GDPR国际数据传输指南:标准合同条款与充分性认定(2026)

企业每次将欧盟个人数据传输至欧洲经济区以外的服务器,无论是传输给美国云服务商、印度外包公司,还是加拿大子公司,都会触发GDPR第五章规定的强制性法律义务。如果在数据传输之前未采用有效的传输机制,无论目的地对数据的安全处理程度如何,该传输均属违法。如果您对GDPR框架尚不熟悉,建议先阅读什么是GDPR?一文再继续阅读本文。
GDPR为何限制国际数据传输
GDPR对个人数据的保护并不止步于欧洲经济区边境。第44条确立了业内人士所称的"反规避原则":"个人数据在传输至第三国或国际组织后正在接受处理或拟接受处理的,只有在符合本章规定条件的前提下,控制者和处理者(包括个人数据从第三国或国际组织向另一第三国或另一国际组织的后续传输)方可进行传输。"如果没有这一规则,组织机构本可以仅通过将数据经由一次非欧盟服务器中转,便可规避GDPR义务,继而将数据传往世界任何地方。
第44条第二句进一步强调了这一点:"本章各项规定的适用,均旨在确保本条例所保障的自然人保护水平不因此受到损害。"保护义务如影随形,无论数据流向何处。目的地国家自身的国内隐私法律与此分析无关。真正重要的是,所采用的具体第五章机制能否为被传输数据的数据主体维持与欧盟境内基本相当的保护水平。
第五章规则适用于GDPR管辖范围内的每一位控制者和每一位处理者,无论机构规模、所属行业或传输数据量大小。一家向美国支付处理商发送客户记录的初创公司,与一家将人力资源数据传输至亚洲子公司的跨国企业,承担的义务并无二致。判断门槛很简单:接收方是否位于欧洲经济区以外的国家或地区?如果是,第五章即适用。
还有必要厘清什么构成"传输"。欧洲数据保护委员会在《指南05/2021》中确认,第三国接收方的远程访问,例如身处欧洲经济区以外的系统管理员登录访问,或技术支持人员调取备份数据,即便没有任何文件被实际跨境复制,也构成传输。控制者在评估自身传输风险敞口时,必须对所有此类访问节点进行全面梳理。
三层级决策架构
GDPR第五章确立了一套结构化的传输工具层级体系。该层级必须依序适用:首先核查第一层级(充分性认定);只有在不存在充分性认定的情况下,才需考虑第二层级(适当保障措施);只有在第二层级方案确实不可用或不可行时,才可考虑第三层级(第49条克减情形)。监管机构一贯拒绝在第二层级方案本可采用的情况下,直接跳跃适用克减情形的做法。
下表汇总了三个层级及各层级内的具体机制。
| 机制 | 条款 | 适用情形 |
|---|---|---|
| 充分性认定 | 第45条 | 目的地国家位于欧盟委员会现行充分性认定名单(无需另行签订合同) |
| 标准合同条款 | 第46条第2款(c)项 | 向任何未获充分性认定国家的传输;最常用工具 |
| 有约束力公司规则(控制者) | 第47条 | 跨国集团内部传输,须经牵头数据保护机构批准 |
| 有约束力公司规则(处理者) | 第47条 | 集团内处理者链条传输,须经牵头数据保护机构批准 |
| 临时合同条款 | 第46条第3款(a)项 | 针对特殊传输情形、经数据保护机构批准的定制条款 |
| 已批准行为守则 | 第46条第2款(e)项 | 由主管数据保护机构依第40条批准的行业专属守则 |
| 已批准认证机制 | 第46条第2款(f)项 | 依第42条批准的认证机制 |
| 具有法律约束力的文书(公共机构) | 第46条第2款(a)项 | 政府间数据共享协议 |
| 明确同意 | 第49条第1款(a)项 | 偶发性、非重复性传输,且数据主体作出具体、知情的同意 |
| 合同必要性 | 第49条第1款(b)项 | 传输为履行与数据主体订立的合同所客观必需 |
| 重大公共利益 | 第49条第1款(d)项 | 欧盟或成员国法律所承认的公共利益事由 |
| 法律诉求 | 第49条第1款(e)项 | 为确立、行使或抗辩法律诉求 |
| 重大利益 | 第49条第1款(f)项 | 在数据主体无法同意时保护其生命安全 |
第一层级:第45条项下的充分性认定
第45条第1款提供了最简便的传输途径:"若欧盟委员会已认定第三国、该第三国内的一个地区或一个或多个特定领域,或相关国际组织能够确保充分的保护水平,则可向该第三国或国际组织传输个人数据。此类传输无需另行获得特别授权。"
