數(shù)據(jù)跨境合規(guī)治理實(shí)踐2021數(shù)字經(jīng)濟(jì)正加快驅(qū)動(dòng)產(chǎn)業(yè)融合變革，拓寬和提數(shù)據(jù)流動(dòng)在數(shù)字經(jīng)濟(jì)發(fā)展中發(fā)揮著重要作用，數(shù)建構(gòu)和凝聚數(shù)字經(jīng)濟(jì)優(yōu)勢(shì)，主要國(guó)家和地區(qū)紛紛內(nèi)部規(guī)則的完善，積極推動(dòng)、參與數(shù)據(jù)跨境國(guó)際規(guī)則的深刻影響。企業(yè)應(yīng)高度重視數(shù)據(jù)跨境流業(yè)可持續(xù)，合規(guī)管控與效益追求并重，一方面在制定案的基礎(chǔ)上完成系統(tǒng)性合規(guī)整改，主動(dòng)降低外部風(fēng)險(xiǎn)已有的企業(yè)統(tǒng)一合規(guī)框架基線(xiàn)，以及雙邊、多邊國(guó)際投入和運(yùn)營(yíng)成本。數(shù)字文明新時(shí)代下，共同探索、相互借合規(guī)治理實(shí)踐，通過(guò)持續(xù)和務(wù)實(shí)的合規(guī)建設(shè)，有助于優(yōu)一、全球數(shù)據(jù)跨境規(guī)則現(xiàn)狀及發(fā)展趨勢(shì) 1.1數(shù)據(jù)跨境規(guī)則現(xiàn)狀 1.1.1主要國(guó)家規(guī)則多為限制性規(guī)范 1.1.2國(guó)際組織機(jī)制多為推動(dòng)性規(guī)范 1.1.3中國(guó)具有差異化和多層次特征 1.2數(shù)據(jù)跨境發(fā)展趨勢(shì) 1.2.1數(shù)據(jù)分級(jí)分類(lèi)管理成為主流 1.2.2探索促進(jìn)統(tǒng)一數(shù)據(jù)跨境規(guī)范 1.2.3數(shù)據(jù)主權(quán)管轄博弈沖擊持續(xù) 1.3數(shù)據(jù)跨境類(lèi)型 1.4數(shù)據(jù)本地化模式 二、企業(yè)數(shù)據(jù)跨境典型場(chǎng)景及管控要點(diǎn) 2.1數(shù)據(jù)跨境合規(guī)主要痛點(diǎn)難點(diǎn) 2.1.1數(shù)據(jù)多樣，跨境數(shù)據(jù)的法律屬性識(shí)別與分類(lèi)困難 2.1.2場(chǎng)景復(fù)雜，數(shù)據(jù)跨境的路徑、角色及責(zé)任識(shí)別困難 2.1.3規(guī)則變動(dòng)，規(guī)則要求多層次、多類(lèi)型、不斷演進(jìn) 2.2數(shù)據(jù)跨境典型場(chǎng)景管控要點(diǎn) 2.2.1數(shù)據(jù)跨境合規(guī)典型場(chǎng)景 2.2.2數(shù)據(jù)跨境合規(guī)要點(diǎn) 三、企業(yè)數(shù)據(jù)跨境合規(guī)治理思路與良好實(shí)踐 3.1數(shù)據(jù)跨境合規(guī)治理路徑 3.2數(shù)據(jù)跨境合規(guī)治理實(shí)踐 3.2.1明確管控?cái)?shù)據(jù)對(duì)象 3.2.2摸查關(guān)鍵情形場(chǎng)景 3.2.3識(shí)別外部合規(guī)要點(diǎn) 3.2.4組織合規(guī)風(fēng)險(xiǎn)評(píng)估 3.2.5開(kāi)展合規(guī)風(fēng)險(xiǎn)治理 3.2.6重要數(shù)據(jù)合規(guī)延展 附件一：全球主要數(shù)據(jù)跨境限制模式 附件二：國(guó)際組織數(shù)據(jù)跨境流動(dòng)框架 附件三：中國(guó)數(shù)據(jù)跨境相關(guān)法律規(guī)定 附件四：中國(guó)特殊行業(yè)數(shù)據(jù)跨境要求 附件五：全球數(shù)據(jù)跨境法律法規(guī)清單 附件六：全球數(shù)據(jù)跨境管控要求清單 附件七：全球主要監(jiān)管機(jī)構(gòu)聯(lián)系方式 附件八：歐洲數(shù)據(jù)跨境管控機(jī)制范式 附件九：數(shù)據(jù)跨境司法執(zhí)法輿情案例 參考文獻(xiàn) 數(shù)據(jù)跨境合規(guī)治理實(shí)踐白皮書(shū)數(shù)據(jù)跨境規(guī)則模式往往與數(shù)據(jù)安全政策偏好相關(guān)聯(lián)?，F(xiàn)有規(guī)則大體分為兩類(lèi)：限制性規(guī)范，常見(jiàn)為一國(guó)家或地區(qū)針對(duì)重要數(shù)據(jù)或個(gè)人信息進(jìn)行出境限制，以維護(hù)數(shù)據(jù)安全或數(shù)據(jù)主權(quán)，即數(shù)據(jù)安全偏好型。推動(dòng)性規(guī)范，常見(jiàn)為雙邊、多邊或國(guó)際組織，為推進(jìn)數(shù)據(jù)跨境安全有序地跨境流動(dòng)，制定雙/多邊國(guó)際協(xié)定或條約框架，以促進(jìn)數(shù)據(jù)紅利最大化發(fā)展，即數(shù)據(jù)紅利偏好型。對(duì)受限制數(shù)據(jù)主體而言，限制性規(guī)范中涉及的數(shù)據(jù)類(lèi)型一般為個(gè)人信息、重要數(shù)據(jù)或特殊行業(yè)的敏感數(shù)據(jù)；推動(dòng)型規(guī)范中并未對(duì)數(shù)據(jù)性質(zhì)作顯著區(qū)分。對(duì)企業(yè)而言，限制性和推動(dòng)性規(guī)范均具有現(xiàn)實(shí)意義，限制性規(guī)范因占據(jù)主導(dǎo)地位將成為企業(yè)關(guān)注的重點(diǎn)。一方面，根據(jù)限制性規(guī)范要求，嚴(yán)格實(shí)施合規(guī)治理及管控運(yùn)行，最大限度規(guī)避違規(guī)風(fēng)險(xiǎn)；一方面，在合規(guī)管控運(yùn)行前提下，充分利用推動(dòng)性規(guī)則彈性空間，降低企業(yè)跨境管控壓力和成本。1.1.1主要國(guó)家規(guī)則多為限制性規(guī)范限制性規(guī)范，即一國(guó)家/地區(qū)的數(shù)據(jù)出境規(guī)則，根據(jù)當(dāng)?shù)胤审w系、歷史傳統(tǒng)、風(fēng)險(xiǎn)偏好的區(qū)別而呈現(xiàn)出不同嚴(yán)苛程度。目前，尚無(wú)國(guó)家完全禁止數(shù)據(jù)出境，或者對(duì)數(shù)據(jù)出境完全不加限制，大部分國(guó)家/地區(qū)集中分布于中段。中段形式大體表現(xiàn)為：國(guó)家安全與數(shù)字紅利并舉，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)尋求本地化，如印度、俄羅斯；市場(chǎng)自由與數(shù)字規(guī)則并重，提倡數(shù)據(jù)跨境自由流動(dòng)的同時(shí)規(guī)定多樣化的數(shù)據(jù)出境機(jī)制，如歐盟、新加坡。1.1.2國(guó)際組織機(jī)制多為推動(dòng)性規(guī)范國(guó)際組織積極制定數(shù)據(jù)跨境流動(dòng)規(guī)則框架，推動(dòng)數(shù)據(jù)在國(guó)家/地區(qū)間有序流動(dòng)，以期減少數(shù)據(jù)跨境流動(dòng)摩擦，最大限度地發(fā)揮數(shù)字作用。其中，經(jīng)濟(jì)合作與發(fā)展組織（OECD）、亞洲太平洋經(jīng)濟(jì)合作組織（APEC）等國(guó)際組織確立了若干數(shù)據(jù)跨境流動(dòng)的原則，建立了若干具有代表性的框架。國(guó)際組織對(duì)于成員國(guó)間的跨境數(shù)據(jù)持開(kāi)放態(tài)度，希望通過(guò)暢通的數(shù)據(jù)跨境渠道進(jìn)一步加強(qiáng)組織內(nèi)數(shù)據(jù)的流通效率，但對(duì)于數(shù)據(jù)對(duì)組織外的跨境則較為謹(jǐn)慎。歐洲的《通用數(shù)據(jù)保護(hù)條例》（GDPR）提供了目前唯一的對(duì)外跨境合規(guī)框架，并采取了世界范圍內(nèi)的持續(xù)性實(shí)質(zhì)推廣，對(duì)全球多個(gè)國(guó)家/地區(qū)的相關(guān)規(guī)則產(chǎn)生了顯著影響。1.1.3中國(guó)具有差異化和多層次特征中國(guó)數(shù)據(jù)跨境法律法規(guī)處于創(chuàng)新制定和持續(xù)完善的過(guò)程。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)“個(gè)保法”）發(fā)布，數(shù)據(jù)保護(hù)相關(guān)上位法的“三駕馬車(chē)”已然形成；相關(guān)規(guī)范性文件、國(guó)家標(biāo)準(zhǔn)等陸續(xù)出臺(tái)構(gòu)成規(guī)則體系。中國(guó)數(shù)據(jù)跨境規(guī)則體現(xiàn)出分層管理特征，對(duì)重要數(shù)據(jù)和個(gè)人信息的合規(guī)管控進(jìn)行了差異化設(shè)計(jì)。對(duì)于特定行業(yè)的特定類(lèi)型數(shù)據(jù)，明確本地化要求；數(shù)量較大的個(gè)人信息和重要數(shù)據(jù)進(jìn)行境內(nèi)存儲(chǔ)，經(jīng)監(jiān)管機(jī)構(gòu)審批出境；一般個(gè)人信息出境，規(guī)定了標(biāo)準(zhǔn)合同、安全認(rèn)證等多樣化合規(guī)措施。參考附件：《中國(guó)數(shù)據(jù)跨境相關(guān)法律法規(guī)》《中國(guó)特殊行業(yè)數(shù)1.2.1數(shù)據(jù)分級(jí)分類(lèi)管理成為主流個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)等不同數(shù)據(jù)類(lèi)型涉及的法律風(fēng)險(xiǎn)和所需的保護(hù)要求各有不同，主要國(guó)家嘗試采取數(shù)據(jù)分級(jí)分類(lèi)監(jiān)管，形成寬嚴(yán)不同的數(shù)據(jù)跨境流動(dòng)管控政策。1.2.2探索促進(jìn)統(tǒng)一數(shù)據(jù)跨境規(guī)范隨著數(shù)據(jù)跨境流動(dòng)規(guī)模的擴(kuò)大，各國(guó)家和地區(qū)已試圖將數(shù)據(jù)跨境流動(dòng)治理納入國(guó)際貿(mào)易規(guī)則，現(xiàn)有國(guó)際治理框架難以滿(mǎn)足全球數(shù)據(jù)治理的特點(diǎn)和需要，需要為由無(wú)形資產(chǎn)主導(dǎo)的新的數(shù)字世界建立一個(gè)新的治理結(jié)構(gòu)，以最大限度的發(fā)揮數(shù)據(jù)價(jià)值。1.2.3數(shù)據(jù)主權(quán)管轄博弈沖擊持續(xù)長(zhǎng)臂管轄會(huì)將一國(guó)的執(zhí)法效力擴(kuò)展至數(shù)據(jù)所在國(guó)，對(duì)數(shù)據(jù)所在國(guó)數(shù)據(jù)保護(hù)法實(shí)施產(chǎn)生沖擊，對(duì)國(guó)際司法適用原則產(chǎn)生沖擊，進(jìn)而對(duì)全球的數(shù)據(jù)安全合規(guī)框架產(chǎn)生深遠(yuǎn)影響，并在很大程度上改變?nèi)驍?shù)據(jù)主權(quán)的游戲規(guī)則。