范佳宜｜GDPR下对中国企业数据跨境合规的思考本文转自：上观范佳宜上海市

本文转自：上观
范佳宜
上海市海华永泰（武汉）律师事务所律师
要目
一、GDPR对于数据跨境的相关规则
二、中国现有涉及数据跨境的相关法律法规
三、针对企业数据合规的建议

文章图片

文章图片

2018年颁布的《一般数据保护条例》作为个人数据保护领域的一部重要的法律规定，有其非常典型的示范意义。受其域外适用效力的影响，全球范围内的众多跨国企业的数据合规都面临了较大的挑战。中国在数据安全领域同样出台了相关的法律法规及行业规则，通过这样的法律文本正在逐渐完善其相关的法律体系。中国在涉及数据跨境领域的法律法规与GDPR的要求，具有某种程度的一致性，同时也存在一定的差异。在这样的背景下，中国企业如何在数据跨境上实现合规是一个值得探讨的问题。

文章图片

文章图片

随着贸易全球化进程的推进以及技术手段的不断提升，数据早已成为一种重要的资源与生产资料，数据跨境活动作为连接组织维系全球的经济活动。跨境数据流动（Trans-border Data Flow ，简称TDF）概念首先由经济发展合作组织（简称经合组织）在《关于保护隐私与个人数据跨境流通的准则》采用。该准则是当时国际社会达成的第一份有关信息化背景下隐私保护和数据跨境流动的法律文件，在该文件中首次使用了跨境数据流动的术语。在该准则中，数据跨境流动被界定为个人数据的跨越国界流动。根据数据显示，数据的跨境流动在全球GDP增长中相较于货物贸易所占据的份额更大，并且无论是数据输出国或是数据输出国都在数据流中获益。但数据不同于传统的商品，作为一种传输的主体往往由于包含的内容而具有高度的敏感性，但正是因为这种敏感信息的存在决定了它所高度具有的商业价值。基于此，在数据传输领域，特别是数据的跨境流通过程中，如何在保障数据安全及实现数据自由流动之间寻求平衡对监管者来说是一个基本的话题。纵观全球涉及数据安全及数据保护的相关立法及司法实践，各国及地区基于自己的价值判断针对数据控制者或是数据处理者等数据相关人提出了相应的监管要求。
其中欧盟于2018年出台的《一般数据保护条例》（General Data Protection Regulation ，简称GDPR）因其典型性受到了全球瞩目。欧洲通过GDPR正在实现其数字单一市场的建设，同时通过GDPR的域外适用效力将与市场有关的社会和经济政策及监管措施外部化，对全球的数据监管产生了深远的影响。通过这样的制度设计，欧盟在向其他国家及地区输出其标准，并在国际标准的制定的竞争上取得了先机。鉴于此，本文将就GDPR中关于数据跨境的相关规定作一定的介绍，分析我国现有的关于数据跨境流动的相关法律规定，并探讨中国企业如何在数据跨境上进行数据合规。
一、GDPR对于数据跨境的相关规则
从GPDR的章程设置上来看，共11章99个条款，其中第5章第44条至50条涉及个人数据跨境流动的具体规则。通过这些条款， GDPR为个人数据跨境流动及传输确立了基本原则，同时也对数据跨境的流程做出了规定。GDPR对于企业的不合规行为设置了高额的处罚机制，并且近年来其执法案例所给出的处罚金额也是不断攀升，这对企业的合规工作而言极具挑战，但从另一方面说，也为企业合规提供了相应的动力。企业作为数据传输的主体要做到合规，首先必须对相关的规则进行深入的了解。