跨境数据传输:SCC、BCR 和充分性决策
国际数据传输是全球隐私合规中技术最复杂、法律上最不确定的领域之一。当个人数据跨境移动时——从欧盟到美国云服务器,从日本到跨国公司的全球人力资源系统,从巴西到印度处理中心——多个法律框架同时适用,每个法律框架都要求在数据移动之前建立特定的传输机制。
Schrems II 判决(欧盟法院,2020 年 7 月 16 日)使隐私护盾失效,并要求组织对基于标准合同条款的转让进行转让影响评估 (TIA),从根本上颠覆了国际转让格局。此后,出现了三项重大进展:欧盟-美国数据隐私框架的充分性(2023 年 7 月)、更新的欧盟 SCC(2021 年 6 月)以及中国 (PIPL)、印度(DPDP 法案)和沙特阿拉伯 (PDPL) 等国家国家级传输限制的激增。本指南提供了导航国际数据传输迷宫的全面路线图。
要点
- 欧盟 GDPR 限制在没有充分保护或适当保障措施的情况下向非欧洲经济区国家传输个人数据
- 充分性决定是最简单的机制——如果目的地国家具有欧盟充分性,则不需要额外的保障措施
- 标准合同条款 (2021 SCC) 是最广泛使用的机制 - 四个模块,涵盖控制器到控制器、控制器到处理器、处理器到控制器和处理器到处理器传输
- 基于SCC的转让需要进行转让影响评估(TIA)——评估目的地国家的法律是否能够提供有效的保护
- 具有约束力的公司规则 (BCR) 适用于集团内部转让,但需要 EU DPA 批准 - 一个 2-3 年的过程
- 欧盟-美国数据隐私框架(2023 年 7 月)为美国传输提供了基于充分性的机制 — 验证 DPF 认证状态
- 中国PIPL、沙特阿拉伯PDPL和印度DPDP均实施出境转账限制,需要各自的机制
- 地域数据本地化要求(俄罗斯、中国的 CIIO、沙特的健康/金融数据)完全禁止某些出站传输
转让限制的法律依据
欧盟 GDPR 第五章
GDPR 第五章(第 44-49 条)规定,只有在以下情况下,个人数据才可以转移到第三国:
- 欧盟委员会已通过该国的充分性决定(第 45 条)
- 适当的保障措施到位(第 46 条)——SCC、BCR、经批准的具有约束力承诺的行为准则、经批准的认证机制、公共当局之间具有法律约束力的文书
- 适用特定减损(第 49 条)——明确同意、合同必要性、法律主张、切身利益、公共利益、公共登记册
原则:欧盟个人数据无论流向何处都应享有同等程度的保护。转移机制是理论上实现这一目标的工具。
关键判例法
Schrems I(CJEU,2015):使欧盟-美国转移的安全港框架无效,发现美国国家安全法阻碍了 GDPR 原则的有效执行。
Schrems II(CJEU,2020):无效的隐私盾(安全港的后继者);发现示范条款(SCC)原则上仍然有效,但控制者/处理者必须逐案验证目的地国家/地区是否提供了有效的保护。这就产生了 TIA 要求。
欧盟-美国数据隐私框架(委员会决定,2023 年 7 月):根据美国关于信号情报改革的第 14086 号行政命令(2022 年 10 月)通过。为经过认证的 DPF 参与者提供充分的保障。在爱尔兰法院受到 Max Schrems 的质疑——Schrems III 诉讼正在进行中,但 DPF 仍然有效,除非欧洲法院发出暂停令。
充分性决策
最简单的转移机制:如果委员会对目的地国家采取了充分性决定,则无需额外的保障措施。
当前欧盟充分性决定(截至 2026 年 3 月):