实际操作中,向获得充分性认定的司法辖区传输数据,无需签订专门合同,无需进行风险评估,也无需向监管机构通报。此类传输的待遇与欧盟境内传输相同。截至2026年年中,共有17个司法辖区获得充分性认定地位:安道尔、阿根廷、巴西(2026年1月26日获得认定)、加拿大(仅限商业机构)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国(2021年12月)、瑞士、英国(2025年12月19日续期)、美国(仅限依据欧美数据隐私框架获得认证的商业机构)、乌拉圭,以及欧洲专利组织(2025年7月)。
充分性认定并非永久性的对等地位授予。第45条第3款要求欧盟委员会至少每四年进行一次定期审查,并授权委员会在相关国家保护水平低于所需标准时废止、修改或中止该认定决定。第45条第4款要求委员会持续监测可能影响现行认定决定运作的第三国及国际组织的最新动态。英国的充分性认定即经历了日落审查机制,并于2025年12月在对英国脱欧后立法进展进行审视后获得续期。日本的充分性认定也经过复审并获得确认,不过委员会指出与日本个人信息保护委员会就补充规则进行了磋商。
欧盟委员会在评估充分性时,会考察法治状况、对人权和基本自由的尊重程度、现行相关立法(包括一般性立法及公共安全、刑法和国际安全等特定领域立法)、是否存在具备充分执法权力的独立监管机构,以及该国已签署的国际承诺。任何国家都不会仅因制定了隐私法律便被认定为充分,委员会还必须评估该法律在实践中的执行情况。
对于部分不在充分性认定范围内的传输,例如向不属于加拿大商业部门充分性认定范围的加拿大政府机构传输数据,或向未通过数据隐私框架认证的美国机构传输数据,控制者必须为这部分未覆盖的数据流另行采用第46条机制。充分性认定往往将公共机构、执法部门或特定行业排除在外,因此仔细研读相关认定决定的适用范围至关重要。
有关获认定国家的完整现行名单、认定决定文本及适用范围摘要,请参阅我们的专题页面欧盟充分性认定。
第二层级:第46条项下的适当保障措施
对于全球绝大多数目的地(包括中国、印度、俄罗斯,以及大多数未通过数据隐私框架认证的美国机构)而言,并不存在充分性认定。第46条第1款为此提供了解决方案:"在不存在依据第45条第3款作出的认定决定的情况下,控制者或处理者只有在提供了适当保障措施,且数据主体可获得可执行的权利及有效法律救济的条件下,方可向第三国或国际组织传输个人数据。"
第46条第2款列出了无需逐案获得监管机构授权即可采用的保障措施,即控制者或处理者无需事先寻求监管批准即可自行实施:公共机构间具有法律约束力的文书、依第47条批准的有约束力公司规则、欧盟委员会通过的标准合同条款、由监管机构制定并经委员会批准的标准条款、依第40条批准的行为守则,以及依第42条批准的认证机制。需要事先获得数据保护机构授权的保障措施则列于第46条第3款:临时合同条款以及公共机构之间的行政安排。
标准合同条款详解
欧盟委员会更新后的标准合同条款于2021年6月4日通过,载于《委员会实施决定(EU)2021/914》,2021年6月7日刊登于《欧盟官方公报》L 199/31。该决定取代了此前依据95/46/EC指令通过的三套标准合同条款(委员会决定2001/497/EC及2010/87/EU),后者自2021年9月27日起废止。过渡期持续至2022年12月27日,在此期间,凡在2021年9月27日之前签订、依赖旧版标准合同条款的合同,无需修订即可继续有效。2022年12月27日之后,任何新依赖旧版标准合同条款的做法均属违法。
2021年版标准合同条款采用模块化架构:欧盟委员会并未针对每种传输情形分别发布独立的条款套件,而是发布了单一文本,由各方从中选取适用模块。四个模块分别为:
- 模块一(控制者对控制者): 适用于欧洲经济区内控制者向经济区外控制者输出数据的情形。各方独立对自身义务的履行负责。典型场景:两家业务合作伙伴之间共享客户数据。
- 模块二(控制者对处理者): 使用最广泛的模块。适用于欧洲经济区内控制者委托区外处理者(例如美国云基础设施服务商或外包薪资处理机构)处理数据的情形。处理者必须仅按控制者书面记录的指示行事。
- 模块三(处理者对处理者): 适用于欧洲经济区内处理者委托区外分处理者的情形,该处理者依据上游控制者的指示行事。在建立分处理者关系之前,须获得原始控制者的授权。
- 模块四(处理者对控制者): 适用于欧洲经济区外处理者将数据返还或发送回区内控制者的情形。此情形常见于非经济区处理者代表经济区内控制者收集数据的场景(例如,美国市场调研公司处理欧盟受访者数据后,将结果发回其欧盟客户)。
2021年版标准合同条款还引入了"加入机制":新加入方可通过共同签署条款的方式加入现有标准合同条款关系,而无需在处理安排每次扩展时重新签署完整的条款套件。这为复杂供应链的合规工作提供了便利。
