從某全球網(wǎng)約車服務(wù)運營商違規(guī)跨境傳輸個人數(shù)據(jù)處罰案例再看歐盟與中國的數(shù)據(jù)出境治理

2024年7月22日，荷蘭數(shù)據(jù)保護機構(gòu)（AutoriteitPersoonsgegevens，下稱“AP”）基于歐盟《一般數(shù)據(jù)保護條款》（下稱“GDPR”）的規(guī)定發(fā)布一項最終調(diào)查決定[1]，該決定對某全球網(wǎng)約車服務(wù)運營商（下稱“U公司”）處以2.9億歐元罰款，原因在于U公司未能根據(jù)GDPR第五章有關(guān)個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求向歐盟境外傳輸司機的個人數(shù)據(jù)。本次案件作為2024年期間就違規(guī)跨境傳輸個人數(shù)據(jù)活動施加最高處罰力度的案件，自處罰決定發(fā)布之日起即引起了全球范圍內(nèi)的廣泛關(guān)注，同時也為各個司法轄區(qū)內(nèi)開展數(shù)據(jù)跨境傳輸活動的企業(yè)敲在此，本文擬從本案件所涉及的事實背景、核心爭議焦點說開去，以近距離觀察GDPR中有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求在實踐環(huán)境中的演繹與歐盟數(shù)據(jù)保護機構(gòu)的執(zhí)法思路，并再度思考與展望中國有關(guān)數(shù)據(jù)跨境治理路徑的一、U公司違法開展個人數(shù)據(jù)跨境傳輸活動的基本事實與核心爭議點（一）U公司違法跨境傳輸司機個人數(shù)據(jù)的案件背景根據(jù)AP發(fā)布的關(guān)于處罰U公司的最終決定內(nèi)容，本次案件所涉及的詳細事實背景為：位于荷蘭的A公司于2021年8月6日至2023年11月27日期間，在既未簽署標(biāo)準(zhǔn)合同條款（StandardContractualClauses，下稱“SCC”）且尚未加入“歐盟-美國數(shù)據(jù)隱私框架（EU-USDataPrivacyFramework，下稱“DPF”）”的基礎(chǔ)上，向位于美國境內(nèi)B公司（A公司與B公司合稱為“U公司”）傳輸了來自歐盟境內(nèi)的司機的個人數(shù)據(jù)，該等個人數(shù)據(jù)包括司機的賬戶信息、車輛執(zhí)照信息、位置數(shù)據(jù)、照片信息、支付信息、身份證件信息、犯罪記錄以及醫(yī)療數(shù)據(jù)身份信息等數(shù)據(jù)，用于分析司機行為并給予經(jīng)濟激勵。AP認(rèn)為，A公司與B公司沒有根據(jù)GDPR第五章第44條、第46條與第49條的要求對個人數(shù)據(jù)跨境活動采取適當(dāng)?shù)谋Ｗo措施的事實情況，已經(jīng)構(gòu)成對GDPR的違反情形，故根據(jù)GDPR第83條規(guī)定的罰金計算標(biāo)準(zhǔn)（違規(guī)企業(yè)上一財政年度全球年營業(yè)額總額4%）以及歐盟數(shù)據(jù)保護委員會（下稱“EDPB”）發(fā)布的第04/2022號《關(guān)于GDPR下行政罰款計算的指南V2.1》指南，AP最終決定對A公司與B公司處以2.9億歐元罰款。本案的起因最初來源于法國數(shù)據(jù)保護機構(gòu)（下稱“CNIL”）收到的、來自非政府組織代表的170余名U公司司機提出的投訴。