欧盟充分性认定:完整国家名单及2026年最新动态
根据GDPR第45条,欧盟委员会在认定某一非欧盟国家提供的数据保护水平与欧盟标准实质等同时,会作出充分性认定。获得该认定后,个人数据即可从欧盟自由流向该国,无需再采取标准合同条款等额外保障措施。
欧盟充分性认定,是欧盟委员会作出的正式认定,确认欧洲经济区(EEA)以外的某一国家所提供的数据保护水平与欧盟境内所保障的水平"实质等同"。一国一旦获得充分性认定,个人数据即可从欧盟自由流向该国,企业无需再实施标准合同条款(SCCs)或有约束力的公司规则等额外保障措施。
充分性认定制度由GDPR第45条确立,该条规定了欧盟委员会必须评估的标准,以及作出、审查和撤销认定的程序。充分性认定是国际数据保护领域影响最为深远的法律工具之一,因为它决定了欧盟与其贸易伙伴之间能否实现无障碍的跨境数据流动。
本指南将介绍充分性认定的运作方式、目前所有获得充分性地位的国家和组织、2024年对11项GDPR施行前认定(GDPR)所作的审查、英国2025年12月的续期、巴西2026年的认定决定、欧盟-美国数据隐私框架及其诉讼历程,以及充分性认定对企业的实际意义。
GDPR第45条下充分性认定的运作机制
GDPR第45条授权欧盟委员会认定某一第三国、某一地区、第三国内一个或多个特定行业,或者某一国际组织,是否确保了充分水平的保护。该法律标准并非要求保护水平完全相同,而是要求与欧盟法律"实质等同"。
评估标准
欧盟委员会在评估某一国家是否符合充分性标准时,会考量第45条第2款所列的若干因素:
法治与人权:该国的整体法律框架,包括国家安全、公共利益、刑事法律以及政府获取个人数据方面的立法。独立司法机构的存在与否至关重要。
独立监管机构:该国是否设有一个或多个具备充分执法权力的独立数据保护机构,包括调查、干预及处罚违法行为的能力。该机构还须为行使权利的数据主体提供协助与建议。
国际承诺:该国是否参与国际数据保护相关文书,例如欧洲委员会第108号公约及其现代化议定书("108+公约")、双边或多边协定,以及其他具有法律约束力的义务。
数据主体权利:个人是否享有可有效行使并可强制执行的权利,包括访问权、更正权、删除权和限制处理权,以及获得有效行政和司法救济的权利。
再转移规则:该国是否对数据再转移至其他第三国设定限制条件,以防充分性认定被用作数据流向保护水平更低的司法辖区的后门。
认定的作出程序
充分性评估是一个漫长的过程。欧盟委员会的评估工作往往历时数年。欧洲数据保护委员会(EDPB)会就决定草案发表意见,各成员国代表组成的委员会程序委员会随后对该决定进行表决。欧洲议会与欧盟理事会均可要求欧盟委员会维持、修改或撤销某项认定决定。
从启动评估到最终作出决定,整个过程通常需要两到四年。已批准108+公约、建立了具备真实执法权力的独立监管机构,并颁布了与GDPR全面接轨的立法的国家,通常能够更快完成这一流程。
持续监测与定期审查
第45条第3款要求欧盟委员会对已获认定国家的动态进行持续监测。第45条第4款要求其定期向欧洲议会和欧盟理事会报告相关认定决定的执行情况。若欧盟委员会认定某国已不再提供实质等同的保护,可对该认定决定予以修改、中止或撤销。
已获得欧盟充分性认定的国家
截至2026年,欧盟委员会已对17个国家、地区和组织作出充分性认定。该名单既包括GDPR施行前作出的认定(最初根据1995年《数据保护指令》通过,并依据GDPR第45条第9款继续有效),也包括2018年5月GDPR生效后新作出的认定。
GDPR施行前的充分性认定(指令时代)
这些认定决定是在GDPR于2018年5月25日生效之前,根据95/46/EC号指令作出的。只要未被撤销或修改,这些认定决定将继续有效。