各方可在标准合同条款基础上添加额外保障措施或业务专属条款,前提是相关补充内容不得与强制性条款相抵触,也不得降低对数据主体的保护水平。各方不得删除或修改强制性条款。
2021年版标准合同条款中一项重要的结构性新增内容是第14条款:影响条款履行的当地法律与实践。 第14条款(a)项要求各方保证,没有理由相信目的地国家的法律和实践会妨碍数据接收方履行其在标准合同条款项下的义务。第14条款(c)项施加了书面评估义务,规定各方必须评估目的地国家的法律是否尊重基本权利与自由的实质内容,且不得超出民主社会中必要和相称的限度。该条款实际上将Schrems II判决所施加的传输影响评估要求纳入合同,使其成为数据输出方与接收方之间明确的合同义务,而不仅仅是一项监管期望。
有关模块选择的详细分步指引、第14条款评估模板,以及标准合同条款关键条款的解读,请参阅我们的专题页面标准合同条款。
有约束力公司规则详解
有约束力公司规则是跨国集团为规范其从欧洲经济区向区外集团实体的集团内部个人数据传输而制定的、具有法律约束力的内部数据保护准则。第47条第1款规定,有约束力公司规则必须具有法律约束力,并适用于集团每一位成员且可被强制执行;必须明确赋予数据主体就其个人数据处理享有可执行的权利;并须满足第47条第2款所列的各项要求。
第47条第2款规定了最低内容清单。有约束力公司规则必须载明集团结构及各成员的联系方式;数据传输情况,包括数据类别、处理类型及目的;其法律约束效力;一般数据保护原则(目的限制、数据最小化、有限留存等)的适用方式;数据主体的权利及行使方式;责任安排及投诉处理机制;以及监管机构如何对合规情况进行审计。
GDPR区分了控制者有约束力公司规则(规范经济区实体作为数据控制者时的集团内部传输)与处理者有约束力公司规则(规范集团内部处理者链条)。欧洲数据保护委员会已针对两种类型分别发布专门的工作文件和建议。控制者有约束力公司规则主要受《建议1/2022》约束;处理者有约束力公司规则则有其独立的框架。
有约束力公司规则的批准流程包括:向主管牵头监管机构(通常为经济区内主要机构所在国的数据保护机构)提交规则草案;由牵头机构依据GDPR第63条一致性机制完成审查并起草决定;由欧洲数据保护委员会审查该决定并发表意见;最后由牵头机构综合欧洲数据保护委员会的反馈作出最终批准。即便是准备充分的申请,该流程通常也需耗时12至18个月。在GDPR生效前依据95/46/EC指令获批的有约束力公司规则,除非被修改或废止,否则仍然有效。
关键限制在于:有约束力公司规则仅涵盖集团内部传输,并不能授权向无关联的第三方处理者或控制者进行传输。已为集团内部传输获批有约束力公司规则的机构,对于外部处理者仍需采用标准合同条款或其他第46条机制。
Schrems II判决:改变一切的判决
2020年7月,欧盟法院在C-311/18号案(数据保护专员诉Facebook爱尔兰有限公司及Maximillian Schrems)中作出判决,是GDPR历史上影响最为深远的数据传输判决。该判决从两个根本方面重塑了国际数据传输合规格局。
第一项裁决:法院宣告委员会决定2016/1250(即建立欧美隐私盾协议的决定)无效。法院认定,美国的法律框架,尤其是《对外情报监视法》第702条和第12333号行政令,未能为欧盟数据主体提供与欧盟境内基本相当的保护,因为美国的监控项目允许以并非严格必要且不符合民主社会相称性要求的方式获取个人数据。法院还认定,欧盟数据主体缺乏针对美国情报机构获取其数据的有效司法救济途径,而这正是《欧盟基本权利宪章》第47条所要求的。判决作出当日,即2020年7月16日,依据隐私盾协议向美国进行的传输即变为非法。
第二项裁决具有更广泛的全球性影响:法院维持了标准合同条款作为传输机制的有效性,但附加了一项有条件的义务。标准合同条款在数据输出方与接收方之间创设了合同权利与义务,但无法约束目的地国家的政府机构。在依赖标准合同条款之前,各方必须评估目的地国家的法律是否会损害该条款的实际效力。如果接收方因当地法律而无法履行标准合同条款项下的义务,数据输出方必须中止或终止该传输。如果相关监管机构获悉此类情况,依第58条第2款(f)项负有中止或禁止该传输的义务。
该判决使后来被称为"传输影响评估"的工作骤然变得极为重要。仅依赖标准合同条款并完成模板签署,已不能再被视为合规分析的完成。控制者必须就目的地国家法律进行真实的法律和事实评估并留存记录;如评估发现存在保护缺口,则必须采取补充措施予以弥补,或不得进行该传输。
Schrems判决时间线:安全港协议、隐私盾协议与数据隐私框架
