作者丨周洋 董昱辰

一、中国企业出海欧洲的跨境数据传输合规挑战

2026年6月3日,爱尔兰高等法院就X v Data Protection Commission一案[1]作出判决,基本维持了爱尔兰数据保护委员会(DPC)此前关于X公司跨境数据传输违规的认定。[2]DPC认为,X公司允许中国境内人员远程访问欧盟经济区(EEA)用户数据的行为构成向第三国传输个人数据,且未能证明其标准合同条款及补充保护措施足以使相关数据获得与欧盟法下实质等同的保护水平,因此认定其违反《通用数据保护条例》(GDPR)第46条及第13(1)(f)条规定。

X公司在欧盟跨境数据传输问题上面临的困境并非孤例。2025年1月,隐私组织noyb针对中国企业采取大规模行动,向欧盟五国数据保护机构提出六项投诉,指控某米、某信等6家中国企业非法将欧盟用户数据传输至中国。[3]

可见,跨境数据传输合规已成为中国企业出海欧盟的“必考题”。更棘手的是,在欧盟监管视角下,中国企业似乎已被打上“高风险”标签,即便签署了标准合同条款、采取了数据保护技术措施,仍不足以证明达到不低于欧盟水平的充分保护。根据笔者与欧洲同行的交流,在欧盟数据保护当局的官方措辞背后,真正的疑虑可能不在于是否采取了数据安全技术保障措施,而在于对中国数据保护法律环境的怀疑,进一步而言是对中国国家机关从企业获取来自欧盟的个人数据的担忧。

二、中国企业为何需要“自证”

1. 跨境数据传输合规问题如何被触发

GDPR主要适用于两类情形[4]:(1)在欧盟境内设立机构,且相关个人数据处理活动发生在该机构活动范围内;(2)虽未在欧盟境内设立机构,但向欧盟境内数据主体提供商品或服务,或者对欧盟境内数据主体的行为进行监测。在此基础上,若相关个人数据被传输至EEA以外的国家或地区,则需遵循有关跨境数据传输机制。[5]

上述规则意味着,触发GDPR及其跨境数据传输机制的场景不仅限于“在欧盟设立子公司”或“将数据传回中国”等传统情形;未在欧盟境内设立实体但通过网站、App直接收集欧盟用户个人数据,以及自中国境内远程访问存储在欧盟境内的数据,亦会被纳入GDPR监管范畴。

2. 面向“白名单”以外国家的跨境数据传输机制

在GDPR框架下,充分性认定[6](adequacy decision)是最直接的数据传输机制。对于获得充分性认定的国家和地区,欧盟委员会已经认可其能够提供GDPR所要求的充分保护,因此在EEA范围内的国家或地区可以自由向其传输个人数据,无需逐案论证保护水平。然而,中国并不在这一信任“白名单”上。在缺乏充分性认定的情况下,中国企业通常需要依赖适当保障措施[7](appropriate safeguards),例如标准合同条款(SCC)、约束性公司规则(BCR)跨境传输数据。只有在既无充分性认定、又无法适用适当保障措施的特定情形下,才进一步考虑“数据主体明确同意”“重要公共利益所必须”等特定例外情形(derogations for specific situations)。

值得注意的是,采取适当保障措施并不等同于实现了充分保护。基于欧盟法院(Court of Justice of the European Union,CJEU)Schrems II判决要旨[8]及欧洲数据保护委员会(European Data Protection Board,EDPB)出台的官方指引[9],企业仍需评估数据接收方所在国家/地区的法律环境,如评估发现单纯依赖SCC或者BCR无法在数据传输目的国提供“实质等同”的保护,企业必须采取“补充措施”(supplementary measures)(例如强加密等)。如果采取补充措施仍无法保障,则必须暂停或终止数据传输。

3. 全面把握“充分保护”要义

GDPR项下跨境数据传输机制的核心并非限制个人数据离开欧盟经济区,而是确保个人数据在传输至第三国后,仍能获得不低于欧盟水平的充分保护(adequate level of protection)。所有跨境数据传输机制均服务于同一目标,即防止GDPR所保障的个人数据保护水平因跨境传输而被削弱。[10]