當(dāng)前各界對(duì)數(shù)據(jù)跨境界定仍存在差異，尚未形成統(tǒng)一認(rèn)知。通常將其理解為“數(shù)據(jù)從一法域被轉(zhuǎn)移至另一法域的行為”或“跨越國(guó)界對(duì)存儲(chǔ)在計(jì)算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和檢索”。以“境外實(shí)體接觸”為標(biāo)準(zhǔn)，數(shù)據(jù)跨境主要包括兩類(lèi)：第一類(lèi)：數(shù)據(jù)跨越國(guó)界的傳輸、處理與存儲(chǔ)；第二類(lèi)：盡管數(shù)據(jù)尚未跨越國(guó)界，但能夠被境外的主體進(jìn)行訪問(wèn)。其中，一種特殊情形為直接的跨境數(shù)據(jù)采集，即數(shù)據(jù)直接從位于A國(guó)的數(shù)據(jù)主體處被采集至B國(guó)的數(shù)據(jù)中心，并未在A國(guó)進(jìn)行存儲(chǔ)落地。由于實(shí)踐中難以在全球范圍內(nèi)部署服務(wù)器，必然存在大量的跨境采集情況。境任何正在轉(zhuǎn)移數(shù)據(jù)到其他司法管轄區(qū)或是轉(zhuǎn)移到其他司法管轄區(qū)之后意圖數(shù)據(jù)的接收方，基于合同或其他基礎(chǔ)，某跨國(guó)企業(yè)的子公司通過(guò)內(nèi)部的系統(tǒng)傳輸數(shù)據(jù)至位于另跨境傳輸是跨境傳輸?shù)囊环N特殊情況：數(shù)據(jù)的采集方基于某種需求，直接從位于另一法域的數(shù)據(jù)主體處采集數(shù)據(jù)至處理方所在地，而未在數(shù)據(jù)主體所在法域某跨國(guó)企業(yè)的員工使用內(nèi)部系統(tǒng)填報(bào)個(gè)人信息，而該系統(tǒng)的服務(wù)器與該員工所在地?cái)?shù)據(jù)的訪問(wèn)方基于某種需求，訪問(wèn)位于另一法域的系統(tǒng)服務(wù)器，讀取其數(shù)據(jù)庫(kù)中的部分或全部數(shù)據(jù)并進(jìn)行一定的自動(dòng)某跨國(guó)企業(yè)在中國(guó)為歐盟境內(nèi)的客戶(hù)提供系統(tǒng)遠(yuǎn)程運(yùn)維數(shù)據(jù)本地化是數(shù)據(jù)跨境管理的一種措施，通常理解為某一主權(quán)國(guó)家/地區(qū)，通過(guò)制定法律或規(guī)則來(lái)限制本國(guó)/地區(qū)數(shù)據(jù)向境外流動(dòng)，是對(duì)數(shù)據(jù)出境進(jìn)行限制的做法之一。數(shù)據(jù)本地化要求數(shù)據(jù)服務(wù)器位于本法域境內(nèi)，在境內(nèi)存儲(chǔ)或處理數(shù)據(jù)。目前，全球多個(gè)國(guó)家/地區(qū)提出了本地化要求，寬嚴(yán)程度有所不同，幾種模式交織并行。無(wú)本地化要求，但有出境境內(nèi)存儲(chǔ)副本，對(duì)轉(zhuǎn)移或僅要求將數(shù)據(jù)副本存儲(chǔ)在國(guó)內(nèi)計(jì)算機(jī)設(shè)備中，對(duì)外轉(zhuǎn)移或處理數(shù)據(jù)副本無(wú)限制，其通常的目的是為了印度（2018年個(gè)保法草數(shù)據(jù)必須首次存儲(chǔ)在國(guó)內(nèi)，滿(mǎn)足出境合規(guī)條件的情況下可以向境外傳輸，數(shù)據(jù)只能在境內(nèi)存儲(chǔ)、處理，僅在特定的條件下（如國(guó)家安全需求）的情特殊類(lèi)別非個(gè)人信息/重本地化通常為非“全量”的本地化：（1）對(duì)數(shù)據(jù)類(lèi)型進(jìn)行劃分：對(duì)不同的數(shù)據(jù)類(lèi)型提出不同的保護(hù)要求，對(duì)特定類(lèi)型的數(shù)據(jù)提出本地化要求。最常見(jiàn)的受限的數(shù)據(jù)類(lèi)型包括生物健康、金融、征信等重要數(shù)據(jù)。參考示例：印度政府將數(shù)據(jù)類(lèi)型劃分為關(guān)鍵個(gè)人信息、敏感個(gè)人信息和一般個(gè)人信息，關(guān)須存儲(chǔ)在印度境內(nèi)，但也提供了例外條件；對(duì)于敏感的個(gè)人信息，必須存儲(chǔ)在印度境內(nèi)（2）對(duì)收集數(shù)據(jù)的主體進(jìn)行劃分：對(duì)不同的特定主體提出了不同的本地化存儲(chǔ)要求。參考示例：印度尼西亞政府要求只有公共電子系統(tǒng)運(yùn)營(yíng)商才必須將其電子系統(tǒng)和數(shù)據(jù)放置地。美國(guó)國(guó)防部規(guī)定所有為該部門(mén)服務(wù)的云計(jì)算服務(wù)提供商須在境內(nèi)儲(chǔ)存數(shù)據(jù)，美國(guó)隨著經(jīng)濟(jì)全球化、數(shù)字化的深入發(fā)展，企業(yè)開(kāi)展境外業(yè)務(wù)時(shí)面臨的數(shù)據(jù)跨境監(jiān)管形勢(shì)日益嚴(yán)峻，數(shù)據(jù)跨境管控過(guò)程的痛點(diǎn)、難點(diǎn)，成為數(shù)據(jù)合規(guī)治理的熱點(diǎn)、焦點(diǎn)。2.1.1數(shù)據(jù)多樣，跨境數(shù)據(jù)的法律屬性識(shí)別與分類(lèi)困難數(shù)據(jù)體量大。大數(shù)據(jù)背景下，企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中產(chǎn)生的數(shù)據(jù)呈爆炸式增長(zhǎng)，且涉及數(shù)據(jù)類(lèi)型豐富多變。從數(shù)據(jù)主體角度，包括客戶(hù)數(shù)據(jù)、用戶(hù)數(shù)據(jù)、合作方數(shù)據(jù)、供應(yīng)商數(shù)據(jù)、內(nèi)部員工數(shù)據(jù)等；從業(yè)務(wù)經(jīng)營(yíng)角度，包括產(chǎn)品數(shù)據(jù)、日常經(jīng)營(yíng)數(shù)據(jù)、研究\研發(fā)數(shù)據(jù)、內(nèi)務(wù)管理數(shù)據(jù)等，極大增加了企業(yè)數(shù)據(jù)管理的難度和成本。屬性識(shí)別難。關(guān)于個(gè)人信息、重要數(shù)據(jù)等在監(jiān)管定義上通常采用“概括式”的表達(dá)形式，雖為企業(yè)提供了一定靈活度，也為企業(yè)對(duì)數(shù)據(jù)的法律屬性類(lèi)型識(shí)別帶來(lái)了模糊性和不確定性；不同法域?qū)€(gè)人信息、重要數(shù)據(jù)等概念定義存在差異甚至沖突，對(duì)企業(yè)跨境數(shù)據(jù)的屬性識(shí)別和應(yīng)用管控造成困難。參考示例：在與歐盟的電訊運(yùn)營(yíng)商合作的國(guó)內(nèi)手機(jī)廠商可能會(huì)碰到類(lèi)似的數(shù)據(jù)合規(guī)困局，根據(jù)中國(guó)標(biāo)準(zhǔn)，設(shè)備硬件標(biāo)識(shí)符屬于個(gè)人信息，于是國(guó)內(nèi)的手機(jī)制造商會(huì)要求歐盟運(yùn)營(yíng)商簽署數(shù)據(jù)議；但歐盟運(yùn)營(yíng)商依據(jù)所在國(guó)法律，認(rèn)為因整個(gè)業(yè)務(wù)流程中，運(yùn)營(yíng)商僅獲取了硬件標(biāo)識(shí)符，未能獲任何數(shù)據(jù)，進(jìn)而無(wú)法通過(guò)硬件標(biāo)識(shí)符識(shí)別到特定使用該硬件的用戶(hù)，不具備可識(shí)別性，不是個(gè)人信載體拆分難。多種類(lèi)型的非結(jié)構(gòu)化數(shù)據(jù)，可能同時(shí)集合在同一載體或分散在不同載體中，難以拆分、合并和精準(zhǔn)識(shí)別，如何按照數(shù)據(jù)來(lái)源、內(nèi)容、用途等進(jìn)行數(shù)據(jù)分類(lèi)梳理，成為企業(yè)數(shù)據(jù)跨境合規(guī)管控的實(shí)務(wù)難題。參考示例：公司內(nèi)部搭建的文檔管理平臺(tái)，存儲(chǔ)了內(nèi)部包括項(xiàng)目業(yè)務(wù)資料、商務(wù)合同、財(cái)件，文件中的業(yè)務(wù)資料如果標(biāo)識(shí)了他國(guó)的交通路網(wǎng)、能源節(jié)點(diǎn)、敏感區(qū)域位置則可能涉及他商務(wù)合同中也可能包含簽署雙方的法人代表個(gè)人信息、財(cái)務(wù)金融單據(jù)更有可能涉及敏感個(gè)人數(shù)據(jù)量大，且以非結(jié)構(gòu)化的形式出現(xiàn)，難以對(duì)每類(lèi)數(shù)據(jù)2.1.2場(chǎng)景復(fù)雜，數(shù)據(jù)跨境的路徑、角色及責(zé)任識(shí)別困難企業(yè)業(yè)務(wù)場(chǎng)景多樣。隨著企業(yè)成長(zhǎng)與發(fā)展，業(yè)務(wù)版圖和業(yè)務(wù)領(lǐng)域不斷擴(kuò)展或變化，配套的內(nèi)部支撐流程也隨之細(xì)化，各業(yè)務(wù)場(chǎng)景交互融合，業(yè)務(wù)數(shù)據(jù)隨之交互融合，加大了數(shù)據(jù)跨境路徑梳理和相關(guān)責(zé)任方識(shí)別的難度。參考示例：某大型企業(yè)旗下存在多個(gè)業(yè)務(wù)板塊：金融業(yè)務(wù)板塊包括銀行、保險(xiǎn)、證券等；包括系統(tǒng)產(chǎn)品開(kāi)發(fā)、供應(yīng)鏈管理、市場(chǎng)營(yíng)銷(xiāo)等；同時(shí)還包括人力數(shù)據(jù)流轉(zhuǎn)路徑復(fù)雜。數(shù)字化轉(zhuǎn)型背景下，企業(yè)的業(yè)務(wù)數(shù)據(jù)往往通過(guò)線(xiàn)上系統(tǒng)進(jìn)行流轉(zhuǎn)處理，業(yè)務(wù)系統(tǒng)間數(shù)據(jù)存在交叉?zhèn)鬏數(shù)那闆r；同時(shí)，出于成本、效率等多因素考慮，企業(yè)的系統(tǒng)服務(wù)器通常集中部署、統(tǒng)一管理，導(dǎo)致在全球化業(yè)務(wù)開(kāi)展過(guò)程中涉及頻繁、復(fù)雜的數(shù)據(jù)跨境流轉(zhuǎn)。參考示例：某企業(yè)的系統(tǒng)服務(wù)器集中部署于總部所在地、由總部統(tǒng)一運(yùn)維管理，導(dǎo)致在開(kāi)參考示例：某企業(yè)的系統(tǒng)服務(wù)器集中部署于總部所在地、由總部統(tǒng)一運(yùn)維管理，導(dǎo)致在開(kāi)中涉及大量數(shù)據(jù)跨境流轉(zhuǎn)場(chǎng)景，例如數(shù)據(jù)從境外分支機(jī)構(gòu)傳輸至總部服務(wù)器存務(wù)器調(diào)取數(shù)據(jù)，境外發(fā)分支機(jī)構(gòu)直接訪問(wèn)總部服務(wù)器數(shù)據(jù)等。若多家境外分支全景，各分支機(jī)構(gòu)之間也可能通過(guò)總部服務(wù)角色法定含義不同。不同的數(shù)據(jù)處理角色承擔(dān)相應(yīng)的責(zé)任和義務(wù)，準(zhǔn)確識(shí)別企業(yè)在數(shù)據(jù)跨境場(chǎng)景下承擔(dān)的角色、清晰界定雙方責(zé)任和義務(wù)，對(duì)數(shù)據(jù)跨境合規(guī)管控非常重要；不同法域?qū)?shù)據(jù)處理角色的定義、相應(yīng)責(zé)任與義務(wù)的規(guī)定不盡相同，復(fù)雜的數(shù)據(jù)流轉(zhuǎn)鏈條下，企業(yè)難以準(zhǔn)確判斷自身角色、明確責(zé)任和義務(wù)，為企業(yè)數(shù)據(jù)跨境合規(guī)管控的力度決策帶來(lái)障礙。