但是，根據(jù)GDPR有關(guān)確定領(lǐng)導(dǎo)性監(jiān)管機構(gòu)（LeadSupervisoryAuthority）的規(guī)定以及歐盟“一站式監(jiān)管（On-Stop-Shop）”要求，由于A公司應(yīng)當(dāng)被視為U公司在歐盟境內(nèi)的中央管理機構(gòu)（CentralAdministration）與主要營業(yè)機構(gòu)（MainEstablishment），故該案件被進一步轉(zhuǎn)移至AP進行調(diào)查，并由值得說明的是，自2020年7月16日歐盟法院公布了其對數(shù)據(jù)保護專員訴臉書愛爾蘭有限公司MaximilianSchrems案（C-311/18）（SchremsII案）的判決后，“歐盟-美國隱私盾（theUSPrivacyShield）”則被宣布無效，而該隱私盾曾是保障個人數(shù)據(jù)自歐盟向美國公司進行自由流動的主要數(shù)據(jù)傳輸機制之一。因此，如果相關(guān)主體擬從歐盟向美國境內(nèi)跨境傳輸數(shù)據(jù)，則必須以另辟蹊徑的方式采取足夠的額外措施以確保數(shù)據(jù)處于與GDPR同等的保護水平下。我們理解，目前可選的合規(guī)路徑主要包括由相關(guān)美國公司通過向美國商務(wù)部遞交申請而獲得DPF認(rèn)證，以及由數(shù)據(jù)出口方與數(shù)據(jù)進口方簽署SCC。（二）案件核心爭議點介紹我們理解，本案在調(diào)查與審理的過程中，主要涉及三個爭議焦點，分別圍繞GDPR第五章有關(guān)個人數(shù)據(jù)跨境傳輸合規(guī)要求的適用性、A公司與B公司之間是否存在受管制的數(shù)據(jù)跨境傳輸活動，以及U公司是否可以根據(jù)“履行合同所必須”而適用于GDPR第49條所規(guī)定的克減條款（DerogationsforSpecificSituations）。1.GDPR第五章有關(guān)跨境傳輸個人數(shù)據(jù)的合規(guī)要求是否適用于U公司GDPR第三條規(guī)定了GDPR的適用范圍，簡言之，在歐盟設(shè)立實體的數(shù)據(jù)控制者或處理者在開展業(yè)務(wù)過程中所進行的個人數(shù)據(jù)處理活動（不論是否在歐盟境內(nèi)進行），以及在歐盟境外開展的、以向歐盟境內(nèi)個人提供商品、服務(wù)或監(jiān)控個人為目的的個人數(shù)據(jù)處理活動均受到GDPR的管轄。此外，GDPR第五章則規(guī)定了自歐盟境內(nèi)向境外跨境傳輸個人數(shù)據(jù)所應(yīng)當(dāng)滿足的系列合規(guī)要求，包括但不限于僅能向充分性決定下的司法轄區(qū)傳輸數(shù)據(jù)，或為數(shù)據(jù)跨境傳輸活動提供適當(dāng)?shù)谋Ｗo措施，如簽署歐盟委員會發(fā)布的SCC、制定有約束力的公司準(zhǔn)則（Binding首先，A公司與B公司在U公司APP的隱私政策中表明雙方為司機個人數(shù)據(jù)處理活動在歐盟的共同控制者，位于美國境內(nèi)的B公司認(rèn)可自身將根據(jù)GDPR第三條的域外適用條款而直接受到GDPR的管轄，進而應(yīng)當(dāng)履行GDPR所提出的個人數(shù)據(jù)保護義務(wù)。在此基礎(chǔ)上，U公司認(rèn)為，GDPR第五章所提出的有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)實際上應(yīng)當(dāng)只適用于那些無法根據(jù)GDPR第三條的規(guī)定而受到GDPR規(guī)制的數(shù)據(jù)處理活動，從而確保GDPR對個人數(shù)據(jù)所提供的保護不會因為相關(guān)數(shù)據(jù)被跨境傳輸至第三方國家而遭受減損。此外，U公司認(rèn)為，GDPR第三條與第五章同時適用的結(jié)論將導(dǎo)致歐盟違反其國際義務(wù)，例如根據(jù)WTO協(xié)議，歐盟成員國不得對非歐洲實體施加比歐洲實體更為不利的待遇。因此，U公司認(rèn)為，由于GDPR第三條與GDPR第五章并不能同時適用，故U公司不應(yīng)當(dāng)承擔(dān)GDPR第五章下有關(guān)個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)。