安道尔(2010年10月通过):安道尔2003年颁布的《个人数据保护资格法》及其独立监管机构(APDA)构成了本次充分性认定的基础。欧盟委员会2024年1月的审查确认该认定依然合理有效。
阿根廷(2003年6月通过):阿根廷《个人数据保护法》(第25,326号法律)及其公共信息获取局(AAIP)构成了充分性认定的基础。除巴西外,阿根廷仍是南美洲唯一获得欧盟充分性认定的国家。
加拿大(2001年12月通过,部分认定):加拿大的充分性认定仅限于在商业活动中适用《个人信息保护和电子文件法》(PIPEDA)的组织。公共部门的数据处理、不适用PIPEDA的组织,以及未被认定与PIPEDA实质相似的省级立法,均不在认定范围之内。
法罗群岛(2010年3月通过):丹麦王国下辖的一个自治领地,拥有本地区独立的数据保护立法。
根西(2003年11月通过):英国王室属地,脱欧后其数据保护立法已与英国GDPR保持一致。
马恩岛(2004年4月通过):英国王室属地,在信息专员办公室(马恩岛)的监管下建立了独立的数据保护制度。
以色列(2011年1月通过):以色列1981年《隐私保护法》及其隐私保护局构成了相关法律框架。以色列一直在推进隐私立法的现代化改革,以使其更贴近GDPR标准。
泽西(2008年5月通过):英国王室属地,拥有本地区独立的数据保护立法及监管机构(ODPA)。
新西兰(2012年12月通过):新西兰《隐私法》及隐私专员办公室构成了充分性认定的基础。新西兰于2020年11月颁布了经过全面现代化改革的新版《隐私法》。
瑞士(2000年7月通过):这是最早作出的充分性认定之一。瑞士颁布了修订后的《联邦数据保护法》(revFADP),于2023年9月1日生效,使其法律框架现代化并更贴近GDPR。欧盟委员会一直在关注revFADP是否会进一步巩固瑞士的充分性地位。
乌拉圭(2012年8月通过):乌拉圭《数据保护法》(第18,331号法律)及其数据保护监管局(URCDP)为该充分性认定提供了支持。
GDPR施行后作出的充分性认定
日本(2019年1月通过):这是GDPR生效后作出的第一项充分性认定。日本《个人信息保护法》(APPI)经过与欧盟专门协商所达成的补充保障措施加以完善,包括针对敏感数据、再转移和个人权利的更严格规则。欧盟委员会已于2023年4月完成首次审查,结论认为鉴于APPI与GDPR原则持续保持一致,该充分性认定依然合理有效。
大韩民国(韩国)(2021年12月通过):韩国2020年经重大修订的《个人信息保护法》(PIPA)及其个人信息保护委员会(PIPC)为该认定提供了支持。韩国还就执法和国家安全目的下政府获取数据的行为作出了额外承诺。
英国(2021年6月通过,2025年12月续期):英国充分性认定的详细情况见下文专门章节。
美国(DPF)(2023年7月通过):该充分性认定仅适用于已通过欧盟-美国数据隐私框架(DPF)认证的美国组织。美国并未获得整体性的充分性认定。向未经认证的美国组织转移数据,仍需采用标准合同条款或其他保障措施。
巴西(2026年1月26日通过):这是迄今为止最新、也是内容最全面的充分性认定,同时也是首个双向充分性安排。详见下文专门章节。
欧洲专利组织(2025年7月15日通过):这是史上首次针对国际组织作出的充分性认定,使欧盟实体与欧洲专利组织之间的数据流动更加顺畅,从而支持专利授权流程的数字化转型。
2024年1月对11项GDPR施行前认定的审查
2024年1月15日,欧盟委员会发布了关于根据95/46/EC号指令作出的11项充分性认定运行情况的首次定期审查报告(文件编号SWD(2024) 3 final,随附委员会通报COM/2024/7)。本次接受审查的11项认定涉及:安道尔、阿根廷、加拿大、法罗群岛、根西、马恩岛、以色列、泽西、新西兰、瑞士和乌拉圭。
