歐盟對(duì)數(shù)據(jù)跨境采取嚴(yán)格監(jiān)管的態(tài)度，并出臺(tái)了一系列的法律規(guī)定完善數(shù)據(jù)跨境的監(jiān)管框架。歐盟對(duì)數(shù)據(jù)跨境的嚴(yán)監(jiān)管態(tài)度主要有兩方面原因：一方面，歐洲對(duì)個(gè)人數(shù)據(jù)保護(hù)擁有悠久的歷史傳統(tǒng)。另一方面，歐盟相對(duì)缺少大型互聯(lián)網(wǎng)企業(yè)，面臨全球尤其是美國(guó)大型跨國(guó)互聯(lián)網(wǎng)企業(yè)（如云服務(wù)企業(yè)）對(duì)歐盟個(gè)人數(shù)據(jù)的大量采集使用。因此，歐盟期待以嚴(yán)格監(jiān)管數(shù)據(jù)跨境來(lái)應(yīng)對(duì)潛在風(fēng)險(xiǎn)并促進(jìn)歐盟內(nèi)部互聯(lián)網(wǎng)企業(yè)發(fā)展。

在個(gè)人數(shù)據(jù)方面，歐盟2016年4月27日通過(guò)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）確定了歐盟個(gè)人數(shù)據(jù)跨境的三種途徑：第一種途徑是經(jīng)濟(jì)體或某個(gè)經(jīng)濟(jì)體內(nèi)特定范圍主體（第三方）統(tǒng)一獲得“充分性認(rèn)定”（Adequacy Decision）、由于歐盟的充分性認(rèn)定較為全面與嚴(yán)格，自瑞士成為首個(gè)獲得充分性認(rèn)定的第三方以來(lái)，20余年間僅有15個(gè)第三方通過(guò)歐盟的充分性認(rèn)定。第二種途徑是數(shù)據(jù)跨境傳輸方為歐盟境內(nèi)的數(shù)據(jù)主體提供“適當(dāng)保障措施”（Appropriate Safeguards），如政府間簽訂有約束力的公司規(guī)則、采納歐盟提供的標(biāo)準(zhǔn)合同條款等。在充分性認(rèn)定和適當(dāng)保障措施均無(wú)法實(shí)現(xiàn)的情況下，第三種途徑則是特定情形下的豁免（Derogations for Specific Situations），部分屬于歐盟認(rèn)定的特定情形下豁免的跨境數(shù)據(jù)轉(zhuǎn)移場(chǎng)景亦可實(shí)現(xiàn)跨境數(shù)據(jù)轉(zhuǎn)移。

在非個(gè)人數(shù)據(jù)方面，歐盟涉及非個(gè)人數(shù)據(jù)跨境監(jiān)管的主要包括兩部法律規(guī)定，分別是歐洲議會(huì)在2019年5月通過(guò)的《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（Regulation on the Free Flow of Non-personal Data，以下簡(jiǎn)稱“《非個(gè)人數(shù)據(jù)條例》”）與2023年6月通過(guò)的《數(shù)據(jù)法案》（Data Act）。《非個(gè)人數(shù)據(jù)條例》與《數(shù)據(jù)法案》在監(jiān)管內(nèi)容上各有側(cè)重，前者重在管理歐盟境內(nèi)，旨在消除非個(gè)人數(shù)據(jù)在歐盟成員國(guó)之間自由流動(dòng)的障礙；后者重在監(jiān)管歐盟境外，旨在限制非歐盟國(guó)家通過(guò)本土立法獲取歐盟境內(nèi)非個(gè)人數(shù)據(jù)，其是對(duì)美國(guó)在2018年3月頒布的《澄清境外數(shù)據(jù)的合法使用法案》（Clarify Lawful Overseas Use of Data，以下簡(jiǎn)稱“《云法案》”）中賦予美國(guó)監(jiān)管機(jī)構(gòu)數(shù)據(jù)“長(zhǎng)臂管轄權(quán)”的一種有效應(yīng)對(duì)。

自GDPR于2018年正式施行以來(lái)，歐盟及其成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)以GDPR為依據(jù)向美國(guó)大型跨國(guó)科技企業(yè)的處罰案例數(shù)百起，大多數(shù)處罰案由為數(shù)據(jù)壟斷、侵犯?jìng)€(gè)人隱私與數(shù)據(jù)泄露。與數(shù)據(jù)跨境相關(guān)的處罰案例相對(duì)較少，其中金額最大的為Facebook母公司Meta在2023年收到的12億歐元罰單，主要原因是Meta在歐美隱私盾協(xié)議失效之后，仍大規(guī)模地將歐盟個(gè)人數(shù)據(jù)傳輸?shù)矫绹?guó)。歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，EDPB）認(rèn)為即使考慮Meta簽署了歐盟提供的標(biāo)準(zhǔn)合同條款，但仍不能以此為基礎(chǔ)在隱私盾協(xié)議失效后開(kāi)展大規(guī)模的個(gè)人數(shù)據(jù)傳輸。事實(shí)上，考慮到處罰后僅2個(gè)月《歐美隱私框架》即獲通過(guò)，相關(guān)處罰的重要原因亦在于歐美關(guān)于數(shù)據(jù)跨境相關(guān)要求的博弈。

我們此前9月7日發(fā)布的報(bào)告《數(shù)據(jù)跨境：概念辨析與監(jiān)管方向》中[1]，指出數(shù)據(jù)跨境指數(shù)據(jù)產(chǎn)生主體與數(shù)據(jù)使用主體之間跨越國(guó)境或者司法管轄區(qū)的情況，而數(shù)據(jù)產(chǎn)生與使用的主體包括個(gè)人、企業(yè)與政府等，數(shù)據(jù)范圍主要包括個(gè)人數(shù)據(jù)、商業(yè)數(shù)據(jù)與公共數(shù)據(jù)，且以個(gè)人數(shù)據(jù)為主，使用的方式具體包括數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)處理等。本文將主要從歐盟的數(shù)據(jù)監(jiān)管政策入手，觀察其對(duì)數(shù)據(jù)跨境所采取的監(jiān)管態(tài)度，以及具體監(jiān)管要求。

一、歐盟對(duì)數(shù)據(jù)跨境的嚴(yán)監(jiān)管態(tài)度

歐盟對(duì)數(shù)據(jù)跨境采取了嚴(yán)監(jiān)管態(tài)度，并出臺(tái)一系列的法律與規(guī)制完善數(shù)據(jù)跨境的監(jiān)管框架。在個(gè)人數(shù)據(jù)方面，主要法律法規(guī)為歐洲議會(huì)在2016年4月27日通過(guò)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）[2]。在非個(gè)人數(shù)據(jù)方面，主要法律法規(guī)為歐洲議會(huì)2019年5月通過(guò)的《歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（Regulation for the Free Flow of Non-personal Data in the European Union，以下簡(jiǎn)稱“《非個(gè)人數(shù)據(jù)條例》”）[3]與2023年6月通過(guò)的《數(shù)據(jù)法案》（Data Act）[4]。以上3個(gè)法案共同構(gòu)成歐盟個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)跨境流動(dòng)的基礎(chǔ)，在此基礎(chǔ)上，歐盟持續(xù)完善數(shù)據(jù)跨境監(jiān)管框架，其數(shù)據(jù)保護(hù)相關(guān)法律成為全球參考范本。歐盟對(duì)數(shù)據(jù)跨境的嚴(yán)監(jiān)管態(tài)度主要有兩方面原因：一是歐洲有著個(gè)人數(shù)據(jù)保護(hù)的悠久傳統(tǒng)；二是應(yīng)對(duì)全球大型科技企業(yè)對(duì)歐盟數(shù)據(jù)保護(hù)的挑戰(zhàn)。

