數(shù)據(jù)跨境傳輸，歐盟美國(guó)的法律有歧視中國(guó)嗎？

互聯(lián)網(wǎng)誕生之初，數(shù)據(jù)跨境流動(dòng)是自由的，但自2016年起，各國(guó)紛紛頒布法律限制數(shù)據(jù)跨境傳輸以保護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全。法律是政治性的，所以就有優(yōu)待和苛刻，今天我們就來(lái)比較一下歐盟、美國(guó)、中國(guó)的跨境數(shù)據(jù)傳輸?shù)囊?guī)定，看看歐美有沒(méi)有彼此優(yōu)待？有沒(méi)有對(duì)中國(guó)不合理地提高標(biāo)準(zhǔn)？以及我國(guó)企業(yè)如果被歧視性對(duì)待，我們有沒(méi)有反制措施？

一、各國(guó)的數(shù)據(jù)跨境傳輸規(guī)則

1、歐盟。歐盟《數(shù)據(jù)保護(hù)通用條例》（以下簡(jiǎn)稱GDPR）對(duì)歐盟境內(nèi)個(gè)人數(shù)據(jù)向歐盟境外傳輸有著嚴(yán)格的管控，但也提供多種途徑實(shí)現(xiàn)個(gè)人數(shù)據(jù)的跨境傳輸，主要分為三種機(jī)制：第一種是基于充分性認(rèn)定機(jī)制（又稱白名單）；第二種是采取適當(dāng)保障措施的機(jī)制，包括簽訂標(biāo)準(zhǔn)合同（Standard Contractual Clause 或者SCC）、通過(guò)約束性企業(yè)規(guī)則（Binding Corporate Rules或者BCR）、認(rèn)證機(jī)制、行為準(zhǔn)則（CoC）等；第三種為獲得數(shù)據(jù)主體同意、履行合同所必要等。

2、美國(guó)。相比歐盟嚴(yán)格的管控政策，美國(guó)主張個(gè)人數(shù)據(jù)跨境自由流動(dòng)，采取了行業(yè)自律模式輔助于政府監(jiān)管的方式保護(hù)數(shù)據(jù)跨境。行業(yè)自律方面，企業(yè)制定隱私政策的標(biāo)準(zhǔn)，最具代表性的為ISO/IEC29100系列標(biāo)準(zhǔn)，包括《隱私保護(hù)框架》、《隱私體系框架》、《隱私能力保護(hù)評(píng)估模型》、《隱私影響評(píng)估》、《個(gè)人可識(shí)別信息保護(hù)指南》等。

美國(guó)的法律體系有聯(lián)邦法律和州法律兩個(gè)層面。政府監(jiān)管方面，在聯(lián)邦立法層面，美國(guó)數(shù)據(jù)保護(hù)立法多按照行業(yè)和領(lǐng)域進(jìn)行分類，如《金融現(xiàn)代化法案》（GLBA）、《健康保險(xiǎn)隱私及責(zé)任法案》（HIPAA）、《外國(guó)投資風(fēng)險(xiǎn)評(píng)估現(xiàn)代化法案》（FIRRMA）、《出口管制條例》（EAR）等；在州立法層面，美國(guó)各州也在陸續(xù)出臺(tái)相應(yīng)的數(shù)據(jù)隱私法案，如《加州消費(fèi)者隱私法案》(CCPA)、《加州隱私權(quán)利法》（CPRA）、《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》（VCDPA）、《科羅拉多州隱私法》（CPA）等。

同時(shí)，美國(guó)并未放開(kāi)國(guó)內(nèi)重要數(shù)據(jù)的管控，如《外國(guó)投資風(fēng)險(xiǎn)評(píng)估現(xiàn)代化法案》、《出口管制條例》等法案通過(guò)外商投資安全審查、出口管制等手段對(duì)關(guān)鍵領(lǐng)域數(shù)據(jù)采取相關(guān)的跨境限制措施。

3、中國(guó)。自2016年起，我國(guó)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三大數(shù)據(jù)法規(guī)及重要配套法規(guī)陸續(xù)出臺(tái)，進(jìn)一步完善個(gè)人信息出境的保護(hù)規(guī)則，明確要求個(gè)人信息處理者在向境外提供個(gè)人信息時(shí)應(yīng)采取相應(yīng)的保護(hù)措施。《個(gè)人信息保護(hù)法》則進(jìn)一步明確我國(guó)個(gè)人信息出境有三種路徑，即通過(guò)網(wǎng)信部門(mén)的安全評(píng)估、專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證以及簽訂網(wǎng)信部門(mén)的標(biāo)準(zhǔn)合同。

二、 歐盟向中國(guó)和美國(guó)跨境傳輸個(gè)人數(shù)據(jù)的路徑

之前，歐盟和美國(guó)傳輸個(gè)人數(shù)據(jù)有個(gè)隱私盾制度的捷徑，但目前已經(jīng)被歐盟法院廢除，目前歐盟向美國(guó)與中國(guó)跨境傳輸?shù)穆窂綄?shí)際上差不多，企業(yè)均需要采取除了白名單機(jī)制以外的其他替代性途徑實(shí)現(xiàn)數(shù)據(jù)的跨境傳輸。