- 安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国(欧盟-美国数据隐私框架 - 仅经过 DPF 认证的组织)
重要警告:
- 美国:仅适用于经过欧盟-美国 DPF 认证的组织。向未经认证的美国公司转移需要 SCC、BCR 或其他机制。在依赖充分性之前,请在 DPF 网站 (dataprivacyframework.gov) 上验证 DPF 认证状态。
- 加拿大:充分性涵盖 PIPEDA 下的商业组织 — 不涵盖所有加拿大实体或省级私营部门法律
- 日本:充分性须遵守欧盟个人数据补充规则
- 英国:2021 年 6 月通过的充分性决定,包含四年日落条款;预计2025年更新
充分性决定需要接受审查并且可以暂停——Schrems II 案例证明了充分性依赖的风险。即使当前适用,也应维护应急 SCC 文档。
标准合同条款(欧盟 SCC 2021)
2021 年欧盟 SCC(委员会决定 2021/914,2021 年 6 月 4 日)取代了旧的示范条款,并引入了涵盖所有四种转移场景的模块化结构:
四个模块
模块 1 — 控制器到控制器 (C2C):两个数据控制器。最常见的情况包括:非关联公司之间的数据共享、将客户数据发送给 CRM 供应商,供其出于自身目的进行处理、联合数据合作伙伴关系。
模块 2 — 控制器到处理器 (C2P):数据控制器将处理外包给第三方处理器。最常见的是:云服务、SaaS、IT 外包、分析服务、数据中心。
模块 3 — 处理器到处理器 (P2P):子处理器安排。当处理器使用子处理器时使用。
模块 4 — 处理器到控制器 (P2C):处理器将数据返回到控制器。不太常见;用于特定的架构场景。
SCC 强制组件
2021 年 SCC 包含不可修改的强制性条款:
- 第 2 条:效力和不变性 — 双方同意,除非以允许的方式,否则不得修改条款
- 第7条:对接条款——允许其他方加入
- 第 9 条:分处理者授权方式(一般或特定书面授权)
- 第 17 条:管辖法律(必须是至少成立一方的成员国法律;或允许第三方受益人权利的成员国法律)
- 第 18 条:法院选择(管理 SCC 的成员国的主管法院)
哪些方可以定制:
- 超出最低限度的额外保障措施(由 EDPB 鼓励)
- 特定于业务的附件内容(处理描述、数据类别、技术措施)
- 子处理者授权方法(一般或特定)
- 目的地国家数据主体的补救机制
英国 IDTA
对于从英国(非欧盟)进行的传输,请使用 ICO 的国际数据传输协议 (IDTA) 或欧盟 SCC 的 IDTA 附录。自 2022 年 9 月 21 日起,这些协议将取代用于英国转移的欧盟 SCC(对于现有的欧盟 SCC 合同,延期至 2024 年 3 月 21 日)。
转移影响评估 (TIA)
继 Schrems II 之后,EDPB 发布了关于传输的建议 01/2020,其中对基于 SCC 的传输提出了强制性 TIA 要求。 TIA 是一项记录分析,用于评估目的地国家/地区的法律框架是否妨碍对传输数据的有效保护。
TIA 步骤(EDPB 建议 01/2020)
第 1 步 — 了解您的传输:映射所有传输,包括通过处理者和子处理者的后续传输。
步骤 2 — 验证使用的传输工具:确认适用哪种传输机制(SCC 模块、充分性等)。
第 3 步 — 评估第三国法律:评估目的地国家的法律是否妨碍 SCC 的有效性。相关因素:
- 该国是否允许政府获取超出必要和适当范围的个人数据?
- 如果权利受到侵犯,欧盟个人是否可以采取有效的法律补救措施?
- 国家有独立的监管机构吗?