1.1 出發(fā)點(diǎn)：歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)的悠久傳統(tǒng)

個(gè)人隱私在歐盟被視為人權(quán)的一部分受到尊重與保護(hù)，且個(gè)人數(shù)據(jù)保護(hù)具有悠久的歷史傳統(tǒng)。早在1950年，歐洲委員會(huì)頒布的《歐洲人權(quán)公約》（European Convention on Human Rights）[5]第8條規(guī)定：“任何人都享有私人、家庭生活及其各項(xiàng)通訊被尊重的權(quán)利。”1980年，前身為歐洲經(jīng)濟(jì)合作組織的經(jīng)合組織（Organization for Economic Cooperation and Development, OECD）發(fā)布《隱私保護(hù)和跨境個(gè)人數(shù)據(jù)流動(dòng)指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，以下簡(jiǎn)稱“《數(shù)據(jù)流動(dòng)指南》”）[6]，確立了個(gè)人數(shù)據(jù)保護(hù)的多項(xiàng)準(zhǔn)則，至今仍被廣泛繼承與沿用，例如：

一是收集限制原則（Collection Limitation Principle）。各類主體在收集個(gè)人數(shù)據(jù)時(shí)應(yīng)設(shè)立限制，數(shù)據(jù)應(yīng)以合法和公正的方式獲取，并應(yīng)獲得數(shù)據(jù)主體知情或同意。

二是數(shù)據(jù)質(zhì)量原則（Data Quality Principle）。收集的個(gè)人數(shù)據(jù)應(yīng)與使用目的相關(guān)，并且在必要范圍內(nèi)應(yīng)準(zhǔn)確、完整和及時(shí)更新。

三是目的限定原則（Purpose Specification Principle）。收集個(gè)人數(shù)據(jù)的目的應(yīng)在數(shù)據(jù)收集時(shí)指明，后續(xù)使用也應(yīng)僅限于實(shí)現(xiàn)這些目的，若更改使用目的，則需保證與最初目的不沖突且應(yīng)事先告知。

四是使用限制原則（Use Limitation Principle）。個(gè)人數(shù)據(jù)不應(yīng)當(dāng)在未經(jīng)數(shù)據(jù)主體同意或擁有法律授權(quán)的情況下，用于規(guī)定目的之外其他目的。

1981年，歐洲委員會(huì)（Council of Europe）通過(guò)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》（ETS No. 108：Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下簡(jiǎn)稱“《108號(hào)公約》”）[7]，建立了個(gè)人數(shù)據(jù)保護(hù)的基本原則并明確了各締約國(guó)之間的基本義務(wù)，同時(shí)將對(duì)個(gè)人基本自由與權(quán)利的保護(hù)作為締約國(guó)履行條約規(guī)定的出發(fā)點(diǎn)?！?08號(hào)公約》第14條規(guī)定了個(gè)人數(shù)據(jù)跨境流通制度，允許締約方之間自由傳輸數(shù)據(jù)，同時(shí)要求個(gè)人數(shù)據(jù)從締約方向非締約方傳輸時(shí)，必須滿足一定的要求。1995年，歐盟委員會(huì)（European Commission）[8]頒布《保護(hù)個(gè)人享有的與個(gè)人數(shù)據(jù)處理有關(guān)的權(quán)利以及個(gè)人數(shù)據(jù)自由流動(dòng)的指令》（Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下簡(jiǎn)稱“《95指令》”）[9]，第25條提出只有數(shù)據(jù)出境的目標(biāo)國(guó)家在個(gè)人數(shù)據(jù)隱私保護(hù)方面水平達(dá)到一定標(biāo)準(zhǔn)，才能個(gè)人數(shù)據(jù)出境。個(gè)人隱私在歐洲被視為一項(xiàng)基本的人權(quán)，且在個(gè)人數(shù)據(jù)保護(hù)方面有著悠久的法律傳統(tǒng)，這也成為歐盟重視個(gè)人數(shù)據(jù)跨境監(jiān)管的出發(fā)點(diǎn)。

2016年4月27日，歐洲議會(huì)（European Parliament）[10]通過(guò)《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），基本確立個(gè)人數(shù)據(jù)的流動(dòng)規(guī)則。2019年通過(guò)的《非個(gè)人數(shù)據(jù)條例》、2022年通過(guò)的《數(shù)據(jù)治理法案》與2023年通過(guò)的《數(shù)據(jù)法案》則制定了非個(gè)人數(shù)據(jù)跨境流轉(zhuǎn)的基本規(guī)定。

1.2 催化劑：應(yīng)對(duì)大型跨國(guó)互聯(lián)網(wǎng)企業(yè)對(duì)歐盟數(shù)據(jù)的使用

當(dāng)前，歐盟內(nèi)部的大型互聯(lián)網(wǎng)企業(yè)較少，其互聯(lián)網(wǎng)各項(xiàng)服務(wù)多由境外跨國(guó)企業(yè)提供。因此，為應(yīng)對(duì)全球尤其是美國(guó)大型跨國(guó)互聯(lián)網(wǎng)企業(yè)對(duì)歐盟個(gè)人數(shù)據(jù)的采集和使用，同時(shí)鼓勵(lì)歐盟內(nèi)部互聯(lián)網(wǎng)企業(yè)的發(fā)展，也是歐盟嚴(yán)格個(gè)人數(shù)據(jù)監(jiān)管的一大出發(fā)點(diǎn)。

2020年2月，歐盟委員會(huì)發(fā)布《歐洲數(shù)據(jù)戰(zhàn)略》（A European Strategy for data）[11]，其中指出少數(shù)幾家大型互聯(lián)網(wǎng)企業(yè)擁有全球大部分的數(shù)據(jù)，會(huì)降低以數(shù)據(jù)驅(qū)動(dòng)的企業(yè)在歐盟成立、發(fā)展和創(chuàng)新的動(dòng)力與積極性。截至2023年4月18日，全球市值前20大互聯(lián)網(wǎng)企業(yè)中共有9家美國(guó)企業(yè)、6家中國(guó)企業(yè)，僅有1家歐洲企業(yè)，為總部位于歐盟成員國(guó)荷蘭的在線酒店預(yù)訂企業(yè)Booking[12]。與全球大型互聯(lián)網(wǎng)企業(yè)分布集中于美國(guó)與中國(guó)的情況相對(duì)應(yīng)，歐盟卻是全球大型互聯(lián)網(wǎng)科技企業(yè)的重要利潤(rùn)來(lái)源。以谷歌母公司Alphabet為例，2022年全年，其來(lái)自歐洲、中東與非洲地區(qū)的營(yíng)收為821億美元，占當(dāng)年總營(yíng)收的約30%，僅次于美國(guó)本土[13]。為了應(yīng)對(duì)這一情況，此前歐盟已于2018年提出數(shù)字服務(wù)稅的構(gòu)想，以解決大型互聯(lián)網(wǎng)企業(yè)跨境服務(wù)稅收分配的問(wèn)題。