结论:11项认定均继续提供充分保护
欧盟委员会总体认定为:这11个国家和地区均继续提供充分水平的数据保护,目前无需撤销或修改其中任何一项认定决定。
各国具体情况说明
本次审查并非一概照单全收。欧盟委员会指出了若干仍需持续关注的具体领域:
对于阿根廷,欧盟委员会指出该国需完成立法改革,以推动其2000年数据保护法的现代化并使之更贴近GDPR标准,同时敦促该国尽快任命新的AAIP监管机构负责人。
对于以色列,欧盟委员会关注到该国正在推进《隐私保护法》的更新立法改革,并指出该改革的广度与深度将影响未来的充分性评估。
对于加拿大,欧盟委员会关注到该国正在推进的PIPEDA改革进程(C-27号法案),并指出该改革的落地情况将影响未来的充分性审查。
对于新西兰,欧盟委员会肯定了2020年《隐私法》改革带来的积极影响,并对该国运行良好的独立监管机构给予了正面评价。
欧盟委员会确认,针对根西、马恩岛、泽西、法罗群岛、安道尔、瑞士和乌拉圭的充分性认定均继续运行良好,同时建议对各司法辖区的监管动态保持密切关注。
英国充分性认定:日落条款、延期与2025年12月续期
由于在最初作出认定时嵌入了独特的日落条款,英国的充分性认定比其他任何一项认定都经历了更为复杂的历程。
2021年的最初决定与日落条款
欧盟委员会于2021年6月28日通过了英国充分性认定,恰好在《欧盟-英国贸易与合作协定》中的过渡安排到期之前。与其他所有充分性认定不同的是,英国的认定决定附有四年期日落条款,若不予续期,将于2025年6月27日自动失效。之所以设置该条款,是因为欧盟委员会希望保留重新评估英国数据保护框架的能力,以应对英国脱欧后其法律框架独立于欧盟法律演变的情况。
2025年6月的技术性延期
随着2025年6月27日到期日临近,欧盟委员会尚未完成正式的续期程序。2025年6月24日,欧盟委员会对基于GDPR和基于《执法指令》(LED)的两项英国充分性认定同时作出了短期技术性延期,以便在续期评估最终完成之前维持数据流动不受影响。
2025年12月19日的续期
2025年12月19日,欧盟委员会正式续期了基于GDPR和《执法指令》(LED)的两项英国充分性认定。续期后的认定有效期为六年,至2031年12月27日到期。欧盟委员会承诺将在四年后与EDPB密切合作,开展一次中期审查。
欧盟委员会认定,尽管英国自2021年以来进行了多项立法调整,其数据保护水平仍与欧盟实质等同。其中最为关键的是英国颁布的**《2025年数据(使用与访问)法》(DUAA)**,该法于2025年6月19日获得御准。DUAA取代了此前提出的《数据保护与数字信息法案》,后者与GDPR标准存在更为显著的分歧。欧盟委员会对DUAA进行评估后认定,英国的整体法律框架依然与欧盟实质等同。
EDPB的意见与监测条件
EDPB于2025年10月就英国充分性认定草案发表了意见。EDPB在对续期表示欢迎的同时,也呼吁欧盟委员会对若干领域进行有效监测,包括英国数据保护规则中的移民豁免条款、英美数据桥及其对欧盟数据再转移至美国的影响,以及英国法律框架独立演变可能带来的未来分歧风险。
此次续期意味着,在截至2031年12月的六年期间内,企业可依据充分性认定在欧盟与英国之间自由转移个人数据。依赖英国充分性认定的企业应密切关注上述监测条件,并为2031年欧盟委员会可能不再续期的情形,预先准备好标准合同条款等应急方案。
巴西:最新的充分性认定(2026年1月)
2026年1月26日,欧盟委员会通过了(EU) 2026/179号实施决定,认定巴西的LGPD法律框架依据GDPR第45条提供了充分的数据保护。同日,巴西国家数据保护局(ANPD)通过了CD/ANPD第32号决议,依据巴西《通用数据保护法》(LGPD)相互认定欧盟提供充分保护。
巴西认定决定的独特之处