第 4 步 — 确定并采取补充措施:如果 TIA 发现目的地国法律有问题,则实施补充措施:
技术措施:
- 端到端加密(导入者无权访问解密密钥)
- 转移前在欧盟方面进行化名
- 拆分/多方处理,没有任何一个进口商能够访问完整数据
- 零知识架构
合同措施:
- 透明度义务(进口商通知出口商任何具有法律约束力的数据披露请求)
- 进口商在合法的情况下对数据披露请求提出质疑
- 将处理的数据减少到最低限度
组织措施:
- 限制政府准入的内部政策
- 处理执法请求的适当技术人员
第 5 步 — 采取正式程序步骤:完成 SCC、更新记录、记录 TIA。
第 6 步 — 以适当的时间间隔重新评估:TIA 不是一次性的活动 — 在以下情况下重新评估:目的地国家/地区法律发生变化、SCC 被修改、EDPB 或国家 DPA 出现重要的新指南。
TIA 国家/地区特定注意事项
| 目的地国家 | 关键 TIA 问题 | 状态 |
|---|---|---|
| 美国 | 第 702 条 FISA 监视;行政命令 14086 改革 | DPF 为经过认证的实体提供充分性;未经认证的实体需要完整的 TIA |
| 中国 | CSL/PIPL 数据访问义务;广泛的国家安全条款 | TIA 的重大挑战;考虑加密和数据最小化 |
| 印度 | 《信息技术法》规定的拦截权力; DPDP 法案转让规则 | TIA 挑战给定的监控框架 |
| 俄罗斯 | 数据本地化; Roskomnadzor 访问 | 转移对于欧盟合规来说基本上不切实际 |
| 沙特阿拉伯 | 政府数据访问权; PDPL 传输机制 | 需要逐案 TIA 评估 |
具有约束力的公司规则 (BCR)
BCR 是由欧盟主管监管机构批准的具有法律约束力的集团内数据保护规则。它们是最强大的传输机制,但实施起来也是最复杂的。
BCR 涵盖:
- 控制者 BCR:允许在所有集团成员充当控制者的公司集团内进行集团内转移
- 处理者 BCR:允许处理者(包括集团内服务公司)接收和处理来自欧盟控制者的数据
BCR 优势:
- 一旦获得批准,所涵盖的集团内流动就不需要每次转移机制
- 表现出最高水平的合规承诺
- 一些 DPA 将 BCR 持有团体视为更值得信赖
BCR 要求(GDPR 第 47 条和 EDPB 指南):
- 对所有团体成员具有约束力,并由数据主体作为第三方受益人强制执行
- 明确小组结构和小组成员
- 涵盖集团内所有转会和套转会
- 必须包括:数据处理目的、数据类别、接收者、存储期限、非欧盟集团成员的信息
- 指定数据主体权利,包括如何行使这些权利
- 包括合规性验证(审核、培训)
- 变更报告机制
- 与DPA的合作机制
BCR流程:向牵头监管机构(公司欧盟总部所在的DPA)申请。牵头 DPA 与其他欧盟 DPA 进行相互认可程序。时间表:从申请到批准通常需要 2-3 年。应用程序需要大量的文档。
批准的 BCR 持有者:超过 100 家跨国集团拥有欧盟委员会批准的 BCR,包括 IBM、万豪、BCG、安永、强生。
非欧盟国家转移限制
欧盟以外的许多国家/地区现在都实施了自己的出站数据传输限制。这给跨国组织带来了双向合规复杂性。
###中国PIPL
所需的 CAC 安全评估: CIIO;每年传输 100,000 多个个人数据。适用于小额转让的标准合同(以欧盟 SCC 为模型,但针对中国)。集团内转让的认证机制。 (有关完整详细信息,请参阅专门的中国 PIPL 指南。)
沙特阿拉伯 PDPL
大多数出境转账都需要 SDAIA 批准或充分性。特定部门的本地化(健康、金融)可能会完全禁止某些转移。 SDAIA 正在制定标准合同条款机制。
印度 DPDP 法案
正面清单方法——允许向所有国家转让,中央政府通知明确限制的国家除外。特定部门的本地化(印度储备银行、健康)继续独立适用。
巴西 LGPD
需要 ANPD 充分决策或合同保障措施。 ANPD 正在开发标准合同条款模板。明确同意可作为替代机制。
俄罗斯
第 149-FZ 号联邦法和第 152-FZ 号联邦法要求首先在俄罗斯境内收集和处理俄罗斯公民的个人数据。仅在俄罗斯本地化后才允许跨境传输。实际上,制裁和技术限制使得来自俄罗斯的数据传输变得极其复杂。
跨境转移合规清单
- 映射所有跨境数据传输(控制器、处理器、子处理器流)
- 为每个流程确定的转移机制(充分性、SCC、BCR、减损)
- 验证欧盟充足性目的地(针对美国收件人检查 DPF 认证)
- 选择欧盟 SCC:每个传输关系的正确模块
- SCC 附件已完成:数据描述、技术/组织措施
- 对基于 SCC 的转让进行转让影响评估
- TIA 发现问题时实施的补充措施
- 用于从英国(非欧盟 SCC)转账的英国 IDTA 或附录
- 如果集团内大规模转移,则提交 BCR 申请
- 实施子处理者 SCC 链(模块 3 或子处理者的控制者批准)
- 评估非欧盟出境转移限制(PIPL、PDPL、DPDP、LPD)
- 评估受监管部门的数据本地化要求
- 制定 TIA 重新评估时间表
- 更新处理活动记录以反映转移机制
- 针对克减情况下的转让评估的 DPA 通知要求
常见问题
我们可以在现有合同中使用旧的欧盟 SCC(2021 年之前)吗?