安全港协议(2000至2015年): 依据委员会决定2000/520/EC建立的美国最初自我认证框架,允许美国企业自行认证符合安全港原则。2015年10月,欧盟法院在C-362/14号案(Maximillian Schrems诉数据保护专员,即"Schrems I"案)中宣告安全港协议无效,认定委员会无权仅凭宣告某国保护水平充分,便限制各国监管机构调查投诉的权力,并认定安全港协议未能达到对等保护标准,因为美国法律允许公共机构在不受相称性约束的情况下进行广泛获取。
隐私盾协议(2016至2020年): 隐私盾协议于2016年7月12日依据委员会决定2016/1250获得通过,作为安全港协议的替代方案,新增了额外承诺及针对欧盟数据主体投诉的监察员机制。该协议于2020年7月16日被Schrems II判决宣告无效,理由如上所述。仅依赖隐私盾协议进行美国传输的机构立即丧失了其传输依据。同时采用标准合同条款的机构,则须完成传输影响评估,以判断该标准合同条款是否仍然可行。
欧美数据隐私框架(2023年至今): 2023年7月10日,欧盟委员会通过《委员会实施决定(EU)2023/1795》,认定美国对通过数据隐私框架认证的机构提供充分保护。该充分性认定的法律依据是美国于2022年10月7日发布的第14086号行政令《加强美国信号情报活动保障措施》,该行政令为美国信号情报收集活动施加了相称性和必要性限制,并设立数据保护审查法院,作为受理欧盟数据主体投诉的独立机构。数据保护审查法院是一种新型司法机制,有权作出救济命令(包括要求删除不当收集的数据),对美国情报机构具有约束力。数据隐私框架的充分性认定范围有限,仅涵盖已依据数据隐私框架原则完成自我认证(可在美国商务部维护的数据隐私框架官网查询)且受联邦贸易委员会或运输部管辖的美国机构。截至2026年年中,约有2,700家美国机构已完成认证。不受联邦贸易委员会/运输部管辖的美国金融机构及其他实体被排除在外,必须采用标准合同条款。
数据隐私框架的法律持久性尚存争议。欧洲议会于2023年4月11日通过决议,对美国保障措施的充分性表达关切,民权组织也已表明有意向欧盟法院提起挑战。仅将数据隐私框架作为唯一美国传输依据的机构,应同时保留标准合同条款作为备用方案,以避免未来一旦该认定被宣告无效而引发合规危机。
传输影响评估:是什么以及如何开展
传输影响评估是数据输出方在依赖标准合同条款、有约束力公司规则或其他第46条保障措施之前必须完成的结构化尽职调查。传输影响评估的要求源自Schrems II判决,并由欧洲数据保护委员会于2021年6月18日通过的《建议01/2020第2.0版》予以具体落实。2021年版标准合同条款已将传输影响评估纳入第14条款,使其成为数据输出方与接收方之间的合同义务。
欧洲数据保护委员会的《建议》为传输影响评估流程确立了六步路线图:
第一步:了解你的传输情况。 全面梳理所有向第三国的个人数据传输,包括后续传输以及非经济区各方的远程访问。明确数据类别、接收方、所在国家及当前采用的传输机制。此项清单构成评估的基础。
第二步:核实所依赖的传输工具。 确认所采用的第46条文书原则上可适用于该目的地国家。例如,标准合同条款不得用于向目的地国家公共机构进行的传输,因为标准合同条款仅约束私营部门主体。
第三步:评估传输工具在目的地国家是否有效。 这是传输影响评估的核心。数据输出方与接收方必须评估目的地国家的法律和实践(尤其是其监控和执法框架)是否会在实践中妨碍接收方履行第46条保障措施。欧洲数据保护委员会建议审查以下方面:(a)目的地国家是否属于"五眼联盟"等多边监控网络的成员;(b)其监控法律是否允许在无个别怀疑情形下批量收集通信内容;(c)数据主体能否就政府获取数据行为获得司法救济;以及(d)相关行业历史上的监控活动记录。
第四步:如有需要,采取补充措施。 若第三步评估发现存在保护缺口,数据输出方必须采取足以将保护水平提升至欧盟标准的补充措施。欧洲数据保护委员会将其归为三类:
-
技术措施: 端到端加密(接收方或第三方无法获取明文密钥)、假名化处理(以令牌替代直接身份标识符,密钥仅保留在经济区内)、拆分或多方处理(确保没有任何一个非经济区主体掌握完整数据集),以及云存储的零知识架构。欧洲数据保护委员会强调,技术措施必须真正有效:唯有在接收方无法获取明文密钥、且处理目的可在加密数据上实现的情况下,加密才是有效的补充措施。
-