巴西的这项认定决定在多个方面有别于此前的充分性认定:
相互认定:双方同时认定彼此提供充分保护,形成了真正意义上的双边安排。巴西ANPD第32号决议与欧盟的认定决定相互呼应,使数据可在双向自由流动。
覆盖行业范围最广:与加拿大(仅限商业活动)和美国(仅限通过DPF认证的组织)不同,巴西的充分性认定同时涵盖公共部门和私营部门的数据转移,使其成为GDPR生效以来内容最全面的充分性安排。
安全事项除外:该认定决定不适用于专门为国防、国家安全或刑事侦查目的所进行的数据转移,这与LGPD自身在这些领域设定的豁免规定保持一致。
审查周期:该认定决定须每四年接受一次正式审查,欧盟委员会将与ANPD密切合作,持续开展监测工作。
背景:巴西的数据保护框架
巴西于2018年颁布《通用数据保护法》(LGPD),并于2020年9月起施行。LGPD在结构和原则上与GDPR高度相似,涵盖处理的合法依据、数据主体权利、数据泄露通知,以及数据保护官的相关要求。ANPD作为独立监管机构成立后,颁布了关于国际数据转移机制和安全事件通知的实施细则,进一步使巴西的法律框架与欧盟标准接轨。
欧盟于2025年9月发布了充分性认定决定草案,此前的评估工作已开展数年之久。最终决定于2026年1月26日通过。
欧盟-美国数据隐私框架
欧盟-美国数据隐私框架(DPF)是欧盟委员会与拜登政府经过密集谈判后,于2023年7月10日以充分性认定的形式通过的。DPF取代了此前被欧盟法院(CJEU)在2020年7月的Schrems II案中裁定无效的"隐私盾"框架。
DPF的运作方式
与覆盖整个国家的充分性认定不同,DPF采用自我认证机制。美国企业可通过国际贸易管理局(ITA)在dataprivacyframework.gov网站上自愿认证其符合DPF原则。经认证的企业须遵守DPF原则,并接受联邦贸易委员会(FTC)与交通部的执法监督。针对美国信号情报活动相关的申诉,欧盟个人可通过依据14086号行政命令设立的数据保护审查法院(DPRC)寻求救济。
2024年10月的首次年度审查
2024年10月9日,欧盟委员会发布了《关于欧盟-美国DPF首次定期审查的报告》(COM(2024) 451 final)。此次审查会议于2024年7月18日至19日在华盛顿特区举行。
主要结论:欧盟委员会认定DPF在实施第一年运行良好,中小企业参与度较高(在已认证企业中占70%),信息通信技术(ICT)行业的占比也十分显著(占认证总数的47%)。美方确认,在DPF实施的第一年内,其国家安全和执法相关法律框架未发生相关变化。
诉讼动态:Latombe案(2025年9月)
DPF在欧盟普通法院受理的T-553/23号案(Philippe Latombe诉欧盟委员会案)中面临首次司法挑战。2025年9月3日,普通法院驳回了原告的诉讼请求,确认美国为依据DPF转移的个人数据提供了充分水平的保护。法院认定,美国的信号情报活动受到DPRC的司法监督,其裁决具有终局性和约束力,满足了Schrems II案确立的实质等同标准。
该判决可上诉至欧盟法院。由马克斯·施雷姆斯(Max Schrems)创立的隐私倡导组织NOYB表示正密切关注相关动态,并可能就此提起范围更广的独立诉讼。
持续存在的政治不确定性
特朗普政府2025年采取的一系列举措,为DPF的长期稳定性带来了政治层面的风险。主要担忧包括:
隐私与公民自由监督委员会(PCLOB):2025年1月,特朗普政府解除了该委员会中民主党籍委员的职务,导致该机构无法达到法定人数。PCLOB在监督支撑DPF保障措施的美国监控体系方面发挥着重要作用。
联邦贸易委员会(FTC)的独立性:2025年2月发布的一项关于机构问责制的行政命令,引发了外界对FTC是否仍具备足够独立性、以对经认证组织执行DPF相关承诺的担忧。