對于U公司的上述論點，AP并不認(rèn)同，原因在于：一方面，雖然GDPR的合規(guī)義務(wù)適用于所有落入GDPR第三條管轄范圍內(nèi)的個人數(shù)據(jù)處理活動，但是這仍不能保證實際發(fā)生在歐盟以外的數(shù)據(jù)處理活動均可以在GDPR的保護水平下進行。因此，GDPR第五章有關(guān)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求正是旨在把GDPR對于個人數(shù)據(jù)的保護要求延伸至歐盟以外的第三國，其應(yīng)當(dāng)被視為是GDPR第三條的補充而非重復(fù)性適用。另一方面，EDPB也認(rèn)為，關(guān)于GDPR的適用是指其全部條款的適用，包括關(guān)于數(shù)據(jù)跨境傳輸?shù)奶厥庖蟆Ｒ虼?，U公司有關(guān)GDPR第三條與GDPR第五章并不能同時適用，U公司不應(yīng)當(dāng)承擔(dān)GDPR第五章下有關(guān)個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)的觀點不能2.U公司是否存在跨境傳輸個人數(shù)據(jù)的活動根據(jù)EDPB所發(fā)布的第05/2021號《關(guān)于GDPR第三條的適用與GDPR第五章關(guān)于國際傳輸?shù)囊?guī)定之間的相互作用》的指南，構(gòu)成個人數(shù)據(jù)跨境傳輸需要符合如下三個條件，簡言之即：相關(guān)數(shù)據(jù)控制者或處理者作為數(shù)據(jù)出口方（DataExporter），需要受到GDPR的管轄；數(shù)據(jù)出口方通過傳輸或其他方式向其他控制者、共同控制者或處理者（數(shù)據(jù)進口方，DataImporter）披露個人數(shù)據(jù)，以供數(shù)據(jù)進口方進行使用；數(shù)據(jù)進口方位于第三國，無論該數(shù)據(jù)進口方是否受到GDPR管轄。在本案中，根據(jù)上述EDPB有關(guān)個人數(shù)據(jù)跨境傳輸?shù)恼J(rèn)定標(biāo)準(zhǔn)，U公司認(rèn)為，由于相關(guān)個人數(shù)據(jù)是由司機通過其個人的設(shè)備向位于美國的服務(wù)器直接提供，該數(shù)據(jù)流應(yīng)當(dāng)被視為是在自助環(huán)境（Self-serviceEnvironment）中進行，中途不涉及A公司及其員工的任何干涉與影響，因此，A公司實際上沒有作為數(shù)據(jù)出口方向境外傳輸數(shù)據(jù)，此外，A公司也不應(yīng)當(dāng)只因為作為共同的控制者即被視為開展了數(shù)據(jù)跨境傳輸活動。但是，AP并不認(rèn)同U公司的上述觀點，原因在于：一方面，在本次案件中，數(shù)據(jù)出口方的定義不能被進行狹義化的（Restrictive）理解，否則將會導(dǎo)致從歐盟出境的司機個人數(shù)據(jù)無法得到充分的保護，也無法貫徹GDPR有關(guān)對境外數(shù)據(jù)依然提供高水平保護的立法初衷。另一方面，就歐盟境內(nèi)司機向位于美國的服務(wù)器上傳其個人數(shù)據(jù)的行為而言，無論司機是在注冊或使用U公司APP的階段，這些個人數(shù)據(jù)提供的行為實際上都是基于與之締結(jié)合同的A公司的實質(zhì)性要求、通過已經(jīng)設(shè)定好相關(guān)功能的U公司APP進行，對此，司機對于是否愿意提供以及提供何種個人數(shù)據(jù)而言并無任何自主權(quán)，故司機并不能被視為是自身個人數(shù)據(jù)的控制者。