除此之外，近年來(lái)歐盟發(fā)現(xiàn)境外的大型跨國(guó)互聯(lián)網(wǎng)企業(yè)存在對(duì)歐盟境內(nèi)個(gè)人數(shù)據(jù)過(guò)度收集使用的情況。一方面，在商業(yè)意義上，互聯(lián)網(wǎng)企業(yè)的有效運(yùn)營(yíng)依賴于大量的個(gè)人數(shù)據(jù)分析，其不僅會(huì)在業(yè)務(wù)開(kāi)展過(guò)程中會(huì)產(chǎn)生大量用戶數(shù)據(jù)，而且需要基于用戶數(shù)據(jù)分析提升其服務(wù)效率，如廣告投放、精準(zhǔn)營(yíng)銷等業(yè)務(wù)均高度依賴用戶數(shù)據(jù)。另一方面，在非商業(yè)意義上，實(shí)踐中美國(guó)政府借助美國(guó)的大型互聯(lián)網(wǎng)企業(yè)對(duì)歐盟境內(nèi)的人群進(jìn)行監(jiān)控。簽署于2016年2月2日《歐美隱私保護(hù)盾協(xié)議》（EU-US Privacy Shield，以下簡(jiǎn)稱“隱私盾協(xié)議”）在2020年7月失效的主要原因之一便是其對(duì)美國(guó)情報(bào)部門的約束作用較弱。2020年，歐盟最高法院明確表示[14]，美國(guó)政府的大規(guī)模監(jiān)控計(jì)劃與歐盟公民的隱私權(quán)不兼容，違反基本隱私權(quán)的行為意味著美國(guó)公司無(wú)法提供符合歐盟法律要求和歐美隱私盾協(xié)議承諾的對(duì)歐盟個(gè)人數(shù)據(jù)的充分保護(hù)。

針對(duì)大型跨國(guó)互聯(lián)網(wǎng)企業(yè)，歐盟出臺(tái)多項(xiàng)法律規(guī)定以規(guī)范其對(duì)個(gè)人數(shù)據(jù)的收集、使用與傳輸，數(shù)據(jù)跨境則是其中重點(diǎn)之一，歐盟制定的數(shù)據(jù)保護(hù)與數(shù)據(jù)跨境的法律中對(duì)這一點(diǎn)均有體現(xiàn)：

第一，GDPR對(duì)數(shù)據(jù)的監(jiān)管范圍采用“屬人原則”，并將其適用范圍擴(kuò)展到各類跨國(guó)企業(yè)，實(shí)際賦予了歐盟長(zhǎng)臂管轄的權(quán)利。GDPR將歐洲數(shù)據(jù)保護(hù)法的地域適用范圍擴(kuò)展到“數(shù)據(jù)控制者”（Data Controller）與“數(shù)據(jù)處理者”（Data Processor），二者即使位于歐盟境外，只要向歐盟的“數(shù)據(jù)主體”（Data Subject），即歐洲居民提供商品或服務(wù)，無(wú)論該企業(yè)是否位于歐盟境內(nèi)，便屬于歐盟數(shù)據(jù)保護(hù)法的適用范圍（Jay and Sean，2016）。

第二，歐盟針對(duì)大型互聯(lián)網(wǎng)跨國(guó)企業(yè)制定專門監(jiān)管政策，實(shí)質(zhì)上限制了通過(guò)大型互聯(lián)網(wǎng)跨國(guó)企業(yè)這一渠道的數(shù)據(jù)跨境。根據(jù)我們此前發(fā)布的報(bào)告《數(shù)據(jù)跨境：概念辨析與監(jiān)管方向》[15]，大型互聯(lián)網(wǎng)跨國(guó)企業(yè)中存在內(nèi)部數(shù)據(jù)跨境與相關(guān)服務(wù)貿(mào)易數(shù)據(jù)跨境兩種情形，尤其是在互聯(lián)網(wǎng)與數(shù)字經(jīng)濟(jì)時(shí)代，服務(wù)貿(mào)易往往伴隨著個(gè)人數(shù)據(jù)和商業(yè)數(shù)據(jù)的跨境流動(dòng)，屬于數(shù)據(jù)跨境的重點(diǎn)監(jiān)管領(lǐng)域。2022年7月，歐洲議會(huì)通過(guò)了《數(shù)字服務(wù)法案》（Digital Services Act），強(qiáng)調(diào)對(duì)大型互聯(lián)網(wǎng)企業(yè)的監(jiān)管，歐盟要求提高在線平臺(tái)透明度，對(duì)平臺(tái)推薦算法進(jìn)行審核，防止濫用平臺(tái)權(quán)利。在個(gè)人數(shù)據(jù)方面，2022年9月，歐洲議會(huì)通過(guò)了《數(shù)字市場(chǎng)法案》（Digital Markets Act），引入“守門人”（Gatekeeper）制度，對(duì)符合標(biāo)準(zhǔn)的大型互聯(lián)網(wǎng)平臺(tái)制定反壟斷規(guī)則，大型互聯(lián)網(wǎng)企業(yè)在獲得用戶的明示同意后才可進(jìn)行個(gè)人數(shù)據(jù)的訪問(wèn)與使用。在非個(gè)人數(shù)據(jù)方面，針對(duì)頭部互聯(lián)網(wǎng)企業(yè)掌握大量數(shù)據(jù)、單方面對(duì)小微及初創(chuàng)企業(yè)施加不公平條款等情況，2023年6月歐洲議會(huì)正式通過(guò)的《數(shù)據(jù)法案》（Data Act）第二章第五條第二款做出明確規(guī)定，被《數(shù)字市場(chǎng)法案》判定為“守門人”的企業(yè)將不屬于合格第三方，其獲取或使用歐盟非個(gè)人數(shù)據(jù)受到額外限制，進(jìn)一步限制了大型跨國(guó)企業(yè)在歐洲開(kāi)展業(yè)務(wù)應(yīng)當(dāng)指出的是，對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)，以上監(jiān)管措施雖然沒(méi)有直接針對(duì)數(shù)據(jù)跨境，但實(shí)質(zhì)上限制了對(duì)歐盟地區(qū)個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)的收集與使用，間接影響了其對(duì)歐盟境內(nèi)數(shù)據(jù)的跨境使用。

第三，增強(qiáng)歐盟本土企業(yè)的云服務(wù)能力。根據(jù)市場(chǎng)調(diào)研公司Synergy Research Group在2023年4月發(fā)布的數(shù)據(jù)顯示[16]，全球云基礎(chǔ)設(shè)施服務(wù)市場(chǎng)中亞馬遜、微軟、谷歌3家公司在2023年第一季度的市場(chǎng)份額總和達(dá)到65%。具體到歐洲云服務(wù)市場(chǎng)，Synergy Research Group在2022年9月發(fā)布的數(shù)據(jù)顯示[17]，自2017年起到2022年第二季度，雖然歐洲云市場(chǎng)規(guī)模增長(zhǎng)了約4倍，但本土云服務(wù)商的市場(chǎng)份額卻從27%跌至15%以下，亞馬遜、微軟和谷歌3家公司仍然占據(jù)大部分市場(chǎng)份額。參照我們?cè)?月7日發(fā)布的報(bào)告《數(shù)據(jù)跨境：概念辨析與監(jiān)管方向》報(bào)告，云服務(wù)屬于典型的服務(wù)貿(mào)易，由于其中數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析等服務(wù)環(huán)節(jié)所依賴的服務(wù)器與算力中心往往與數(shù)據(jù)生成地區(qū)并不在統(tǒng)一司法轄區(qū)，因此云服務(wù)往往涉及數(shù)據(jù)跨境。