合同措施: 要求接收方就任何政府获取请求或具有法律约束力的要求通知数据输出方的条款;要求接收方对显失相称或不合法的获取要求提出质疑的条款;透明度条款;审计权条款;以及对后续传输的限制条款。在目的地国家监控法律凌驾于合同承诺之上的情形下,单凭合同措施通常不足够,但可以强化技术措施的效果。
-
组织措施: 传输环节的数据最小化(仅传输严格必要的数据);制定要求在收到政府获取请求时逐级上报的内部政策;人员培训;以及留存传输日志以证明持续合规。
若任何补充措施组合均无法弥合保护缺口(通常是指目的地国家法律以技术措施也无法阻止的方式赋予政府对数据的全面获取权),欧洲数据保护委员会的结论是,该传输不得依第46条基础进行。
第五步:程序性与形式性步骤。 签署标准合同条款(或其他第46条文书),记录传输影响评估的结论,并确保任何补充措施均以合同形式落实。保存传输影响评估文件档案,作为合规证据。
第六步:定期重新评估。 传输影响评估并非一次性工作。欧洲数据保护委员会要求数据输出方持续监测目的地国家的法律动态,并重新评估该评估结论是否依然有效。目的地国家监控法律的重大变化、新的司法判决或执法动态,均可能要求更新传输影响评估,甚至暂停传输。
欧美数据隐私框架的实际运作
就日常合规而言,数据隐私框架的运作方式如下。寻求数据隐私框架认证的美国机构须向美国商务部作出自我认证,承诺遵守涵盖告知、选择、后续传输问责、安全性、数据完整性与目的限制、访问权及救济/执行/责任等方面的数据隐私框架原则。商务部维护一份经认证机构的公开名单。认证须每年续期。
数据由经数据隐私框架认证机构处理的欧盟数据主体拥有多种救济途径。他们可先直接向该经认证机构投诉,后者须在45天内作出回应。若不满意,可升级至独立救济机制(通常为经批准的争议解决机构或其本国数据保护机构)。若投诉涉及潜在的国家安全获取问题,可提交本国数据保护机构,由后者转交数据保护审查法院处理。数据保护审查法院是依美国法律设立的新型司法机制,设于行政部门内部,对美国情报机构具有约束力。
对于依据数据隐私框架人力资源原则从欧盟传输至经认证美国实体的人力资源数据,适用一条独立的救济路径:欧盟数据主体可通过本国数据保护机构提出投诉,该机构即作为救济机构。
曾依隐私盾协议获得认证的机构,曾在有限期间内自动获得数据隐私框架的过渡性覆盖,但须完成正式的数据隐私框架自我认证方能持续享有充分性保护。未转换为数据隐私框架认证的隐私盾协议认证均已失效。
第三层级:第49条克减情形,狭义例外而非合规常规途径
第49条第1款为既无充分性认定、第46条保障措施又不适用或不可行的情形提供了最后一层级方案。共有七项克减情形,每项均附有严格条件。
第49条第1款(a)项,明确同意。 数据主体须对拟议传输作出明确同意,且事先已被告知在缺乏充分保护或适当保障措施的国家进行传输可能存在的风险。该同意必须专门针对该国际传输本身,不得埋藏于一般隐私声明中,也不得与整体处理同意捆绑。GDPR序言第111段确认,该克减情形适用于"传输属偶发性且与合同或法律诉求相关且必要"的情形。
第49条第1款(b)项,合同必要性。 该传输须为履行数据主体与控制者之间的合同所必需。"必需"应作客观、严格解释:传输须为该特定合同所要求,而非仅仅是便利或具有商业效率。预订前往非充分认定国家的航班,必然需要向航空公司传输乘客数据。而将客户账户数据传输至美国数据仓库以生成营销分析,则不属于"合同所必需"。
第49条第1款(c)项,应数据主体请求采取的订约前步骤。 与(b)项类似,但适用于合同订立之前。数据主体须已请求将传输作为订约前措施的一部分。
第49条第1款(d)项,重大公共利益。 该传输须为欧盟或成员国法律所承认的重大公共利益所必需。国际卫生突发事件、政府间税务合作及金融犯罪调查均已被认定为符合条件的公共利益。该克减情形主要适用于代表公共利益行事的公共机构和非营利组织。
第49条第1款(e)项,法律诉求。 该传输须为确立、行使或抗辩法律诉求所必需。涵盖向境外法院传输证据、国际诉讼中的披露,以及监管调查。与所有第49条克减情形一样,该情形仅涵盖特定程序所需的特定传输。
第49条第1款(f)项,重大利益。 在数据主体因身体或法律原因无法给予同意的情况下,该传输须为保护数据主体或其他人的重大利益所必需。境外患者的医疗紧急情况是该情形的典型案例。
第49条第1款(g)项,公共登记册。 该传输源自向公众开放查阅、或向能证明具有合法利益的任何人开放查阅的登记册,并须符合该登记册管辖法律所设定的条件。