在此基礎(chǔ)上，U公司應(yīng)當(dāng)對通過U公司APP所開展的數(shù)據(jù)跨境傳輸活動承擔(dān)責(zé)任，具體而言，在司機通過位于歐盟境內(nèi)的設(shè)備上的U公司APP向位于美國的服務(wù)器傳輸數(shù)據(jù)的過程中，A公司應(yīng)當(dāng)被視為是數(shù)據(jù)出口方，位于美國B公司則應(yīng)當(dāng)被視為是數(shù)據(jù)進口方，而U公司APP本身也應(yīng)當(dāng)被視為本次數(shù)據(jù)跨境傳輸?shù)募夹g(shù)工具（TechnicalTool）。3.U公司是否可以基于“履行合同所必需”適用于數(shù)據(jù)跨境傳輸?shù)目藴p條款根據(jù)GDPR第49條的規(guī)定，在無法根據(jù)GDPR第45條所規(guī)定的充足保護決定或GDPR第46條所規(guī)定的適當(dāng)安全措施作為個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)路徑時，將個人數(shù)據(jù)轉(zhuǎn)移到第三國可以GDPR第49條所提出的“履行合同所必需”作為豁免情形，具體是指：1）個人數(shù)據(jù)跨境傳輸活動對于履行數(shù)據(jù)主體與控制者之間的合同，或者滿足數(shù)據(jù)主體在簽訂合同前所提出要求具有必要性；以及2）控制者和另一自然人或法人之間簽訂或履行合同時，個人數(shù)據(jù)跨境傳輸對于實現(xiàn)數(shù)據(jù)主體的利益具有必要性兩種情形?；谏鲜鲆?guī)定，U公司認(rèn)為，即便A公司開展了個人數(shù)據(jù)跨境傳輸活動，但一方面，該個人數(shù)據(jù)跨境傳輸活動的目的實際上是為了履行與U公司司機所締結(jié)的協(xié)議，該協(xié)議約定了U公司必須履行向司機提供承運訂單等合同義務(wù)；另一方面，A公司與B公司實際上就雙方之間的數(shù)據(jù)共享活動簽署了數(shù)據(jù)共享協(xié)議（DataSharingAgreement），該數(shù)據(jù)共享協(xié)議促進了U公司對于司機個人數(shù)據(jù)以及個人數(shù)據(jù)權(quán)利的保護，因此屬于為維護司機權(quán)益而締結(jié)的合同。因此，基于U公司與司機之間達成的協(xié)議以及數(shù)據(jù)共享協(xié)議，向境外跨境傳輸司機個人數(shù)據(jù)均應(yīng)當(dāng)被視為履行合同所必需。對于U公司的上述論據(jù)，AP從更加客觀的角度提供了解構(gòu)的思路。AP認(rèn)為，“履行合同所必需”中的“必要性”應(yīng)當(dāng)被加以更加客觀（Objective）的考量，在此基礎(chǔ)上，“履行合同所必需”實際上并不等于有助于履行合同（ProcessingisUsefulfortheContract），亦不等同于僅存在事實上的合同約定。為了論證數(shù)據(jù)處理活動對于履行合同而言具有必要性，控制者必須證明如果沒有相關(guān)的數(shù)據(jù)處理活動，則合同的核心目的即無法實現(xiàn)。因此，“履行合同所必需”的數(shù)據(jù)處理活動需要與實現(xiàn)相關(guān)合同的本質(zhì)性目的直接相關(guān)，例如，本處最典型的示例仍是旅行社基于為旅客預(yù)定境外酒店的約定而向境外傳輸個人數(shù)據(jù)的情形。因此，AP認(rèn)為，無論是基于U公司與司機之間的合同約定，還是為了履行A公司與B公司之間簽署的數(shù)據(jù)共享協(xié)議，前述理由都不足以支撐需要將司機的個人數(shù)據(jù)跨境傳輸至歐盟境外的必要性。值得說明的是，AP在本次案件中說明，為實現(xiàn)商業(yè)目的，相關(guān)商業(yè)集團將個人數(shù)據(jù)集中在特定第三國進行處理本身即欠缺一定必要性，我們理解，實踐中，該觀點可能會對大多數(shù)基于集團統(tǒng)一管理而未開展數(shù)據(jù)本地化部署的跨國公司帶來合規(guī)壓力。