,2022年4月15日,央视公布了一起为境外刺探、非法提供高铁数据的重要案件,涉案公司为境外公司搜集、提供北京、上海等16个城市的高铁信号数据,并在数据采集设备上为该境外公司开通了远程登录端口,境外公司可以实时获取对应的测试数据。相关数据被国家保密行政管理部门鉴定为情报,该行为违反了《中华人民共和国数据安全法》第21条《中华人民共和国无线电管理条例》第55条,相关人员的行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。
由此可见,特殊类型数据出境问题也受到我国监管部门的严格规制,严重情况下,可能触碰刑事红线。企业应当了解数据在涉及国家秘密与情报时的法律风险,在数据处理过程中必须坚定维护国家安全,严格把控特殊类型数据的跨境传输。
三、数据跨境传输规则对比梳理
下表总结了欧盟及中国的数据跨境传输的合规义务,需要强调的是,个人数据与非个人数据的划分在数据国际流动场景下具有重要意义,可能在影响合规义务的基础上影响涉欧企业的具体业务布局。

欧盟

中国[12]

个人数据

欧盟个人数据的跨境传输以GDPR为主要规则,根据GDPR第五章,个人数据原则不得向欧盟以外的国家或地区转移,除非满足“充分性决定”、“适当保障措施”、“例外豁免情形”三种条件之一。

“充分性决定”(GDPR Art. 45)

个人数据可以在没有任何特别授权的情况下向欧盟委员会认可“已达到充分保护标准”的国家或地区转移。

具体而言,“充分性决定”类似于“数据跨境流动白名单”,个人数据可以向欧盟认定的“白名单”中国家或地区转移,然而,当前“白名单”上的国家或地区较为有限,中国暂未上榜“白名单”,即欧盟个人数据向中国的传输无法遵从此种法律基础。

“适当保障措施”(GDPR Art.45-46)

当缺乏“充分性决定”时,数据控制者或处理者需在提供以下几种“适当保障措施”之一的基础上向欧盟以外的国家或地区转移个人数据:

公共机构之间的协议或行政安排;

欧盟委员会发布的标准合同条款(Standard Contractual Clauses,SCCs)或欧盟成员国数据监管机构发布的标准合同条款(Supervisory Authority Clauses, SAs);

经数据监管机关批准的有约束力的企业规则(Binding Corporate Rules, BCRs);

经数据监管机关批准的特别合同条款;

经数据监管机关批准的行为准则或认证(Approved Codes of Conduct/Certification)。

在上述五种“适当保障措施”之中,第一、四、五种在实践中较难企及;SCCs/SAs是实践中最常使用的数据跨境传输工具;BCRs一般适用于跨国集团企业内部间的数据跨境流转,且需要数据监管机关的批准,GDPR生效至今,仅有约30个大型跨国集团企业的BCRs获准[13],具体名单可至EDPB官网查询。

“例外豁免情形”

当缺乏“充分性决定”及“适当保障措施”时,下列情形也可以作为数据跨境传输的法律基础:

数据主体的有效同意;

履行数据主体作为一方或代表数据主体利益签署的合同义务所必须;

基于保护公共利益的重要理由而必要;

基于确立、行使或抗辩法律主张而必要;

在数据主体由于生理或法律原因不能给予同意的情况下,基于保护数据主体的重大利益所必须;

跨境传输公共注册登记机构的部分数据。

需要注意的是,尽管GDPR规定了诸多“例外豁免情形”,但多数“例外豁免情形”的适用范围十分有限,例如“数据主体的有效同意”在GDPR下需要满足“不得强迫数据主体一揽子同意”、“在数据主体撤回同意的情形下不得以其他理由为基础继续传输”等等,另外,基于数据控制者与数据主体之间的地位关系,雇主与雇员间的同意通常难以被认定为有效同意。因此,在实践中我们不建议单独依赖“例外豁免情形”跨境传输数据。

中国个人数据的跨境传输以《个人信息保护法》及其配套法律法规、国家标准等为主要规则,向中国境外传输个人数据需满足下列合规要求:

满足必要性要求。

具备下列条件之一:

通过国家网信部门组织的安全评估;

按照国家网信部门的规定经专业机构进行个人信息保护认证;

按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

法律、行政法规或者国家网信部门规定的其他条件。

向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个人信息权利的方式和程序等事项,并取得个人的单独同意。