參考示例：歐盟GDPR對(duì)個(gè)人數(shù)據(jù)的控制者與處理者的責(zé)任分別有詳細(xì)的規(guī)定2.1.3規(guī)則變動(dòng)，規(guī)則要求多層次、多類(lèi)型、不斷演進(jìn)全球規(guī)則層次多樣。全球尚未形成統(tǒng)一的數(shù)據(jù)跨境治理框架，各國(guó)家/地區(qū)受?chē)?guó)家安全、數(shù)據(jù)主權(quán)、人權(quán)保護(hù)、地緣政治、貿(mào)易模式等因素影響，制定了側(cè)重點(diǎn)不同、各個(gè)層次的數(shù)據(jù)跨境規(guī)則，數(shù)據(jù)治理和數(shù)據(jù)跨境流動(dòng)政策具有很大差異，并積極尋求擴(kuò)大各自數(shù)據(jù)生態(tài)系統(tǒng)，企業(yè)數(shù)據(jù)跨境規(guī)則研究和遵從難度顯著增加。不同法域規(guī)則沖突。企業(yè)在開(kāi)展數(shù)據(jù)跨境流動(dòng)活動(dòng)時(shí)，需要同時(shí)考慮數(shù)據(jù)輸出地和輸入地的數(shù)據(jù)跨境規(guī)則，但不同法域數(shù)據(jù)跨境規(guī)則的不同，對(duì)企業(yè)“雙向合規(guī)”帶來(lái)困難；由于長(zhǎng)臂管轄等因素，同一法域的數(shù)據(jù)處理行為也可能需要滿(mǎn)足多法域規(guī)則，存在法律沖突隱患，對(duì)企業(yè)數(shù)據(jù)跨境合規(guī)應(yīng)對(duì)和治理能力提出考驗(yàn)。參考示例：數(shù)據(jù)的處理必須具備合法基礎(chǔ)，但各法域的數(shù)據(jù)處理洲公民的數(shù)據(jù)，需要同時(shí)滿(mǎn)足個(gè)保法及GDPR的要求。我國(guó)個(gè)保法為避免擴(kuò)大解釋?zhuān)磳ⅰ皵?shù)據(jù)主體利益”規(guī)則動(dòng)態(tài)發(fā)展變化。自歐洲GDPR正式發(fā)布以來(lái)，隱私和數(shù)據(jù)保護(hù)的立法和更新浪潮在全球范圍內(nèi)迅速蔓延；各國(guó)家/地區(qū)對(duì)數(shù)據(jù)保護(hù)的重要性形成了普遍認(rèn)知，基于公民權(quán)益、國(guó)家安全、數(shù)據(jù)主權(quán)等多重考量的數(shù)據(jù)跨境規(guī)則呈現(xiàn)明確化、具體化的特征，使企業(yè)數(shù)據(jù)跨境合規(guī)體系的設(shè)計(jì)、執(zhí)行和維護(hù)成本進(jìn)一步加大。訪問(wèn)權(quán)，在可能的情況下，數(shù)據(jù)控制者應(yīng)該給予數(shù)據(jù)主體遠(yuǎn)程訪問(wèn)其數(shù)據(jù)的權(quán)利，特別是提供在線(xiàn)服務(wù)的訪問(wèn)工具，例如隱私儀表盤(pán)?！眱赡旰?，西班牙盡的配置要求。即便其不具備強(qiáng)制執(zhí)行的效力，也有著極高的參考價(jià)值。西班牙作為歐盟成員國(guó)之一，率先在用戶(hù)控制方面提出了要求，將會(huì)影響到其他國(guó)家細(xì)化規(guī)則的進(jìn)度，這將大大增加企業(yè)合規(guī)成本。參考附件：《全球數(shù)據(jù)跨境法律法規(guī)清單》《全球數(shù)據(jù)跨境管2.2.1數(shù)據(jù)跨境合規(guī)典型場(chǎng)景基于企業(yè)常見(jiàn)業(yè)務(wù)活動(dòng)，結(jié)合數(shù)據(jù)跨境基本模式，企業(yè)存在若干數(shù)據(jù)跨境典型場(chǎng)景。（1）集團(tuán)管理中的數(shù)據(jù)跨境。在跨國(guó)企業(yè)的集團(tuán)內(nèi)部日常運(yùn)營(yíng)管理過(guò)程中，一方面，總部對(duì)分支機(jī)構(gòu)有集中管理的客觀需要；另一方面，分支機(jī)構(gòu)對(duì)總部也有對(duì)數(shù)據(jù)調(diào)用的實(shí)際需求，數(shù)據(jù)跨境成為企業(yè)運(yùn)營(yíng)中必要、高頻且規(guī)?；某Ｒ?guī)數(shù)據(jù)處理活動(dòng)。常見(jiàn)的數(shù)據(jù)跨境場(chǎng)景有：理（2）業(yè)務(wù)活動(dòng)中的數(shù)據(jù)跨境。企業(yè)業(yè)務(wù)活動(dòng)中同樣涉及大量數(shù)據(jù)跨境情況，一方面，企業(yè)為擴(kuò)展海外市場(chǎng)產(chǎn)生大量產(chǎn)品銷(xiāo)售、品牌推廣、售后維護(hù)相關(guān)數(shù)據(jù)跨境傳輸；另一方面，企業(yè)為節(jié)約成本部署全球供應(yīng)鏈時(shí)也致使數(shù)據(jù)跨境流轉(zhuǎn)路徑復(fù)雜。常見(jiàn)的數(shù)據(jù)跨境場(chǎng)景有：2.2.2數(shù)據(jù)跨境合規(guī)要點(diǎn)各企業(yè)的數(shù)據(jù)跨境場(chǎng)景各不相同，各法域的數(shù)據(jù)跨境規(guī)則也并未具體到場(chǎng)景維度，合規(guī)管控一般進(jìn)行統(tǒng)一基線(xiàn)。各個(gè)場(chǎng)景的風(fēng)險(xiǎn)環(huán)節(jié)存在差異，在將統(tǒng)一基線(xiàn)下沉到具體業(yè)務(wù)活動(dòng)中時(shí)，側(cè)重點(diǎn)可能有所不同。對(duì)于企業(yè)，合規(guī)管控全景大體包括兩部分：一是針對(duì)全業(yè)務(wù)活動(dòng)的合規(guī)管控基線(xiàn)，基于對(duì)各法域跨境規(guī)則分類(lèi)、整理而形成基線(xiàn)；二是針對(duì)特殊場(chǎng)景中的管控側(cè)重點(diǎn)，設(shè)置特殊的管控要點(diǎn)。（1）通用合規(guī)管控要點(diǎn)結(jié)合法律法規(guī)的要求、相關(guān)行業(yè)標(biāo)準(zhǔn)，形成數(shù)據(jù)跨境合規(guī)管控關(guān)鍵管控點(diǎn)。.數(shù)據(jù)跨境前的評(píng)估.數(shù)據(jù)跨境中的執(zhí)行.數(shù)據(jù)跨境后的管理點(diǎn)（2）特殊場(chǎng)景合規(guī)管控要點(diǎn)針對(duì)特殊場(chǎng)景，在管控基線(xiàn)之外設(shè)置特殊的管控要點(diǎn)，制定場(chǎng)景化合規(guī)管控措施。參考示例：境外分支機(jī)構(gòu)在與當(dāng)?shù)乜蛻?hù)開(kāi)展業(yè)務(wù)過(guò)程中，需將客戶(hù)數(shù)據(jù)傳輸至境內(nèi)總部進(jìn)參考示例：境外分支機(jī)構(gòu)在與當(dāng)?shù)乜蛻?hù)開(kāi)展業(yè)務(wù)過(guò)程中，需將客戶(hù)數(shù)據(jù)傳輸至境內(nèi)總部進(jìn)數(shù)據(jù)跨境傳輸?shù)暮戏ㄐ?，境外分支機(jī)構(gòu)與該客戶(hù)簽署數(shù)據(jù)處理協(xié)議（DPA）并列明子處理者清單，以權(quán)境內(nèi)總部作為子處理者參與數(shù)據(jù)處理；同時(shí)，境外分支），隨著數(shù)字經(jīng)濟(jì)和數(shù)字貿(mào)易日益深入的發(fā)展，企業(yè)勢(shì)必會(huì)被卷入全球數(shù)據(jù)跨境合規(guī)體系的洪流中。企業(yè)必須迎接數(shù)據(jù)跨境合規(guī)的挑戰(zhàn)，一方面，了解內(nèi)部數(shù)據(jù)跨境現(xiàn)狀和外部監(jiān)管規(guī)則，了解企業(yè)數(shù)據(jù)跨境合規(guī)管控重點(diǎn)，另一方面，以風(fēng)險(xiǎn)為導(dǎo)向，建立完善企業(yè)數(shù)據(jù)跨境合規(guī)管控機(jī)制，搭建立足自身、內(nèi)外聯(lián)動(dòng)、成本效益并舉、靈活可持續(xù)的數(shù)據(jù)跨境合規(guī)體系。數(shù)據(jù)跨境合規(guī)治理思路主要包括：明確管控?cái)?shù)據(jù)對(duì)象、摸查關(guān)鍵情形場(chǎng)景、識(shí)別外部合規(guī)需求、開(kāi)展數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)跨境風(fēng)險(xiǎn)治理以及重要數(shù)據(jù)合規(guī)延展（如下圖），下文將作詳細(xì)探討。3.2.1明確管控?cái)?shù)據(jù)對(duì)象企業(yè)需要首先梳理和明確企業(yè)內(nèi)部受管控的數(shù)據(jù)對(duì)象，主要包括個(gè)人信息和重要數(shù)據(jù)。（1）個(gè)人信息的識(shí)別根據(jù)歐洲GDPR、我國(guó)個(gè)保法、《個(gè)人信息安全規(guī)范》等制度規(guī)范中對(duì)個(gè)人信息的定義，“直接或間接的可識(shí)別性”是判斷個(gè)人信息的根本依據(jù)。直接可識(shí)別性的例子如姓名、身份ID等基本身份信息，指紋、聲紋、虹膜、面部識(shí)別特征等生物識(shí)別數(shù)據(jù)等。個(gè)人信息的認(rèn)定難點(diǎn)在于具有“間接可識(shí)別性”的數(shù)據(jù)，即與其他信息結(jié)合能夠識(shí)別出特定個(gè)人的數(shù)據(jù)范圍的不確定性，例如常用設(shè)備數(shù)據(jù)、位置數(shù)據(jù)等，各法域?qū)﹂g接識(shí)別性的解釋也存在差異。參考示例：國(guó)際社會(huì)針對(duì)設(shè)備標(biāo)識(shí)符的可識(shí)別性存在爭(zhēng)議。因可能與其他信息組合而識(shí)別參考示例：國(guó)際社會(huì)針對(duì)設(shè)備標(biāo)識(shí)符的可識(shí)別性存在爭(zhēng)議。因可能與其他信息組合而識(shí)別.IMEI，GAID等硬件標(biāo)識(shí)符，應(yīng)考慮其與個(gè)人身份的關(guān)聯(lián)性，如處理者無(wú)法獲取其他信息，則該.在間接識(shí)別的場(chǎng)景中，應(yīng)考慮處理者所管理的數(shù)據(jù)集合，對(duì)所有數(shù)據(jù)進(jìn)行組合，是否能夠識(shí)別到具體（2）重要數(shù)據(jù)的識(shí)別目前國(guó)際社會(huì)尚未對(duì)重要數(shù)據(jù)形成統(tǒng)一定義，企業(yè)需要持續(xù)關(guān)注重要數(shù)據(jù)相關(guān)監(jiān)管政策出臺(tái)和解讀案例，以及時(shí)調(diào)整對(duì)于重要數(shù)據(jù)的合規(guī)策略。.我國(guó)相關(guān)規(guī)定根據(jù)我國(guó)《網(wǎng)絡(luò)安全法》的定義，重要數(shù)據(jù)指一旦泄露可能直接影響到國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定的數(shù)據(jù)，如未公開(kāi)的政府信息、大面積人口、基因健康、地理、礦產(chǎn)資源等。