2024年7月22日，荷蘭數據保護機構（AutoriteitPersoonsgegevens，下稱“AP”）基于歐盟《一般數據保護條款》（下稱“GDPR”）的規定發布一項最終調查決定[1]，該決定對某全球網約車服務運營商（下稱“U公司”）處以2.9億歐元罰款，原因在于U公司未能根據GDPR第五章有關個人數據跨境傳輸的合規要求向歐盟境外傳輸司機的個人數據。本次案件作為2024年期間就違規跨境傳輸個人數據活動施加最高處罰力度的案件，自處罰決定發布之日起即引起了全球范圍內的廣泛關注，同時也為各個司法轄區內開展數據跨境傳輸活動的企業敲在此，本文擬從本案件所涉及的事實背景、核心爭議焦點說開去，以近距離觀察GDPR中有關數據跨境傳輸的合規要求在實踐環境中的演繹與歐盟數據保護機構的執法思路，并再度思考與展望中國有關數據跨境治理路徑的一、U公司違法開展個人數據跨境傳輸活動的基本事實與核心爭議點（一）U公司違法跨境傳輸司機個人數據的案件背景根據AP發布的關于處罰U公司的最終決定內容，本次案件所涉及的詳細事實背景為：位于荷蘭的A公司于2021年8月6日至2023年11月27日期間，在既未簽署標準合同條款（StandardContractualClauses，下稱“SCC”）且尚未加入“歐盟-美國數據隱私框架（EU-USDataPrivacyFramework，下稱“DPF”）”的基礎上，向位于美國境內B公司（A公司與B公司合稱為“U公司”）傳輸了來自歐盟境內的司機的個人數據，該等個人數據包括司機的賬戶信息、車輛執照信息、位置數據、照片信息、支付信息、身份證件信息、犯罪記錄以及醫療數據身份信息等數據，用于分析司機行為并給予經濟激勵。AP認為，A公司與B公司沒有根據GDPR第五章第44條、第46條與第49條的要求對個人數據跨境活動采取適當的保護措施的事實情況，已經構成對GDPR的違反情形，故根據GDPR第83條規定的罰金計算標準（違規企業上一財政年度全球年營業額總額4%）以及歐盟數據保護委員會（下稱“EDPB”）發布的第04/2022號《關于GDPR下行政罰款計算的指南V2.1》指南，AP最終決定對A公司與B公司處以2.9億歐元罰款。本案的起因最初來源于法國數據保護機構（下稱“CNIL”）收到的、來自非政府組織代表的170余名U公司司機提出的投訴。但是，根據GDPR有關確定領導性監管機構（LeadSupervisoryAuthority）的規定以及歐盟“一站式監管（On-Stop-Shop）”要求，由于A公司應當被視為U公司在歐盟境內的中央管理機構（CentralAdministration）與主要營業機構（MainEstablishment），故該案件被進一步轉移至AP進行調查，并由值得說明的是，自2020年7月16日歐盟法院公布了其對數據保護專員訴臉書愛爾蘭有限公司MaximilianSchrems案（C-311/18）（SchremsII案）的判決后，“歐盟-美國隱私盾（theUSPrivacyShield）”則被宣布無效，而該隱私盾曾是保障個人數據自歐盟向美國公司進行自由流動的主要數據傳輸機制之一。因此，如果相關主體擬從歐盟向美國境內跨境傳輸數據，則必須以另辟蹊徑的方式采取足夠的額外措施以確保數據處于與GDPR同等的保護水平下。我們理解，目前可選的合規路徑主要包括由相關美國公司通過向美國商務部遞交申請而獲得DPF認證，以及由數據出口方與數據進口方簽署SCC。（二）案件核心爭議點介紹我們理解，本案在調查與審理的過程中，主要涉及三個爭議焦點，分別圍繞GDPR第五章有關個人數據跨境傳輸合規要求的適用性、A公司與B公司之間是否存在受管制的數據跨境傳輸活動，以及U公司是否可以根據“履行合同所必須”而適用于GDPR第49條所規定的克減條款（DerogationsforSpecificSituations）。1.GDPR第五章有關跨境傳輸個人數據的合規要求是否適用于U公司GDPR第三條規定了GDPR的適用范圍，簡言之，在歐盟設立實體的數據控制者或處理者在開展業務過程中所進行的個人數據處理活動（不論是否在歐盟境內進行），以及在歐盟境外開展的、以向歐盟境內個人提供商品、服務或監控個人為目的的個人數據處理活動均受到GDPR的管轄。