從上述案件事實與爭議焦點可以看出，本次案件中，歐盟數(shù)據(jù)保護執(zhí)法機構(gòu)通過對GDPR第五章對歐盟境外企業(yè)的適用性、數(shù)據(jù)跨境傳輸活動的認(rèn)定標(biāo)準(zhǔn)以及“履行合同所必需”如何作為數(shù)據(jù)跨境傳輸合規(guī)義務(wù)豁免前提這三個議題進行討論，直觀地展現(xiàn)歐盟以個人數(shù)據(jù)權(quán)利保護為中心，強調(diào)與試圖擴展GDPR的域外適用效力以營造空間意義上的“同等保護水平”的執(zhí)法理念。該案件賦予了GDPR個人數(shù)據(jù)跨境傳輸合規(guī)機制更為明確的應(yīng)用標(biāo)準(zhǔn)，具有為企業(yè)提供直觀數(shù)據(jù)跨境傳輸合規(guī)指南的價值。二、再觀中國數(shù)據(jù)出境治理機制的發(fā)展脈絡(luò)通過觀察本次U公司處罰案例，我們理解歐盟監(jiān)管機構(gòu)實際上是就U公司在2021年8月6日至2023年11月27日期間存在的一段“合規(guī)真空”狀態(tài)的數(shù)據(jù)出境活動進行了查處，從中窺見歐盟地區(qū)對于企業(yè)數(shù)據(jù)跨境進一步加強監(jiān)管的態(tài)勢。這一方面可能預(yù)示著歐盟地區(qū)后續(xù)對于企業(yè)數(shù)據(jù)跨境監(jiān)管的執(zhí)法態(tài)度將更加強硬，另一方面也為各涉及出海業(yè)務(wù)的企業(yè)進一步敲響了警鐘。從中國有關(guān)數(shù)據(jù)跨境傳輸?shù)膱?zhí)法現(xiàn)狀來看，盡管目前我們尚未通過公開渠道了解到中國監(jiān)管部門對于存在與U公司類似“合規(guī)真空”情況的企業(yè)給予了處罰，但是，未來中國對于企業(yè)數(shù)據(jù)跨境合規(guī)的監(jiān)管將何去何從，是否也將效仿歐盟對于“合規(guī)真空”狀態(tài)下的數(shù)據(jù)跨境情況進行追查，這也引發(fā)了我們的思考。從中國當(dāng)前的數(shù)據(jù)跨境治理規(guī)則框架來看，當(dāng)前中國對于數(shù)據(jù)跨境流動的治理對比歐盟地區(qū)已呈現(xiàn)出一定差異，下文將進一步梳理中國近年來對于數(shù)據(jù)跨境監(jiān)管規(guī)則的演變，并試圖從中總結(jié)未來中國數(shù)據(jù)跨境合規(guī)監(jiān)管（一）中國有關(guān)數(shù)據(jù)出境活動的認(rèn)定標(biāo)準(zhǔn)與監(jiān)管要求概述自中國《數(shù)據(jù)安全法》及《個人信息保護法》生效以來，中國對于數(shù)據(jù)跨境傳輸活動的監(jiān)管要求逐漸趨向明確。根據(jù)中國當(dāng)前的法律法規(guī)要求，“數(shù)據(jù)出境”指的是數(shù)據(jù)處理者將在中國境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外，或者數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出的兩種情形。值得注意的是，根據(jù)國家網(wǎng)信辦此前發(fā)布的《數(shù)據(jù)出境安全評估申報指南（第二版）》，符合《個人信息保護法》第三條第二款[2]情形，在境外處理境內(nèi)自然人個人信息等的其他數(shù)據(jù)處理活動，也被納入為“數(shù)據(jù)出境行為”的范疇。因此，如涉及上述三種情形之一的中國企業(yè)，則需按照《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》《個人信息標(biāo)準(zhǔn)合同辦法》以及國家網(wǎng)信辦于2024年3月發(fā)布的《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（下稱“《數(shù)據(jù)跨境新規(guī)》”）履行相應(yīng)的合規(guī)義務(wù)。