我國(guó)《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南（草案）》詳細(xì)明確了重要數(shù)據(jù)的特征，將重要數(shù)據(jù)分為經(jīng)濟(jì)運(yùn)行、人口與健康、自然資源與環(huán)境、科學(xué)技術(shù)、安全保護(hù)、應(yīng)用服務(wù)、政務(wù)活動(dòng)等類(lèi)型；并首次提出了識(shí)別重要數(shù)據(jù)的基本原則、重要數(shù)據(jù)的識(shí)別流程和對(duì)重要數(shù)據(jù)的描述格式，為企業(yè)梳理本企業(yè)重要數(shù)據(jù)具體目錄提供參考和規(guī)則支撐。針對(duì)工業(yè)和信息化領(lǐng)域，我國(guó)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》提出先分類(lèi)后分級(jí)，形成和維護(hù)數(shù)據(jù)分類(lèi)清單；然后根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度，將工業(yè)和電信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級(jí)；并明確提出我國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)當(dāng)依照法律、行政法規(guī)要求在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估，在確保安全的前提下進(jìn)行數(shù)據(jù)出境，并加強(qiáng)對(duì)數(shù)據(jù)出境后的跟蹤掌握。核心數(shù)據(jù)不得出境。.其他法域相關(guān)規(guī)定其他國(guó)家/地區(qū)暫未針對(duì)重要數(shù)據(jù)進(jìn)行清晰定義，但針對(duì)特殊數(shù)據(jù)或特殊行業(yè)，均有不同程度的合規(guī)要求。對(duì)于企業(yè)來(lái)說(shuō)，企業(yè)在日常運(yùn)營(yíng)過(guò)程中的一些商業(yè)數(shù)據(jù)，或數(shù)量有限的個(gè)人信息通常不被視為是重要數(shù)據(jù)。但針對(duì)一些特殊的行業(yè)如測(cè)繪、勘探、電信，日常運(yùn)營(yíng)過(guò)程中的商業(yè)數(shù)據(jù)可能被認(rèn)定為重要數(shù)據(jù)。3.2.2摸查關(guān)鍵情形場(chǎng)景關(guān)鍵動(dòng)作一：開(kāi)展現(xiàn)狀調(diào)研，識(shí)別數(shù)據(jù)跨境場(chǎng)景企業(yè)對(duì)內(nèi)部數(shù)據(jù)跨境場(chǎng)景進(jìn)行識(shí)別，為合規(guī)差距分析和明確合規(guī)治理重點(diǎn)提供堅(jiān)實(shí)的事實(shí)基礎(chǔ)。企業(yè)通常采用以下幾種方法展開(kāi)內(nèi)部調(diào)研工作：.信息采集和人員訪談：制定跨境要素識(shí)別表，通過(guò)下發(fā)信息采集表，調(diào)研跨境業(yè)務(wù)需求、數(shù)據(jù)保護(hù)現(xiàn)狀和數(shù)據(jù)流轉(zhuǎn)情況；.制度流程及法務(wù)文件審閱：審核企業(yè)現(xiàn)有制度、流程、隱私通知書(shū)等相關(guān)文檔，梳理合規(guī)現(xiàn)狀；.實(shí)地走查觀察：對(duì)現(xiàn)有跨境業(yè)務(wù)流程的執(zhí)行情況進(jìn)行實(shí)地走查觀察，隨機(jī)挑選或者針對(duì)企業(yè)關(guān)注的業(yè)務(wù)場(chǎng)景，從數(shù)據(jù)發(fā)出地采集、跨境傳輸?shù)綌?shù)據(jù)接收國(guó)落地整個(gè)過(guò)程進(jìn)行跟蹤，了解傳輸鏈路各環(huán)節(jié)的控制措施和實(shí)際的執(zhí)行情況。關(guān)鍵動(dòng)作二：清晰梳理路徑，制定數(shù)據(jù)流轉(zhuǎn)摸底工具由于數(shù)據(jù)跨境流轉(zhuǎn)情況復(fù)雜，需要采用工具表單和數(shù)據(jù)流轉(zhuǎn)示意圖的方式對(duì)數(shù)據(jù)跨境情況進(jìn)行記錄和清晰梳理，可以通過(guò)構(gòu)建信息采集工具進(jìn)行協(xié)助，例如：.構(gòu)建跨境場(chǎng)景識(shí)別表：根據(jù)業(yè)務(wù)單位填寫(xiě)的數(shù)據(jù)跨境場(chǎng)景識(shí)別要素表，梳理出數(shù)據(jù)跨境流轉(zhuǎn)情況，包括具體業(yè)務(wù)場(chǎng)景、涉及部門(mén)、文件形式、具體字段、數(shù)據(jù)來(lái)源地區(qū)、數(shù)據(jù)跨境識(shí)別、涉及系統(tǒng)；呈現(xiàn)各業(yè)務(wù)場(chǎng)景數(shù)據(jù)跨境轉(zhuǎn)移的類(lèi)型：跨境傳輸、跨境訪問(wèn)、跨境采集以及是否存在跨境中轉(zhuǎn)的情況。.繪制跨境數(shù)據(jù)流轉(zhuǎn)圖：根據(jù)數(shù)據(jù)跨境場(chǎng)景識(shí)別要素表，繪制跨境數(shù)據(jù)流轉(zhuǎn)圖，理清各業(yè)務(wù)細(xì)分場(chǎng)景下數(shù)據(jù)跨境流轉(zhuǎn)邏輯與路徑，包括涉及系統(tǒng)、數(shù)據(jù)主體所在地、跨境流轉(zhuǎn)情況等內(nèi)容，匯總成公司業(yè)務(wù)數(shù)據(jù)跨境全景圖。同時(shí)，應(yīng)設(shè)置針對(duì)上述工具的更新機(jī)制，定期對(duì)工具的符合性、實(shí)用性進(jìn)行審核、調(diào)整。3.2.3識(shí)別外部合規(guī)要點(diǎn)完成上述兩個(gè)步驟之后，企業(yè)對(duì)自身的數(shù)據(jù)跨境現(xiàn)狀和合規(guī)需求已有清晰的認(rèn)識(shí)。企業(yè)需結(jié)合自身業(yè)務(wù)分布情況，搜集和研究外部監(jiān)管合規(guī)的要求，以明確數(shù)據(jù)跨境合規(guī)治理要點(diǎn)。關(guān)鍵動(dòng)作一：梳理和研究數(shù)據(jù)跨境監(jiān)管規(guī)則在合規(guī)運(yùn)行的前提下，充分利用數(shù)據(jù)跨境流動(dòng)的國(guó)際規(guī)則，將極大降低企業(yè)的跨境運(yùn)維成本。通過(guò)對(duì)全球50多個(gè)國(guó)家和地區(qū)的跨境規(guī)則進(jìn)行研究，我們發(fā)現(xiàn)了全球數(shù)據(jù)跨境規(guī)則的主要邏輯結(jié)構(gòu)如下：1）跨境模式：數(shù)據(jù)跨境模式通常分為不允許出境、滿(mǎn)足條件出境、自由出境三類(lèi)，其中“滿(mǎn)足條件出境”為多數(shù)模式，也是下列監(jiān)管應(yīng)對(duì)的重點(diǎn)和前提；2）跨境核心要求：數(shù)據(jù)保護(hù)法令往往在跨境章節(jié)的首段列明數(shù)據(jù)跨境的核心要求，包括同意、同等/充分性保護(hù)和批準(zhǔn)/評(píng)估。各法域的核心要求為其中的一項(xiàng)或者兩項(xiàng)的組合；3）充分性保障措施：保障條件是針對(duì)同等保護(hù)作為核心條件的國(guó)家而言的，部分國(guó)家規(guī)定了具體的條件，例如：標(biāo)準(zhǔn)協(xié)議、集團(tuán)內(nèi)部規(guī)則等；部分國(guó)家未規(guī)定具體條件，企業(yè)可以采用最佳實(shí)踐做法，以自證滿(mǎn)足充分性保障要求；4）克減條件：即在滿(mǎn)足某些條件的情況下，可以不履行同等的保障條件，即對(duì)保障條件的克減。但有些國(guó)家并未規(guī)定克減條件，如中國(guó)。參考示例：以歐盟數(shù)據(jù)出境為例，可以對(duì)條款2）GDPR規(guī)定了滿(mǎn)足充分性保障的多樣化的形式，同時(shí)提供了3）GDPR也規(guī)定了包括同意在內(nèi)的克減條件，只有在清晰解讀邏輯層次參考示例：俄羅斯的數(shù)據(jù)跨境的核心要求為：同等/充分性保護(hù)；但在保障措施方面，俄羅斯單一種保障形式。在實(shí)踐中，若企業(yè)向非俄羅斯監(jiān)管機(jī)構(gòu)白名單國(guó)家傳輸數(shù)據(jù)，則必須通過(guò)關(guān)鍵動(dòng)作二：劃分各法域跨境風(fēng)險(xiǎn)等級(jí)不同國(guó)家/地區(qū)的數(shù)據(jù)跨境合規(guī)管控強(qiáng)度不同，致使企業(yè)面臨的執(zhí)行難度、合規(guī)風(fēng)險(xiǎn)存在差異。1）針對(duì)部分國(guó)家，如埃及、俄羅斯，僅能傳輸?shù)匠浞中哉J(rèn)定的國(guó)家或需要監(jiān)管機(jī)構(gòu)的批準(zhǔn)才能出境，又如贊比亞，必須就其標(biāo)準(zhǔn)協(xié)議獲取監(jiān)管機(jī)構(gòu)注冊(cè)，即必須通過(guò)監(jiān)管機(jī)構(gòu)參與才能達(dá)成合規(guī)條件，合規(guī)難度較高；2）另外一部分國(guó)家規(guī)定了多樣化的出境合規(guī)保障條件，其中包括了不需要監(jiān)管機(jī)構(gòu)參與、企業(yè)可以自由裁量選用的方式，合規(guī)難度相對(duì)較低；3）相同風(fēng)險(xiǎn)等級(jí)國(guó)家對(duì)應(yīng)的合規(guī)措施大體相同。因此，對(duì)全球重點(diǎn)國(guó)家的數(shù)據(jù)跨境轉(zhuǎn)移要求劃分成高中低風(fēng)險(xiǎn)，依據(jù)風(fēng)險(xiǎn)的高低即合規(guī)措施模式對(duì)各國(guó)家/地區(qū)進(jìn)行歸類(lèi)分級(jí)，并給每一等級(jí)的國(guó)家適配統(tǒng)一的合規(guī)措施，最終形成包含合規(guī)措施的數(shù)據(jù)跨境傳輸風(fēng)險(xiǎn)矩陣：嚴(yán)格管控（三級(jí)）、適度管控（二級(jí)）、寬松管控（一級(jí)如下圖）。）；境傳輸；通過(guò)滿(mǎn)足特定“克同時(shí)，企業(yè)需要立足自身管理實(shí)踐，制定重點(diǎn)國(guó)家/地區(qū)的數(shù)據(jù)跨境合規(guī)策略。企業(yè)可根據(jù)國(guó)別數(shù)據(jù)跨境風(fēng)險(xiǎn)矩陣，基于自身業(yè)務(wù)場(chǎng)景、風(fēng)險(xiǎn)偏好等，對(duì)不同風(fēng)險(xiǎn)等級(jí)的國(guó)家/地區(qū)制定數(shù)據(jù)跨境合規(guī)管控策略和控制點(diǎn)，包括風(fēng)險(xiǎn)等級(jí)、跨境傳輸路徑指引、相關(guān)示例/工具、相關(guān)責(zé)任方和審核方等；并結(jié)合各國(guó)家/地區(qū)的執(zhí)法力度最終確定數(shù)據(jù)跨境合規(guī)管控策略和控制點(diǎn)，為全球跨境傳輸提供路徑指引。