此外，GDPR第五章則規定了自歐盟境內向境外跨境傳輸個人數據所應當滿足的系列合規要求，包括但不限于僅能向充分性決定下的司法轄區傳輸數據，或為數據跨境傳輸活動提供適當的保護措施，如簽署歐盟委員會發布的SCC、制定有約束力的公司準則（Binding首先，A公司與B公司在U公司APP的隱私政策中表明雙方為司機個人數據處理活動在歐盟的共同控制者，位于美國境內的B公司認可自身將根據GDPR第三條的域外適用條款而直接受到GDPR的管轄，進而應當履行GDPR所提出的個人數據保護義務。在此基礎上，U公司認為，GDPR第五章所提出的有關數據跨境傳輸的合規義務實際上應當只適用于那些無法根據GDPR第三條的規定而受到GDPR規制的數據處理活動，從而確保GDPR對個人數據所提供的保護不會因為相關數據被跨境傳輸至第三方國家而遭受減損。此外，U公司認為，GDPR第三條與第五章同時適用的結論將導致歐盟違反其國際義務，例如根據WTO協議，歐盟成員國不得對非歐洲實體施加比歐洲實體更為不利的待遇。因此，U公司認為，由于GDPR第三條與GDPR第五章并不能同時適用，故U公司不應當承擔GDPR第五章下有關個人數據跨境傳輸的合規義務。對于U公司的上述論點，AP并不認同，原因在于：一方面，雖然GDPR的合規義務適用于所有落入GDPR第三條管轄范圍內的個人數據處理活動，但是這仍不能保證實際發生在歐盟以外的數據處理活動均可以在GDPR的保護水平下進行。因此，GDPR第五章有關數據跨境傳輸的合規要求正是旨在把GDPR對于個人數據的保護要求延伸至歐盟以外的第三國，其應當被視為是GDPR第三條的補充而非重復性適用。另一方面，EDPB也認為，關于GDPR的適用是指其全部條款的適用，包括關于數據跨境傳輸的特殊要求。因此，U公司有關GDPR第三條與GDPR第五章并不能同時適用，U公司不應當承擔GDPR第五章下有關個人數據跨境傳輸的合規義務的觀點不能2.U公司是否存在跨境傳輸個人數據的活動根據EDPB所發布的第05/2021號《關于GDPR第三條的適用與GDPR第五章關于國際傳輸的規定之間的相互作用》的指南，構成個人數據跨境傳輸需要符合如下三個條件，簡言之即：相關數據控制者或處理者作為數據出口方（DataExporter），需要受到GDPR的管轄；數據出口方通過傳輸或其他方式向其他控制者、共同控制者或處理者（數據進口方，DataImporter）披露個人數據，以供數據進口方進行使用；數據進口方位于第三國，無論該數據進口方是否受到GDPR管轄。在本案中，根據上述EDPB有關個人數據跨境傳輸的認定標準，U公司認為，由于相關個人數據是由司機通過其個人的設備向位于美國的服務器直接提供，該數據流應當被視為是在自助環境（Self-serviceEnvironment）中進行，中途不涉及A公司及其員工的任何干涉與影響，因此，A公司實際上沒有作為數據出口方向境外傳輸數據，此外，A公司也不應當只因為作為共同的控制者即被視為開展了數據跨境傳輸活動。但是，AP并不認同U公司的上述觀點，原因在于：一方面，在本次案件中，數據出口方的定義不能被進行狹義化的（Restrictive）理解，否則將會導致從歐盟出境的司機個人數據無法得到充分的保護，也無法貫徹GDPR有關對境外數據依然提供高水平保護的立法初衷。另一方面，就歐盟境內司機向位于美國的服務器上傳其個人數據的行為而言，無論司機是在注冊或使用U公司APP的階段，這些個人數據提供的行為實際上都是基于與之締結合同的A公司的實質性要求、通過已經設定好相關功能的U公司APP進行，對此，司機對于是否愿意提供以及提供何種個人數據而言并無任何自主權，故司機并不能被視為是自身個人數據的控制者。在此基礎上，U公司應當對通過U公司APP所開展的數據跨境傳輸活動承擔責任，具體而言，在司機通過位于歐盟境內的設備上的U公司APP向位于美國的服務器傳輸數據的過程中，A公司應當被視為是數據出口方，位于美國B公司則應當被視為是數據進口方，而U公司APP本身也應當被視為本次數據跨境傳輸的技術工具（TechnicalTool）。