1、白名單和標(biāo)準(zhǔn)合同

歐盟GDPR規(guī)定的充分性認(rèn)定機(jī)制（又稱白名單），是指經(jīng)過(guò)歐盟認(rèn)定的對(duì)個(gè)人數(shù)據(jù)保護(hù)充分的國(guó)家、地區(qū)或國(guó)際組織，可以直接向其傳輸數(shù)據(jù)，不必采取進(jìn)一步的保護(hù)措施。而通過(guò)“充分性認(rèn)定”確定有限的數(shù)據(jù)跨境自由流動(dòng)的白名單國(guó)家不包括中國(guó)，因此歐盟向中國(guó)跨境傳輸個(gè)人數(shù)據(jù)，則必須尋找相應(yīng)的替代性途徑，包括采取適當(dāng)保障措施的機(jī)制如簽訂歐盟頒布的標(biāo)準(zhǔn)合同條款。

2、被廢棄的歐美數(shù)據(jù)傳輸隱私盾捷徑

2016年美國(guó)與歐盟曾簽訂了美歐數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制《隱私盾協(xié)議》（PrivacyShield），允許獲得“隱私盾”認(rèn)證的公司自由地在歐盟與美國(guó)之間傳輸個(gè)人數(shù)據(jù)。因此，歐盟通過(guò)“充分性認(rèn)定”確定有限的數(shù)據(jù)跨境自由流動(dòng)的白名單國(guó)家包括美國(guó)，故企業(yè)從歐盟向美國(guó)跨境傳輸數(shù)據(jù)則不必采取進(jìn)一步的保護(hù)措施。但是2020年7月歐盟法院曾判決認(rèn)定《隱私盾協(xié)議》無(wú)法為歐盟轉(zhuǎn)移到美國(guó)的個(gè)人數(shù)據(jù)提供充分保護(hù)，而裁定《隱私盾協(xié)議》無(wú)效。

3、歐美數(shù)據(jù)傳輸新捷徑尚未開(kāi)通

但是，據(jù)歐盟官網(wǎng)消息[i]，2022年3月25日，歐盟與美國(guó)宣布雙方原則上已就新的跨大西洋數(shù)據(jù)隱私框架（Trans-Atlantic Data Privacy Framework）達(dá)成一致，該框架將促進(jìn)跨大西洋數(shù)據(jù)流動(dòng)。盡管如此，歐盟與美國(guó)間新的數(shù)據(jù)跨境協(xié)議沒(méi)有正式生效前，歐盟向美國(guó)跨境傳輸個(gè)人數(shù)據(jù)，也無(wú)法通過(guò)白名單機(jī)制，必須采取其他替代性的途徑進(jìn)行個(gè)人數(shù)據(jù)跨境傳輸。

三、 美國(guó)向中國(guó)與歐盟跨境傳輸個(gè)人數(shù)據(jù)的路徑

如前所述，美國(guó)一方面主張個(gè)人數(shù)據(jù)跨境自由流動(dòng)，另一方面也并未放開(kāi)國(guó)內(nèi)重要數(shù)據(jù)的管控。

美國(guó)對(duì)數(shù)據(jù)跨境傳輸?shù)穆窂經(jīng)]有特定規(guī)制，但在對(duì)歐盟和中國(guó)的策略和態(tài)度上還是存在很大差異的。如前所述，歐盟與美國(guó)已就新的跨大西洋數(shù)據(jù)隱私框架達(dá)成共識(shí)，努力促進(jìn)雙方間數(shù)據(jù)的自由流動(dòng)。相比而言，美國(guó)對(duì)我國(guó)科技企業(yè)陸續(xù)開(kāi)展非正當(dāng)?shù)墓苤拼胧缱?020年以來(lái)，美國(guó)以用戶數(shù)據(jù)隱私和國(guó)家安全審查為由對(duì)TikTok（抖音海外版）[ii]和微信國(guó)際版[iii]進(jìn)行打壓，也顯示出美國(guó)向我國(guó)進(jìn)行數(shù)據(jù)跨境傳輸?shù)恼呷遮厙?yán)格。

特別地，2019年美國(guó)《國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)法案2019》（NSPDPA，尚未生效），對(duì)于美國(guó)用戶數(shù)據(jù)出境，尤其是傳輸至中國(guó)進(jìn)行明確的限制，旨在規(guī)制所有基于數(shù)據(jù)提供在線服務(wù)公司（包括“受管轄公司”），不得將任何用戶數(shù)據(jù)或解密該數(shù)據(jù)所需的信息(如加密密鑰)直接或間接地傳輸?shù)街袊?guó)、俄羅斯等任何“有疑慮國(guó)家”，而其定義的“受管轄公司”實(shí)際非常廣泛，大部分互聯(lián)網(wǎng)企業(yè)都可歸入其管制范圍。如果NSPDPA法案最終通過(guò)，則會(huì)極大限制美國(guó)與中國(guó)間的數(shù)據(jù)傳輸。

