GDPR生效之后，欧盟主要通过三种途径规范数据跨境行为：

第一种，充分性决定（Adequacy Decision），即白名单模式，这是欧盟最重要的国际数据传输机制[1]；

第二种，采取适当保障措施（Appropriate Safeguards），包括但不限于签订标准合同（Standard Contractual Clauses，SCC）、制定约束性企业规则（Binding Corporate Rules，BCR）以及其他经核准的措施[2]；

第三种，适用“减损”规则（Derogations for Specific Situations），即依据数据主体同意、合同必要性、公共利益的实现等[3]。

（一）充分性决定

数据控制者或处理者通过运用充分性认定数据跨境合规机制，可以合法地将欧盟的个人数据传输至第三方国家或地区。

为确保数据保护规则得以有效遵守，第三国需要建立独立、专门的监管机构，并赋予其充分的执法权力，以协助和建议数据主体行使其权利，并且该专门监管机构可与欧盟成员国的其他监管机构建立协作机制以解决分歧。

1. 欧盟白名单

截至2024年5月15日，欧盟官网公布的通过数据保护充分性认定的国家或地区共计15个：安道尔、阿根廷、加拿大（仅限商业机构）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国（在GDPR下和执法指令进行的传输）、乌拉圭、美国（仅限参与欧盟-美国数据隐私框架的商业机构）[4]。

2. 欧洲其他国家白名单

• 英国

英国在“脱欧”后，仍然依据欧盟GDPR制定了《英国通用数据保护条例》 （United Kingdom General Data Protection Regulation，UK GDPR），UK GDPR第45条设立了“数据保护充分性认定”制度。截至2024年5月15日，英国信息专员办公室（UK Information Commissioner’s Office）官网公布的通过数据保护充分性认定的国家或地区共计45个[5]：

（1）欧洲经济区（EEA）成员国家（30个）：奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。

（2）部分通过欧盟委员会充分性认定的国家或地区（13个）：安道尔、阿根廷、加拿大（仅涵盖受加拿大个人信息保护和电子文档法案【PIPEDA】管辖的数据）、法罗群岛、根西岛、以色列、马恩岛、日本（仅涵盖根据日本《个人信息保护法》转移给私营部门组织的个人数据）、泽西岛、新西兰、瑞士、乌拉圭、美国（仅涵盖根据欧盟-美国数据隐私框架的英国扩展协议传输的数据）。

（3）其他国家或地区（2个）：直布罗陀、韩国。

2021年8月，英国政府宣布正在与一些优先目的地合作，这些目的地未来可能成为适足性法规的对象，包括澳大利亚、巴西、哥伦比亚、迪拜国际金融中心、印度、印度尼西亚、肯尼亚和新加坡。

• 瑞士

2020年9月25日，瑞士联邦议会通过2020年《联邦数据保护法》（he Federal Act on Data Protection 2020，FADP），并于2023年9月1日开始生效。FADP中设立了数据跨境白名单机制，并公布了数据跨境白名单（即能够证明其提供“充分”数据保护水平），覆盖共计43个国家或地区[6]：安道尔国、阿根廷、比利时、保加利亚、丹麦、德国、爱沙尼亚、法罗群岛、芬兰、法国、直布罗陀、希腊、格恩西岛、爱尔兰、冰岛、马恩岛、以色列、意大利、泽西岛、加拿大、列支敦士登、立陶宛、卢森堡、马其他、摩纳哥、荷兰、新西兰、挪威、奥地利、波兰、葡萄牙、罗马尼亚、瑞典、斯洛伐克、斯洛文尼亚、西班牙、捷克共和国、匈牙利、乌拉圭、英国、克罗地亚、塞浦路斯、拉脱维亚。

（二）适当保障措施

在GDPR下，适当保障措施是指当个人数据从欧盟传输到未获得充分性认定的第三国时，为了确保数据传输的合法性，数据控制者或处理者必须采取的一系列保障措施。这些措施的目的是确保数据传输后，个人数据得到与在欧盟境内同等水平的保护。以下是GDPR规定的一些适当保障措施：

1. 标准合同条款（SCC）：欧盟委员会制定了一套标准合同条款，数据控制者或处理者可以将其纳入与数据接收方的合同中，以确保数据传输符合GDPR的要求。SCC规定了数据传输双方的权利和义务，以及对数据主体的保护措施[7]。

2. 约束性企业规则（BCR）：这是一种跨境公司内部使用的数据跨境传输机制，要求公司制定一套内部规则，以确保其全球各分支机构在处理个人数据时遵守相同的数据保护标准[8]。