歐洲議會(huì)在2019年5月通過(guò)《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（Regulation on the Free Flow of Non-personal Data，以下簡(jiǎn)稱“《非個(gè)人數(shù)據(jù)條例》”），其定義非個(gè)人數(shù)據(jù)指除GDPR定義的個(gè)人數(shù)據(jù)以外的其他數(shù)據(jù)，具體包括用于大數(shù)據(jù)分析的聚合和各種匿名化的數(shù)據(jù)集。《非個(gè)人數(shù)據(jù)條例》鼓勵(lì)歐盟境內(nèi)云服務(wù)商制定行業(yè)自律行為準(zhǔn)則，避免因商業(yè)限制而造成數(shù)據(jù)流動(dòng)限制，減少數(shù)據(jù)在云服務(wù)提供商之間切換的成本?！稊?shù)據(jù)法案》則從“鼓勵(lì)行業(yè)自律”演進(jìn)至強(qiáng)制要求云服務(wù)切換應(yīng)免費(fèi)，即用戶在切換云服務(wù)提供商時(shí)，原云服務(wù)提供商不得收費(fèi)，以促進(jìn)歐盟居民的云服務(wù)由美國(guó)云服務(wù)商向本土云服務(wù)商遷移。結(jié)合歐洲云服務(wù)市場(chǎng)以美國(guó)云服務(wù)商為主的情況，歐盟在云服務(wù)上的監(jiān)管導(dǎo)向表明，其旨在減少對(duì)美國(guó)云供應(yīng)商依賴的態(tài)度，提高本土云服務(wù)商的競(jìng)爭(zhēng)力，從而降低潛在的數(shù)據(jù)跨境。

二、歐盟的數(shù)據(jù)跨境監(jiān)管要求

前一部分重點(diǎn)在分析歐盟對(duì)數(shù)據(jù)跨境嚴(yán)監(jiān)管的主要原因，本部分將具體分析歐盟針對(duì)數(shù)據(jù)跨境相關(guān)的監(jiān)管要求。GDPR確定了歐盟個(gè)人數(shù)據(jù)跨境的三種途徑：一是獲得“充分性認(rèn)定”（Adequacy Decision）；二是為歐盟境內(nèi)數(shù)據(jù)主體提供“適當(dāng)保障措施”（Appropriate Safeguards）；三是特定情形下的豁免（Derogations for Specific Situations）。

2.1 歐盟個(gè)人數(shù)據(jù)跨境的充分性認(rèn)定要求

充分性認(rèn)定（Adequacy Decision）是歐盟法律框架下實(shí)現(xiàn)個(gè)人數(shù)據(jù)跨境最便利的法律工具。對(duì)于通過(guò)歐盟充分性認(rèn)定的第三國(guó)、地區(qū)、第三國(guó)的特定部門或國(guó)際組織（以下簡(jiǎn)稱“第三方”）來(lái)說(shuō)，將歐盟的個(gè)人數(shù)據(jù)向其傳輸將不需要再經(jīng)過(guò)其他特別授權(quán)（Any Specific Authorisation）。這也反映了歐盟對(duì)個(gè)人數(shù)據(jù)的跨境監(jiān)管思路，通過(guò)對(duì)第三方的數(shù)據(jù)保護(hù)水平提出要求并經(jīng)過(guò)事前審核認(rèn)定，從而確保歐盟境內(nèi)個(gè)人數(shù)據(jù)出境后可以延續(xù)與歐盟境內(nèi)同等程度的保護(hù)。GDPR中第45條規(guī)定了充分性認(rèn)定的基本原則，并明確評(píng)估機(jī)構(gòu)為歐盟委員會(huì)，具體來(lái)看，需要對(duì)第三方進(jìn)行全面評(píng)估，其中主要考慮因素有以下三點(diǎn)：

第一，第三方的個(gè)人數(shù)據(jù)保護(hù)相關(guān)法制建設(shè)及其實(shí)施情況。在法制建設(shè)方面，歐盟委員會(huì)主要考慮數(shù)據(jù)保護(hù)相關(guān)立法的充分性，第三方應(yīng)制定尊重人權(quán)和基本自由的相關(guān)法律，與涉及公共安全、國(guó)家安全、政府當(dāng)局獲取個(gè)人數(shù)據(jù)的法律規(guī)定，以及數(shù)據(jù)保護(hù)規(guī)則、向第三國(guó)或國(guó)際組織轉(zhuǎn)移個(gè)人數(shù)據(jù)的規(guī)則和其他數(shù)據(jù)安全標(biāo)準(zhǔn)措施等制度。在具體實(shí)施情況方面，歐盟委員會(huì)主要考慮和評(píng)估相關(guān)立法的實(shí)施效果，評(píng)估范圍通常包括個(gè)人數(shù)據(jù)跨境傳輸情況、是否存在有效且可執(zhí)行的數(shù)據(jù)主體權(quán)利保障機(jī)制以及是否能夠?yàn)閭€(gè)人數(shù)據(jù)被轉(zhuǎn)移的主體提供有效的行政和司法救濟(jì)等。

第二，第三方是否存在一個(gè)或多個(gè)專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)。具體來(lái)看，歐盟的要求包括三個(gè)方面：一是第三方需要建立一個(gè)或多個(gè)專門且有效運(yùn)行的監(jiān)管機(jī)構(gòu)來(lái)負(fù)責(zé)保證數(shù)據(jù)保護(hù)法律規(guī)則的貫徹執(zhí)行。二是第三方需要賦予這些監(jiān)管機(jī)構(gòu)充分的執(zhí)法權(quán)力，以協(xié)助和指導(dǎo)數(shù)據(jù)主體行使其數(shù)據(jù)權(quán)利。三是這些監(jiān)管機(jī)構(gòu)需與歐盟成員國(guó)監(jiān)管機(jī)構(gòu)建立協(xié)作機(jī)制以解決數(shù)據(jù)保護(hù)的可能分歧。

第三，第三方應(yīng)簽署的與個(gè)人數(shù)據(jù)保護(hù)有關(guān)的國(guó)際協(xié)定。通常來(lái)說(shuō)，歐盟委員會(huì)會(huì)考慮擬列入清單的第三方是否加入或簽署與個(gè)人數(shù)據(jù)保護(hù)相關(guān)且有效的多邊或區(qū)域機(jī)制，例如第三方有關(guān)個(gè)人數(shù)據(jù)保護(hù)的國(guó)際承諾、公約或文書(shū)等。

在第三方在事前獲得充分性認(rèn)定后，歐盟委員會(huì)還將持續(xù)對(duì)其進(jìn)行評(píng)估和管理：

第一，歐盟委員會(huì)需要對(duì)第三方進(jìn)行定期檢查。根據(jù)GDPR第45條第4款的規(guī)定，歐盟委員會(huì)至少需要每四年對(duì)第三方的數(shù)據(jù)保護(hù)相關(guān)情況進(jìn)行一次檢查，并通過(guò)糾正機(jī)制以維持對(duì)第三方的充分性認(rèn)定。以日本為例，日本于2019年1月23日正式獲得歐盟的充分性認(rèn)定，2022年8月，歐盟數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)（European Data Protection Supervisor，EDPS）發(fā)布說(shuō)明，經(jīng)過(guò)歐盟檢查，為了繼續(xù)維持日本的充分性認(rèn)定，歐盟將與日本開(kāi)展談判，主要目的是需要將跨境數(shù)據(jù)流動(dòng)的規(guī)定納入2018年7月17日簽署的《歐盟與日本經(jīng)濟(jì)伙伴協(xié)定》[18]。

第二，歐盟委員會(huì)需對(duì)第三方進(jìn)行持續(xù)監(jiān)測(cè)管理，并在一定的必要情況下撤回充分性認(rèn)定。歐盟委員會(huì)將持續(xù)監(jiān)測(cè)第三方可能影響已發(fā)布的充分性決定的任何動(dòng)態(tài)，并在第三方不具備充分的數(shù)據(jù)保護(hù)水平時(shí)，歐盟委員會(huì)可以修改或撤銷對(duì)第三方的充分性認(rèn)定。歐洲法院曾在2015年10月與2020年7月兩次宣布?xì)W盟與美國(guó)之間的數(shù)據(jù)跨境協(xié)議失效，即《歐美安全港框架》（U.S.-EU Safe Harbor Framework，以下簡(jiǎn)稱“安全港協(xié)議”）與《歐美隱私保護(hù)盾協(xié)議》（EU-US Privacy Shield，以下簡(jiǎn)稱“隱私盾協(xié)議”）失效。上述兩個(gè)文件在其有效的時(shí)間內(nèi)實(shí)質(zhì)上為歐盟對(duì)美國(guó)的充分性認(rèn)定。