这一要求的法理逻辑在于,无论数据位于何处,欧盟提供的数据保护应一直延续。个人数据在欧盟境内会受到GDPR下合法性、目的限制、数据最小化、数据主体权利等制度性保护。数据一旦被传输至第三国,原有法律环境、监管机制和救济路径可能发生变化,因此企业需要证明相关数据在第三国接收、访问或处理仍能获得与欧盟法实质等同的保护(essentially equivalent protection)。

4. 数据接收方法律环境比技术保障措施更值得关注

跨境数据传输机制和技术保障措施是论证“充分保护”的重要维度,但并非充分条件。2020年,欧盟法院在Schrems II案[11]中明确指出,SCC的有效性受到数据接收国法律环境的影响——当第三国法律允许其权力机关干涉个人数据时,SCC本身可能不足以在实践中有效保护传输至该第三国的个人数据。由此,企业还需在此基础上进行数据跨境传输影响评估(TIA),重点对数据接收国的法律环境作出实质性评估。这一审查逻辑也反映出欧盟监管当局对中国等非“白名单”国家法律环境的深层疑虑。

三、讲好中国故事:数据接收方法律环境是“自证”关键

1. 中国法保护来自境外的数据

在中国法下,数据主体享有广泛的权利与保障。在数据处理活动中,《个人信息保护法》赋予个人信息主体知情权、更正权、删除权等核心权利,[12]这与GDPR项下数据主体权利具有高度对应性。

需要说明的是,中国数据保护法的适用对象并不限于本国公民数据。根据《个人信息保护法》确立的属地管辖原则,在中国境内处理自然人个人信息的活动,无论信息主体为何国公民,均适用该法。由此,欧盟用户个人数据进入中国法域并在中国境内处理时,同样受到中国法的管辖与保护。

2. 以比较的方法介绍中国数据保护法律体系

当前,中国数据保护法律体系已形成以《网络安全法》《数据安全法》和《个人信息保护法》为基础的基本框架,同时通过行政法规、部门规章及国家标准等方式,进一步细化网络安全等级保护、数据分类分级、个人信息主体告知同意等具体要求,形成了覆盖法律规则、监管措施和技术标准的数据保护规则体系。

在许多实质性规则上,中国与欧盟的思路不谋而合。《个人信息保护法》与GDPR均明确要求处理个人信息的合法性基础,并强调目的限制与数据最小化;在个人信息跨境流动方面,中国法下的个人信息出境标准合同、个人信息保护认证、安全评估等机制,与GDPR项下的标准合同条款、约束性公司规则等跨境传输机制,都体现了通过合同约束、事前评估降低跨境数据流动风险的制度思路。由此,如欧盟用户个人数据被中国境内主体接收、访问或处理时,其数据并非进入“保护真空”,而是进入一个有规则、有边界、可预期的保护框架之中。

3. 中国国家机关访问企业数据的有限适用场景与正当性

不可否认的是,在涉及国家安全、情报、反恐、反间谍、犯罪侦查等特定公共利益场景下,中国法规定了企业的配合义务。《国家安全法》《国家情报法》《反恐怖主义法》《反间谍法》等国内法均要求企业在公安机关、国家安全机关依法履职时提供必要协助。[13]这也正是欧盟监管当局在评估第三国法律环境时关切的核心场景,即数据接收方是否可能因本国法律义务而向国家机关提供数据,从而影响其履行GDPR项下的数据保护义务。

基于特定目的向国家机关提供数据的安排并非中国独有。在其他主要法域中,国家机关亦可基于类似公共目标要求企业配合提供相关数据。例如,美国CLOUD ActClarifying Lawful Overseas Use of Data Act,《合法使用境外数据澄清法案》,简称CLOUD ACT或“云法案”)允许执法机关在法定程序下要求电子通信服务提供商披露其控制范围内的数据,且不以数据存储于美国境内为前提。[14]英国《调查权力法》(Investigatory Powers Act)同样允许执法机关在法定程序下获取通信数据。[15]而欧盟自身也已通过《电子证据条例》(EU 2023/1543),允许欧盟成员国司法机关直接向其他成员国相关数据提供方发送获取用户数据、交易和内容数据等电子证据的强制性司法指令。可见,国家机关基于国家安全等正当目的获取企业持有或控制的数据是各国普遍存在的制度安排。问题的核心关切不应在于该制度的存在本身,而在于相关国家/地区是否建立了完善的程序及司法监督机制,确保公权力在调取数据时受到正当法律程序与比例原则的约束限制,平衡国家安全与个体隐私权利保护。

