伴随世界全面网络化和网络安全不断得到重视的现实，欧盟作为目前最为紧密的区域一体化实体，其成员国之间发生的跨境数据流动所涉及的合规也不断复杂化。

欧盟有着立法久远、影响广泛、形态复杂的跨境数据流动合规体系，是跨境数据流动的先驱。欧盟成员国众多，对破除数据流动壁垒、提高区域内跨境数据流动效率存在客观需求。同时，在国家主权安全的基础上，欧洲一体化进程也削弱了国家主权，各成员国也更容易接受跨境数据流动许可中对国家安全可能带来的挑战。

欧盟跨境数据合规一体化是通过在统一合规框架内，增强跨境数据流动的效率和安全，简化各国单一立法后各成员国再协商的过程，以期降低整个区域内的合规成本，在跨境数据流动领域提高效率，增强信任。

本文所称的跨境数据，指可被识别的个人相关的信息数据；对欧盟跨境数据流动的合规情况，仅进行最基本的情况介绍。

中国正在大力推进“一带一路”以及加入RCEP等一体化组织，都将不可避免的应对跨境数据流动问题。因此，研究欧盟跨境数据流动的合规经验，将对中国在跨境数据领域的发展，具有经验借鉴的意义。

20世纪90年代的欧洲，已经开始对跨境数据流动进行立法，既包括欧洲主权国家的国内立法，也有国际条约，如经合组织（Organization for Economic Co-operation and Development, 即“OECD”）《对于隐私保护与个人数据跨境流动的指导方针》（OECD’s Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，即《OECD指导方针》）、欧洲委员会（Council of Europe）《有关个人数据自动化处理的个人保护公约》（European Treaty Series-No. 108, ETS 108, Convention for the Protection of Individual with regard to Automatic Processing of Personal Data）（即《108号公约》）等。

《OECD指导方针》是一份非强制性文件，目的是在成员国间达成隐私与个人数据保护的最低标准，尽量消除成员国间限制跨境数据流动的因素。

《108号公约》具有开放性质，非欧洲委员会成员国的其他国家也可以申请加入。截至2019年底，该公约已有55个缔约国，其中包括47个欧洲委员会成员国和8个非成员国。《108号公约》目的在于防止个人数据在被收集和处理过程中的滥用情形，保护缔约国内个体的数据安全。公约内容包括一系列针对数据保护的准则，并成为缔约国国内立法的依据，要求每一缔约国在加入公约前先确保公约准则在其国内法中得到体现。该公约还把数据保护提升到基本人权层面，对特定数据类型进行更严格的限制，即除非国内法提供了适当的安全措施，否则任何与种族、政治观点、宗教信仰、个人健康与私生活相关的个人数据，皆不应被处理。其中，有关安全的一个重要基本原则是“合适的安全措施”（appropriate security measures），包括数据主体有权访问、存取、修改或删除自己的个人数据。当前述个人权利没有得到尊重时，数据主体有权要求运营主体进行补救。

《108号公约》之后最重要的是1995年出台的《欧盟数据保护指令》（Directive 95/46/EC），直接对准有关个人数据处理与自由流动的相关保护。《欧盟数据保护指令》的正式生效日期为1998年12月13日。2012年1月，关于修改《欧盟数据保护指令》的草案出台；2016年4月，《通用数据保护条例》（General Data Protection Regulation, GDPR，下称《保护条例》）通过，并于2018年5月25日正式生效，全面替代了《欧盟数据保护指令》。

《保护条例》在欧盟层面生效后，视为直接在所有欧盟成员国内同时生效，不需要每一成员国单独批准并进行国内立法。该条例作为《欧盟数据保护指令》的继承者，将数据保护的范围扩大到所有可能处理欧盟境内居民个人数据的公司与机构，把欧盟内部的个人数据合规统一整合，建立了欧盟范围内的统一标准。《保护条例》的革新性包括其“一站式服务”（one-stop-shop mechanism）机制，即针对在多个不同欧盟成员国分别开设分支机构并开展业务的主体，当其处理的个人数据在不同成员国发生时，将由唯一的一个机构负责监管，对该主体在欧盟范围内所有关联的或者控制的数据控制方与数据处理方进行全程监督。该监管机构通常是运营主体总部所在国的数据保护机构。根据《保护条例》，数据保护监管机构有权对违反条例的企业进行处罚。《保护条例》实施后，数十家跨国网络科技企业被陆续立案，Google和Facebook的处罚标的分别高达39亿欧元和37亿欧元。其中，Google是适用《保护条例》支付大额罚款的第一家企业，最终根据生效处罚决定实际支付金额为5000余万欧元，基本案情如下：