对所有第49条克减情形而言,最关键的限制是:它们属于例外情形,而非结构性方案。GDPR序言第111段明确指出:"上述克减情形应尤其适用于因重大公共利益所需且必要的数据传输,例如竞争主管机构之间、税务或海关机关之间、金融监管机构之间、社会保障事务主管部门之间的国际数据交流,或为公共卫生目的所需,例如传染病接触者追踪,或为减少和/或消除体育运动中的兴奋剂使用。"从序言和监管指南的整体架构可以清楚看出:第49条并不能为系统性、重复性或大规模的常规传输提供合法依据。若某机构以第49条同意作为向美国母公司持续传输员工人力资源数据的依据,即属对该条款的错误适用。
欧洲数据保护委员会关于第49条克减情形的《指南2/2018》确认,"偶发性"要求意味着该传输必须真正属于低频且非系统性。即便某单次传输每月仅发生一次,只要它是持续业务关系的一部分,且该关系预计会有重复传输发生,仍可能被认定为具有系统性。
执法:罚款与传输禁令
在缺乏有效第五章依据的情况下将欧盟个人数据传输至境外,属于GDPR最高等级的违法行为。第83条第5款明确将违反第五章的行为列入适用最高行政罚款的情形之一:最高可处2000万欧元或上一财政年度全球年营业额4%(以较高者为准)的罚款。这与违反第5条和第6条基本处理原则,以及违反第7条同意要求的处罚档次相同。
罚款并非唯一的执法工具。监管机构依第58条第2款有权对特定传输或某类传输实施临时或永久性传输禁令,即要求相关传输停止。传输禁令对依赖跨境云基础设施运营的机构而言,其破坏力往往比任何罚款都更大。爱尔兰数据保护委员会于2023年5月对Meta平台公司发出传输禁令(该程序最终以12亿欧元罚款外加禁令解决),理由是Meta依据标准合同条款向美国进行的传输未能满足Schrems II判决的要求。
其他涉及国际传输的重要执法行动还包括:法国数据保护机构(CNIL)于2022年作出的裁决,认定使用谷歌分析工具构成向美国进行的非法传输(因为谷歌有限责任公司的服务器日志可能使美国国家安全局获取IP地址);奥地利数据保护局也得出了相同结论。这些裁决适用于欧洲网站广泛使用的分析工具,促使谷歌推出了增强型数据匿名化功能。
最高罚款与传输禁令权限相结合,意味着不完整的传输影响评估、过时的标准合同条款评估,或向未经数据隐私框架认证的美国机构进行的传输,都存在真实的运营和法律风险。将文档化的传输梳理工作纳入年度GDPR合规审查,并在目的地国家法律发生实质性变化时及时更新传输影响评估,是监管机构建议的最低标准。
选择传输机制的实用决策流程
在实践中适用第五章层级体系,遵循一套顺序决策树。
第一步:确定目的地。 确认个人数据传输的目标国家或地区。请注意,来自非经济区地点的远程访问也构成传输。
第二步:核查是否存在充分性认定。 查阅欧盟委员会现行充分性认定名单。如该传输在充分性认定的覆盖范围内(包括核实其范围,是否为全面认定还是仅限特定行业),则无需采用其他机制。可参阅欧盟充分性认定页面获取现行名单及范围摘要。
第三步:如目的地为美国,核查数据隐私框架认证情况。 如果目的地为美国机构,须核实其是否列于美国商务部维护的现行数据隐私框架认证名单。如果是,该充分性认定即覆盖该传输。如果否,请进入第四步。
第四步:选择第46条机制。 对于向外部第三方(而非集团内部实体)的传输,2021年版标准合同条款是标准工具。请选择适用模块:典型的控制者对处理者场景(经济区公司使用美国云服务商)选用模块二;控制者对控制者的数据共享选用模块一;处理者对分处理者的关系选用模块三;非经济区处理者向其经济区控制者返还数据选用模块四。对于跨国集团内部传输,有约束力公司规则提供了更清晰的长期架构,不过在有约束力公司规则获批期间,可先采用标准合同条款过渡。
第五步:完成传输影响评估。 在签署标准合同条款之前,完成欧洲数据保护委员会的六步路线图:梳理传输情况、确认所选标准合同条款模块适用、评估目的地国家监控法律、识别所需的补充措施(技术性、合同性、组织性)、记录评估结论,并安排定期重新评估。评估应以书面形式记录并留存,作为合规证据。有关详细的传输影响评估框架,请参阅标准合同条款页面。
第六步:如传输涉及处理者,审阅GDPR数据处理协议。 采用模块二标准合同条款时,其条款已纳入第28条数据处理协议的要求。若各方另有独立的数据处理协议,则模块二标准合同条款须与该协议保持一致;若二者发生冲突,以标准合同条款为准。
第七步:仅在确属最后手段的情况下考虑第49条。 只有在确认第一层级和第二层级方案确实不可用,且该传输确属偶发性、非重复性传输之后,方可考虑适用第49条克减情形。应记录所依赖的具体克减情形,以及支持其适用结论的事实依据。
第五章与GDPR其他要求之间的关系