4. 中国法下国家机关访问企业数据受到严格限制

现行中国法并未赋予国家机关不受限制的数据访问权。即便在国家安全、情报、反恐、反间谍等特定公共利益场景下,国家机关对企业数据的访问仍受到目的性、必要性、权限范围、程序要求、保密义务和行政法救济等多重约束。

在目的性和必要性限制方面,《国家安全法》等强行法本身便以国家安全目的为适用前提,并要求尊重和保障个人及组织合法权益。[16]《国家安全法》第二条中也对国家安全有明确的界定,指“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。”可见,中国法项下所界定的国家安全事由具有特定性,并通过法律定义限定了国家安全概念被泛化或宽泛解释的边界,限制了将一般商事行为或常规商业数据任意纳入“国家安全”范畴的可能。因此,强行法项下的协助义务并不构成国家机关持续性、普遍性访问企业数据的依据。

在权限和程序限制方面,相关强行法本身明确要求国家机关不得超越法定权限、滥用职权,[17]数据保护法律体系和刑事取证规则也进一步对数据调取、个人信息处理和电子数据取证设置了程序要求:因维护国家安全或侦查犯罪需要调取数据的,须经严格批准手续;为履行法定职责处理个人信息的,则应遵循法定权限和程序,并根据法定情形履行告知义务;涉及查验电子设备的,应当履行批准、出示证件及制作笔录等程序;涉及刑事案件电子数据取证的,还应制作调取通知书、笔录和清单等记录。[18]

对于依法获取的数据,国家机关及其工作人员仍负有保密义务。对于在履职过程中知悉的商业秘密、个人隐私和个人信息,应当依法予以保密,不得泄露或者非法向他人提供。[19]

救济层面,行政法体系为国家机关访问企业数据提供了外部监督和权利救济路径。若国家机关或其工作人员违法获取、使用相关数据,相关主体可根据具体情形依法申请行政复议、提起行政诉讼或请求国家赔偿。[20]

四、合规建议

面对欧盟跨境数据传输监管,中国企业不能只依赖单一合规动作,而应围绕“充分保护”要求建立一套可说明、可验证、可追溯的综合证明体系。

1. 充实评估报告和合同文件中数据接收方法律环境章节以增加透明度

为了论证相关个人数据在被中国境内主体接收、访问或处理后仍能获得不低于欧盟水平的保护,企业可以在DPIA、TIA以及SCC等合规文件中,强化对中国数据保护法律环境的说明,论证相关数据处于有规则、有边界、有救济的安全环境之中。

对法律环境的说明不宜仅停留在“中国法如何规定”的抽象描述,还需进一步回答“这些规则如何适用于本企业的具体传输场景”。企业可结合自身具体数据传输安排,对相关法律环境进行场景化说明。例如,在DPIA中,企业可以结合行业属性和数据类型,说明自身仅涉及运营维护、售后服务等一般商业场景,不涉及国家安全、反恐等高敏感场景,因而被国家机关依法调取相关数据的可能性较低;在SCC中,则可以进一步明确自身在所处法律环境下的具体义务,如限制再转移、履行通知义务并保存处理记录等。

2. 通过第三方法律意见和/或专家意见增强说服力

在企业自身合规文件之外,法律意见书、专家意见等外部专业意见可以为证明“充分保护”提供更具中立性的论据。与企业自身说明相比,外部专业意见的价值在于以相对独立的第三方视角,对中国法律环境进行客观分析,并进一步说明该等法律环境是否会影响相关跨境传输安排下的数据保护水平。

在一般性的法律介绍基础上,专家意见可结合企业具体业务场景、数据类型及企业已采取的技术措施展开分析,说明相关数据在被中国境内主体接收、访问或处理后,是否仍能获得充分保护。在客户问询、合同谈判或监管沟通中,外部意见也可以与DPIA、TIA等企业内部合规说明相互衔接、印证,增强“充分保护”论证的完整性和说服力。