3.2.4組織合規(guī)風(fēng)險(xiǎn)評(píng)估為評(píng)估企業(yè)數(shù)據(jù)跨境活動(dòng)中的合規(guī)風(fēng)險(xiǎn)，提升企業(yè)數(shù)據(jù)跨境管理能力、為業(yè)務(wù)發(fā)展提供可靠保障，企業(yè)需要對(duì)標(biāo)監(jiān)管要求對(duì)企業(yè)全跨境場(chǎng)景開(kāi)展風(fēng)險(xiǎn)評(píng)估，整體的流程如下圖：關(guān)鍵動(dòng)作一：制定跨境風(fēng)險(xiǎn)評(píng)估標(biāo)尺企業(yè)需基于監(jiān)管規(guī)則和國(guó)際標(biāo)準(zhǔn)，參考同業(yè)先進(jìn)實(shí)踐，從數(shù)據(jù)跨境全生命周期維度制定數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估矩陣?？缇城?、數(shù)據(jù)跨境執(zhí)行和跨境后評(píng)估內(nèi)容大致如下所示：1）跨境前環(huán)節(jié)：數(shù)據(jù)字段/流轉(zhuǎn)情況梳理、最小化評(píng)估、合法性評(píng)估、第三方合規(guī)性等內(nèi)容是否已評(píng)審?fù)ㄟ^(guò)等；2）跨境傳輸執(zhí)行合規(guī)措施：監(jiān)管機(jī)構(gòu)審批/備案、標(biāo)準(zhǔn)合同條款（SCC）協(xié)議、數(shù)據(jù)主體同意是否已合規(guī)執(zhí)行，跨境傳輸過(guò)程是否完整記錄等；3）跨境數(shù)據(jù)的后續(xù)使用：目的完成后數(shù)據(jù)是否及時(shí)刪除、是否有超出傳輸目的的使用情況等。關(guān)鍵動(dòng)作二：確定風(fēng)險(xiǎn)評(píng)級(jí)方法基于風(fēng)險(xiǎn)評(píng)估整理問(wèn)題清單，以“風(fēng)險(xiǎn)為導(dǎo)向”的合規(guī)策略對(duì)問(wèn)題進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。結(jié)合實(shí)踐經(jīng)驗(yàn)，數(shù)據(jù)跨境風(fēng)險(xiǎn)的評(píng)級(jí)可以從風(fēng)險(xiǎn)影響程度及風(fēng)險(xiǎn)發(fā)生可能性?xún)蓚€(gè)維度出發(fā)，認(rèn)定方法如下：高中高高中低中高低低低中低中高風(fēng)險(xiǎn)影響等級(jí)具體判斷標(biāo)準(zhǔn)如下：高高危風(fēng)險(xiǎn)項(xiàng)會(huì)導(dǎo)致很高的數(shù)據(jù)跨境合規(guī)風(fēng)險(xiǎn)，是監(jiān)管機(jī)構(gòu)關(guān)注的重點(diǎn)，一旦被監(jiān)管機(jī)構(gòu)查處，會(huì)嚴(yán)重影響此模塊業(yè)務(wù)的正常運(yùn)營(yíng)；或一旦被發(fā)現(xiàn)和利用，可能會(huì)直接導(dǎo)致數(shù)據(jù)泄露，對(duì)公司造成重大經(jīng)濟(jì)損失或產(chǎn)生重大聲譽(yù)風(fēng)險(xiǎn)，對(duì)模塊業(yè)務(wù)運(yùn)行中中危風(fēng)險(xiǎn)項(xiàng)會(huì)導(dǎo)致一般的數(shù)據(jù)跨境合規(guī)風(fēng)險(xiǎn)，一旦被監(jiān)管機(jī)構(gòu)查處，有中等或較高概率影響此模塊業(yè)務(wù)的正常運(yùn)營(yíng)；或一旦被發(fā)現(xiàn)和利用，可能會(huì)直接導(dǎo)致數(shù)據(jù)泄露，對(duì)公司造成低低危風(fēng)險(xiǎn)項(xiàng)會(huì)導(dǎo)致較低的數(shù)據(jù)跨境合規(guī)風(fēng)險(xiǎn)，對(duì)模塊業(yè)務(wù)正常運(yùn)營(yíng)、個(gè)人信息安全以及公司經(jīng)濟(jì)損失等的影響較低且發(fā)生的幾率較低。此類(lèi)問(wèn)題對(duì)模塊業(yè)務(wù)的影響受限于特定的條件或需與其他問(wèn)題組合才能導(dǎo)致較大的危害，從而問(wèn)題發(fā)生的可能性低于風(fēng)險(xiǎn)級(jí)別為中的3.2.5開(kāi)展合規(guī)風(fēng)險(xiǎn)治理企業(yè)基于數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估結(jié)論，結(jié)合監(jiān)管要求和同業(yè)先進(jìn)實(shí)踐，從制度流程設(shè)計(jì)與業(yè)務(wù)單位落地執(zhí)行兩個(gè)層面，制定數(shù)據(jù)跨境風(fēng)險(xiǎn)治理方案，主要包括以下兩方面：1）風(fēng)險(xiǎn)控制與治理：針對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論，制定風(fēng)險(xiǎn)治理方案并進(jìn)行優(yōu)先級(jí)排期，優(yōu)先處置影響重大、高緊迫度的風(fēng)險(xiǎn)，緩釋影響中小、低緊迫度的風(fēng)險(xiǎn)，適配可落地的技術(shù)和組織措施，包括對(duì)各業(yè)務(wù)執(zhí)行問(wèn)題的糾正，以及對(duì)現(xiàn)有合規(guī)管控基線(xiàn)的優(yōu)化；2）成果內(nèi)化與長(zhǎng)效運(yùn)維：堅(jiān)持合規(guī)與業(yè)務(wù)發(fā)展相結(jié)合、體系完善與落地執(zhí)行相結(jié)合的治理原則，制定可落地、可推廣、可持續(xù)的數(shù)據(jù)跨境風(fēng)險(xiǎn)管控和合規(guī)治理規(guī)則、指引、方法和工具，逐步完善的數(shù)據(jù)跨境風(fēng)險(xiǎn)治理體系。關(guān)鍵動(dòng)作一：監(jiān)管方交流與報(bào)批報(bào)備大多國(guó)家/地區(qū)的數(shù)據(jù)跨境管控要求涉及監(jiān)管方的參與，例如跨境前監(jiān)管審批、標(biāo)準(zhǔn)協(xié)議的報(bào)備等。目前，部分國(guó)家/地區(qū)的監(jiān)管機(jī)構(gòu)出具了具體的報(bào)批報(bào)備流程指引，例如歐盟的約束性公司規(guī)則（BCRs）審批流程；部分國(guó)家/地區(qū)的監(jiān)管機(jī)構(gòu)尚未對(duì)監(jiān)管報(bào)批報(bào)備流程給出公開(kāi)的清晰指引，企業(yè)需與監(jiān)管機(jī)構(gòu)進(jìn)行積極溝通。關(guān)鍵動(dòng)作二：合理部署數(shù)據(jù)中心跨國(guó)企業(yè)在部署業(yè)務(wù)系統(tǒng)服務(wù)器時(shí)，應(yīng)以合規(guī)為前提，結(jié)合成本、技術(shù)等因素進(jìn)行服務(wù)器選址部署。.合規(guī)考量一方面，需遵循本地化要求。按照一般個(gè)人信息的本地化要求及針對(duì)敏感個(gè)人信息的本地化要求的區(qū)分，總體分為以下兩種情況：1）對(duì)一般個(gè)人信息有本地化要求的國(guó)家，如俄羅斯，其人力資源管理、供應(yīng)商管理等業(yè)務(wù)系統(tǒng)中包含較多個(gè)人信息，建議本地部署服務(wù)器；2）對(duì)敏感個(gè)人信息有本地化要求的國(guó)家，如印度、巴基斯坦、阿聯(lián)酋、贊比亞，若業(yè)務(wù)系統(tǒng)中包含敏感數(shù)據(jù)較多，從風(fēng)險(xiǎn)控制的角度，亦建議本地化存儲(chǔ)。另一方面，對(duì)于沒(méi)有本地化要求的國(guó)家，在考慮數(shù)據(jù)中心選址時(shí)，應(yīng)考慮擬布局國(guó)家/地區(qū)的數(shù)據(jù)保護(hù)能力被認(rèn)可的程度。在被國(guó)際廣泛認(rèn)可的“充分保護(hù)”國(guó)家建立數(shù)據(jù)中心或數(shù)據(jù)港，以便其數(shù)據(jù)存儲(chǔ)及合理利用，實(shí)現(xiàn)業(yè)務(wù)和數(shù)據(jù)保護(hù)的平衡，降低數(shù)據(jù)跨境傳輸?shù)暮弦?guī)風(fēng)險(xiǎn)與合規(guī)成本。.成本、技術(shù)考慮考量在境外數(shù)據(jù)中心選址，需要同時(shí)將成本呢、技術(shù)等納入考量，比如：1）對(duì)企業(yè)政策：企業(yè)稅收、企業(yè)激勵(lì)政策、商業(yè)環(huán)境等；2）當(dāng)?shù)丨h(huán)境：氣候與環(huán)境、文化教育和能源通訊，人口密度等；3）當(dāng)?shù)鼐W(wǎng)絡(luò)水平：上網(wǎng)/移動(dòng)用戶(hù)、交通數(shù)據(jù)、骨干網(wǎng)節(jié)點(diǎn)數(shù)量、本地?cái)?shù)據(jù)中心數(shù)量等。4）技術(shù)成本：選擇公有云服務(wù)還是租用數(shù)據(jù)中心（IDC）也需要全面進(jìn)行成本評(píng)估。關(guān)鍵動(dòng)作三：調(diào)整SCC模板體系部分國(guó)家要求簽署本國(guó)監(jiān)管機(jī)構(gòu)的SCC，例如迪拜國(guó)際金融中心，或者簽署當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)認(rèn)可的標(biāo)準(zhǔn)協(xié)議，例如贊比亞。如企業(yè)針對(duì)所有跨境場(chǎng)景采用統(tǒng)一版本的SCC，未能滿(mǎn)足部分國(guó)家的特殊要求，同時(shí)，對(duì)于合規(guī)要求較低的國(guó)家，可以考慮簽署合規(guī)標(biāo)準(zhǔn)較低的SCC。短期，以歐盟版本SCC為基礎(chǔ)，兼顧已明確、可落地規(guī)則：1）對(duì)于未明確規(guī)則的國(guó)家/地區(qū)，企業(yè)可暫以歐盟版本SCC為基礎(chǔ)；2）對(duì)于有特殊監(jiān)管要求的國(guó)家/地區(qū)，簽署當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)發(fā)布的SCC協(xié)議；3）涉及有審批或備案要求的國(guó)家/地區(qū)，與監(jiān)管機(jī)構(gòu)確定SCC協(xié)議的認(rèn)可程序，并對(duì)現(xiàn)有SCC進(jìn)行認(rèn)證審批。長(zhǎng)期，關(guān)注國(guó)別差異、主體角色差異，調(diào)整SCC模板及使用規(guī)范：1）規(guī)劃集團(tuán)SCC模板體系：根據(jù)各國(guó)家/地區(qū)對(duì)SCC的不同要求和監(jiān)管?chē)?yán)苛程度，設(shè)計(jì)若干套集團(tuán)內(nèi)部SCC模板；2）在確定模板的基礎(chǔ)上，制定相關(guān)的使用規(guī)則及指引；3）持續(xù)關(guān)注各國(guó)家/地區(qū)的監(jiān)管動(dòng)態(tài)，及時(shí)更新SCC模板。關(guān)鍵動(dòng)作四：數(shù)據(jù)出境征得個(gè)人的單獨(dú)同意企業(yè)若以同意作為數(shù)據(jù)處理的合法性基礎(chǔ)，在涉及個(gè)人信息出境時(shí)，需要獲得個(gè)人對(duì)數(shù)據(jù)出境事項(xiàng)的單獨(dú)同意。