摘要：2021年中国《个人信息保护法》《数据安全法》系列规定的颁布和实施将数据出境作为监管重点，根据出境数据种类，以及数据持有者重要程度，互联网企业业务内容应当遵循不同程度的出境合规要求。另一方面，欧盟在跨境数据传输中采用“白名单”模式，且中国不在白名单范围内，则中国互联网企业数据进入欧盟必须遵照欧盟其他数据传输模式，并需要欧盟数据保护机关批复。这就导致互联网企业在扩大海外服务的过程中，必须同时遵守中国数据保护法的数据出境合规要求，同时也必须充分识别欧盟的数据保护和合规法律法规要求，同时满足两个法域差异化要求，从而建立有效的跨国数据传输合规保障机制。

关键词：互联网  企业跨境

一、中国互联网企业跨境数据合规的困境

在互联网技术创新发展和大数据产业的迅速崛的时代背景下，“用户数据处理（user’s data processing）”，例如数据画像（profiling）、用户行为分析（user’s behavioural analysis）等成为互联网企业创新服务模式，提高服务质量，增加企业收益，全球化扩张的重要手段，但于此同时互联网企业的“数据处理”行为也对个人隐私及个人信息安全造成极大威胁。

根据《2020全球数据合规法律观察报告1.0版本》，全球132个国家和地区已经完成了个人数据领域的立法[1]，这意味着数据立法在国际层面存在着多重数据规则框架。互联网企业的业务特点决定了其业务必然包含了数据跨境传输，这就要求互联网企业在多重国际数据规则框架内构建数据跨境合规体系[2]，同时遵守满足数据跨境两端国家的数据合规要求。

二、互联网企业在中欧数据跨境传输的具体法律问题

（一）数据从中国出境的合规要求

随着2021年《数据安全法》和《个人信息保护法》等相关法律的实施，也落地了数据出境的合规体系，互联网企业对数据处境承担高水平的合规义务，其中互联网企业应当根据自身业务准确定位自己的合规义务。

首先，《网络安全法》中明确规定了关键信息基础设施的企业出境的合规义务。如果互联网公司业务数据被认定为关键信息基础设施，同时涉及关键信息基础设施的个人信息和重要数据采集，则数据从中国出境需要经过专业机构和相关政府部门的评估后才能出境。

其次，《个人信息保护法》第四十条中对于需要数据信息出境承担安全评估义务的责任主体的广泛性规定，基本囊括了所有互联网企业。

再次，《数据安全法》第三十一条明确规定了重要数据出境时的企业合规义务。然而对于重要数据《个人信息保护法》中没有详细而具体的认定标准，《数据安全法》中指出按照地区、部门、行业来列举重要数据的名录。通常来说，重要数据的判断标准是与国家安全、社会利益有较为密切管理型的数据，然而不明确的概念定义也让互联网企业合规风险和成分提高。

另外，行业监管要求，由于部分行业其产生的数据具有特殊性，对该行业数据管理有限制性要求。针对互联网行业，2020年8月，商务部调整发布了《中国禁止出口限制出口技术目录》，其中与互联网企业技术有关的有：语音合成技术，语音信号特征分析和提取技术，文本特征分析和预测技术，人工智能交互界面技术，语音评测技术，基于数据分析的个性化信息推送服务技术。

（二）数据从欧盟入境的合规要求

根据最近判例中，按照欧盟的标准传输条款签订合同并不意味着数据可以自由跨境传输，要注重考量在特定案例中，保护水平是否达到GDPR的数据保护要求，如果不符合欧盟数据跨境传输的数据保护标准，则还需要在合同中承诺额外保护。总体来看，欧盟对于跨国数据传输的管控呈现出了趋严的特征[3]。

欧盟GDPR的对于数据处理保护的高标准保护，也使得中国互联网企业的数据在欧盟入境后处理要完全遵循欧盟高标准的合规要求，尤其在”透明度“和”处理数据的法律基礎“以及”用户同意“几个关键概念上的合规适用，在欧盟与Google的多个判例中已经体现了欧盟对于这几个关键概念的高标准解释和行政处罚的高额。

三、中国互联网企业跨境数据合规的应对

（一）完善企业内部数据处理框架，建立数据安全管理体系

在企业内部建立数据分级分类标准，结合本企业业务特色，以及对数据共享与委托方的充分识别，建立数据安全管理制度。尤其是对于缺乏资金技术的中小型互联网企业，可以通过与第三方专业安全机构合作，如TrustArc，进行定期的审查评估，模拟预演。

另外，在跨境数据传输的全过程实现数据安全管理，包括但不限于：数据出境去标识化的技术处理，对数据传输过程的风险评估，对于存储数据定时的评估以便及时删除和销毁等，全面履行数据合规义务。

（二）开发技术处理手段，降低跨境传输风险

企业在进行数据跨境传输时，可以通过技术手段进行个人信息脱敏，同时避免境外或者境外的处理与访问。欧盟《通用数据保护条例》实施后，在已经公开宣布的493起违规案件中，有近三分之一的罚款原因是未充分对数据匿名化处理和管理措施确保信息安全而造成的数据泄露[4]。利用技术处理手段对数据匿名化处理，不仅可以减低互联网企业数据跨境的传输风险，也减少了数据合规的成本。

（三）与第三方合作责任主体明确责任义务，建立“责任防火墙”

互联网企业应与技术服务商签订业务合同，有效划分责任，建立“责任防火墙”，其中要特别注意识别关联方实体的角色，并结合数据处理的对象，签署有法律约束力的文件，明确多方在数据保护方面的的权利和义务。

（四）全球数据合规观察，建立专业的法务团队

互联网企业业务涉及多个法律地区，尤其是关键合规要求，例如“同意”“透明度”“通知义务”等，尤其注意相同概念在不同法域中的解释，建立专业的法务团队，时刻更新最新全球数据合规的发展。于此同时，互联网企业也要明确当地的系统部署和业务情况，

参考文献：

[1]《2020全球数据合规法律观察报告1.0版本》垦丁网络法，白鲸出海，王捷、魏彤，第23页

[2]梅傲 侯之帅《互联网企业跨境数据合规的困境及中国应对》，中国行政管理》2021年第6期，第112页

[3]《国际视野下，企业如何应对数据跨境传输的合规风险》CIO发展中心，2021年1月6日

[4]《中国出海互联网公司的数据保护合规对策》普华永道，2021年4月

作者简介：王岱申（1992.02.06），女，汉族，籍贯：四川省中江县，硕士研究生，华东政法大学，知识产权方向。