3.U公司是否可以基于“履行合同所必需”適用于數據跨境傳輸的克減條款根據GDPR第49條的規定，在無法根據GDPR第45條所規定的充足保護決定或GDPR第46條所規定的適當安全措施作為個人數據跨境傳輸的合規路徑時，將個人數據轉移到第三國可以GDPR第49條所提出的“履行合同所必需”作為豁免情形，具體是指：1）個人數據跨境傳輸活動對于履行數據主體與控制者之間的合同，或者滿足數據主體在簽訂合同前所提出要求具有必要性；以及2）控制者和另一自然人或法人之間簽訂或履行合同時，個人數據跨境傳輸對于實現數據主體的利益具有必要性兩種情形。基于上述規定，U公司認為，即便A公司開展了個人數據跨境傳輸活動，但一方面，該個人數據跨境傳輸活動的目的實際上是為了履行與U公司司機所締結的協議，該協議約定了U公司必須履行向司機提供承運訂單等合同義務；另一方面，A公司與B公司實際上就雙方之間的數據共享活動簽署了數據共享協議（DataSharingAgreement），該數據共享協議促進了U公司對于司機個人數據以及個人數據權利的保護，因此屬于為維護司機權益而締結的合同。因此，基于U公司與司機之間達成的協議以及數據共享協議，向境外跨境傳輸司機個人數據均應當被視為履行合同所必需。對于U公司的上述論據，AP從更加客觀的角度提供了解構的思路。AP認為，“履行合同所必需”中的“必要性”應當被加以更加客觀（Objective）的考量，在此基礎上，“履行合同所必需”實際上并不等于有助于履行合同（ProcessingisUsefulfortheContract），亦不等同于僅存在事實上的合同約定。為了論證數據處理活動對于履行合同而言具有必要性，控制者必須證明如果沒有相關的數據處理活動，則合同的核心目的即無法實現。因此，“履行合同所必需”的數據處理活動需要與實現相關合同的本質性目的直接相關，例如，本處最典型的示例仍是旅行社基于為旅客預定境外酒店的約定而向境外傳輸個人數據的情形。因此，AP認為，無論是基于U公司與司機之間的合同約定，還是為了履行A公司與B公司之間簽署的數據共享協議，前述理由都不足以支撐需要將司機的個人數據跨境傳輸至歐盟境外的必要性。值得說明的是，AP在本次案件中說明，為實現商業目的，相關商業集團將個人數據集中在特定第三國進行處理本身即欠缺一定必要性，我們理解，實踐中，該觀點可能會對大多數基于集團統一管理而未開展數據本地化部署的跨國公司帶來合規壓力。從上述案件事實與爭議焦點可以看出，本次案件中，歐盟數據保護執法機構通過對GDPR第五章對歐盟境外企業的適用性、數據跨境傳輸活動的認定標準以及“履行合同所必需”如何作為數據跨境傳輸合規義務豁免前提這三個議題進行討論，直觀地展現歐盟以個人數據權利保護為中心，強調與試圖擴展GDPR的域外適用效力以營造空間意義上的“同等保護水平”的執法理念。該案件賦予了GDPR個人數據跨境傳輸合規機制更為明確的應用標準，具有為企業提供直觀數據跨境傳輸合規指南的價值。二、再觀中國數據出境治理機制的發展脈絡通過觀察本次U公司處罰案例，我們理解歐盟監管機構實際上是就U公司在2021年8月6日至2023年11月27日期間存在的一段“合規真空”狀態的數據出境活動進行了查處，從中窺見歐盟地區對于企業數據跨境進一步加強監管的態勢。這一方面可能預示著歐盟地區后續對于企業數據跨境監管的執法態度將更加強硬，另一方面也為各涉及出海業務的企業進一步敲響了警鐘。從中國有關數據跨境傳輸的執法現狀來看，盡管目前我們尚未通過公開渠道了解到中國監管部門對于存在與U公司類似“合規真空”情況的企業給予了處罰，但是，未來中國對于企業數據跨境合規的監管將何去何從，是否也將效仿歐盟對于“合規真空”狀態下的數據跨境情況進行追查，這也引發了我們的思考。從中國當前的數據跨境治理規則框架來看，當前中國對于數據跨境流動的治理對比歐盟地區已呈現出一定差異，下文將進一步梳理中國近年來對于數據跨境監管規則的演變，并試圖從中總結未來中國數據跨境合規監管（一）中國有關數據出境活動的認定標準與監管要求概述自中國《數據安全法》及《個人信息保護法》生效以來，中國對于數據跨境傳輸活動的監管要求逐漸趨向明確。