2.2 歐盟充分性認(rèn)定白名單

GDPR第45條第8款規(guī)定，歐盟委員會(huì)應(yīng)當(dāng)將滿足充分性認(rèn)定要求和不再滿足充分性認(rèn)定的第三國(guó)、地區(qū)、第三國(guó)的特定部門或國(guó)際組織（以下簡(jiǎn)稱“第三方”）的名單列表發(fā)布在歐盟的官方網(wǎng)站。歐盟對(duì)充分性認(rèn)定較為嚴(yán)格，截至2023年7月10日，歐盟官網(wǎng)公布的通過(guò)充分性認(rèn)定的第三方共計(jì)15個(gè)[19]，按照時(shí)間順序依次為瑞士、加拿大（僅包括該國(guó)的商業(yè)組織，Commercial Organisations）、根西島、阿根廷、馬恩島、澤西島、安道爾公國(guó)、法蘭群島、以色列、烏拉圭、新西蘭、日本、英國(guó)、韓國(guó)、美國(guó)（僅包括該國(guó)已加入歐美隱私框架的美國(guó)商業(yè)組織，Commercial Organisations Participating in the EU-US Data Privacy Framework）。

由于歐盟的充分性認(rèn)定較為全面與嚴(yán)格，自瑞士[20]成為首個(gè)獲得充分性認(rèn)定的第三方至今，20余年間僅有15個(gè)第三方通過(guò)歐盟的充分性認(rèn)定。在GDPR發(fā)布之前，歐盟充分性認(rèn)定的監(jiān)管依據(jù)為1995年頒布的《95指令》，共有10個(gè)第三方在《95指令》的指導(dǎo)下通過(guò)審核。GDPR對(duì)充分性認(rèn)定的原則延續(xù)了《95指令》，因此瑞士、新西蘭等第三方在GDPR框架下仍然延續(xù)了其充分性認(rèn)定。

在15個(gè)通過(guò)充分性認(rèn)定的第三方中，較為特殊的是加拿大與美國(guó)，其可以接受歐盟個(gè)人數(shù)據(jù)跨境傳輸?shù)姆秶抻谝欢l件下的商業(yè)組織。對(duì)加拿大來(lái)說(shuō)，歐盟委員會(huì)指出[21]，根據(jù)《95指令》第25條第2款的要求，由于加拿大在2000年4月13日頒布的《個(gè)人信息保護(hù)和電子文件管理法案》（Canadian Personal Information Protection and Electronic Documents Act，以下簡(jiǎn)稱“加拿大法案”）的適用范圍僅限于在商業(yè)活動(dòng)中收集、使用或披露個(gè)人信息的商業(yè)組織，不適用于公共部門與非營(yíng)利組織，因此，僅有個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移至加拿大的商業(yè)組織時(shí)，歐盟才認(rèn)可加拿大可以對(duì)歐盟的個(gè)人數(shù)據(jù)提供足夠的保護(hù)。對(duì)于美國(guó)來(lái)說(shuō)，2023年7月10日歐盟委員會(huì)發(fā)布了《歐盟-美國(guó)數(shù)據(jù)隱私框架》（EU-US Data Privacy Framework，以下簡(jiǎn)稱“《歐美隱私框架》”），由于美國(guó)絕大多數(shù)主體對(duì)數(shù)據(jù)保護(hù)的程度不足以滿足歐盟的充分性認(rèn)定要求，因此只有加入《歐美隱私框架》的美國(guó)商業(yè)組織才能被歐盟認(rèn)定為合格的數(shù)據(jù)接收第三方。

2.3 歐盟個(gè)人數(shù)據(jù)跨境的其他渠道

如前所述，在實(shí)踐中能夠滿足GDPR嚴(yán)格的充分性認(rèn)定條件的第三方較少。對(duì)于未能通過(guò)充分性認(rèn)定的第三方，若其要接收和處理來(lái)自歐盟的個(gè)人數(shù)據(jù)，則需進(jìn)行個(gè)案審查，GDPR給出了充分性認(rèn)定之外的兩種歐盟可行的個(gè)人數(shù)據(jù)跨境審批方式。

第一，數(shù)據(jù)控制者或處理者需要為歐盟境內(nèi)數(shù)據(jù)主體提供“適當(dāng)保障措施”（Appropriate Safeguards）。

GDPR第46條第1款規(guī)定，當(dāng)數(shù)據(jù)出境的目的地沒(méi)有獲得歐盟的充分性認(rèn)定時(shí)，數(shù)據(jù)控制者或處理者只有在提供了適當(dāng)?shù)谋Ｕ洗胧┎⑶覞M足數(shù)據(jù)主體能行使權(quán)利、能獲得有效的法律救濟(jì)的條件時(shí)，歐盟境內(nèi)主體才能將相關(guān)個(gè)人數(shù)據(jù)向第三國(guó)或國(guó)際組織轉(zhuǎn)移。GDPR第46條規(guī)定了若干的適當(dāng)保證措施：包括政府之間有法律約束力和可執(zhí)行性的文書(shū)、有約束力的公司規(guī)則（Binding Corporate Rules, BCRs）、歐盟委員會(huì)通過(guò)或批準(zhǔn)的標(biāo)準(zhǔn)合同條款（Standard Contractual Clauses, SCCs）等。

其中標(biāo)準(zhǔn)合同條款（SCCs）是較為常見(jiàn)的數(shù)據(jù)跨境方式，當(dāng)歐盟成員國(guó)的個(gè)人數(shù)據(jù)需要跨境傳輸?shù)揭粋€(gè)未經(jīng)過(guò)充分性認(rèn)定的第三方時(shí)，可以通過(guò)簽訂標(biāo)準(zhǔn)合同條款保障個(gè)人數(shù)據(jù)權(quán)利。該方式通過(guò)在數(shù)據(jù)轉(zhuǎn)移雙方的合同中納入標(biāo)準(zhǔn)合同條款，將GDPR規(guī)定的法律義務(wù)和責(zé)任轉(zhuǎn)化為合同義務(wù)和違約責(zé)任，尤其是轉(zhuǎn)化為合同雙方對(duì)作為第三者的數(shù)據(jù)主體的合同義務(wù)和違約責(zé)任（利他合同），然后通過(guò)納入爭(zhēng)議解決及法律適用等條款，來(lái)確保數(shù)據(jù)主體的權(quán)利落到實(shí)處[22]。歐盟于2001年即制定了兩組數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)合同條款（Standard Contractual Clauses，以下簡(jiǎn)稱為“SCCs”），此后在2004年和2010年分別制定了第二套、第三套SCCs，而現(xiàn)行SCCs則是于2021年6月4日發(fā)布的新版本SCCs。

第二，數(shù)據(jù)控制者或處理者可以尋求特定情形下的豁免（Derogations for Specific Situations）。

在充分性認(rèn)定和適當(dāng)保障措施均不能滿足的情況下，數(shù)據(jù)跨境需求方還可退而求其次，判斷其數(shù)據(jù)跨境傳輸是否屬于特定情形下的豁免。GDPR第49條規(guī)定了7種豁免情形，例如數(shù)據(jù)主體在被告知這種轉(zhuǎn)移行為由于缺乏充分的保護(hù)標(biāo)準(zhǔn)和適當(dāng)?shù)谋Ｗo(hù)措施可能會(huì)對(duì)其帶來(lái)的風(fēng)險(xiǎn)后仍明確同意轉(zhuǎn)移的情況。