四、 中國(guó)向歐盟和美國(guó)跨境傳輸個(gè)人數(shù)據(jù)的路徑

我國(guó)的法律對(duì)國(guó)外企業(yè)比較公平，并無(wú)歧視某些國(guó)家的規(guī)定，但如果誰(shuí)要歧視中國(guó)企業(yè)的，我國(guó)立法對(duì)此也有規(guī)制。《個(gè)人信息保護(hù)法》第四十二條和第四十三條則規(guī)定：對(duì)列入負(fù)面清單的境外組織、個(gè)人，或者我國(guó)對(duì)其采取對(duì)等限制措施的國(guó)家和地區(qū)，我國(guó)采取限制或禁止傳輸個(gè)人信息的數(shù)據(jù)。若美國(guó)NSPDPA最終通過(guò)并生效，美國(guó)限制或者禁止向中國(guó)傳輸相關(guān)個(gè)人數(shù)據(jù)，而我國(guó)則可能根據(jù)對(duì)等原則，也會(huì)采取限制或禁止措施向美國(guó)傳輸相應(yīng)的數(shù)據(jù)，這將會(huì)對(duì)中美兩國(guó)的數(shù)據(jù)跨境傳輸產(chǎn)生重大影響，對(duì)企業(yè)跨境傳輸個(gè)人數(shù)據(jù)提出更高更嚴(yán)格的合規(guī)挑戰(zhàn)。

下面介紹一下我國(guó)的具體制度，國(guó)內(nèi)向境外傳輸個(gè)人數(shù)據(jù)只有三條路徑：通過(guò)網(wǎng)信部門(mén)的安全評(píng)估、專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證以及簽訂網(wǎng)信部門(mén)的標(biāo)準(zhǔn)合同。

1、數(shù)據(jù)類型決定路徑

跨境傳輸個(gè)人數(shù)據(jù)路徑的觸發(fā)條件基于三點(diǎn)考慮：一看數(shù)據(jù)類型，是重要數(shù)據(jù)還是非重要數(shù)據(jù)；二看行業(yè)類型，是不是關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者，或者掌握超過(guò)100萬(wàn)以上個(gè)人信息的；三看數(shù)據(jù)量，企業(yè)累計(jì)跨境傳輸?shù)膫€(gè)人數(shù)據(jù)或者敏感個(gè)人數(shù)據(jù)的數(shù)量。

從上述路徑的觸發(fā)條件來(lái)看，出境路徑均沒(méi)有因?yàn)槌鼍车膰?guó)家或地區(qū)不同，而有所不同。因此，無(wú)論是向歐盟，還是向美國(guó)，我國(guó)跨境傳輸個(gè)人數(shù)據(jù)的路徑是相同的。

具體而言，以安全評(píng)估的路徑為例，只要符合下述任一情形的，個(gè)人信息處理者應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)出境的安全評(píng)估：（一）向境外提供重要數(shù)據(jù)的；（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者；（三）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的。若企業(yè)不符合上述任一情形的，則不需要進(jìn)行安全評(píng)估，即屬于標(biāo)準(zhǔn)合同的適用范圍，需要通過(guò)標(biāo)準(zhǔn)合同的路徑進(jìn)行數(shù)據(jù)出境。

2、不同安全評(píng)估的側(cè)重點(diǎn)有何區(qū)別？

若適用安全評(píng)估的路徑，則可能需要分為兩步走：第一步是企業(yè)開(kāi)展的風(fēng)險(xiǎn)自評(píng)估，第二步是網(wǎng)信部門(mén)開(kāi)展的安全評(píng)估。風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估在許多內(nèi)容上具有高度的一致性，比方說(shuō)評(píng)估數(shù)據(jù)出境的合法性、正當(dāng)性和必要性，以及數(shù)據(jù)出境的規(guī)模、范圍、種類、敏感程度等。當(dāng)然，兩者還是存在差異性的，網(wǎng)信部門(mén)的安全評(píng)估比自評(píng)估更多考量國(guó)家安全、公共利益，因此，網(wǎng)信部門(mén)的安全評(píng)估更關(guān)注“數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠在境外得到充分有效保障”，而企業(yè)的風(fēng)險(xiǎn)自評(píng)估則更關(guān)注“個(gè)人信息權(quán)益維護(hù)的渠道是否通暢”。

本文作者：游云庭，上海大邦律師事務(wù)所高級(jí)合伙人，知識(shí)產(chǎn)權(quán)律師。汪婷，上海大邦律師事務(wù)所顧問(wèn)。電話：8621-52134900，Email: yytbest@gmail.com，本文僅代表作者觀點(diǎn)。

[i] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087

[ii] https://new.qq.com/omn/20200928/20200928A0502E00.html

[iii] https://www.huxiu.com/article/374257.html