企業(yè)應(yīng)充分履行告知義務(wù)，向個(gè)人信息主體告知境外接收方名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)；并與企業(yè)產(chǎn)品或服務(wù)中其他業(yè)務(wù)功能相分離，征得個(gè)人信息主體的單獨(dú)同意。關(guān)鍵動(dòng)作五：建立數(shù)據(jù)跨境前評(píng)估機(jī)制企業(yè)需要建立數(shù)據(jù)跨境前評(píng)估機(jī)制，在數(shù)據(jù)跨境前至少對(duì)以下事項(xiàng)進(jìn)行評(píng)估：1）數(shù)據(jù)跨境可行性評(píng)估：對(duì)數(shù)據(jù)跨境目的、范圍、方式等合法性、正當(dāng)性、必要性進(jìn)行評(píng)估，對(duì)境外接收方的安全管控能力進(jìn)行評(píng)估；2）數(shù)據(jù)跨境字段最小化評(píng)估：判斷跨境數(shù)據(jù)字段是否為最小化，是否涉及敏感信息等；3）數(shù)據(jù)跨境安全性評(píng)估：對(duì)數(shù)據(jù)跨境環(huán)節(jié)的安全管控能力進(jìn)行評(píng)估，包括組織管理和技術(shù)管控兩個(gè)層面，例如訪問(wèn)權(quán)限管控、傳輸通道、脫敏加密保障等。另外，應(yīng)著重建立完善評(píng)估的具體程序，包括評(píng)估流程的觸發(fā)機(jī)制、評(píng)估執(zhí)行參與主體、評(píng)估工具的使用、評(píng)估結(jié)果的應(yīng)用、評(píng)估流程的閉環(huán)等。3.2.6重要數(shù)據(jù)合規(guī)延展目前，各國(guó)家/地區(qū)對(duì)于重要數(shù)據(jù)的定義和跨境規(guī)則較為模糊，監(jiān)管執(zhí)法情況存在諸多不確定性。在數(shù)據(jù)識(shí)別方面，世界范圍內(nèi)對(duì)于重要數(shù)據(jù)的監(jiān)管定義尚未統(tǒng)一且較為模糊，企業(yè)需結(jié)合當(dāng)?shù)胤杉白陨順I(yè)務(wù)場(chǎng)景，對(duì)重要數(shù)據(jù)進(jìn)行場(chǎng)景化分析和識(shí)別，建立重要數(shù)據(jù)清單并單獨(dú)維護(hù)；同時(shí)堅(jiān)持較為“保守”的重要數(shù)據(jù)定義原則，以應(yīng)對(duì)監(jiān)管執(zhí)法的不確定性。在外部規(guī)則方面，重要數(shù)據(jù)的跨境規(guī)則大體分為以下兩種要求：1）本地化存儲(chǔ)及處理，原則上不允許向境外傳輸；2）向境外傳輸需符合特定目的要求，并且經(jīng)過(guò)嚴(yán)格的審批制度。除上述要求外，對(duì)重要數(shù)據(jù)跨境的監(jiān)管要求與個(gè)人信息無(wú)實(shí)質(zhì)區(qū)別，如事先風(fēng)險(xiǎn)評(píng)估、安全性保障措施等。因此，對(duì)于重要數(shù)據(jù)的跨境合規(guī)管控，可優(yōu)先考慮本地化部署的方式，從源頭規(guī)避數(shù)據(jù)跨境合規(guī)風(fēng)險(xiǎn)；其次，嚴(yán)格評(píng)估重要數(shù)據(jù)跨境的必要性和合法性，如確需進(jìn)行重要數(shù)據(jù)跨境，應(yīng)按規(guī)定進(jìn)行監(jiān)管報(bào)批報(bào)備，并做好組織層面和技術(shù)層面的安全保障措施；同時(shí)，企業(yè)應(yīng)做好數(shù)據(jù)跨境外部規(guī)則的排查、梳理及跟蹤，以應(yīng)對(duì)隨時(shí)可能面臨的重要數(shù)據(jù)合規(guī)風(fēng)國(guó)家安全與數(shù)字紅利追求并促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)尋求本地化中間提倡對(duì)個(gè)人數(shù)據(jù)進(jìn)行分級(jí)，對(duì)一般個(gè)人數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)、關(guān)鍵個(gè)人數(shù)據(jù)實(shí)施不同的數(shù)據(jù)本地化和跨境流動(dòng)限從2018、2019兩部個(gè)人信息法案針對(duì)數(shù)據(jù)跨境規(guī)則的變化可以看自由流動(dòng)，因此其數(shù)據(jù)本地化策略在想要融入數(shù)據(jù)全球化趨勢(shì)，刺激印度數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)，保護(hù)數(shù)據(jù)安全。其最終確定的中間路線(xiàn)是：在實(shí)施本地化要求的同時(shí)，印度提倡對(duì)個(gè)人數(shù)據(jù)實(shí)施分級(jí)分類(lèi)。對(duì)敏感數(shù)據(jù)、關(guān)鍵個(gè)人數(shù)據(jù)提出嚴(yán)格的本地化要求：在印度境內(nèi)存儲(chǔ)副本，在極少特定的情況下可以跨境流動(dòng)，其中，關(guān)鍵個(gè)人數(shù)據(jù)離境條件比敏感個(gè)人數(shù)據(jù)更為苛刻；而對(duì)一般個(gè)人俄羅斯通過(guò)數(shù)據(jù)本地化政策要求數(shù)據(jù)首次存儲(chǔ)在俄羅斯境內(nèi)，滿(mǎn)足合規(guī)條件的情況下有2014年，俄羅斯通過(guò)了個(gè)人數(shù)據(jù)本地化規(guī)則，要求收集和處理俄羅斯公民個(gè)人數(shù)據(jù)的所有運(yùn)營(yíng)者使用位于俄羅斯境內(nèi)的數(shù)據(jù)中心，要求數(shù)據(jù)首次存儲(chǔ)必須在俄羅斯境內(nèi)的服務(wù)器上。在執(zhí)法層面，俄羅斯也希望通過(guò)數(shù)據(jù)本地化存儲(chǔ)加強(qiáng)政府執(zhí)法權(quán)和對(duì)數(shù)據(jù)的控制力?！癥arovaya’sLaw”要求在互聯(lián)網(wǎng)上傳播信息的組織者保留俄羅斯用戶(hù)的互聯(lián)網(wǎng)通信數(shù)據(jù)、用戶(hù)本身的數(shù)據(jù)和某些用戶(hù)活動(dòng)的數(shù)據(jù)，在提倡數(shù)據(jù)跨境動(dòng)跨境數(shù)據(jù)自由流動(dòng)規(guī)則構(gòu)建主張將“數(shù)據(jù)跨境自由流動(dòng)”納入?yún)f(xié)議條款、限據(jù)、確定長(zhǎng)臂域基于當(dāng)前在信息通信產(chǎn)業(yè)、計(jì)算機(jī)行業(yè)和數(shù)字經(jīng)濟(jì)上具有絕對(duì)的全球領(lǐng)先優(yōu)勢(shì)，美國(guó)的數(shù)據(jù)流動(dòng)政策更注重個(gè)人數(shù)據(jù)跨境自由流動(dòng)，主要目的在于利用數(shù)字產(chǎn)業(yè)全球領(lǐng)導(dǎo)優(yōu)勢(shì)主導(dǎo)未來(lái)數(shù)據(jù)的流向。因此，美國(guó)在與各國(guó)的新一輪貿(mào)易談判中都主張將“數(shù)據(jù)跨境自由流動(dòng)”納入?yún)f(xié)議條款，以破除許多國(guó)家利用數(shù)據(jù)跨境流動(dòng)而設(shè)置的市場(chǎng)準(zhǔn)入壁壘；同時(shí)，限制重要技術(shù)數(shù)據(jù)出口和特定數(shù)據(jù)領(lǐng)域的外國(guó)投資，最后，通過(guò)“長(zhǎng)臂域外管轄”擴(kuò)大國(guó)內(nèi)法域外適用的范圍，進(jìn)一步擴(kuò)展數(shù)據(jù)主權(quán)，以滿(mǎn)足新環(huán)境下美國(guó)政府跨境調(diào)取數(shù)對(duì)內(nèi)實(shí)施單一化戰(zhàn)略，對(duì)外設(shè)置較為靈活的數(shù)據(jù)在成員國(guó)內(nèi)部，歐盟數(shù)據(jù)流動(dòng)政策旨在消除歐盟境內(nèi)數(shù)據(jù)自由流動(dòng)障礙，實(shí)施歐盟數(shù)字化單一市場(chǎng)戰(zhàn)略。為了實(shí)現(xiàn)數(shù)字化單一市場(chǎng)，歐盟通過(guò)GDPR在成員國(guó)間的直接適用，消除成員國(guó)數(shù)據(jù)保護(hù)規(guī)則的差異性，實(shí)現(xiàn)個(gè)人數(shù)據(jù)在歐盟范圍內(nèi)的自由流動(dòng)。通過(guò)《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》則致力于消除各成員國(guó)的數(shù)據(jù)本地化要求的壁壘。針對(duì)數(shù)據(jù)向成員國(guó)之外的出境，歐盟為企業(yè)提供了遵守適當(dāng)保障措施條件下的轉(zhuǎn)移機(jī)制，包括公共當(dāng)局或機(jī)構(gòu)間的具有法律約束力和執(zhí)行力的文件、約束性公司規(guī)則（BCRs）、標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款（歐盟委員會(huì)批準(zhǔn)/成員國(guó)監(jiān)管機(jī)構(gòu)批準(zhǔn)歐盟委員會(huì)承認(rèn)）、批準(zhǔn)的行為準(zhǔn)則、批準(zhǔn)的認(rèn)證機(jī)制等。這些機(jī)制為在歐盟收集并處理個(gè)人數(shù)新加坡、主張數(shù)據(jù)保護(hù)和數(shù)據(jù)自由流動(dòng)相結(jié)合，為企業(yè)設(shè)置多樣化的出境條件，并積極參與數(shù)據(jù)跨境流動(dòng)以建設(shè)亞太地區(qū)數(shù)據(jù)中心為導(dǎo)向，新加坡建立的數(shù)據(jù)跨境傳輸要求，使其成為跨國(guó)企業(yè)設(shè)立亞太區(qū)域數(shù)據(jù)中心的有利助力。同時(shí)，新加坡積極加入CBPRs（APEC跨境隱私規(guī)則體系），尋求區(qū)域內(nèi)數(shù)據(jù)自由流動(dòng)。雖然日本在數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)則形式上參考了歐盟，但對(duì)規(guī)則的解釋更為彈性，為數(shù)據(jù)跨境自由流動(dòng)提供了更多的空間。與此同時(shí)，日本積極積極參與美國(guó)為主導(dǎo)的跨太平洋伙伴關(guān)系協(xié)定(TPP)和APEC的CBPR規(guī)則體系，也通過(guò)制定補(bǔ)充規(guī)則以彌合歐盟和日本在數(shù)據(jù)保護(hù)規(guī)則上的差異，于2019年實(shí)現(xiàn)了日歐之間經(jīng)濟(jì)合作與發(fā)展組促進(jìn)成員國(guó)內(nèi)部數(shù)2013年，OECD對(duì)OECD1980年指南進(jìn)行了一次全面護(hù)和個(gè)人數(shù)據(jù)跨境流通指南》（簡(jiǎn)稱(chēng)“OECD2013年指南”）。指南中將個(gè)人數(shù)據(jù)跨境流通定義為“個(gè)人數(shù)據(jù)跨越國(guó)據(jù)在成員國(guó)之間的自由流動(dòng)。其中第四部分為數(shù)據(jù)自由流通和合法限制的原則（第15-18條主要內(nèi)容包含成員國(guó)應(yīng)履行的再出口影響評(píng)估義務(wù)、確保通暢、安全的義務(wù)、管理與保護(hù)責(zé)任，克制態(tài)度、禁止妨礙數(shù)據(jù)流動(dòng)、確保限制和風(fēng)險(xiǎn)成比例的義務(wù)。