2.4 歐盟非個(gè)人數(shù)據(jù)跨境監(jiān)管要求

歐盟涉及非個(gè)人數(shù)據(jù)跨境監(jiān)管的主要是兩部法律規(guī)定，分別是歐洲議會(huì)在2019年5月通過(guò)的《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（Regulation on the Free Flow of Non-personal Data，以下簡(jiǎn)稱“《非個(gè)人數(shù)據(jù)條例》”）與2023年6月通過(guò)的《數(shù)據(jù)法案》（Data Act）。《非個(gè)人數(shù)據(jù)條例》定義非個(gè)人數(shù)據(jù)指除GDPR定義的個(gè)人數(shù)據(jù)以外的數(shù)據(jù)，具體包括與特定數(shù)據(jù)主體無(wú)關(guān)、或用于大數(shù)據(jù)分析的聚合和各種匿名化的數(shù)據(jù)集。

為了解決個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)界限不清的問(wèn)題，歐盟委員會(huì)在2019年5月29日發(fā)布《“非個(gè)人數(shù)據(jù)自由流動(dòng)條例”的操作指引》（Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union）[23]，對(duì)個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)進(jìn)行詳細(xì)的界定。GDPR定義個(gè)人數(shù)據(jù)指與識(shí)別或可識(shí)別的自然人（即數(shù)據(jù)主體）有關(guān)的任何信息。可識(shí)別的自然人是指可以直接或間接地通過(guò)諸如姓名、身份號(hào)碼、位置數(shù)據(jù)、在線標(biāo)識(shí)符或特定于該自然人的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的一個(gè)或多個(gè)因素的參照來(lái)識(shí)別的自然人。如果數(shù)據(jù)不符合GDPR對(duì)個(gè)人數(shù)據(jù)的定義，即相關(guān)數(shù)據(jù)無(wú)法被關(guān)聯(lián)到數(shù)據(jù)主體，則屬于非個(gè)人數(shù)據(jù)。

具體來(lái)說(shuō)，非個(gè)人數(shù)據(jù)按照其來(lái)源可以分為以下兩類：

一是數(shù)據(jù)在產(chǎn)生階段便與識(shí)別或可識(shí)別自然人無(wú)關(guān)的數(shù)據(jù)，例如由安裝在風(fēng)力渦輪機(jī)上的傳感器生成的天氣條件數(shù)據(jù)或工業(yè)設(shè)備維護(hù)需求數(shù)據(jù)。

二是最初為個(gè)人數(shù)據(jù)，但進(jìn)行了匿名化處理后不再能識(shí)別至個(gè)人的數(shù)據(jù)。匿名化處理必須保證數(shù)據(jù)無(wú)法通過(guò)使用額外數(shù)據(jù)或者算法來(lái)關(guān)聯(lián)到特定數(shù)據(jù)主體，才可被認(rèn)定為非個(gè)人數(shù)據(jù)。例如一定群體的履約數(shù)據(jù)經(jīng)過(guò)匯總等聚合處理后不能被關(guān)聯(lián)到特定數(shù)據(jù)主體，可以被視為非個(gè)人數(shù)據(jù)。值得注意的是，匿名化后的數(shù)據(jù)若仍能與特定數(shù)據(jù)主體進(jìn)行對(duì)應(yīng)，則仍將被視為個(gè)人數(shù)據(jù)。

《非個(gè)人數(shù)據(jù)條例》與《數(shù)據(jù)法案》在監(jiān)管內(nèi)容上各有側(cè)重，但其目標(biāo)均為促進(jìn)非個(gè)人數(shù)據(jù)的有效流動(dòng)、運(yùn)用，以及歐洲數(shù)字經(jīng)濟(jì)的發(fā)展。

《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》重在歐盟境內(nèi)，旨在消除非個(gè)人數(shù)據(jù)在歐盟成員國(guó)之間自由流動(dòng)的障礙。宋建寶（2019）的研究指出，《非個(gè)人數(shù)據(jù)條例》主要為了促進(jìn)歐盟的數(shù)字經(jīng)濟(jì)發(fā)展，打破歐洲數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)發(fā)展的枷鎖，實(shí)現(xiàn)歐盟成員國(guó)之間非個(gè)人數(shù)據(jù)的跨境自由流動(dòng)。《非個(gè)人數(shù)據(jù)條例》主要在以下三個(gè)方面做出規(guī)定：

第一，要求歐盟成員國(guó)政府對(duì)現(xiàn)有數(shù)據(jù)本地化要求進(jìn)行修改，修改后的數(shù)據(jù)本地化要求僅能夠?qū)⒐舶踩鳛閿?shù)據(jù)本地化要求的理由。

第二，暢通歐盟境內(nèi)以監(jiān)管為目的的數(shù)據(jù)跨境使用，歐盟成員國(guó)政府出于監(jiān)管需要可以訪問(wèn)在歐盟境內(nèi)存儲(chǔ)的所有數(shù)據(jù)，并對(duì)拒絕提供數(shù)據(jù)的成員國(guó)制定了相應(yīng)的制裁措施。

第三，鼓勵(lì)歐盟境內(nèi)云服務(wù)商制定行業(yè)自律行為準(zhǔn)則，避免因商業(yè)限制而造成數(shù)據(jù)流動(dòng)限制，減少數(shù)據(jù)在云服務(wù)提供商之間切換的成本。

與之相對(duì)應(yīng)，《數(shù)據(jù)法案》重在歐盟境外，旨在嚴(yán)格限制歐盟的非個(gè)人數(shù)據(jù)出境歐盟。《數(shù)據(jù)法案》要求數(shù)據(jù)服務(wù)主體需要落實(shí)具體的保障措施，限制歐盟境內(nèi)非個(gè)人數(shù)據(jù)向第三國(guó)的跨境流動(dòng)，從而實(shí)現(xiàn)歐盟公民、企業(yè)、公共部門對(duì)數(shù)據(jù)的控制，促進(jìn)歐盟內(nèi)部對(duì)數(shù)據(jù)的信任?！稊?shù)據(jù)法案》一方面填補(bǔ)了歐盟數(shù)據(jù)跨境流動(dòng)規(guī)則對(duì)非個(gè)人數(shù)據(jù)要求的空缺，另一方面限制非歐盟國(guó)家通過(guò)本土立法的“長(zhǎng)臂管轄”權(quán)限獲取歐盟境內(nèi)非個(gè)人數(shù)據(jù)。2018年3月，美國(guó)頒布的《澄清境外數(shù)據(jù)的合法使用法案》（Clarify Lawful Overseas Use of Data，以下簡(jiǎn)稱“《云法案》”），其中指出，只要與美國(guó)建立最小關(guān)聯(lián)，美國(guó)以外的云服務(wù)商也要受到美國(guó)《云法案》的管轄，歐盟《數(shù)據(jù)法案》則是對(duì)美國(guó)《云法案》的有效應(yīng)對(duì)（吳沈括和蔡佩原，2022）?！稊?shù)據(jù)法案》第7章對(duì)非個(gè)人數(shù)據(jù)出境歐盟作出了較為嚴(yán)格的限制：

一是數(shù)據(jù)處理服務(wù)提供者（Providers of data processing services）應(yīng)采取一切合理的技術(shù)、法律和組織措施，包括合同安排，以防止其非個(gè)人數(shù)據(jù)的國(guó)際轉(zhuǎn)移或第三國(guó)政府對(duì)歐盟非個(gè)人數(shù)據(jù)的訪問(wèn)與歐盟法律或歐盟成員國(guó)的法律沖突。

