原创 | GDPR与PIPL下的中国企业数据跨境传输与存储法律风险概述

GDPR是指欧洲议会2018年5月25日通过的《通用数据保护条例》（General Data Protection Regulations），已在欧盟成员国内正式生效实施。GDPR被称为欧盟史上最为严厉的数据保护法律，其适用的范围宽、保护的数据类别多、约束的主体广泛。只要中国公司、网站与欧盟用户有所交集，拥有欧盟分公司，或与欧盟企业商业往来过程中发生了任何的个人数据跨境传输，GDPR即为必须遵循的法规。在GDPR框架下，企业确保数据的跨境传输符合立法要求的一个关键点在于遵守数据存储的原则，即GDPR所强调的数据最小化原则，企业应仅存储必要的数据，并采取合适的技术手段确保数据的安全性。同时，跨境存储个人数据时，企业需要确保数据得到有效保护，避免数据泄露、丢失等安全风险。

（一）GDPR中涉及数据跨境传输的核心内容

1. GDPR的保护范围

在GDPR中，只要是与个人识别相关的任何数据，几乎都被定义为个人数据并受到保护，包括但不限于姓名、身份证号、家庭住址、电子邮箱地址、电话号码以及任何可以单独或与其他信息结合识别个人的数据。此外，GDPR还区分了普通个人数据、敏感个人数据和特殊类别个人数据，其针对不同的数据类别提出了不同的保护要求。

2.GDPR对数据跨境传输的基本要求

根据GDPR的第44条，个人数据的跨境传输必须符合一定条件并配置相应保障措施，以确保数据在流动过程中依然能够保护个人的隐私权和数据安全。

充分性决定（Adequacy Decision）

如果欧盟委员会认为一个非欧盟国家提供的数据保护水平与欧盟法律水平相当，即作出该国的数据保护水平“充分”的决定，这意味着可以自由地将个人数据传输到该国。充分性决定是GDPR第45条中的一个关键概念。如果欧盟委员会对某个国家做出了“充分性决定”，那么数据可以在欧盟与该国之间自由流动，无需额外的法律保障措施。目前，欧盟已经与加拿大、日本等国家达成了充分性决定，但尚未与中国达成以上数据决定。

适当的保障措施（Appropriate Safeguards）

如果欧盟没有对特定国家、地区做出充分性决定，则一旦涉及个人数据的跨境传输，必须采取适当的保障措施以确保数据安全。GDPR第46条规定了几种适当的保障措施：（1）标准合同条款（Standard Contractual Clauses, SCCs），此为欧盟委员会批准的合同模板，数据控制者和处理者可以通过签署SCCs来确保跨境数据传输的安全。（2）绑定公司规则（Binding Corporate Rules, BCRs），这是跨国公司内部通过统一的隐私保护规则来处理跨境数据传输的机制。（3）认证机制（Authentication mechanism），即通过认证机制确保数据处理方的隐私保护符合欧盟要求。

《中华人民共和国个人信息保护法》（Personal Information Protection Law of the People's Republic of China，简称PIPL）自2021年11月1日起施行，是我国为了保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理利用而制定的法律。PIPL与我国《网络安全法》《数据安全法》并称中国数据合规领域的“三驾马车”。

（二）PIPL中涉及数据跨境传输的核心内容

1. 明确规定跨境传输的合法基础

PIPL第38条规定了个人信息跨境传输的基本框架，并且设立了明确的要求：

（1）数据主体同意：除法律或行政法规另有特殊规定或紧急情况外，个人信息处理者（类似于GDPR中的数据控制者）在进行跨境传输时，有义务向个人清晰、准确、完整地告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类，以及个人向境外接收方行使权利的方式和程序。此外，根据我国《个人信息保护法》第三十九条，个人信息处理者在向境外提供个人信息之前，需取得信息主体的单独同意。

（2）合规保障措施：对于跨境数据传输，企业必须采取合适的保障措施，确保数据传输后的安全性，防止泄漏、滥用等风险。

2. 跨境传输前必须进行安全评估

企业在进行跨境数据传输前，必须进行安全评估，检查和分析以下内容：接收国数据保护水平、跨境传输的风险、风险应对措施、评估是否有足够的技术和管理措施来应对潜在的风险，保证数据的安全。企业必须定期评估跨境数据传输的风险，并且向监管机构报告评估结果，确保持续符合合规要求。

3. 通过标准合同或其他合法机制保障合规性

PIPL第39条允许企业通过签订合同等方式确保数据跨境传输的合规性，包括以下几种合规机制：

（1）签署标准合同，即按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务

（2）个人信息保护认证，即企业可以通过向国家网信部门申请并获得个人信息保护的合规认证，以证明其已采取适当的数据保护措施。

（一）不履行合规义务的法律后果

1.高额罚款

根据GDPR的规定，若企业未依法采取完善的保障措施进行跨境数据传输，可能面临高达全球年营业额4%或2000万欧元的罚款（取其中较高值）。PIPL对未遵守跨境传输规定的企业，同样可以处以最高5000万元人民币的罚款（五千万元以下或者上一年度营业额百分之五以下罚款）。

2.数据泄露、被滥用等带来的民事纠纷

如果企业在数据存储和传输过程中未能保障数据的安全性，可能会导致数据泄露，影响企业声誉，并且可能因侵害个人权益而面临巨额赔偿责任。

3.因行政处罚导致业务中断

如果企业未能履行安全评估、合同保障等义务，可能被监管部门责令停止跨境数据传输、限期整改等，导致业务中断。

（二）严格的监管要求带来的合规风险

GDPR与PIPL都对跨境数据传输设定了明确且严格的标准，企业必须依法全面实施合规措施以确保数据传输的合法性。尤其是当数据传输至未被欧盟委员会判定具有“充分数据保护”的国家或地区时，企业必须采取有效的合规措施。

