白癜风治疗微信群 http://nvrenjkw.com/nxzx/5718.html
　　　　　　　　　　　　　　　　　　　　　　　　　　　　

来源：上海律协（本文系作者投稿）

作者：姜斯勇上海明庭律师事务所

欢迎大家踊跃留言，分享交流各自观点

此文系作者个人观点，不代表上海市律师协会立场

社会总是朝集约、高效的方向发展。云计算作为一种通过网络提供计算资源，可根据用户需求来扩大或缩小规模的效用服务[i]，已经逐渐成了企业出海背后的助推器，让“一切”运行在云端，企业可以更好地轻装上阵，集中精力做产品、做服务。云计算也仅是企业数据跨境流动的一个集中领域，而在企业全球化布局中，有个因素正在制肘着企业的出海之路，那就是数据跨境传输（InternationalDataTransfers）困局。

在开始本文之前，有必要厘清几个概念。

1、跨境

指的是从一个法域到另一个法域，而非必须指不同国家，如香港可作为一个单独的法域，本文通常以国家统称。

2、个人数据

通常指可识别或关联某个自然人的数据（个人信息），而非其他工业数据或自然数据。

3、传输

关于如何定义“传输（transfer）”的问题，访问算不算传输？通常来讲，传输的作用无非就是让接收方获得该份数据，而数据作为无形物，所见即所得，从这个角度上看，访问跟传输无本质区别。但值得注意的是，在不同法域下，对传输的定义会存在差异，如欧盟把访问视同传输，但俄罗斯可能就把访问排除在传输之外，所以，在实际操作中，准确把握不同法域的规则（泛指各类有约束力的法律文件），没准会有“柳暗花明又一村”的奇效。

数据跨境传输的流程周期是：数据产生--数据传输--数据接收。而数据跨境传输困境的来源恰恰分别来自这三个环节。

一

本地合规限制

本地合规也可以称为源头合规，指的是数据出口国（数据输出国）的法律对于数据收集的要求，针对的是数据收集阶段，如数据本地化存储、数据主体同意、政府申报、任命数据保护官（DPO）等，如果源头上被污染了，那传输就变成了帮凶，所以本地合规也是跨境传输不可忽视的一环。

二

传输目的限制

传输目的限制指的是，企业（数据控制者或处理者）要将数据从本地转移到另一个国家，一般需要合适的理由，并不能随心所欲，对于个人数据的出境目的，主要以经济目的为主。

三

接收国水平限制

如果接收国的数据保护水平低于数据出口国，那相当于变相规避了数据出口国的法规，此为数据出口国所不能接受。因此，一般会要求接收国的数据保护水平要达到充分水平，至少二者水平要相当，并需要经过数据输出国认可。

基于以上三个层面，各地区颁布了各自的数据跨境传输规则，并互有异同，给不少出海企业造成了不同程度的合规困扰。下面我们着重梳理了欧盟、美国、俄罗斯、印度、澳大利亚、日本、韩国、新加坡与中国大陆的数据跨境传输（流动）的规则，以期给有需要的企业或个人提供参考。

欧盟

想要准确把握欧盟的数据保护规则，就必须去了解GDPR，而理解禁止性原则是把握GDPR的关键所在，即原则上禁止对个人数据进行收集以及一系列处理，因为个人数据权益属于个人，企业要想收集或处理个人数据，必须获得禁止的例外。

基于此，就不难理解欧盟对数据跨境传输的态度，即原则禁止数据的跨境传输，除非符合特定例外情形。

欧盟数据跨境传输的三种例外：

1、基于充分决定的数据传输

欧盟委员会可以确定某第三国、或该第三国国内的特定领域、部门或国际机构能够确保数据得到充分保护，则企业向这些地区传输个人数据无需再经过审批。评估接收国是否达到充分保护水平，主要考核以下因素：a.立法水平；b.司法、行政执法能力；c.国际参与。

简而言之，只要接收国拿到欧盟的数据出境“签证”，数据就可以自由跨境，这也被称为“白名单”制度，特点就是需要事先获得认定。目前，通过上述充分性认定的司法管辖区包括:新西兰、安道尔、阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、泽西岛、以色列、马恩岛、瑞士、乌拉圭、日本和美国(隐私盾协议)等。目前中国不在欧盟的白名单中。

2、采取适当保障措施的数据传输

对于其他没有取得欧盟白名单的国家来讲，并非就无路可走，只要具备为数据主体提供有效的补救措施，并采取了以下适当措施：

具有约束力的集团企业规则（BCR）

符合欧盟颁布的标准合同条款（SCC)

符合欧盟批准的行为准则（CoC）

经批准的认证机制、封印或者标识

3.特殊情况的减损条款

获得数据主体的明示同意

企业与数据主体签订、履行合同之必要条件

为了建立、行使或抗辩法律主张

保护数据主体或他人重大利益、公众利益

可见，以上三种欧盟数据跨境传输的情形，在逻辑安排上是层层递进的关系，但在实践操作层面，企业却不必拘泥于此顺序，只要结合自身情况，满足其中之一即可实现数据跨境传输的合规要求。

美国

美国一直刻意避开联邦层面的统一数据保护立法，只在特殊领域或者个别州实现定点立法，主要动因是担心过多的法律规则会使美国互联网企业发展丧失活力与优势。

在个人数据跨境传输的政策规制上，美国持开放态度，但在其他重要的非个人数据上，则采取了相应限制，如《出口管理条例》（EAR）对部分关键技术与特定领域的数据出口进行限制；另外，还应当重点