Android用户为新手机进行初始设置时，Google没有完全遵守《保护条例》，被法国某非营利机构投诉，法国的数据保护监管机构“国家信息与自由委员会”（Commission nationale de l’informatique et des libertés, 即“CNIL”）开出罚单。根据《保护条例》关于管辖权的规定，法国境内的投诉应被转移到Google欧洲总部的数据保护监管机构处理。Google欧洲总部位于都柏林，但CNIL却率先认定都柏林的Google团队在Android新用户数据处理方面没有最终决定权，相关权限属于Google位于美国加州的公司，法国CNIL基于在欧盟内最先受理投诉而获得管辖权。在审查过程中，CNIL认为Google设置不符合《保护条例》中关于信息透明度和数据主体许可的强制要求：用户如想了解其数据如何被个性化定制广告，需要多次点击和处理，导致用户无法掌握自己数据被使用的情况；Google在默认状态下，促使用户登录或者注册账户，没有把创建账户行为和设备设置行为分离，该“捆绑式许可”《保护条例》；Google询问用户是否需要个性化服务时，没有告知用户可能涉及多项不同服务的详细情形，如YouTube视频、地图、相册等等服务；用户创建账户时，选项中“我同意在上述描述条款和更进一步对隐私政策的解释下使我的信息被处理”被默认勾选，该做法被《保护条例》严格禁止。

《保护条例》实施后，欧盟的跨境数据合规急剧上升，众多跨国企业宁可暂停业务也不敢冒险，以防收到罚单。跨国企业都必须重新审视自己在跨境数据流动过程中的合规性。 

2016年4月16日，欧盟更为严格的数据和隐私保护法律《通用数据保护条例》（GDPR）正式颁布，并于2018年5月25日起实施。欧洲数据保护委员会（European Data Protection Bureau）统计数据显示，截至2020年9月，欧盟成员国各监管机构共开出362张与GDPR违规相关的罚单，总罚款金额超过4.9亿欧元，其中“对数据进行处理的法律依据不足”、“缺乏足以保障数据安全的技术和组织措施”和“违反数据处理的一般原则”三种情形位居罚单数量和金额前三位。

中国企业已经不得不应对欧盟对其涉及个人数据处理业务的合规。自2018年迄今，摩拜受到德国监管机关的调查，腾讯QQ和微信国际版为了符合GDPR要求先是暂停服务继而改版，微信支付宝更新了欧洲版的隐私政策并按照欧盟决定第2004/915/EC号的标准合同条款将欧盟用户的数据传输至中国，小米旗下的智能灯具Yeelight暂停服务后按照GDPR规定进行软件升级，华为在比利时的网络安全透明中心允许到访者查看华为存储在深圳总部的源代码，TikTok面临涉嫌违反GDPR的欧盟调查。

作为应对，在欧盟运营业务的一些中资互联网企业，开始使用符合GDPR安全标准的第三方云服务提供商进行用户数据的存储和管理，与其分担合规责任，同时承担相应成本。

作者介绍

孙淘 高级合伙人律师

E-mail：suntao@zlwd.com

中伦文德胡百全（前海）联营律师事务所

高级合伙人；

中国法国工商会（华南）特别顾问；

武汉仲裁委仲裁员；

长沙仲裁委仲裁员；

广州仲裁委仲裁员；

司法部千名涉外律师人才；

广东省涉外律师领军人才；

业务领域：

跨境投资与并购、跨境重整与破产、

国际贸易争议解决

曾先后就职于ADAMAS律师事务所、

LPA-CGR 律师事务所。

工作语言：普通话、法语、英语。