根據中國當前的法律法規要求，“數據出境”指的是數據處理者將在中國境內運營中收集和產生的數據傳輸至境外，或者數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出的兩種情形。值得注意的是，根據國家網信辦此前發布的《數據出境安全評估申報指南（第二版）》，符合《個人信息保護法》第三條第二款[2]情形，在境外處理境內自然人個人信息等的其他數據處理活動，也被納入為“數據出境行為”的范疇。因此，如涉及上述三種情形之一的中國企業，則需按照《個人信息保護法》《數據出境安全評估辦法》《個人信息標準合同辦法》以及國家網信辦于2024年3月發布的《促進和規范數據跨境流動規定》（下稱“《數據跨境新規》”）履行相應的合規義務。具體而言，如果涉及關鍵信息基礎設施運營者向境外提供重要數據或個人信息，或者非關鍵信息基礎設施運營者向境外提供個人信息達到一定規模的，則需要通過所在地省級網信部門向國家網信部門申報數據出境安全評估。如不涉及關鍵信息基礎設施運營者、重要數據且向境外提供個人信息未達到一定規模的，則需與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。根據《數據跨境新規》，關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。根據我們的經驗，實踐中大部分涉及數據跨境傳輸活動的企業都涉及因達到上述閾值而需要履行個人信息出境標準合同備案義務。如上所述，從本次U公司處罰案例來看，A公司正是因為被認定為在一段“合規真空”期間內、由于未與B公司簽署歐盟SCC的情況下向B公司跨境傳輸歐盟境內司機的個人數據而被給予處罰。但就當前中國境內的執法情況而言，經公開渠道檢索，我們理解目前尚未出現中國監管部門就應簽署中國個人信息出境標準合同而未簽署的企業給予了相關行政處罰的案例。但隨著中國數據跨境監管機制趨向成熟，未來中國監管部門對于相關企業的數據跨境“合規真空”情況是否會做出處罰，目前仍不明朗。（二）以安全促發展：趨于精細化管理的中國數據跨境監管機制通過觀察中國近年來的數據跨境管控機制發展脈絡，我們可以發現當前該機制已然趨向于追求數據安全與經濟發展的動態平衡。隨著《數據安全法》以及《個人信息保護法》相繼出臺并生效，我國數據跨境制度的基本法律框架得以進一步厘清。2022年7月，《數據出境安全評估辦法》正式頒布，明確了應當申報數據出境安全評估的情形，并進一步明確了“自評估——申請評估——重新申報評估”的評估流程框架。2023年2月，《個人信息出境標準合同辦法》正式出臺，該辦法規定了個人信息出境標準合同的適用范圍、訂立條件和備案要求，明確了標準合同范本，為向境外提供個人信息提供了具體指引，也進一步與《個人信息保護法》提出的個人信息保護影響評估義務呼應。值得一提的是，與歐盟GDPR框架下的SCC條款類似，中國的個人信息出境標準合同制度也要求適用于該合規路徑的個人信息處理者按照標準合同條款與境外接收方訂立《個人信息出境標準合同》，明確雙方的數據安全保護責任義務。這些義務包括數據出境的目的、方式、范圍，境外接收方處理數據的用途、方式，數據在境外的保存地點、期限，以及在數據安全事件發生時的應急處置要求等。不過，中國個人信息出境標準合同比照歐盟SCC仍有自己的特色，例如：我國個人信息出境標準合同并未就個人信息跨境場景下數據出境方與境外接收方所形成的數據處理法律關系做進一步劃分，而是以統一將數據出境方歸納為“個人信息處理者”、數據進口方定義為“境外接收方”的方式作為參與數據跨境傳輸活動的基本角色，對締約雙方在個人信息跨境過程中所享有和承擔的權利義務進行了一致性的規定。此外，我國網信部門對個人信息出境標準合同的備案更多被視為一種形式審查機制，其主要目的在于為監管部門后期開展數據跨境治理鋪墊基礎。但就當前的監管實踐來看，網信部門除形式審查外，還會對個人信息處理者就個人信息跨境活動獲得個人主體的單獨同意情況進行審查并給予相關指導。