二是第三國(guó)的法院、仲裁機(jī)構(gòu)、或行政機(jī)關(guān)的判決與決定若涉及到數(shù)據(jù)處理服務(wù)提供者從歐盟內(nèi)獲得的非個(gè)人數(shù)據(jù)的跨境流動(dòng)，只有基于第三國(guó)與歐盟或成員國(guó)的國(guó)際協(xié)議（International Agreement）時(shí)，如相互法律協(xié)助條約（Mutual Legal Assistance Treaty），才能在被承認(rèn)與執(zhí)行。

三是若數(shù)據(jù)處理服務(wù)提供者收到第三國(guó)法院或行政當(dāng)局請(qǐng)求轉(zhuǎn)移或允許訪問(wèn)歐盟境內(nèi)的非個(gè)人數(shù)據(jù)的決定，而相關(guān)決定有可能與歐盟或歐盟成員國(guó)的法律相沖突，且該第三國(guó)與歐盟或成員國(guó)未曾簽訂相應(yīng)的國(guó)際協(xié)議，《數(shù)據(jù)法案》給出了三種可以數(shù)據(jù)跨境的特定情形。此外，數(shù)據(jù)處理服務(wù)提供者認(rèn)為該數(shù)據(jù)出境行為可能涉及商業(yè)敏感數(shù)據(jù)，或可能侵犯歐盟或相關(guān)成員國(guó)的國(guó)家安全、國(guó)防利益時(shí)，可以根據(jù)《數(shù)據(jù)法案》咨詢歐盟相關(guān)監(jiān)管機(jī)構(gòu)的意見(jiàn)。

四是數(shù)據(jù)處理服務(wù)提供者應(yīng)堅(jiān)持“最小原則”，響應(yīng)數(shù)據(jù)出境請(qǐng)求時(shí)僅提供最小范圍的數(shù)據(jù)（Minimum Amount of Data）。

五是數(shù)據(jù)處理服務(wù)提供者應(yīng)履行“告知義務(wù)”，在數(shù)據(jù)出境前，需要告知數(shù)據(jù)持有者（Data Holder）第三國(guó)查閱其數(shù)據(jù)的要求，除非該數(shù)據(jù)出境要求是服務(wù)于執(zhí)法目的。

三、歐盟數(shù)據(jù)跨境監(jiān)管實(shí)踐案例

如前所述，歐盟嚴(yán)格數(shù)據(jù)跨境監(jiān)管的重要原因之一為避免大型跨國(guó)科技企業(yè)對(duì)歐盟個(gè)人數(shù)據(jù)的過(guò)度使用。而美國(guó)是全球擁有大型跨國(guó)科技企業(yè)最多的國(guó)家，因此，歐盟在數(shù)據(jù)跨境的監(jiān)管實(shí)踐案例大多與美國(guó)科技企業(yè)相關(guān)。自GDPR于2018年正式施行以來(lái)，歐盟、歐盟成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)以GDPR為依據(jù)向美國(guó)大型跨國(guó)科技企業(yè)施以處罰的案例達(dá)到數(shù)百起，2022年，歐盟、歐盟成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)針對(duì)GDPR違規(guī)的罰款額達(dá)創(chuàng)紀(jì)錄的29億歐元[24]。應(yīng)當(dāng)指出的是，大多數(shù)處罰案例為數(shù)據(jù)壟斷、侵犯?jìng)€(gè)人隱私與數(shù)據(jù)泄露，與數(shù)據(jù)跨境相關(guān)的處罰案例較少，其中金額最大的為Facebook母公司Meta在2023年收到的12億歐元罰單。

2020年7月16日，歐洲法院判定歐美之間的隱私盾協(xié)議失效，主要原因?yàn)槊绹?guó)《外國(guó)情報(bào)監(jiān)視法》（Foreign Intelligence Surveillance Act，F(xiàn)ISA）第702條允許美國(guó)情報(bào)機(jī)構(gòu)訪問(wèn)歐盟的個(gè)人數(shù)據(jù)，而隱私盾計(jì)劃對(duì)該行為限制較弱，因此被認(rèn)為違反了GDPR規(guī)定。隨后，以Meta為代表的美國(guó)跨國(guó)企業(yè)選擇以標(biāo)準(zhǔn)合同條款（SCCs）的渠道進(jìn)行歐盟個(gè)人數(shù)據(jù)的跨境傳輸。

2023年4月13日，對(duì)于愛(ài)爾蘭數(shù)據(jù)保護(hù)局提出的Meta自歐洲向美國(guó)傳輸數(shù)據(jù)的合法性基礎(chǔ)爭(zhēng)議，歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，EDPB）做出了具有約束性的決定（Binding Decision）[25]，決定主要有兩方面內(nèi)容[26]：

一是Meta不能通過(guò)SCCs的渠道進(jìn)行個(gè)人數(shù)據(jù)跨境。主要原因?yàn)槊绹?guó)法律沒(méi)有提供與歐盟法律同等水平的保護(hù)，SCCs是針對(duì)未能通過(guò)充分性認(rèn)定的第三方需要接收和處理來(lái)自歐盟的個(gè)人數(shù)據(jù)時(shí)的補(bǔ)充手段，需進(jìn)行個(gè)案審查。而Meta在隱私盾失效期間，大規(guī)模、定期傳輸歐盟個(gè)人數(shù)據(jù)至美國(guó)，而SCCs無(wú)法且Meta也未曾提供補(bǔ)充措施（Supplemental Measures）以填補(bǔ)美國(guó)法律的上述缺陷，因此歐盟相關(guān)監(jiān)管機(jī)構(gòu)認(rèn)為SCCs無(wú)法適用于Meat的數(shù)據(jù)跨境場(chǎng)景，Meta的跨境數(shù)據(jù)傳輸違反了GDPR第46條第1款的規(guī)定。

二是Meta的數(shù)據(jù)跨境情形不適用于特定情形下的豁免。在無(wú)法以SCCs作為跨境傳輸個(gè)人數(shù)據(jù)的法律基礎(chǔ)的前提下，Meta依次主張將GDPR第49條豁免規(guī)則中的履行合同所必需、公共利益、數(shù)據(jù)主體同意作為法律基礎(chǔ)。EDPB的決定指出，豁免規(guī)則也不應(yīng)被適用于Meta系統(tǒng)性、規(guī)模的、重復(fù)和持續(xù)的個(gè)人數(shù)據(jù)跨境傳輸，而且Meta在數(shù)據(jù)跨境的操作過(guò)程中并未獲得歐盟數(shù)據(jù)主體的明確同意。

2023年5月23日，愛(ài)爾蘭數(shù)據(jù)保護(hù)局（Irish Data Protection Authority）根據(jù)EDPB的約束性決定，針對(duì)Meta在歐美未達(dá)成個(gè)人數(shù)據(jù)跨境流動(dòng)協(xié)議期間，即自2020年7月16日《歐美隱私保護(hù)盾協(xié)議》（EU-US Privacy Shield，以下簡(jiǎn)稱“《隱私盾協(xié)議》”）被歐洲法院判決失效以來(lái)，持續(xù)大規(guī)模將歐盟用戶數(shù)據(jù)傳輸?shù)矫绹?guó)的行為，向Meta開(kāi)出12億歐元的罰單，并要求其停止對(duì)歐盟個(gè)人數(shù)據(jù)的非法處理，包括已在美國(guó)存儲(chǔ)的違反GDPR規(guī)定傳輸?shù)臍W盟個(gè)人數(shù)據(jù)[27]。