3. 行为准则：某些行业或协会可能制定一套数据保护行为准则，如果数据接收方承诺遵守这些准则，并且这些准则得到了欧盟委员会的事先批准，也可以作为适当保障措施[9]。

4. 认证机制：GDPR允许通过认证机制，为数据跨境传输提供保障。获得认证的组织需遵守特定的数据保护标准[10]。

这些适当保障措施的实施，旨在为个人数据提供一层额外的保护，确保其在跨境传输过程中的安全和隐私。

（三）“减损”规则

GDPR规定了特定情形下的豁免，允许在没有适当保障措施的情况下进行数据跨境传输。这些豁免旨在平衡数据主体利益、公共利益和处理者合法利益之间的关系。根据GDPR第49条，特定情形下的豁免包括但不限于以下几种情况：

1. 数据主体的明确同意：如果数据主体在充分知情的基础上明确同意其个人数据被跨境传输，这可以作为传输的合法基础。

2. 履行合同所必需：如果跨境传输对于履行数据主体作为一方当事人的合同所必需，或者在订立合同前应数据主体的要求采取措施所必需，可以进行数据传输。

3. 保护数据主体或他人的重要利益：如果跨境传输是为了保护数据主体的生命健康或人身安全等重要利益的必要条件，可以进行数据传输。

4. 公共利益：如果跨境传输是为了在公共利益所必需，这也构成一个豁免情形。

5. 确立、行使或抗辩法律主张：跨境传输可能对于建立、行使或抗辩法律主张是必要的。

6. 法律义务：跨境传输可能是为了遵守法律义务所必需。

（四）参考案例

1. 法国数据保护委员会对Google罚款5000万欧元

2019年1月21日，法国数据保护委员会（CNIL）对Google罚款5000万欧元，原因是其违反了欧盟通用数据保护条例（GDPR）的相关规定。这是GDPR生效以来欧盟监管机构开出的首个罚单，也是当时金额最大的罚款之一。

CNIL调查发现，Google将欧盟用户数据传输到其位于美国的数据中心，用于投放个性化广告。Google未告知用户或征得用户同意。

基于以上违规行为，CNIL对Google处以罚款之外，还要求Google采取以下整改措施：立即停止未经用户同意将用户数据用于个性化广告投放。重新设计其隐私政策，使其更加清晰易懂，采取更有效的措施保护用户数据安全。

2. 爱尔兰数据保护委员会对Meta罚款12亿欧元

2023年5月22日，爱尔兰数据保护局（IE DPA）对Meta爱尔兰的Facebook服务进行调查后，对Meta自2020年7月16日起根据标准合同条款（SCC）向美国转移个人数据的事实予以确认后对其开出了12亿欧元（逾91亿人民币）的罚款。这笔罚款是GDPR施行5年以来开出的最高罚款。此前，欧洲数据保护委员会（EDPB）于2023年4月13日也对Meta作出了一项有法律效力的裁决。这打破了Facebook自己的罚金记录——在2019年，Facebook与美国联邦贸易委员会（FTC）达成一项和解协议，认罚50亿美元，当时号称“全球数据隐私保护领域迄今为止最高罚单”[11]。

2023年7月10日，欧盟委员会通过了关于欧盟-美国数据隐私框架的充分性决定。根据该决定，美国已被正式列入欧盟数据跨境白名单。换言之，欧盟内个人数据可以自由流动至美国而无需采取额外的保障措施。

二、美国数据出境法律保护体系

目前，美国尚不存在联邦层面统一的数据保护法，但是，有许多法律和法规中包含数据跨境传输的相关规定，例如，美国联邦贸易委员会法案（FTC Act）赋予美国联邦贸易委员会（FTC）权力，对侵犯消费者隐私的行为进行调查和执法[12]。加州消费者隐私法（CCPA） [13]和伊利诺伊州生物识别信息隐私法（BIPA）[14]等州级法律也对个人数据的收集、使用和披露施加了限制。美国商务部工业和安全局（BIS）管理的出口管理条例（EAR）限制了某些加密技术的出口。国际紧急经济权力法 （IEEPA）赋予美国总统权力，在国家紧急情况下限制或禁止数据传输。同时，美国正在推进《美国数据隐私保护法案》（ADPPA）的立法进程，旨在出台一部联邦层面的数据隐私立法。