有關中歐個人信息出境標準合同的對比分析，讀者可進一步參閱我們此前文章《映日荷花別樣紅——中歐個人信息出境標準合同（條款）對比分析》。結合上述兩部規章發布后的監管落地實踐情況，以及基于“以安全促發展”的理念，經過中國近年對數據出境安全監管機制的探索，最新出臺的《數據跨境新規》也進一步明確了數據出境安全評估及標準合同備案的若干豁免情形，以便讓符合豁免情形的數據處理者免予履行相關的申報義務。例如，若符合“1）為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；2）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；3）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；4）關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的”情形，則免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。此外，《數據跨境新規》也進一步明確了數據處理者相關申報義務，并提出了針對自由貿易試驗區內企業的變通規則。這也體現了中國在數據出境監管活動中的特色合規要求，即旨在確保數據安全并同時促進數據的合法有序流動。有關《數據跨境新規》解讀及中國數據出境安全保護相關的具體合規路徑介紹，讀者可參閱《水無形而有萬形——《促進和規范數據跨境流動規定》的變化與數據跨境監管的未來》。但與GDPR及歐盟SCC不同的是，《數據跨境新規》實際上明確提出了觸發相應申報義務的出境數據量閾值計算方式，即當前中國的監管規則將出境數據量的起算節點著眼于“當年1月1日”，在此基礎上，對于數據處理者在當年1月1日之前向境外提供的歷史數據是否也應一并納入《數據跨境新規》的統計范疇的問題，目前仍不存在明確的要求與規定。但我們理解，自當年1月1日起算的方式可能恰恰是中國監管部門對于促進數據跨境流動的題中應有之義。出于減輕企業合規壓力的角度，我們也建議對于出境數據量統計的方式予以寬松化的理解，例如，采用僅將產生了實質性變化的歷史數據納入當年1月1日出境的數據的計算范疇的思路，但該思路的有效性仍有待監管部門的進一步明確。（三）中國建立國際間數據跨境流動互信機制的整體趨勢如上文所述，在境外處理中國境內自然人個人信息的企業若符合《個人信息保護法》第三條第二款情形的域外適用情形，且涉及數據跨境傳輸活動的，不免會面臨著需要同時滿足當地數據保護法律要求和中國數據保護法律要求的情況。由此，適用不同國家或地區的法律要求所產生的沖突也將導致相關企業面臨著較高的合規成本，這也為企業建立自身數據跨境合規治理機制帶來了難題。對此，中國當前也在積極與各國政府溝通，爭取建立國際間有關數據跨境傳輸的互信機制，努力為企業履行數據跨境合規義務尋求便利條件，例如：2024年6月26日，中國國家互聯網信息辦公室主任莊榮文在京會見德國數字化和交通部部長維辛一行，雙方共同簽署《關于中德數據跨境流動合作的諒解備忘錄》。中國國家網信辦將與德國數字化和交通部在《關于中德數據跨境流動合作的諒解備忘錄》框架下，建立“中德數據政策法規交流”對話機制，加強在數據跨境流動議題上的交流，為兩國企業營造公平、公正、非歧視的營商環境[3]。2024年6月27日，中國與新加坡也就數據跨境領域的合作開展交流，并明確雙方未來合作方向和重點，便利企業數據跨境流動等共識。[4]2024年8月27日，中歐數據跨境流動交流機制第一次會議以視頻方式舉行，雙方就數據跨境流動的具體問題以及監管框架進行了交流。[5]為此，我們也期待未來中國與各友鄰國之間能夠就數據跨境流動的監管達成合作，特別是對需要同時履行各司法轄區之間簽署類似數據跨境傳輸協議的企業，能夠建立相關合規舉措的互信機制，以便減輕企業的合規負擔，促進數據的跨境流動。結語在全球化的商業環境中，數據跨境監管已成為各司法轄區普遍關注的問題。在各國數據監管機構均試圖在數據自由流動與數據安全保護之間找到平衡點的過程中，就如何認定數據跨境行為、應當采取何種程度的保護措施