2007年，在OECD1980年指南的基礎(chǔ)上，OECD通過(guò)了《隱私保護(hù)及跨境合作執(zhí)行建議》，要求成員國(guó)執(zhí)行跨境合作執(zhí)行隱私保護(hù)相關(guān)法律時(shí)，對(duì)企業(yè)提出了便利執(zhí)行合作的行動(dòng)要求。不難看出，OECD對(duì)于成員國(guó)內(nèi)部的數(shù)據(jù)跨境流通總體持較為開(kāi)放的亞太經(jīng)濟(jì)合作組織建立跨境規(guī)則體系，確立具體評(píng)估2013年，亞太經(jīng)濟(jì)合作組織（以下簡(jiǎn)稱(chēng)“APEC”）通過(guò)了《跨境隱私規(guī)“CBPR”）。CBPR旨在“確保個(gè)人信息跨國(guó)界自由流動(dòng)的同時(shí)，為個(gè)人信息的隱私與安全建立有意義的保護(hù)”，要求“各國(guó)傳輸不存在不合理的障礙，同時(shí)應(yīng)在國(guó)內(nèi)以及與外國(guó)政府合作在國(guó)際上保護(hù)其公民個(gè)人信息的隱私和安全?！盇PEC彈性化的多邊隱私與數(shù)據(jù)保護(hù)監(jiān)管合作模式取得了一定的成效，作為是亞太地區(qū)第一個(gè)數(shù)據(jù)保護(hù)協(xié)同框架，APEC隱私框架建立了一整套的落實(shí)措施，其跨境隱私規(guī)則體系（CBPR）是當(dāng)前多邊監(jiān)管合作中較為成熟的機(jī)制，確立了評(píng)估標(biāo)準(zhǔn)：國(guó)內(nèi)隱私法、隱私保護(hù)執(zhí)法機(jī)構(gòu)、信任標(biāo)志（trust-mark）提供商、隱私法與APEC隱私框架的一致性等，要求各成員國(guó)確?？缇硵?shù)據(jù)傳輸不存在不合東南亞國(guó)通過(guò)數(shù)字治理框架對(duì)成員共進(jìn)行監(jiān)管指導(dǎo)，重點(diǎn)發(fā)展示范合同條款及跨境第一屆東盟數(shù)字部長(zhǎng)會(huì)議批準(zhǔn)發(fā)布《東盟數(shù)據(jù)管理框架》（ASEANDataManagementFramework，簡(jiǎn)稱(chēng)DMF）以及《東盟跨境數(shù)據(jù)流動(dòng)示范合同條Flows，簡(jiǎn)稱(chēng)MCCs），以期促進(jìn)東盟地區(qū)數(shù)據(jù)相關(guān)的商業(yè)業(yè)務(wù)運(yùn)營(yíng)，減少談判和合規(guī)成本，同時(shí)確?？缇硵?shù)據(jù)傳輸過(guò)程中的個(gè)人數(shù)據(jù)保護(hù)。東盟數(shù)據(jù)保護(hù)框架旨在靈活適應(yīng)成員國(guó)在數(shù)據(jù)和隱私保護(hù)監(jiān)管方面的不同的成熟度，但不具有國(guó)內(nèi)和國(guó)際的約束力。2018年，基于《東盟經(jīng)濟(jì)共同體藍(lán)圖2025》和《東盟個(gè)人數(shù)據(jù)保護(hù)框架》的號(hào)召，東盟發(fā)布了《東盟數(shù)字?jǐn)?shù)據(jù)治理框架》（ASEANFrameworkonDigitalDataGovernance），規(guī)定了戰(zhàn)略重點(diǎn)、原則和倡議，以指導(dǎo)東盟成員國(guó)在數(shù)字經(jīng)濟(jì)中對(duì)數(shù)字?jǐn)?shù)據(jù)治理（包括個(gè)人和非個(gè)人數(shù)據(jù)）的政策和監(jiān)管方法。2019年11月，東盟通過(guò)《東盟跨境數(shù)據(jù)流動(dòng)機(jī)制的關(guān)鍵方法》，建議東盟重點(diǎn)發(fā)展其中兩個(gè)機(jī)制，即“東盟示范合同條款”和“東盟跨境數(shù)據(jù)1.框架性規(guī)定，主體限于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)2.需境內(nèi)存儲(chǔ)，若有需要境外提供，需經(jīng)安全評(píng)估年生效《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法稿）》年發(fā)布征求意行政法征求意見(jiàn)稿《信息安全技安全評(píng)估指南稿）》4.接收方的安全保護(hù)能力及所在地區(qū)政治法律環(huán)年發(fā)布征求意國(guó)家標(biāo)征求意見(jiàn)稿《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》年發(fā)布征求意行政法征求意見(jiàn)稿《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》2.網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布、共享、交易或向境外提供重年發(fā)布征求意行政法征求意見(jiàn)稿《網(wǎng)絡(luò)安全審上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全年生效行政法2.未有細(xì)致的規(guī)定，僅規(guī)定了促進(jìn)數(shù)據(jù)有效利年生效《個(gè)人信息保第41條年生效《數(shù)據(jù)出境安稿）》3.申報(bào)數(shù)據(jù)出境安全評(píng)估的材料、流程、有效年發(fā)布征求意行政法征求意見(jiàn)稿《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)在中國(guó)境內(nèi)收集的個(gè)人金融信息的存儲(chǔ)、處理和分析《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（初稿）》在中國(guó)境內(nèi)收集的個(gè)人金融信息的存儲(chǔ)、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律、法規(guī)、規(guī)章及有關(guān)主管部門(mén)菱形規(guī)定外，不得向境外提供境內(nèi)個(gè)人金融信息。境內(nèi)金融機(jī)構(gòu)未處理跨境業(yè)務(wù)時(shí)，應(yīng)當(dāng)事先取得信息主體的明示同意，并依法開(kāi)展出境安全評(píng)估。個(gè)人金融信息出境后，境內(nèi)金融機(jī)構(gòu)應(yīng)當(dāng)建立個(gè)人金融金融信息保護(hù)技術(shù)規(guī)因業(yè)務(wù)需要，確需向境外機(jī)構(gòu)提供個(gè)人金融信息的，具體要求如下：應(yīng)符合國(guó)家法律法規(guī)及行業(yè)主管部門(mén)有關(guān)規(guī)定；應(yīng)獲得個(gè)人金融信息主體明示同意；應(yīng)依據(jù)國(guó)家、行業(yè)有關(guān)部門(mén)制定的辦法與標(biāo)準(zhǔn)開(kāi)展個(gè)人金融信息出境安全評(píng)估，確保境外機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力達(dá)到國(guó)家、行業(yè)有關(guān)部門(mén)與金融業(yè)機(jī)構(gòu)的安全要求；應(yīng)與境外機(jī)構(gòu)通過(guò)簽訂協(xié)議、現(xiàn)場(chǎng)核查等方式，明確并監(jiān)督境外機(jī)構(gòu)有效履行個(gè)人金融信息保密、數(shù)《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦在中國(guó)境內(nèi)收集的消費(fèi)者金融信息的存儲(chǔ)、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。因業(yè)務(wù)需要，確需向境外提供消費(fèi)者金融信息的，應(yīng)當(dāng)同時(shí)符合以下條件：為處理跨境業(yè)務(wù)所必需；經(jīng)金融消費(fèi)者書(shū)面授權(quán)；信息接收方為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)（含總公司、母公司或者分公司、子公司等通過(guò)簽訂協(xié)議、現(xiàn)場(chǎng)核查等有效措施，要求境外機(jī)構(gòu)為所獲得的消費(fèi)者金融信息保密；符合法律法規(guī)和其他相關(guān)監(jiān)管部門(mén)的《保險(xiǎn)公司開(kāi)業(yè)驗(yàn)收指中國(guó)保險(xiǎn)監(jiān)督業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)存放在中國(guó)境內(nèi)，具有獨(dú)立的數(shù)據(jù)存儲(chǔ)設(shè)備以及相應(yīng)的安全防護(hù)和異地征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的整理、保存和加《網(wǎng)絡(luò)預(yù)約出租汽車(chē)經(jīng)交通部、工信網(wǎng)約車(chē)平臺(tái)公司應(yīng)當(dāng)遵守國(guó)家網(wǎng)絡(luò)和信息安全有關(guān)規(guī)定，所采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當(dāng)在中國(guó)內(nèi)地存儲(chǔ)和使用，保存期限不少于2年，除法律法《人口健康信息管理辦法（試行）》不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托《網(wǎng)絡(luò)出版服務(wù)管理規(guī)局、工業(yè)和信圖書(shū)、音像、電子、報(bào)紙、期刊出版單位從事網(wǎng)絡(luò)出版服務(wù)，應(yīng)當(dāng)具備以下條件：有從事網(wǎng)絡(luò)出版服務(wù)所需的必要的技術(shù)設(shè)備，相關(guān)服務(wù)器和存儲(chǔ)設(shè)備必須存互聯(lián)網(wǎng)地圖服務(wù)單位應(yīng)當(dāng)將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在中華人民共和國(guó)境內(nèi)，并制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全《第405FZ號(hào)數(shù)據(jù)保護(hù)法》未有個(gè)人數(shù)據(jù)保護(hù)法，《政府電子系統(tǒng)和交易實(shí)施條例》對(duì)公共電子系統(tǒng)提出了若干暫無(wú)成文個(gè)人信息保護(hù)法，僅有《2018年數(shù)字安全法案》，其中暫無(wú)數(shù)據(jù)跨境傳輸關(guān)于個(gè)人數(shù)據(jù)保護(hù)的第2997-VI號(hào)法律《個(gè)人信息保護(hù)法案》2012，2020年的修訂DIFC于2007年制定了隱私保護(hù)法令、于2020年進(jìn)行了補(bǔ)充修訂，DataProtection《個(gè)人資料（私隱）條例》（未有關(guān)于數(shù)據(jù)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》《中華人民共和國(guó)網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》網(wǎng)絡(luò)運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按在一般數(shù)據(jù)安全保護(hù)義務(wù)之上，對(duì)重要數(shù)據(jù)的處理者規(guī)定了“增強(qiáng)1.