2024年2月28日，美国总统拜登签署了《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）（“总统行政命令”），其目的在于保护美国敏感个人数据（Americans’ sensitive personal data）不被受关注国家（countries of concern）利用[15]。同日，美国司法部发布总统行政命令的情况说明以及《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》（Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern）的拟议规则预通知（Advance notice of proposed rulemaking，ANPRM）[16]，对总统行政命令的情况进行解释和细化，并向社会公开征求意见。

总统行政命令以及ANPRM的核心内容可以简要概括为：美国禁止或限制美国主体与受关注国家及被涵盖的人开展涉及受规制数据类型的被涵盖的数据交易。

（一）受关注的国家与被涵盖的人

总统行政命令所监管的数据交易方包括受关注的国家和被涵盖的人。

受关注的国家（country of concern）：美国司法部考虑将中国（含港澳）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉列为受关注的国家。

被涵盖的人（covered person）：美国司法部将被涵盖的人定义为包括受到受关注的国家（country of concern）管辖（jurisdiction）、指导（direction）、所有（ownership）或控制（control）的某些类别的实体和个人。向实体或个人提供敏感个人数据是否将导致受关注的国家获取这些数据，如果是，属于被涵盖的人，反之则不属于。美国司法部将发布并定期更新被涵盖的人的清单，这份清单是非详尽的，未被列入该清单不代表不属于被涵盖的人。

（二）受规制数据类型及阈值

根据总统行政命令及ANPRM，受规制数据包括：

（1）美国政府相关数据（Government-related Data）。政府相关数据包括但不限于政府数据库、政府网站和政府通信；

（2）美国公民的敏感个人数据。

敏感个人数据（sensitive personal data）主要包括六类：特定种类的个人识别符、精确的地理定位数据、生物特征识别符、人类基因组数据、个人健康数据和个人财务信息。

值得注意的是，只有当数据超过规定的阈值时，美国司法部才会对上述六类敏感数据的交易进行监管。但涉及政府相关数据交易，即使未超过阈值，也将受到监管。

（三）被涵盖的数据交易

被涵盖的数据交易（Covered data transactions）分为被禁止的交易和受限制的交易。

1. 被禁止的数据交易类型包括：（1）数据经纪交易，以及（2）基因组数据交易，涉及大量人类基因组数据或从中导出此类数据的生物样本的传输。

2. 受限制的数据交易类型包括：（1）涉及提供商品和服务的供应商协议（包括云服务协议）；（2）雇佣协议；（3）投资协议。

对于受限制的数据交易情况说明提出了安全要求条件，包括采取网络安全措施，例如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化以及使用隐私保护技术。

（四）数据交易豁免

根据总统行政命令及ANPRM，该计划将包含以下几类普遍适用的数据交易豁免，这些交易将被排除在监管之外，主要包括：

1. 与金融服务、支付处理和监管合规相关的交易：如银行、资本市场或金融保险活动；涉及转移个人财务数据或被涵盖的个人标识符的支付提供或处理，用于购买和销售商品和服务；以及法律和监管合规相关的交易；

2. 与跨国美国公司内部的附属业务（如工资或人力资源）运营相关的交易；

3. 美国政府及其承包商、雇员和受赠人的活动（如联邦资助的健康和研究活动，资助机构将自行监管）；或

4. 联邦法律或国际协议要求或授权的交易（如乘客名单信息交换、国际刑警组织请求和公共卫生监控）。

ANPRM还考虑豁免某些投资，这些投资不会构成不可接受的国家安全风险的权利或影响力，即让受关注国家或被涵盖人员获得敏感个人数据的风险。

综上所述，总统行政命令超越了单纯的数据跨境传输限制，标志着美国在数据安全和国家安全方面采取了更为全面和主动的措施，对与受关注的国家有关的企业在海外的运营、境外投资并购等活动产生重大影响，这些企业可能需要重新评估其数据保护措施，以确保遵守更为严格的数据安全要求。

三、中国数据出境法律保护体系

（一）相关法律法规

目前，我国出台的规范数据出境相关的法律法规主要如下：

（二）数据出境的合规路径

根据《中华人民共和国个人信息保护法》第三十八条规定，拟向境外传输个人信息的个人信息处理者必须通过以下三种合规路径：

（1）通过国家网信部门组织的安全评估；

（2）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（3）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（4）法律、行政法规或者国家网信部门规定的其他条件。

1. 合规路径的判断

对于前述三种数据出境合规路径适用的前提条件我们梳理如下，个人信息处理者在实施数据出境业务时可以据此判断应采取哪种合规路径： 

2. 数据出境豁免情形

为了减轻企业在数据跨境传输过程中的合规负担，提升数据流动的便利性和效率，国家互联网信息办公室于2024年3月22日正式发布了《促进和规范数据跨境流动规定》。根据《促进和规范数据跨境流动规定》的相关规定，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形如下：