具體而言，如果涉及關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供重要數(shù)據(jù)或個人信息，或者非關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息達到一定規(guī)模的，則需要通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。如不涉及關(guān)鍵信息基礎(chǔ)設(shè)施運營者、重要數(shù)據(jù)且向境外提供個人信息未達到一定規(guī)模的，則需與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同或者通過個人信息保護認(rèn)證。根據(jù)《數(shù)據(jù)跨境新規(guī)》，關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，應(yīng)當(dāng)依法與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同或者通過個人信息保護認(rèn)證。根據(jù)我們的經(jīng)驗，實踐中大部分涉及數(shù)據(jù)跨境傳輸活動的企業(yè)都涉及因達到上述閾值而需要履行個人信息出境標(biāo)準(zhǔn)合同備案義務(wù)。如上所述，從本次U公司處罰案例來看，A公司正是因為被認(rèn)定為在一段“合規(guī)真空”期間內(nèi)、由于未與B公司簽署歐盟SCC的情況下向B公司跨境傳輸歐盟境內(nèi)司機的個人數(shù)據(jù)而被給予處罰。但就當(dāng)前中國境內(nèi)的執(zhí)法情況而言，經(jīng)公開渠道檢索，我們理解目前尚未出現(xiàn)中國監(jiān)管部門就應(yīng)簽署中國個人信息出境標(biāo)準(zhǔn)合同而未簽署的企業(yè)給予了相關(guān)行政處罰的案例。但隨著中國數(shù)據(jù)跨境監(jiān)管機制趨向成熟，未來中國監(jiān)管部門對于相關(guān)企業(yè)的數(shù)據(jù)跨境“合規(guī)真空”情況是否會做出處罰，目前仍不明朗。（二）以安全促發(fā)展：趨于精細化管理的中國數(shù)據(jù)跨境監(jiān)管機制通過觀察中國近年來的數(shù)據(jù)跨境管控機制發(fā)展脈絡(luò)，我們可以發(fā)現(xiàn)當(dāng)前該機制已然趨向于追求數(shù)據(jù)安全與經(jīng)濟發(fā)展的動態(tài)平衡。隨著《數(shù)據(jù)安全法》以及《個人信息保護法》相繼出臺并生效，我國數(shù)據(jù)跨境制度的基本法律框架得以進一步厘清。2022年7月，《數(shù)據(jù)出境安全評估辦法》正式頒布，明確了應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估的情形，并進一步明確了“自評估——申請評估——重新申報評估”的評估流程框架。2023年2月，《個人信息出境標(biāo)準(zhǔn)合同辦法》正式出臺，該辦法規(guī)定了個人信息出境標(biāo)準(zhǔn)合同的適用范圍、訂立條件和備案要求，明確了標(biāo)準(zhǔn)合同范本，為向境外提供個人信息提供了具體指引，也進一步與《個人信息保護法》提出的個人信息保護影響評估義務(wù)呼應(yīng)。值得一提的是，與歐盟GDPR框架下的SCC條款類似，中國的個人信息出境標(biāo)準(zhǔn)合同制度也要求適用于該合規(guī)路徑的個人信息處理者按照標(biāo)準(zhǔn)合同條款與境外接收方訂立《個人信息出境標(biāo)準(zhǔn)合同》，明確雙方的數(shù)據(jù)安全保護責(zé)任義務(wù)。