重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)2.重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告；風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類(lèi)、數(shù)量，收集、存儲(chǔ)、加工、使用數(shù)據(jù)的情《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南（草案）》首次提出了重要數(shù)據(jù)的完整定義（從數(shù)據(jù)的作用、受破壞后可能帶來(lái)的影響等角度，將重要數(shù)據(jù)分為國(guó)民經(jīng)濟(jì)運(yùn)行類(lèi)、安保類(lèi)、自然資源與環(huán)境類(lèi)、健康類(lèi)、敏感技術(shù)類(lèi)、用戶(hù)類(lèi)及政府工作秘密類(lèi)）。并列舉了28個(gè)行業(yè)的重要數(shù)據(jù)類(lèi)型、范圍。在重要數(shù)據(jù)的定義中，附帶給出了重要數(shù)據(jù)判定準(zhǔn)則，按照數(shù)據(jù)未經(jīng)授權(quán)披露、丟失、濫用、篡改或銷(xiāo)毀，或匯聚、整合、分析后可能造成的后果，列出了9種情《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南（草案）》內(nèi)容涉及重要數(shù)據(jù)的定義，運(yùn)營(yíng)基礎(chǔ)電信業(yè)務(wù)過(guò)程中識(shí)別重要數(shù)據(jù)的將要?jiǎng)?chuàng)建法律和技術(shù)框架為如下情形的跨境數(shù)據(jù)流動(dòng)施加限制提供依據(jù)1）安裝在公共場(chǎng)所的物聯(lián)網(wǎng)設(shè)備收集的數(shù)據(jù)；以及（2）印度用戶(hù)通過(guò)各種來(lái)源產(chǎn)生的數(shù)據(jù)，包括電子商務(wù)平臺(tái)、社交媒體、搜索引擎等。但是也列出了一些允許跨境流動(dòng)的例外情形，例如云計(jì)算服1.與訂閱者有關(guān)的任何會(huì)計(jì)信息（除了國(guó)際漫游/賬單注意：該）；2.用戶(hù)信息（除了在漫游期間使用印度運(yùn)營(yíng)商網(wǎng)絡(luò)的外國(guó)訂閱者或《國(guó)家數(shù)據(jù)分享和準(zhǔn)入亞《電子系統(tǒng)和交易條款的2019年第71號(hào)政府公共電子系統(tǒng)運(yùn)營(yíng)商必須將其電子系統(tǒng)和數(shù)據(jù)（包括政府、能源、交通、金融、醫(yī)療、IT和通信、國(guó)防等戰(zhàn)略性數(shù)據(jù)）放置在印度尼西亞。除非公司另有規(guī)定，否則私人電子系統(tǒng)運(yùn)營(yíng)商可以將其電子系統(tǒng)和數(shù)據(jù)放置在印度尼西亞境內(nèi)或境外。但是，私有電子系統(tǒng)運(yùn)營(yíng)商必須允許政府機(jī)構(gòu)進(jìn)行“監(jiān)督”，包括訪問(wèn)電子系統(tǒng)和數(shù)據(jù)，以進(jìn)行監(jiān)《互聯(lián)網(wǎng)服務(wù)和在線(xiàn)信息管理、提供和使用條要求信息收集網(wǎng)站、社交網(wǎng)站、移動(dòng)通信網(wǎng)絡(luò)服務(wù)提供者、在線(xiàn)游戲同時(shí)，在《網(wǎng)絡(luò)安全法》中，要求互聯(lián)網(wǎng)和在線(xiàn)附加服務(wù)提供服務(wù)的國(guó)內(nèi)外企業(yè)，收集，利用，分析和處理信息數(shù)據(jù)，個(gè)人，服務(wù)用戶(hù)的《電子金融交易監(jiān)管條數(shù)據(jù)本地化措施適用于金融領(lǐng)域。電子金融交易監(jiān)管條例禁止韓國(guó)金融機(jī)構(gòu)跨境傳輸持有的可識(shí)別信息，并要求這些機(jī)構(gòu)在韓國(guó)安裝服務(wù)器和災(zāi)難恢復(fù)設(shè)施。只有對(duì)電子金融交易的安全性和可靠性影響有限、且可能因此被指定為“非關(guān)鍵”的信息處理系統(tǒng)，才可建立在國(guó)《金融機(jī)構(gòu)外包數(shù)據(jù)處金融領(lǐng)域的數(shù)據(jù)處理外包適用特定的限制。26韓國(guó)境內(nèi)的金融公司必須向金融服務(wù)委員會(huì)（FSS）報(bào)告法律在外包數(shù)據(jù)處理規(guī)定的特定1.根據(jù)適用法律、法規(guī)和政府政策進(jìn)行保護(hù)或傳播控制的信息，分限制分發(fā)信息(LIMITEDDISTRIB以保護(hù)CUI免受未經(jīng)授權(quán)的侵害訪問(wèn)；并在CUI注冊(cè)表中提供參考；當(dāng)不再需要采取保護(hù)措施時(shí)，應(yīng)盡快解除CUI的控制和相關(guān)當(dāng)局的傳1.俄羅斯互聯(lián)網(wǎng)穩(wěn)定運(yùn)行的主要責(zé)任主體是電信運(yùn)營(yíng)商以及技術(shù)通信2.RKN通過(guò)定義路由政策、協(xié)調(diào)電信運(yùn)營(yíng)商和責(zé)任方以及他們之間3.責(zé)任方義務(wù)包括：參加穩(wěn)定俄羅斯網(wǎng)絡(luò)的常規(guī)演習(xí)；安裝技術(shù)設(shè)備，以防范對(duì)俄羅斯境內(nèi)互聯(lián)網(wǎng)運(yùn)營(yíng)的穩(wěn)定性、安全性和完整性的威/土耳其信息技術(shù)和通信管理局發(fā)布了兩項(xiàng)決定，以管制在該國(guó)引起轟動(dòng)的嵌入式SIM技術(shù)，尤其是電子呼叫系統(tǒng)的SIM卡本地化要求，以防止車(chē)輛永久漫游：第一個(gè)決定規(guī)范車(chē)輛中的電子呼叫服務(wù)，第二個(gè)亞/阿爾及利亞通過(guò)立法要求電子商務(wù)運(yùn)營(yíng)者從阿爾及利亞境內(nèi)的數(shù)據(jù)中中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室/中共中央網(wǎng)絡(luò)安全和信息化委htp:/w.ca/地址：北京市西城區(qū)車(chē)公莊大街9號(hào)1.溝通安全評(píng)估、安全相關(guān)2.溝通確定同等保護(hù)標(biāo)準(zhǔn)協(xié)議訂立情況，及現(xiàn)階段集團(tuán)3.關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者及達(dá)到一定數(shù)量的個(gè)人信息處理法國(guó)網(wǎng)絡(luò)和信/w.s網(wǎng)絡(luò)安全管理/w.s /w.ghtps:/ico.o標(biāo)準(zhǔn)數(shù)據(jù)傳輸協(xié)議發(fā)布情況馬來(lái)西亞國(guó)家/w.n地址：LevelLG&G,Center,3.數(shù)據(jù)控制者/數(shù)據(jù)庫(kù)注冊(cè)情況馬來(lái)西亞通信/w.k.my/webmaster@.my印度中央信息htp:/w.ci2.標(biāo)準(zhǔn)合同或內(nèi)部集團(tuán)計(jì)劃通信和信息技/w.m1.向監(jiān)管機(jī)構(gòu)報(bào)備跨境傳輸合規(guī)執(zhí)行情況，自證滿(mǎn)足同2.獲取監(jiān)管機(jī)構(gòu)對(duì)于跨境傳阿爾及利亞郵/.dz/en1.向監(jiān)管機(jī)構(gòu)報(bào)備接收國(guó)立法情況及集團(tuán)公司數(shù)據(jù)跨境合執(zhí)行情況，自證滿(mǎn)足同等2.獲取監(jiān)管機(jī)構(gòu)對(duì)于跨境傳安哥拉電信和/w.m htp:/w.mt.ao/1.個(gè)保法生效后中國(guó)是否可以被認(rèn)定為適當(dāng)保護(hù)水平的2.根據(jù)中國(guó)的認(rèn)證情況，報(bào)聯(lián)邦通信、信息技術(shù)和大眾htp:/w.rsoc.ru/地址：7,bldg2,1.數(shù)據(jù)處理活動(dòng)開(kāi)始前的報(bào)國(guó)家網(wǎng)絡(luò)安全htps:/.ua/ 3-19國(guó)家中心或負(fù)/w.c迪拜金融服務(wù)/w.d/標(biāo)準(zhǔn)數(shù)據(jù)傳輸協(xié)議發(fā)布情況土耳其國(guó)家網(wǎng)tr/烏干達(dá)國(guó)家信/w.n 電信、信息技htps:/mint 哥倫比亞工商哥倫比亞信息htps:/minti/（1）標(biāo)準(zhǔn)合同條款標(biāo)準(zhǔn)合同條款（StandardsContractualClauses，SCCs）是由歐盟委員會(huì)“預(yù)先批準(zhǔn)”的合同范本條款，根據(jù)《通用數(shù)據(jù)保護(hù)條例》（GDPR），確保適當(dāng)數(shù)據(jù)保護(hù)保障措施的合同條款可作為從歐盟向第三國(guó)傳輸數(shù)據(jù)的依據(jù)。2021年6月4日，歐盟委員會(huì)發(fā)布了GDPR下的現(xiàn)代化標(biāo)準(zhǔn)合同條款，用于從歐盟/歐洲經(jīng)濟(jì)區(qū)（或以其他方式受GDPR約束）的控制者或處理者向歐盟/歐洲經(jīng)濟(jì)區(qū)（不受GDPR約束）以外的控制者或處理者傳輸數(shù)據(jù)。一項(xiàng)適用于數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的數(shù)據(jù)委托處理活動(dòng)，一項(xiàng)適用于向第三國(guó)傳輸個(gè)人信息的情形?！驹L問(wèn)下載】htps:/ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_（2）充分性認(rèn)定國(guó)家充分性認(rèn)定是只有當(dāng)?shù)谌龂?guó)對(duì)于個(gè)人數(shù)據(jù)的保護(hù)水平達(dá)到歐盟的要求，歐盟成員國(guó)的個(gè)人數(shù)據(jù)才能進(jìn)行數(shù)據(jù)跨境流動(dòng)。根據(jù)《通用數(shù)據(jù)保護(hù)條例》（GDPR）規(guī)定，認(rèn)定第三國(guó)是否提供了“充分的”數(shù)據(jù)保護(hù)，通過(guò)第三國(guó)個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律制度的完備情況、執(zhí)行情況等因素判斷。目前，充分性決定的國(guó)家包括:安道爾、阿根廷、加拿大(商業(yè)組織)、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭韓國(guó)?！驹L問(wèn)下