（1）国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的[17]；

（2）在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的（数据过境）[18]；

（3）未被相关部门、地区告知或者公开发布为重要数据的[19]；

（4）向境外提供个人信息（不包括重要数据）满足以下条件的[20]：

（5）自贸区自行制定的负面清单以外的数据出境（负面清单需报网信委批准后，报国家网信部门备案）。

3. 数据出境安全评估流程

根据《数据出境安全评估办法》的相关规定，数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估流程如下：

4. 订立个人信息出境标准合同流程

根据《个人信息出境标准合同办法》的相关规定，个人信息处理者与境外接收方订立个人信息出境标准合同与备案的流程如下：

5. 个人信息保护认证流程

根据《个人信息保护认证实施规则》的相关规定，对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的流程如下：

涉及数据跨境传输的境外投资并购项目，例如需向位于境外的研发设计中心、测试实验中心传输数据，需向位于境外的关联公司传输员工或客户个人信息进行分析处理，需向境外的供应商、客户传输数据完成交付等，对于潜在的数据合规风险，企业可以考虑采取如下措施来应对。

1. 尽职调查阶段

（1）扩展数据合规情况调查范围：除了了解目标市场数据合规法规要求外，还应调查目标公司、关联公司、供应商和客户的数据合规实践情况，包括：是否建立了数据出境管理制度；是否制定了数据出境策略；是否采取了必要的数据安全保障措施；是否存在数据泄露或违规事件记录。

（2）评估数据出境风险：综合考虑目标市场数据合规环境、目标公司数据合规实践情况、数据出境的目的、方式和范围等因素，评估数据出境可能面临的风险，例如：数据泄露风险；数据被非法获取或使用的风险；数据被用于违法目的的风险。

（3）制定尽职调查计划：根据数据出境风险评估结果，制定针对性的尽职调查计划，明确调查重点和内容。

2. 交易结构设计阶段

（1）选择合适的数据出境方式：根据数据出境风险评估结果和目标市场数据合规要求，选择合适的数据出境方式，例如：获得数据主体明确同意的数据出境；在目标市场设立数据处理机构进行本地存储；与境外接收方签订数据转让协议；使用经过认证的安全数据传输技术。

（2）考虑设立特殊目的公司：在条件具备的情况下，可以考虑设立特殊目的公司（SPV）来满足数据出境要求。SPV应设立在数据合规环境良好、数据保护水平较高的国家或地区。

（3）设计数据安全保障措施：在交易结构设计阶段，应结合数据出境方式，设计必要的数据安全保障措施，例如：数据加密；数据访问权限控制；数据安全审计和评估。

3. 文件起草谈判阶段

（1）在付款条件中加入数据合规要求：将完成数据跨境合规申报义务作为阶段性付款的前提条件之一，督促标的公司履行数据合规义务。

（2）在交割条件中加入数据合规要求：将完成数据跨境合规申报义务作为项目交割前提条件之一，确保数据出境合规风险得到有效控制。

（3）在陈述与保证条款中加入数据合规承诺：明确标的公司应在数据合规方面完全遵守适用法律的规定，并对相关陈述和保证承担责任。

（4）在赔偿条款中加入数据合规责任条款：明确因数据跨境合规给中国投资方造成损失的赔偿责任，并约定损失计算方法和赔偿方式。

4. 其他建议

（1）加强数据合规培训：提高企业员工对数据合规法规的认识，并加强员工的数据安全培训，提升员工的数据安全意识和防范能力。

（2）建立数据泄露事件应急预案：制定详细的数据泄露事件应急预案，明确应急指挥机构、责任人员、处置流程等，并定期进行演练，确保在发生数据泄露事件时能够迅速有效地做出反应。

（3）关注数据合规法规变化：企业应深入研究并了解业务所涉及的所有国家或地区的隐私和数据保护法律，密切关注数据合规法规的最新发展，并及时调整企业的数据出境策略和措施，确保始终符合最新法律法规要求。

（4）建议企业定期进行内部或外部的数据保护合规审计，确保数据处理活动符合法律法规要求。建议企业保持数据处理活动的详细记录，包括数据访问、处理和转移的日志，这些记录应足以证明企业遵守了数据保护法规的要求。此外，建议企业与监管机构建立良好的沟通渠道，确保在面临合规性问题时，能够迅速获得专业的咨询和指导。