1.GDPR框架下的执行标准和风险

根据GDPR规定，任何数据传输到欧盟以外的国家或地区，必须确保数据传输的目的地提供与欧盟相当的保护水平。欧盟委员会依据各国数据保护法律、实践和执行情况，决定是否认定该国具备“充分保护”标准。如果数据传输目的地不符合“充分保护”标准（如中国），数据传输企业即应当采取其他有效的法律保障措施，如，数据传输双方可以签订欧盟委员会批准的标准合同条款，明确双方的法律义务和数据保护要求；企业可以通过实施内部约束性企业规则，确保在全球范围内实施一致的数据保护措施（如要求子公司、供应商等主体建立完整性、保护力度不低于数据传输主体的数据保护措施、承担不低于数据传输主体的保密义务）等。若企业不按照上述规定采取相应合规措施进行数据传输，将可能面临高额罚款、数据传输暂停等法律风险。

2.PIPL框架下的执行标准和风险

 PIPL要求中国企业在进行个人信息的跨境传输时，必须确保数据传输符合中国法律规定，并且保证数据的安全性和个人隐私不受侵犯。具体而言，根据数据量、数据类别等方面的不同，企业需要采取的合规措施包括但不限于：

（1）安全评估

企业必须对跨境传输的目的地国家的法律环境进行评估，确保目的地国家的数据保护措施符合法律要求。具体而言，建议企业根据国家互联网信息办公室发布的《数据出境安全评估申报指南》进行完整、充分的评估操作，并注意留存全套的评估文件以备核查。

（2）标准合同及个人信息保护认证

企业必须与接收方签署符合PIPL要求的个人信息出境标准合同，确保对方在数据处理时采取合理的技术和管理措施，保障数据的安全，或者在数据量、数据类别等方面存在法定的需要通过认证的情形时通过个人信息保护认证。

（3）备案监管

根据PIPL的要求，如果数据传输涉及大量个人信息，企业可能需要向监管机构（如国家网信办）进行备案，报告数据传输的具体情况。

企业经营者务必注意在实务操作过程中重视跨境数据传输中对目的地国家的合规评估、合同签署及备案要求，从而避免违反GDPR和PIPL要求产生的法律风险。

（三）跨境数据处理不当风险

无论是在跨境传输还是存储过程中，若企业未能采取有效的技术措施（如加密、访问控制、匿名化等），可能会导致数据泄露或被滥用。对于数据传输体量较大的企业而言，一旦发生数据被盗取、滥用情形时，可能侵犯个人信息主体数量极大，进而引发巨额民事赔偿风险。GDPR和PIPL都对数据泄露事件的处理设定了严格的规定，企业必须在规定时间内报告泄露事件，否则将面临严厉处罚。企业在处理跨境数据时，可能存在的问题包括：

1.外部访问屏蔽不足

如果企业没有对传输的数据进行严格的加密处理与外部访问屏蔽措施，黑客或未经授权的人员就可以通过中途截获或篡改数据，从而获取敏感的个人信息，造成泄露或滥用。

2.访问控制漏洞

如果企业未设立足够严格的权限管理系统，员工或外部第三方可能未经授权访问敏感数据，从而导致数据泄露。

3.匿名化缺失

在进行数据分析时，企业若未将数据匿名化处理，即使数据泄露，仍然能将数据与特定个人匹配，造成更严重的隐私侵害。

（四）未取得“数据主体同意”导致的合规风险

GDPR与PIPL都明确规定企业在收集和处理个人数据前，必须获得数据主体（即个人用户）的明确同意。但二者在同意的具体要求、敏感信息处理等方面设置了不同的标准。

1.GDPR的同意要求

根据GDPR第6条，企业在进行个人数据处理时，必须获得数据主体的明确同意，尤其是当数据用于跨境传输时。上述同意必须满足以下几个标准：

（1）明确，即用户必须清楚自己同意了哪些数据的收集和处理。

（2）知情，即企业必须向用户充分披露数据的处理目的、范围、使用方式、传输目的地等信息，确保用户在作出决定时具备足够的知情权。

（3）无误导，即用户的同意必须是自愿的，不能通过误导性手段或隐藏条款让用户“默认”同意。

（4）可撤回性，即用户有权随时撤回同意，而且撤回同意后，企业必须停止处理相关数据。

2.PIPL的同意要求

根据PIPL第三十九条，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。须注意的是，“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为。与之相对的概念是“一揽子同意”，即个人通过一次授权操作（例如在交互界面上主动勾选同意选项）来同意多种目的或方式的个人信息处理活动。单独同意须同时满足实质和形式的要求。在实质上，需满足我国《个人信息保护法》所规定的“知情”“自愿”“明确”三个要件，通过“不同意则无法使用”“与其他授权捆绑同意”等强迫或变相强迫取得的同意无效。在形式上，需以独立弹窗、页面，或者在隐私政策内突出文本等方式加以告知，并通过独立的弹窗、页面在告知用户后单独取得同意。

综上，企业在处理个人数据时，在取得数据主体的同意环节必须确保用户的同意是明确、知情且自愿的，这需要广大企业管理者关注告知内容的全面性、准确性、及时性，同时注意在更新隐私政策时，也需要重新告知数据主体数据处理和跨境传输的目的和风险。此外，对于敏感个人信息的收集和跨境传输，企业更需要注意以合规方式取得数据主体的单独同意。