數據跨境傳輸，歐盟美國的法律有歧視中國嗎？

互聯網誕生之初，數據跨境流動是自由的，但自2016年起，各國紛紛頒布法律限制數據跨境傳輸以保護網絡安全、數據安全、個人信息安全。法律是政治性的，所以就有優待和苛刻，今天我們就來比較一下歐盟、美國、中國的跨境數據傳輸的規定，看看歐美有沒有彼此優待？有沒有對中國不合理地提高標準？以及我國企業如果被歧視性對待，我們有沒有反制措施？

一、各國的數據跨境傳輸規則

1、歐盟。歐盟《數據保護通用條例》（以下簡稱GDPR）對歐盟境內個人數據向歐盟境外傳輸有著嚴格的管控，但也提供多種途徑實現個人數據的跨境傳輸，主要分為三種機制：第一種是基于充分性認定機制（又稱白名單）；第二種是采取適當保障措施的機制，包括簽訂標準合同（Standard Contractual Clause 或者SCC）、通過約束性企業規則（Binding Corporate Rules或者BCR）、認證機制、行為準則（CoC）等；第三種為獲得數據主體同意、履行合同所必要等。

2、美國。相比歐盟嚴格的管控政策，美國主張個人數據跨境自由流動，采取了行業自律模式輔助于政府監管的方式保護數據跨境。行業自律方面，企業制定隱私政策的標準，最具代表性的為ISO/IEC29100系列標準，包括《隱私保護框架》、《隱私體系框架》、《隱私能力保護評估模型》、《隱私影響評估》、《個人可識別信息保護指南》等。

美國的法律體系有聯邦法律和州法律兩個層面。政府監管方面，在聯邦立法層面，美國數據保護立法多按照行業和領域進行分類，如《金融現代化法案》（GLBA）、《健康保險隱私及責任法案》（HIPAA）、《外國投資風險評估現代化法案》（FIRRMA）、《出口管制條例》（EAR）等；在州立法層面，美國各州也在陸續出臺相應的數據隱私法案，如《加州消費者隱私法案》(CCPA)、《加州隱私權利法》（CPRA）、《弗吉尼亞州消費者數據保護法》（VCDPA）、《科羅拉多州隱私法》（CPA）等。

同時，美國并未放開國內重要數據的管控，如《外國投資風險評估現代化法案》、《出口管制條例》等法案通過外商投資安全審查、出口管制等手段對關鍵領域數據采取相關的跨境限制措施。

3、中國。自2016年起，我國《網絡安全法》、《數據安全法》和《個人信息保護法》三大數據法規及重要配套法規陸續出臺，進一步完善個人信息出境的保護規則，明確要求個人信息處理者在向境外提供個人信息時應采取相應的保護措施?！秱€人信息保護法》則進一步明確我國個人信息出境有三種路徑，即通過網信部門的安全評估、專業機構的個人信息保護認證以及簽訂網信部門的標準合同。

二、 歐盟向中國和美國跨境傳輸個人數據的路徑

之前，歐盟和美國傳輸個人數據有個隱私盾制度的捷徑，但目前已經被歐盟法院廢除，目前歐盟向美國與中國跨境傳輸的路徑實際上差不多，企業均需要采取除了白名單機制以外的其他替代性途徑實現數據的跨境傳輸。

1、白名單和標準合同

歐盟GDPR規定的充分性認定機制（又稱白名單），是指經過歐盟認定的對個人數據保護充分的國家、地區或國際組織，可以直接向其傳輸數據，不必采取進一步的保護措施。而通過“充分性認定”確定有限的數據跨境自由流動的白名單國家不包括中國，因此歐盟向中國跨境傳輸個人數據，則必須尋找相應的替代性途徑，包括采取適當保障措施的機制如簽訂歐盟頒布的標準合同條款。

2、被廢棄的歐美數據傳輸隱私盾捷徑

2016年美國與歐盟曾簽訂了美歐數據跨境轉移機制《隱私盾協議》（PrivacyShield），允許獲得“隱私盾”認證的公司自由地在歐盟與美國之間傳輸個人數據。因此，歐盟通過“充分性認定”確定有限的數據跨境自由流動的白名單國家包括美國，故企業從歐盟向美國跨境傳輸數據則不必采取進一步的保護措施。但是2020年7月歐盟法院曾判決認定《隱私盾協議》無法為歐盟轉移到美國的個人數據提供充分保護，而裁定《隱私盾協議》無效。