歐盟對(duì)Meta的處罰并非頂格處罰，其處罰時(shí)間具有更多含義。GDPR規(guī)定Meta適用的最高處罰是其上一年全球年?duì)I業(yè)額的4%，結(jié)合Meta在2022年高達(dá)1166億美元的全年?duì)I業(yè)額，12億歐元并非頂格處罰。但針對(duì)美國(guó)大型跨國(guó)互聯(lián)網(wǎng)企業(yè)在《隱私盾協(xié)議》失效后，主要依靠SCC將歐盟個(gè)人數(shù)據(jù)傳輸至美國(guó)的情況，Meta的處罰示例意味著若歐美不達(dá)成相關(guān)數(shù)據(jù)跨境傳輸協(xié)議，將對(duì)美國(guó)其他大型跨國(guó)互聯(lián)網(wǎng)企業(yè)造成較大影響。故而，這一案例直接促進(jìn)了隨后2個(gè)月內(nèi)《歐美隱私框架》協(xié)議的達(dá)成。

參考文獻(xiàn)：
（1）胡苗苗,胡代芳,崔若雨等.歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例指南[J].北外法學(xué),2020(01):147-169.
（2）宋建寶，歐盟《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》概要，人民法院報(bào)，2019年7月26日，http://rmfyb.chinacourt.org/paper/images/2019-07/26/08/2019072608_pdf.pdf。
（3）吳沈括，蔡佩原，歐盟《數(shù)據(jù)法案》（草案）的非個(gè)人數(shù)據(jù)跨境制度，數(shù)字治理全球洞察，2022年2月27日，https://bokeshuofa.blogchina.com/761361585.html。
（4）Jay F. Kramer & Sean B. Hoar，GDPR, PART I: HISTORY OF EUROPEAN DATA PROTECTION LAW，2016，https://lewisbrisbois.com/assets/uploads/files/GDPR,_Part_I-_History_of_European_Data_Protection_Law.pdf。

注：
[1]資料來(lái)源：任圖南，陳昊和魯政委，《數(shù)據(jù)跨境：概念辨析與監(jiān)管方向》 ，EB/OL，2023/9/7[2023/9/22]，https://app.cibresearch.com/shareUrl?name=402388a08a4f8a31018a6dc4dfe01b87。
[2]資料來(lái)源：歐洲議會(huì)官網(wǎng)，General Data Protection Regulation，EB/OL，2016/4/27[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679。
[3]資料來(lái)源：歐洲議會(huì)官網(wǎng)，Regulation for the Free Flow of Non-personal Data in the European Union，EB/OL，2019/5/31[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32018R1807。
[4]資料來(lái)源：歐洲議會(huì)官網(wǎng)，Data Act，EB/OL，2022/2/23[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN。
[5]資料來(lái)源：歐洲委員會(huì)官網(wǎng)，European Convention on Human Rights，EB/OL，1950/11/4[2023/8/18]，https://www.echr.coe.int/european-convention-on-human-rights。
[6]資料來(lái)源：OECD官網(wǎng)，Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，EB/OL，1980/9/23[2023/9/5]，https://www.oecd-ilibrary.org/science-and-technology/oecd-guidelines-on-the-protection-of-privacy-and-transborder-flows-of-personal-data_9789264196391-en
[7]資料來(lái)源：歐洲委員會(huì)官網(wǎng)，Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，EB/OL，1981/1/28[2023/9/5]，https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108。
[8]歐盟委員會(huì)（European Commission），是歐洲聯(lián)盟的常設(shè)執(zhí)行機(jī)構(gòu)，歐盟委員會(huì)主席由歐盟理事會(huì)和成員國(guó)政府首腦一起決定，并需要得到歐洲議會(huì)的贊成。
[9]資料來(lái)源：歐盟官網(wǎng)，Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，EB/OL，1995/10/24[2023/9/5]，https://edps.europa.eu/data-protection/our-work/publications/legislation/directive-9546ec_en。
[10]歐洲議會(huì)（European Parliament）是歐盟三大機(jī)構(gòu)（歐洲理事會(huì)、歐盟委員會(huì)、歐洲議會(huì)）之一，為歐盟的參與立法、監(jiān)督、預(yù)算和咨詢機(jī)構(gòu)。
[11]資料來(lái)源：歐盟官網(wǎng)，A European Strategy for data，EB/OL，2020/2/19[2023/9/5]， https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066。
[12]資料來(lái)源：Statista官網(wǎng)，Market capitalization of the largest internet companies worldwide as of April 2023，EB/OL，2023/4/18[2023/9/5]，https://www.statista.com/statistics/277483/market-value-of-the-largest-internet-companies-worldwide/。
[13]資料來(lái)源：Alphabet Annual Report 2023，EB/OL，2023/2/3[2023/9/5]，https://stocklight.com/stocks/us/services/nasdaq-googl/alphabet/annual-reports/nasdaq-googl-2023-10K-23583498.pdf。
[14]資料來(lái)源：境外媒體報(bào)道，EU Court Again Rules That NSA Spying Makes U.S. Companies Inadequate for Privacy，EB/OL，2020/7/16[2023/9/5]，https://www.eff.org/deeplinks/2020/07/eu-court-again-rules-nsa-spying-makes-us-companies-inadequate-privacy。
[15]https://app.cibresearch.com/shareUrl?name=402388a08a4f8a31018a6dc4dfe01b87
[16]資料來(lái)源：Synergy Research Group官網(wǎng)，Q1 Cloud Spending Grows by Over $10 Billion from 2022; the Big Three Account for 65% of the Total，EB/OL，2023/4/27[2023/9/5]，https://www.srgresearch.com/articles/q1-cloud-spending-grows-by-over-10-billion-from-2022-the-big-three-account-for-65-of-the-total。
[17]資料來(lái)源：Synergy Research Group官網(wǎng)，European Cloud Providers Continue to Grow but Still Lose Market Share，EB/OL，2022/9/27[2023/9/5]，https://www.srgresearch.com/articles/european-cloud-providers-continue-to-grow-but-still-lose-market-share。
[18]資料來(lái)源：EDPS官網(wǎng)，Opinion 17/2022，EB/OL，2022/8/9[2023/9/5]，https://edps.europa.eu/system/files/2022-08/22-08-09_edps_opinion_eu_japan_en.pdf。
[19]資料來(lái)源：歐盟官網(wǎng)，Adequacy decisions ，EB/OL，2023/9/5[2023/9/5]， https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#adequacy-decisions-latest。
[20]瑞士不是歐盟成員國(guó)。
[21]資料來(lái)源：歐盟官網(wǎng)，Commission Decision of 20 December 2001 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data provided by the Canadian Personal Information Protection and Electronic Documents Act ，EB/OL，2001/12/20[2023/9/5]， https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#adequacy-decisions-latest。
[22]資料來(lái)源：清華大學(xué)智能法治研究院，歐盟數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款（SCCs）綜述，EB/OL，2022/7/26[2023/9/5]， https://mp.weixin.qq.com/s/jtEeoJ3ZLfP8qek717DZyQ。
[23]資料來(lái)源：歐盟官網(wǎng)，Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union ，EB/OL，2019/5/29[2023/9/5]， https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2019:250:FIN。
[24]資料來(lái)源：中國(guó)商務(wù)部官網(wǎng)，2022年歐盟數(shù)據(jù)違規(guī)罰款總額翻倍至29億歐元，EB/OL，2023/2/15[2023/9/5]， http://ie.mofcom.gov.cn/article/jmxw/202302/20230203385050.shtml。
[25]資料來(lái)源：EDPB，Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service，EB/OL，2023/4/13[2023/9/6]，https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en。
[26]資料來(lái)源：信通合規(guī)，Meta因跨境傳輸數(shù)據(jù)被歐盟處罰12億歐元，EB/OL，2023/6/8[2023/9/6]，https://mp.weixin.qq.com/s/dtOXVdqArDSUT-wfCzOP0A。
[27]資料來(lái)源：EDPB，1.2 billion euro fine for Facebook as a result of EDPB binding decision，EB/OL，2023/5/22[2023/9/6]，https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en。