第五章是在GDPR其他规定基础之上叠加适用的,而非取而代之。依第五章合法授权的国际传输,仍必须满足GDPR的所有其他要求:该传输须依第6条具备合法处理依据(同意、合同、合法利益等);若涉及特殊类别数据,还须满足第9条规定的条件;控制者还须依第13条或第14条向数据主体提供有关该传输的信息,包括第三国接收方的身份及所采用的传输机制。
第五章与第28条(处理者义务)之间的相互作用值得关注。当机构向非经济区处理者传输数据时,既需要第28条数据处理协议,也需要第五章传输机制。2021年版标准合同条款模块二可同时满足这两项要求:其条款中已纳入第28条强制性内容。采用模块二标准合同条款的机构无需另行签订数据处理协议,不过许多机构出于组织管理清晰起见仍会另行签订。
有关GDPR数据处理协议必须包含的内容及其结构安排的详细说明,请参阅我们的GDPR数据处理协议页面。
有关欧盟数据隐私法律的整体框架,包括欧洲数据保护委员会、各国监管机构及单一窗口机制的作用,请参阅欧盟数据隐私法律专题页面。
免责声明: 本页面提供一般性法律信息,不构成法律意见。GDPR合规要求因具体事实和司法辖区而异。请就您机构具体的传输安排、目的地国家及处理活动,咨询具备相应资质的法律顾问以获取针对性意见。
信息来源
本文所引用的信息来源保存在配套的JSON文件中。主要参考的原始资料包括:GDPR《条例(EU)2016/679》第44至50条及序言第101至115段(eur-lex.europa.eu);《委员会实施决定(EU)2021/914》(关于标准合同条款,eur-lex.europa.eu);《委员会实施决定(EU)2023/1795》(关于欧美数据隐私框架,eur-lex.europa.eu);欧盟法院C-311/18号案(Schrems II)判决(curia.europa.eu);欧洲数据保护委员会《建议01/2020第2.0版》(关于补充措施,edpb.europa.eu);欧洲数据保护委员会《指南2/2018》(关于第49条克减情形,edpb.europa.eu);以及欧盟委员会充分性认定页面(commission.europa.eu)。
Frequently Asked Questions
根据GDPR,我可以将个人数据传输到欧盟境外吗?
可以,但前提是在数据离开欧洲经济区之前已采用有效的第五章传输机制。三个层级分别为:(1)传输至已获得欧盟充分性认定的国家(无需另行签订合同);(2)采用标准合同条款或有约束力公司规则等适当保障措施,并配合完成传输影响评估;或(3)针对偶发性、非重复性传输,依赖狭义的第49条克减情形。持续性、系统性传输必须采用第一层级或第二层级方案,第49条克减情形不能作为常规机制使用。
GDPR项下的标准合同条款是什么?
标准合同条款是欧盟委员会依据GDPR第46条第2款(c)项发布的预先批准合同范本,在经济区数据输出方与非经济区数据接收方之间创设具有约束力的数据保护义务。2021年更新版标准合同条款(《委员会实施决定(EU)2021/914》)包含四个模块,涵盖所有传输情形:控制者对控制者、控制者对处理者、处理者对处理者,以及处理者对控制者。该条款还包含第14条款,要求各方完成传输影响评估,确认目的地国家法律不会妨碍合规履行。旧版标准合同条款已于2022年12月27日彻底停止使用。
Schrems II判决是什么?为何如此重要?
Schrems II是欧盟法院在C-311/18号案(数据保护专员诉Facebook爱尔兰公司及Maximillian Schrems)中作出的判决,判决日期为2020年7月16日。法院宣告欧美隐私盾协议的充分性认定无效,认定美国的监控法律未能为欧盟数据主体提供基本相当的保护或有效的司法救济。更广泛地说,该判决确认标准合同条款有效,但附有条件:在依赖标准合同条款之前,数据输出方必须核实目的地国家的法律不会在实践中妨碍合规履行。如存在此类妨碍,则须采取补充措施,否则该传输不得进行。Schrems II判决使传输影响评估成为每一项基于标准合同条款的传输所必须完成的强制步骤。
根据GDPR,美国是否已获充分性认定?
部分获得认定。2023年7月10日,欧盟委员会通过了针对欧美数据隐私框架的充分性认定决定,涵盖已依据数据隐私框架原则完成自我认证、且受联邦贸易委员会或运输部管辖的美国机构传输。截至2026年年中,约有2,700家美国机构已完成认证。未通过数据隐私框架认证的美国机构,以及不受联邦贸易委员会/运输部管辖的机构,须依赖标准合同条款或其他第46条机制。数据隐私框架已受到民权组织的挑战,未来可能面临欧盟法院的审查;因此保留标准合同条款作为备用方案较为稳妥。
什么是传输影响评估?何时需要开展?