這些義務(wù)包括數(shù)據(jù)出境的目的、方式、范圍，境外接收方處理數(shù)據(jù)的用途、方式，數(shù)據(jù)在境外的保存地點、期限，以及在數(shù)據(jù)安全事件發(fā)生時的應(yīng)急處置要求等。不過，中國個人信息出境標(biāo)準(zhǔn)合同比照歐盟SCC仍有自己的特色，例如：我國個人信息出境標(biāo)準(zhǔn)合同并未就個人信息跨境場景下數(shù)據(jù)出境方與境外接收方所形成的數(shù)據(jù)處理法律關(guān)系做進一步劃分，而是以統(tǒng)一將數(shù)據(jù)出境方歸納為“個人信息處理者”、數(shù)據(jù)進口方定義為“境外接收方”的方式作為參與數(shù)據(jù)跨境傳輸活動的基本角色，對締約雙方在個人信息跨境過程中所享有和承擔(dān)的權(quán)利義務(wù)進行了一致性的規(guī)定。此外，我國網(wǎng)信部門對個人信息出境標(biāo)準(zhǔn)合同的備案更多被視為一種形式審查機制，其主要目的在于為監(jiān)管部門后期開展數(shù)據(jù)跨境治理鋪墊基礎(chǔ)。但就當(dāng)前的監(jiān)管實踐來看，網(wǎng)信部門除形式審查外，還會對個人信息處理者就個人信息跨境活動獲得個人主體的單獨同意情況進行審查并給予相關(guān)指導(dǎo)。有關(guān)中歐個人信息出境標(biāo)準(zhǔn)合同的對比分析，讀者可進一步參閱我們此前文章《映日荷花別樣紅——中歐個人信息出境標(biāo)準(zhǔn)合同（條款）對比分析》。結(jié)合上述兩部規(guī)章發(fā)布后的監(jiān)管落地實踐情況，以及基于“以安全促發(fā)展”的理念，經(jīng)過中國近年對數(shù)據(jù)出境安全監(jiān)管機制的探索，最新出臺的《數(shù)據(jù)跨境新規(guī)》也進一步明確了數(shù)據(jù)出境安全評估及標(biāo)準(zhǔn)合同備案的若干豁免情形，以便讓符合豁免情形的數(shù)據(jù)處理者免予履行相關(guān)的申報義務(wù)。例如，若符合“1）為訂立、履行個人作為一方當(dāng)事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預(yù)訂、簽證辦理、考試服務(wù)等，確需向境外提供個人信息的；2）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；3）緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的；4）關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的”情形，則免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認(rèn)證。此外，《數(shù)據(jù)跨境新規(guī)》也進一步明確了數(shù)據(jù)處理者相關(guān)申報義務(wù)，并提出了針對自由貿(mào)易試驗區(qū)內(nèi)企業(yè)的變通規(guī)則。這也體現(xiàn)了中國在數(shù)據(jù)出境監(jiān)管活動中的特色合規(guī)要求，即旨在確保數(shù)據(jù)安全并同時促進數(shù)據(jù)的合法有序流動。有關(guān)《數(shù)據(jù)跨境新規(guī)》解讀及中國數(shù)據(jù)出境安全保護相關(guān)的具體合規(guī)路徑介紹，讀者可參閱《水無形而有萬形——《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》的變化與數(shù)據(jù)跨境監(jiān)管的未來》。