包括挪威数据监察局(Datatilsynet)、德国数据保护会议(DSK)和丹麦数据监察局(Datatilsynet)在内的多个欧洲数据保护机构均已发布指引,建议企业为其他数据转移机制预先制定应急方案。依赖DPF的企业应保持标准合同条款安排处于最新状态,作为备用方案。
充分性认定如何被撤销或受到质疑
欧盟与美国之间数据转移框架的历史,充分说明了基于充分性认定的安排是何等脆弱,以及认定一旦被撤销将带来怎样的后果。
Schrems I案:安全港协议(2015年)
2015年10月,在爱德华·斯诺登(Edward Snowden)披露美国大规模监控计划之后,欧盟法院裁定"安全港"框架无效(C-362/14号案,施雷姆斯诉数据保护专员案)。法院认定,欧盟委员会作出的"安全港"充分性认定未能提供实质等同的保护,因为美国法律允许在缺乏充分司法监督的情况下大规模获取个人数据。
Schrems II案:隐私盾框架(2020年)
2020年7月,欧盟法院基于同样的核心理由,裁定"隐私盾"框架无效(C-311/18号案,数据保护专员诉Facebook爱尔兰公司案):美国的监控法律未能为数据主体提供与欧盟标准等同的、可强制执行的权利或有效的司法救济。法院同时确认,标准合同条款本身依然有效,但数据出口方在使用该条款之前必须先进行转移影响评估。
认定被撤销的实际后果
充分性认定一旦被裁定无效,数据转移的法律依据将随即消失。在Schrems II案裁决后:
- 超过5,300家此前将"隐私盾"作为唯一数据转移机制的美国企业,不得不在短时间内实施替代性保障措施。
- 欧盟企业发现自己需要与数百家服务提供商重新协商合同条款。
- 数据保护机构开始对缺乏有效法律依据、向美国转移数据的行为采取执法行动。
充分性认定被撤销时,并不存在有保障的过渡期。企业应将充分性认定视为数据转移策略中的一个环节,而非唯一依靠,并在充分性认定影响关键数据流动的领域,持续维护有效的标准合同条款安排。
部分认定与特定行业认定
GDPR明确允许对一国境内"一个或多个特定行业"作出充分性认定。目前已有两项认定决定体现了部分认定在实践中的运作方式。
加拿大:仅限商业活动
加拿大的充分性认定仅适用于在商业活动中适用PIPEDA的组织。政府机构进行的数据处理、依据未被认定与PIPEDA实质相似的省级立法所处理的数据,以及非商业性质的数据处理,均不在该认定的适用范围之内。
加拿大的数据保护改革已持续推进数年。若获得通过,C-27号法案(《消费者隐私保护法》)将以现代化的法律框架取代PIPEDA。
美国:仅限通过DPF认证的组织
美国的充分性认定适用范围最为有限,仅覆盖已主动通过ITA完成DPF自我认证的组织,美国作为一个国家整体并未获得充分性认定。向未经认证的美国组织转移数据,必须依靠标准合同条款、有约束力的公司规则,或GDPR第46条下的其他机制。
尚待评估的充分性申请
随着巴西于2026年获得认定,短期内有望获得充分性认定的候选国家名单有所收窄,但仍有若干国家正处于不同阶段的讨论或评估之中。
台湾:台湾地区的《个人资料保护法》及其拟议修正案引起了欧盟的关注,尤其是在深化欧盟与台湾经济和科技联系的背景下。鉴于两岸关系的复杂性,针对台湾作出充分性认定在政治上颇为敏感,但其立法基础扎实,使其仍是较具可信度的候选对象。
肯尼亚:肯尼亚于2019年颁布了全面的《数据保护法》,设立了数据专员一职,并一直致力于使其法律框架与国际标准接轨。对撒哈拉以南非洲国家作出充分性认定,仍是一个较为长期的可能性。
印度:印度颁布了《2023年数字个人数据保护法》(DPDPA),建立了新的监管框架(数据保护委员会)。印度与欧盟之间有关充分性认定的讨论尚处于初步阶段,政府数据获取权限及国家安全豁免条款仍是重大障碍。