传输影响评估是数据输出方在依赖标准合同条款、有约束力公司规则或其他第46条保障措施之前,必须完成的结构化法律分析。该评估旨在判断目的地国家的法律框架(尤其是其监控和执法法律)是否会在实践中妨碍接收方履行传输机制项下的义务。传输影响评估的要求由欧盟法院在Schrems II判决中确立,并由欧洲数据保护委员会在《建议01/2020第2.0版》中予以落实。2021年版标准合同条款已将传输影响评估纳入第14条款,作为合同义务。传输影响评估必须以书面形式记录、留存作为合规证据,并在目的地国家发生相关法律变化时及时更新。
什么是有约束力公司规则?它与标准合同条款有何不同?
有约束力公司规则是跨国集团内部制定、具有法律约束力的数据保护政策,用于规范集团内部向欧洲经济区以外的个人数据传输。该规则须依第47条经牵头欧盟监管机构批准,并经欧洲数据保护委员会一致性审查,通常需耗时12至18个月。有约束力公司规则仅涵盖同一集团内部的传输;向无关联第三方的传输则需要标准合同条款。有约束力公司规则为持续性的集团内部数据流提供了更清晰的治理架构,并避免了每次新增集团实体时都需重新签署标准合同条款套件。两者均需完成传输影响评估。
我可以将明确同意作为国际数据传输的常规依据吗?
不可以。GDPR监管机构及欧洲数据保护委员会一贯将第49条克减情形(包括明确同意)解释为适用于偶发性、非重复性传输的狭义例外,而非第46条保障措施的替代方案。常规或系统性传输必须采用第一层级充分性认定或第二层级适当保障措施。即便对某项特定传输合法依赖同意,该同意也必须专门针对该国际传输及其风险,不得埋藏于一般服务条款中,且数据主体必须能够在不受不利影响的情况下随时撤回同意。
Schrems II判决之后,哪些补充措施可使基于标准合同条款的传输合法?
欧洲数据保护委员会《建议01/2020第2.0版》确定了三类补充措施。技术措施包括:接收方不持有明文密钥的端到端加密、密钥保留在经济区内的假名化处理,以及拆分处理架构。合同措施包括:在收到政府获取请求时的强制通知条款、质疑要求条款,以及审计权条款。组织措施包括:传输环节的数据最小化及内部上报政策。欧洲数据保护委员会强调,技术措施必须真正有效,唯有在处理目的可在接收方无法获取明文的情况下实现时,加密才是有效措施。若任何措施组合均无法弥合保护缺口,该传输不得进行。
非法国际数据传输的最高处罚是什么?
违反GDPR第五章的行为适用第83条第5款规定的最高罚款档次:最高可处2000万欧元或上一财政年度全球年营业额4%(以较高者为准)的罚款。监管机构依第58条第2款还有权实施临时或永久性传输禁令,可全面中止跨境数据流动,其运营层面的破坏力有时甚至超过任何经济处罚。爱尔兰数据保护委员会于2023年5月对Meta平台公司开出的12亿欧元罚款,加上传输禁令,充分说明了这种复合执法风险。
第五章的传输规则是否同样适用于处理者(而非仅适用于控制者)?
是的。第44条规定,第五章的各项条件必须同时由控制者和处理者遵守,包括后续传输的情形。若一家设于经济区的处理者将业务分包给经济区以外的分处理者,须确保该后续传输已由第五章机制覆盖。2021年版标准合同条款模块三(处理者对处理者)正是为此情形设计,并要求在建立分处理关系之前,须获得原始控制者的授权。
Sources and References
- GDPR《条例(EU)2016/679》第44-50条及序言第101-115段(eur-lex.europa.eu)
- 《委员会实施决定(EU)2021/914》(标准合同条款)(eur-lex.europa.eu)
- 《委员会实施决定(EU)2023/1795》(欧美数据隐私框架充分性认定决定)(eur-lex.europa.eu)
- 欧盟法院C-311/18号案(Schrems II)——数据保护专员诉Facebook爱尔兰公司及Maximillian Schrems(curia.europa.eu)
- 欧盟法院C-362/14号案(Schrems I)——Maximillian Schrems诉数据保护专员(curia.europa.eu)
- 欧洲数据保护委员会《建议01/2020第2.0版》(补充传输工具的措施)(edpb.europa.eu)
- 欧洲数据保护委员会《指南2/2018》(条例2016/679第49条克减情形)(edpb.europa.eu)
- 欧洲数据保护委员会《建议1/2022》(控制者有约束力公司规则的批准申请及要素原则)(edpb.europa.eu)
- 欧盟委员会充分性认定——现行名单(commission.europa.eu)
- 欧盟委员会——有约束力公司规则(commission.europa.eu)
- 欧盟委员会——欧美数据传输历史(安全港协议、隐私盾协议、数据隐私框架)(commission.europa.eu)