但與GDPR及歐盟SCC不同的是，《數(shù)據(jù)跨境新規(guī)》實際上明確提出了觸發(fā)相應(yīng)申報義務(wù)的出境數(shù)據(jù)量閾值計算方式，即當(dāng)前中國的監(jiān)管規(guī)則將出境數(shù)據(jù)量的起算節(jié)點著眼于“當(dāng)年1月1日”，在此基礎(chǔ)上，對于數(shù)據(jù)處理者在當(dāng)年1月1日之前向境外提供的歷史數(shù)據(jù)是否也應(yīng)一并納入《數(shù)據(jù)跨境新規(guī)》的統(tǒng)計范疇的問題，目前仍不存在明確的要求與規(guī)定。但我們理解，自當(dāng)年1月1日起算的方式可能恰恰是中國監(jiān)管部門對于促進數(shù)據(jù)跨境流動的題中應(yīng)有之義。出于減輕企業(yè)合規(guī)壓力的角度，我們也建議對于出境數(shù)據(jù)量統(tǒng)計的方式予以寬松化的理解，例如，采用僅將產(chǎn)生了實質(zhì)性變化的歷史數(shù)據(jù)納入當(dāng)年1月1日出境的數(shù)據(jù)的計算范疇的思路，但該思路的有效性仍有待監(jiān)管部門的進一步明確。（三）中國建立國際間數(shù)據(jù)跨境流動互信機制的整體趨勢如上文所述，在境外處理中國境內(nèi)自然人個人信息的企業(yè)若符合《個人信息保護法》第三條第二款情形的域外適用情形，且涉及數(shù)據(jù)跨境傳輸活動的，不免會面臨著需要同時滿足當(dāng)?shù)財?shù)據(jù)保護法律要求和中國數(shù)據(jù)保護法律要求的情況。由此，適用不同國家或地區(qū)的法律要求所產(chǎn)生的沖突也將導(dǎo)致相關(guān)企業(yè)面臨著較高的合規(guī)成本，這也為企業(yè)建立自身數(shù)據(jù)跨境合規(guī)治理機制帶來了難題。對此，中國當(dāng)前也在積極與各國政府溝通，爭取建立國際間有關(guān)數(shù)據(jù)跨境傳輸?shù)幕バ艡C制，努力為企業(yè)履行數(shù)據(jù)跨境合規(guī)義務(wù)尋求便利條件，例如：2024年6月26日，中國國家互聯(lián)網(wǎng)信息辦公室主任莊榮文在京會見德國數(shù)字化和交通部部長維辛一行，雙方共同簽署《關(guān)于中德數(shù)據(jù)跨境流動合作的諒解備忘錄》。中國國家網(wǎng)信辦將與德國數(shù)字化和交通部在《關(guān)于中德數(shù)據(jù)跨境流動合作的諒解備忘錄》框架下，建立“中德數(shù)據(jù)政策法規(guī)交流”對話機制，加強在數(shù)據(jù)跨境流動議題上的交流，為兩國企業(yè)營造公平、公正、非歧視的營商環(huán)境[3]。2024年6月27日，中國與新加坡也就數(shù)據(jù)跨境領(lǐng)域的合作開展交流，并明確雙方未來合作方向和重點，便利企業(yè)數(shù)據(jù)跨境流動等共識。[4]2024年8月27日，中歐數(shù)據(jù)跨境流動交流機制第一次會議以視頻方式舉行，雙方就數(shù)據(jù)跨境流動的具體問題以及監(jiān)管框架進行了交流。[5]為此，我們也期待未來中國與各友鄰國之間能夠就數(shù)據(jù)跨境流動的監(jiān)管達成合作，特別是對需要同時履行各司法轄區(qū)之間簽署類似數(shù)據(jù)跨境傳輸協(xié)議的企業(yè)，能夠建立相關(guān)合規(guī)舉措的互信機制，以便減輕企業(yè)的合規(guī)負擔(dān)，促進數(shù)據(jù)的跨境流動。結(jié)語在全球化的商業(yè)環(huán)境中，數(shù)據(jù)跨境監(jiān)管已成為各司法轄區(qū)普遍關(guān)注的問題。在各國數(shù)據(jù)監(jiān)管機構(gòu)均試圖在數(shù)據(jù)自由流動與數(shù)據(jù)安全保護之間找到平衡點的過程中，就如何認(rèn)定數(shù)據(jù)跨境行為、應(yīng)當(dāng)采取何種程度的保護措施