否。用 2021 年 SCC 替换旧欧盟 SCC 的过渡截止日期是 2022 年 12 月 27 日。旧欧盟 SCC 不再有效。如果您的合同仍引用旧的 SCC(根据 2001/497/EC、2004/915/EC 或 2010/87/EU 决定发布),则这些合同必须更新为 2021 SCC。任何新合同都必须使用 2021 年 SCC。继续依赖旧的 SCC 会使您的组织面临强制措施。
我们是否需要为每次数据传输提供一个 SCC,还是只需要一个整体协议?
SCC 必须在每对数据导出器和数据导入器之间执行。如果您的公司(位于欧盟)使用 10 个不同的云供应商,每个供应商都接收个人数据,则您需要 10 个单独的 SCC 协议。在单个 SCC 协议中,您可以涵盖多个数据类别、多个数据主体和多个目的 - 但每个双边关系都需要自己执行的协议。对于拥有许多供应商的大型组织来说,维护 SCC 库存和续订跟踪系统至关重要。
什么是欧盟-美国数据隐私框架以及我们如何使用它?
欧盟-美国数据隐私框架 (DPF) 是欧盟委员会根据美国关于加强信号情报隐私保护的第 14086 号行政命令于 2023 年 7 月 10 日通过的充分性机制。它允许个人数据从欧盟流向经过认证的美国组织,而无需 SCC 或 TIA。使用DPF: (1) 美国收件人必须向美国商务部进行自我认证; (2) 在 dataprivacyframework.gov 上验证认证; (3) 如果经过认证,欧盟→美国向该组织的转移不需要额外的机制。 DPF 受到法律挑战 (Schrems III) — 保留 SCC 备份文档作为应急措施。
造成问题的最常见 TIA 结果是什么?
最常见的有问题的 TIA 调查结果包括:(1) 广泛的政府监控权限——特别是美国第 702 条 FISA 和其他国家的同等当局,允许在没有司法监督的情况下进行批量收集; (2) 国家安全法凌驾于隐私保护之上——这在独裁国家很常见; (3) 欧盟个人缺乏有效的法律补救措施——法院不独立或欧盟个人没有地位; (4) 对处理者施加的数据访问义务——例如,中国根据 CSL/PIPL 对 CIIO 承担的义务。当 TIA 发现问题时,通常会实施技术措施(加密、假名化)来解决特定风险,但必须实际上阻止已识别的访问,而不仅仅是声称阻止。
第 49 条规定的减损适用于常规转让吗?
不会。EDPB 一贯表示,第 49 条的减损仅适用于偶尔和非重复的转让。明确同意(减损第 49(1)(a) 条)对于常规转移来说尤其成问题:同意必须是具体的(指定目的地国家并解释转移的风险)、自由给予(这在就业或基本服务环境中可能很困难),并且在每次转移之前明显获得。对于系统性、持续的数据流——例如云服务、人力资源系统或客户关系管理系统——克减是不合适的。使用 SCC、BCR 或充足机制进行常规转移。
我们如何处理子处理器数据传输?
子处理者的传输必须由适当的传输机制涵盖。根据欧盟 SCC 模块 2(控制者到处理者),处理者必须仅与位于适当国家或 SCC 下的子处理者合作。模块 3(处理器到处理器)涵盖子处理器关系。必须向控制者通报并批准分处理者(具体或按类别通知)。子处理者必须受到与处理者相同的数据保护义务的约束——通常通过包含模块 3 SCC 的子处理协议。许多组织维护子处理者列表,并通过隐私声明告知数据主体。
后续步骤
跨境数据传输合规性是一项持续的管理活动,而不是一次性项目。随着新的国家/地区法律限制出境转移,充分性决策面临法律挑战,并且您的供应商格局不断变化,您的转移机制库存必须跟上步伐。
ECOSIRE帮助组织设计传输机制框架,进行传输影响评估,并实施国际数据运营的技术保障。我们的经验涵盖欧盟 GDPR、英国 GDPR、PIPL、LGPD 和新兴国家框架。
开始使用:ECOSIRE 服务
免责声明:本指南仅供参考,不构成法律建议。跨境数据传输要求非常复杂,且因司法管辖区而异,并且会因法院判决和监管指导而发生快速变化。请咨询合格的法律顾问,获取针对您组织的转移流程的建议。
作者
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.