3、歐美數據傳輸新捷徑尚未開通

但是，據歐盟官網消息[i]，2022年3月25日，歐盟與美國宣布雙方原則上已就新的跨大西洋數據隱私框架（Trans-Atlantic Data Privacy Framework）達成一致，該框架將促進跨大西洋數據流動。盡管如此，歐盟與美國間新的數據跨境協議沒有正式生效前，歐盟向美國跨境傳輸個人數據，也無法通過白名單機制，必須采取其他替代性的途徑進行個人數據跨境傳輸。

三、 美國向中國與歐盟跨境傳輸個人數據的路徑

如前所述，美國一方面主張個人數據跨境自由流動，另一方面也并未放開國內重要數據的管控。

美國對數據跨境傳輸的路徑沒有特定規制，但在對歐盟和中國的策略和態度上還是存在很大差異的。如前所述，歐盟與美國已就新的跨大西洋數據隱私框架達成共識，努力促進雙方間數據的自由流動。相比而言，美國對我國科技企業陸續開展非正當的管制措施，如自2020年以來，美國以用戶數據隱私和國家安全審查為由對TikTok（抖音海外版）[ii]和微信國際版[iii]進行打壓，也顯示出美國向我國進行數據跨境傳輸的政策日趨嚴格。

特別地，2019年美國《國家安全和個人數據保護法案2019》（NSPDPA，尚未生效），對于美國用戶數據出境，尤其是傳輸至中國進行明確的限制，旨在規制所有基于數據提供在線服務公司（包括“受管轄公司”），不得將任何用戶數據或解密該數據所需的信息(如加密密鑰)直接或間接地傳輸到中國、俄羅斯等任何“有疑慮國家”，而其定義的“受管轄公司”實際非常廣泛，大部分互聯網企業都可歸入其管制范圍。如果NSPDPA法案最終通過，則會極大限制美國與中國間的數據傳輸。

四、 中國向歐盟和美國跨境傳輸個人數據的路徑

我國的法律對國外企業比較公平，并無歧視某些國家的規定，但如果誰要歧視中國企業的，我國立法對此也有規制。《個人信息保護法》第四十二條和第四十三條則規定：對列入負面清單的境外組織、個人，或者我國對其采取對等限制措施的國家和地區，我國采取限制或禁止傳輸個人信息的數據。若美國NSPDPA最終通過并生效，美國限制或者禁止向中國傳輸相關個人數據，而我國則可能根據對等原則，也會采取限制或禁止措施向美國傳輸相應的數據，這將會對中美兩國的數據跨境傳輸產生重大影響，對企業跨境傳輸個人數據提出更高更嚴格的合規挑戰。

下面介紹一下我國的具體制度，國內向境外傳輸個人數據只有三條路徑：通過網信部門的安全評估、專業機構的個人信息保護認證以及簽訂網信部門的標準合同。

1、數據類型決定路徑

跨境傳輸個人數據路徑的觸發條件基于三點考慮：一看數據類型，是重要數據還是非重要數據；二看行業類型，是不是關鍵基礎設施運營者，或者掌握超過100萬以上個人信息的；三看數據量，企業累計跨境傳輸的個人數據或者敏感個人數據的數量。

從上述路徑的觸發條件來看，出境路徑均沒有因為出境的國家或地區不同，而有所不同。因此，無論是向歐盟，還是向美國，我國跨境傳輸個人數據的路徑是相同的。

具體而言，以安全評估的路徑為例，只要符合下述任一情形的，個人信息處理者應當通過所在地省級網信部門向國家網信部門申報出境的安全評估：（一）向境外提供重要數據的；（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者；（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的。若企業不符合上述任一情形的，則不需要進行安全評估，即屬于標準合同的適用范圍，需要通過標準合同的路徑進行數據出境。

2、不同安全評估的側重點有何區別？

若適用安全評估的路徑，則可能需要分為兩步走：第一步是企業開展的風險自評估，第二步是網信部門開展的安全評估。風險自評估和安全評估在許多內容上具有高度的一致性，比方說評估數據出境的合法性、正當性和必要性，以及數據出境的規模、范圍、種類、敏感程度等。當然，兩者還是存在差異性的，網信部門的安全評估比自評估更多考量國家安全、公共利益，因此，網信部門的安全評估更關注“數據安全和個人信息權益是否能夠在境外得到充分有效保障”，而企業的風險自評估則更關注“個人信息權益維護的渠道是否通暢”。

本文作者：游云庭，上海大邦律師事務所高級合伙人，知識產權律師。汪婷，上海大邦律師事務所顧問。電話：8621-52134900，Email: yytbest@gmail.com，本文僅代表作者觀點。

[i] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087

[ii] https://new.qq.com/omn/20200928/20200928A0502E00.html

[iii] https://www.huxiu.com/article/374257.html