已批准108+公约、建立了具备充足执法预算和良好执法记录的真正独立监管机构,并颁布了原则上可与GDPR相媲美的全面立法的国家,在获得充分性认定方面处于最有利的位置。从历史经验来看,国家安全豁免条款的适用范围,一直是拥有庞大情报机构的国家最难满足的一项因素。
充分性认定对企业意味着什么
带来的益处
对于向已获认定国家转移个人数据的企业而言,实际带来的好处是合规流程的大幅简化:无需签订标准合同条款,无需进行转移影响评估,也无需制定有约束力的公司规则。数据出口方只需在转移时确认目的地已被列入充分性认定名单即可。
这不仅能够降低法律成本、加快供应商引入速度,还可在于已获认定司法辖区新增供应商时省去重新协商数据处理协议的环节,并免除维护标准合同条款文库所带来的合规负担。
存在的局限
充分性认定并不能取代GDPR的其他各项要求。数据出口企业仍须为其处理行为具备合法依据,遵守数据最小化和目的限制原则,并尊重数据主体的各项权利。充分性认定所免除的,仅仅是第46条项下额外转移保障措施的要求。
已获认定国家内的数据接收方,同样必须遵守该国自身的数据保护法律。充分性认定并不会将欧盟GDPR的义务转化为目的地国家的法律。
管理依赖风险
鉴于此前已有两项针对美国的充分性框架被裁定无效,而英国的认定也是在附加监测条件的情况下才得以续期,充分性认定应被视为一种有益但并非绝对可靠的机制。企业应当:
- 对于流向充分性认定稳定性存疑的国家(尤其是依据DPF向美国转移数据)的数据流动,同步维持标准合同条款安排。
- 密切关注欧盟委员会的定期审查以及EDPB发布的相关意见,留意充分性认定面临压力的迹象。
- 关注已获认定国家的立法动态,警惕其法律框架可能跌破实质等同门槛的风险。
本文仅为一般性法律信息,不构成法律意见。依赖充分性认定开展国际数据转移的企业,应就其具体情况咨询专业律师。
Frequently Asked Questions
什么是欧盟充分性认定?
欧盟充分性认定,是欧盟委员会依据GDPR第45条作出的正式认定,确认某一非欧盟国家所提供的数据保护水平与欧盟标准实质等同。一国获得充分性地位后,个人数据即可从欧盟自由流向该国,企业无需再采取标准合同条款或有约束力的公司规则等额外保障措施。认定所适用的标准是实质等同,而非要求保护水平完全相同。
2026年有哪些国家获得了欧盟充分性认定?
截至2026年,共有17个国家、地区和组织获得充分性认定:安道尔、阿根廷、巴西(2026年1月)、加拿大(仅商业部门)、法罗群岛、根西、马恩岛、以色列、日本、泽西、新西兰、大韩民国、瑞士、英国(2025年12月续期至2031年12月)、美国(仅限通过DPF认证的组织)、乌拉圭,以及欧洲专利组织(2025年7月)。其中部分认定是根据1995年指令作出的,并依据GDPR第45条第9款继续有效。
英国的充分性认定是否已经续期?
是的。英国最初的充分性认定附有四年期日落条款,本应于2025年6月27日失效。2025年6月24日,欧盟委员会作出技术性延期,以在续期评估完成之前维持数据流动不受影响。在对英国《2025年数据(使用与访问)法》完成评估后,欧盟委员会于2025年12月19日正式将基于GDPR和基于LED的两项英国充分性认定续期六年,有效期延长至2031年12月27日。
2024年1月对充分性认定的审查涉及哪些内容?
2024年1月15日,欧盟委员会发布了关于根据1995年《数据保护指令》作出的11项充分性认定(涉及安道尔、阿根廷、加拿大、法罗群岛、根西、马恩岛、以色列、泽西、新西兰、瑞士和乌拉圭)的首次定期审查报告。欧盟委员会认定这11项认定均继续提供充分保护,报告还就各国提出了具体建议,尤其是要求阿根廷完成立法改革,并要求加拿大推进PIPEDA改革进程。
巴西的欧盟充分性认定是什么?