接受和处理数据出境所涉及的用户投诉。

事先进行个人信息保护影响评估/数据出境风险自评估,依评估结果采取有效的保护个人信息主体的措施,并对处理情况进行记录,评估报告和处理情况记录至少保存三年。

个人信息出境后确需再转移的,应当事先与个人信息主体约定再转移的条件,并明确接收方应履行的安全保护义务。

非经中华人民共和国主管机关批准,不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。

当国家网信部门会同国务院有关部门核验向境外提供个人信息的类型、范围时,以明文、可读方式予以展示。

掌握超过100万用户个人信息的网络平台运营者赴国外上市,向网络安全审查办公室申报网络安全审查。

非个人数据

2022年2月,欧盟委员会发布的《数据法案(DataAct)》(提案)旨在弥补欧盟数据跨境制度的空白,以专章规定了非个人数据的跨境提供规则:

采取一切包括技术、法律和组织措施在内的合理措施,确保非个人数据跨境传输后不违反欧盟法律及成员采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;国立法中的规定;

原则上仅在第三国与欧盟之间具有已生效的国际协议的前提下,才能应第三国司法或行政当局的数据传输要求向第三国提供非个人数据;在没有前述已生效的国际协议时,仅在满足特定条件时才可向第三国司法或行政当局提供;同时,提供的数据应为响应该等请求所允许的最低数量,且在响应第三国司法或行政当局的要求之前,应及时告知数据持有者存在该等请求。

可以看到,欧盟《数据法案》重点规制了非个人数据向第三国司法或行政当局的跨境传输,具有较多数据主权意义上的考量,但针对非向第三国司法或行政当局进行的数据传输,《数据法案》确定的合规要求同样较为严格,“采取一切包括技术、法律和组织措施在内的合理措施”,意味着对不处理个人数据的涉欧跨国企业来说,尽快搭建数据合规治理体系亦成为基本义务。

重要数据、国家秘密和档案是中国对非个人数据跨境传输的规制重点。

重要数据:

原则上境内存储;

通过国家网信部门组织的安全评估;

采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;

存留相关日志记录和数据出境审批记录三年以上;

非经中华人民共和国主管机关批准,不得向外国司法或者执法机构提供存储于中华人民共和国境内的重要数据;

在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况;

国家网信部门会同国务院有关部门核验向境外提供重要数据的类型、范围时,以明文、可读方式予以展示。

境外上市过程中的国家秘密、档案:

依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案;

不得向未按照国家有关规定履行相应程序的境外会计师事务所提供会计档案;

为境内企业境外发行证券和上市提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内,未经有关主管部门批准,不得通过携带、寄运等任何方式将其转移至境外或者通过信息技术等任何手段传递给境外机构或者个人。涉及对国家和社会具有重要保存价值的档案或档案复制件需要出境的,按照国家有关规定办理审批手续;

境外证券监督管理机构及有关主管部门提出就境内企业境外发行证券和上市相关活动对境内企业以及为该等企业境外发行证券和上市提供证券服务的证券公司、证券服务机构进行调查取证或开展检查的,应当通过跨境监管合作机制进行,证监会或有关主管部门依据双多边合作机制提供必要的协助,境内有关企业、证券公司和证券服务机构,在配合境外证券监督管理机构或境外有关主管部门调查、检查或提供文件资料前,应当事先向证监会或有关主管部门报告。


四、涉欧企业数据跨境传输合规建议
1、确定传输场景,调整不同场景跨境合规方案
数据经济时代,涉欧跨国企业在全球运营过程中将触发多个场景下的数据跨境传输,因此企业合规的第一步就是对可能引发数据跨境传输的各类场景保持高度敏感,在可能触发数据跨境传输需求时快速明确所涉数据类型、数据接收方等基本信息,并根据不同场景的现实需求灵活调整数据跨境传输的合规方案。下表罗列了我们在实践中常见的数据跨境传输场景及合规方案关注重点:

数据跨境传输场景

合规方案关注重点

集团企业内部业务数据/员工个人数据传输

数据分类分级

重要数据/国家秘密识别

单独同意机制

内部数据出境风险评估

企业海外上市

网络安全审查/数据安全审查

中介机构数据传递

向境外司法或执法机关传递数据

档案管理

上市架构中的数据业务安排

跨境投资并购

数据合规尽职调查

交易文件相关条款

投资并购中的数据业务安排

数据跨境传输协议/保密协议/数据处理协议

跨境争议解决

境外当事人、境外律所数据传递

向境外司法或执法机关传递数据

重要数据/国家秘密识别

内部数据出境风险评估

数据跨境传输协议/保密协议/数据处理协议

业务日常运营

供应商/合作伙伴选择

数据跨境传输协议/保密协议/数据处理协议

服务器部署

数据出境风险自评估/审批评估

单独同意机制


2、梳理数据流转,明确企业数据处理流转模式
企业的数据跨境流转场景复杂,随之带来的是数据处理模式和企业角色的各异,无论在欧盟法还是中国法下,能够确定数据处理目的、处理方式的数据控制者(《个人信息保护法》下称为个人信息处理者)往往比代表数据控制者处理数据的数据处理者(《个人信息保护法》下称为数据委托处理中的受托人)承担更多的数据合规义务,然而,数据控制者和数据处理者的角色不是一成不变的,同一个企业完全可能在不同的数据处理活动中承担不同的角色,即使企业的主要业务模式为产品/服务提供商,在用户账号注册、产品/服务运维、客户管理等多种场景下也可能成为数据控制者,进而需要承担数据控制者在数据跨境传输过程中的各项合规义务,因此,盘点企业涉及数据出境的各类数据处理活动、明确企业在不同数据处理活动中的角色定位是确定数据跨境传输合规方案的前提条件。
3、坚持必要原则,审视数据国际流转顶层设计
在数据安全与国家主权安全之联系日益密切、个人数据与隐私保护之重要性日渐凸显的时代背景下,数据跨境传输规则一直是世界各国立法的关注焦点,加之数据跨境传输议题之上的政治博弈,跨国企业应对强监管不能“坐以待毙”,而要“主动出击”,主动审视涉及数据国际流转的业务设计,主动落地同时符合商业逻辑和监管期待的应对方案,这要求企业在盘点数据跨境场景与角色的基础上,结合不同场景的合规要求与监管重点考量合规风险与合规成本,并在合规成本过大的情况下评估数据资产/业务剥离、数据本地化运营等替代性方案的可能性。
4、强化技术赋能,擅用技术化解合规义务难题
从立法和执法趋势上看,欧盟与中国的数据跨境监管重点在于与国家安全和发展利益、社会公共利益密切相关的数据跨境场景,以及个人数据的跨境场景,这意味着企业一方面应加强对跨境数据类型的识别,另一方面也要擅用数据隔离、加密、匿名化、去标识化等技术手段将合规成本高的数据类型转化为合规成本较低、风险较小的数据类型,数据跨境合规方案的设计与落地应强调“技术同行”,在必要的情况下用技术方案化解合规难题。
5、准备系列工具,确保应对监管基础义务履行
数据在国际流转的过程中迸发巨大价值并最终赋能企业,这意味着数据跨境传输将是不少跨国企业不得不应对的合规挑战,为系统地应对挑战,我们建议企业从跨境流转制度建设、协议文本起草、评估表单工具设计等基础合规动作出发,逐步搭建并完善数据跨境流动的合规治理体系,确保应对监管有“规”可查、有“据”可依。
GDPR生效四周年,全球数据保护格局发生巨变的同时,中国数据保护的未来已至,拨开数据跨境规则的重重迷雾,机会与挑战并存,压力与动力同在。
[1]参见:https://www.enforcementtracker.com/?insights。2022年5月24日最后访问。
[2]参见:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1651671650723,最后访问时间:2022年5月24日。
[3]参见:https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en,最后访问时间:2022年5月24日
[4]参见:https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_en,最后访问时间:2022年5月24日。
[5]参见:https://edpb.europa.eu/system/files/2022-03/edpb_guidelines_codes_conduct_transfers_after_public_consultation_en_1.pdf,最后访问时间:2022年5月24日。
[6]参见:https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data,最后访问时间:2022年5月24日。
[7]参见:https://www.legislation.gov.uk/eur/2016/679/contents,最后访问时间:2022年5月24日。
[8]https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/
[9]2000年12月,欧盟和美国达成了《安全港协议》(SafeHarborFramework)。该协议对加入的美国企业设置了比美国法律更严格的数据保护要求,从而满足美国企业与欧盟之间自由流动数据的现实需要。
[10]王佳宜,王子岩:《个人数据跨境流动规则的欧美博弈及中国因应——基于双重外部性视角》,载《电子政务》2022年第5期。
[11]2016年7月,欧盟和美国达成了《隐私盾协议》。《隐私盾协议》对个人数据的保护更加严格,专门为欧盟公民设立了监察员制度,同时美国政府立法、司法和行政三个部门负责监督美国情报部门对欧盟数据的访问。但《隐私盾协议》并未要求修改美国隐私立法,因此美国情报部门仍能根据《外国情报监视法》第702条对传输到美国的欧盟数据开展情报活动。
[12]本文对中国相关合规要求的梳理将尚未正式生效的《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法(征求意见稿)》《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》《境内企业境外发行证券和上市备案管理办法(征求意见稿)》、《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》等法律文件一并考虑在内。
[13]参见:ApprovedBindingCorporateRules|EuropeanDataProtectionBoard(europa.eu),最后访问时间:2022年5月24日。
技术驱动法律,专业成就未来