3. 通过ISO国际认证增强公信力

除法律环境的宏观论证外,数据保护认证可以从第三方审核角度证明企业在操作层面已建立可验证的数据保护管理体系。目前已有多种认证路径可供中国企业选择。例如,Europrivacy作为首个获得EDPB批准的欧盟数据保护印章认证,已在全部30个欧洲经济区成员国获得承认,中国企业可通过该认证增强其处理活动符合GDPR要求的证明力;ISO/IEC 27701隐私信息管理体系认证由国际标准化组织(ISO)与国际电工委员会(IEC)联合发布,以ISO/IEC 27001为基础,企业通过该认证可作为其已建立覆盖数据全生命周期隐私保护体系的客观证据。

数据保护认证与法律意见在“充分保护”论证中可形成互补:后者说明宏观上“中国法律环境是否具备充分保护能力”;前者回答微观上“该中国企业是否已将法律要求内化为管理体系并达到国际公认的保护标准”。二者结合,可以从制度环境到企业实践形成完整的论证链条。

4. 通过组织和技术架构从根本上降低跨境数据传输合规风险

对于数据规模较大、业务敏感度较高,或面向欧盟市场提供平台服务、社交媒体、人工智能等高关注度业务的企业而言,可以进一步考虑通过部署海外数据中心、设立欧盟本地运营团队、委托第三方数据托管等方式,缩小中国境内主体接触欧盟个人数据的范围和频率。

该等安排通常成本较高,但其优势在于从组织和技术架构层面对“中国访问”进行隔离,将数据存储、访问审批、安全审计等关键环节置于更可控、可验证的机制之下。相比企业自身文件说明和外部意见,部署海外数据中心、委托第三方托管等安排可以更直观地证明企业已从源头降低跨境访问数据风险,从而显著增强“充分保护”论证效果。

五、总结

对于出海欧盟的中国企业而言,跨境数据传输合规的难点已从“应当采取哪些措施”转向“如何证明充分保护”。在中国尚未获得欧盟充分性认定的背景下,数据接收方法律环境、尤其是国家机关访问数据场景的正当目的、普遍实践与严格限制,将成为证明“充分保护”的核心维度。中国企业需要证明的不只是已签署标准合同条款或采取技术保障措施,更是相关数据在中国法律环境下受到有规则、有边界、有救济的保护。如何充分论述中国数据保护法律环境及其在具体跨境数据传输场景中的应用,是中国企业处理欧盟数据跨境传输合规工作的关键。

[注]

[1] X Technology Limited & Anor v Data Protection Commission, [2026] XXX, High Court of Ireland, 3 June 2026.

[2] Data Protection Commission, Inquiry into X Technology Limited, Decision of 2 May 2025.

[3] noyb, X et al. surrender Europeans’ data to authoritarian China, 16 January 2025.

[4] GDPR Article 3.

[5] GDPR Chapter V.

[6] GDPR Article 45.

[7] GDPR Article 46.

[8] See Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, ECLI:EU:C:2020:559, para. 135 (July 16, 2020).

[9] European Data Protection Board, Recommendations 01/2020 on Measures That Supplement Transfer Tools to Ensure Compliance with the EU Level of Protection of Personal Data, version 2.0 (18 June 2021), https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[10] GDPR Article 44.

[11] See Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, ECLI:EU:C:2020:559, paras. 132-135 (16 July 2020).

[12] 参见《个人信息保护法》第四章。

[13] 参见《国家安全法》第77条、第79条,《国家情报法》第7条,《反恐怖主义法》第18条,《反间谍法》第26条。

[14] 18 U.S.C. § 2713; Clarifying Lawful Overseas Use of Data Act.

[15] Investigatory Powers Act 2016, Sections 11, 61, 81, 87.

[16] 参见《国家安全法》第1条、第7条,《国家情报法》第1条、第8条。

[17] 参见《国家安全法》第13条,《国家情报法》第19条,《反恐怖主义法》第94条,《反间谍法》第11条。

[18] 参见《数据安全法》第35条,《个人信息保护法》第34条、第35条,《反间谍法》第25条,《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第13条至第15条。

[19] 参见《数据安全法》第38条。

[20] 参见《行政复议法》第2条,《行政诉讼法》第2条,《国家赔偿法》第2条。

作者简介

周洋 律师

上海办公室 合伙人

业务领域:网络安全和数据保护,跨境投资并购,合规和调查

行业领域:电信和信息,智能技术和应用,医药和生命科学

董昱辰

上海办公室 知识产权部

声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。