2026年1月26日,欧盟委员会通过了(EU) 2026/179号实施决定,认定巴西的LGPD法律框架提供了充分的数据保护。巴西同时通过了ANPD第32号决议,依据LGPD相互认定欧盟提供充分保护。该认定决定的突出特点在于其覆盖范围广泛(同时涵盖公共部门和私营部门)以及双向互认的性质。数据转移须遵守与LGPD相一致的国防和国家安全除外规定。
欧盟-美国数据隐私框架是什么?目前是否仍然有效?
欧盟-美国数据隐私框架(DPF)于2023年7月获得通过,是一项仅覆盖通过国际贸易管理局完成自我认证的美国组织的充分性认定。2025年9月,欧盟普通法院驳回了T-553/23号案的诉讼请求,DPF由此经受住了首次司法挑战。然而,特朗普政府解除PCLOB委员职务的举措,以及外界对FTC独立性的质疑,仍为DPF的长期稳定性带来了不确定性。多家欧洲数据保护机构已建议企业保留标准合同条款作为备用安排。
充分性认定一旦被撤销会发生什么?
充分性认定一旦被裁定无效或被撤销,数据转移的法律依据将立即消失,且不存在有保障的过渡期。企业必须启用替代性的数据转移机制(主要是标准合同条款),否则就必须中止数据转移。2020年Schrems II案裁定隐私盾框架无效,波及了超过5,300家此前将其作为唯一数据转移机制的经认证美国企业。
充分性认定与标准合同条款有何区别?
充分性认定允许数据转移无需履行任何额外手续,因为欧盟委员会已经对目的地国家的法律框架完成了评估。标准合同条款(SCCs)则是企业在向未获认定的国家转移数据时,须自行订立的合同性保障措施,并须配合开展转移影响评估。充分性认定在实践中更为简便,但稳定性相对较弱;标准合同条款则赋予企业更多控制权,但也要求更完善的合规体系。详见我们关于标准合同条款的专门指南。
哪些国家可能是下一批获得欧盟充分性认定的对象?
台湾、印度和肯尼亚被视为未来潜在的候选对象。印度2023年颁布的《数字个人数据保护法》为其候选资格奠定了新的法律基础,但政府数据获取相关规定仍是一大障碍。台湾在立法上与欧盟高度接轨,且经济联系紧密,使其成为较具可信度的长期候选对象。已批准108+公约、建立独立监管机构,并颁布与GDPR全面接轨的立法的国家,最有可能获得充分性认定。
Sources and References
- GDPR第45条(条例全文)(eur-lex.europa.eu).gov
- 欧盟委员会 充分性认定概览(commission.europa.eu).gov
- 欧盟委员会新闻稿 关于11项现行充分性认定的审查(2024年1月)(ec.europa.eu).gov
- SWD(2024) 3 final 关于11项充分性认定首次审查的报告(commission.europa.eu).gov
- 欧盟委员会新闻稿 委员会续期英国充分性认定(2025年12月)(ec.europa.eu).gov
- EDPB第26/2025号意见 关于英国充分性认定(edpb.europa.eu).gov
- (EU) 2026/179号实施决定 巴西充分性认定(eur-lex.europa.eu).gov
- 欧盟委员会新闻稿 欧盟-巴西相互充分性认定(2026年1月)(ec.europa.eu).gov
- (EU) 2025/1382号实施决定 欧洲专利组织充分性认定(eur-lex.europa.eu).gov
- COM(2024) 451 final 欧盟-美国DPF首次定期审查(commission.europa.eu).gov
- EDPB 充分性认定参考文件(edpb.europa.eu).gov
- 欧洲委员会第108号公约及其议定书(coe.int).gov
- 欧盟-美国数据隐私框架 参与企业查询(dataprivacyframework.gov).gov
- 日本充分性认定 2019/419号决定(eur-lex.europa.eu).gov
- 韩国充分性认定 2022/254号决定(eur-lex.europa.eu).gov
- 英国充分性认定 2021/1772号决定(eur-lex.europa.eu).gov
- 美国DPF充分性认定 2023/1795号决定(eur-lex.europa.eu).gov
- 欧盟委员会对日本充分性认定的首次审查(2023年4月)(commission.europa.eu).gov