属于我们的Compliance & Regulation系列
阅读完整指南跨境数据传输法规:驾驭国际数据流
85% 的全球企业跨境传输个人数据,但只有 34% 的企业制定了适当的传输机制。 在 2020 年 Schrems II 使欧盟-美国隐私护盾失效后,跨境数据传输成为数据保护法中最复杂的领域之一。欧盟-美国数据隐私框架部分恢复了美国传输的法律确定性,但全球数据传输限制的更广泛范围继续扩大。
本指南描绘了跨境数据传输法规的现状,并为国际运营的企业提供了实用的实施指南。
要点
- 欧盟仅承认 15 个国家提供“充分”的数据保护 --- 所有其他传输都需要额外的机制
- 标准合同条款 (SCC) 是最常见的转让机制,但现在需要补充转让影响评估
- 数据本地化要求不断增长:中国、俄罗斯、印度和沙特阿拉伯限制某些数据出境
- 欧盟-美国数据隐私框架为进行自我认证的美国公司提供了转移机制
传输机制层次结构
根据 GDPR,个人数据只能使用以下机制之一离开 EEA(为了简单起见):
1. 充分性决策
欧盟委员会已确定这些国家/地区提供了充分的保护:
| 国家/地区 | 充分性决定日期 | 状态 |
|---|---|---|
| 安道尔 | 2010 | 活跃 |
| 阿根廷 | 2003 | 活跃 |
| 加拿大(PIPEDA) | 2001 | 活跃(仅限商业部门) |
| 法罗群岛 | 2010 | 活跃 |
| 根西岛 | 2003 | 活跃 |
| 以色列 | 2011 | 活跃 |
| 马恩岛 | 2004 | 活跃 |
| 日本 | 2019 | 2019活跃 |
| 泽西 | 2008 | 活跃 |
| 新西兰 | 2012 | 活跃 |
| 韩国 | 2022 | 2022活跃 |
| 瑞士 | 2000 | 2000活跃 |
| 英国 | 2021 | 有效(截至 2025 年 6 月,预计续订) |
| 乌拉圭 | 2012 | 活跃 |
| 美国 | 2023(DPF) | 活跃(仅限 DPF 参与者) |
如果您的数据发送到适当的国家:不需要额外的传输机制。像欧洲经济区内部转账一样处理它。
如果不在列表中:您需要以下机制之一。
2. 标准合同条款 (SCC)
最常用的传输机制。 SCC 是预先批准的合同模板,可将数据导入者绑定到 GDPR 等效保护措施。
四个模块(使用相关模块):
| 模块 | 派对 | 场景 |
|---|---|---|
| 模块 1 | 控制器到控制器 | 与外国合作伙伴共享客户数据 |
| 模块 2 | 控制器到处理器 | 使用国外云提供商或SaaS供应商 |
| 模块 3 | 处理器到处理器 | 您的处理器使用外国子处理器 |
| 第 4 单元 | 处理器到控制器 | 外国控制者指示欧盟处理者 |
实施步骤:
- 识别 EEA 之外的所有数据传输 2.为每次传输选择合适的SCC模块
- 填写附件(数据类别、安全措施、分处理者)
- 对每个接收国进行转让影响评估(TIA)
- 与数据导入者签署 SCC
- 实施 TIA 中确定的任何补充措施
3. 具有约束力的公司规则 (BCR)
适用于跨国公司在集团实体之间传输数据。 BCR 得到主要监管机构的批准,并为全球集团内部转移提供了框架。
优点:一旦获得批准,涵盖所有集团实体和所有转移场景 缺点:审批流程需要 12-24 个月,成本高昂(10 万美元以上),仅适用于集团实体
4. 欧盟-美国数据隐私框架 (DPF)
美国公司可以根据 DPF 进行自我认证,提供类似充分性的转移机制:
1.公司在美国商务部注册 2. 公司发布符合 DPF 标准的隐私政策 3. 公司承诺遵守 DPF 原则(通知、选择、转发、安全、数据完整性、访问、追索权) 4. 需要每年重新认证
限制:仅涵盖向 DPF 认证公司的转账。在依赖此机制之前,请检查 DPF 列表。
转移影响评估 (TIA)
需要时
Schrems II 之后,所有基于 SCC 的向非充足国家的转移都需要 TIA。 TIA 评估接收国的法律是否破坏了 SCC 的保护。
TIA 框架
| 评估要素 | 关键问题 |
|---|---|
| 数据特征 | 什么数据?有多敏感?体积? |
| 接收国法律 | 政府监控法?强制访问? |
| 法律保护 | 司法独立?数据保护机构? |
| 实践经验 | 进口商是否收到政府准入请求? |
| 补充措施 | 技术手段能否规避法律风险? |
TIA 结果决策树
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
补充措施
| 测量 | 有效性 | 使用案例 |
|---|---|---|
| 加密(客户持有的密钥) | 高 | 静态和传输中的数据 |
| 化名 | 高 | 分析、报告 |
| 分割加工 | 中等 | 仅在欧洲经济区处理敏感字段 |
| 合同限制 | 低中 | 进口商的额外承诺 |
| 审计权 | 低 | 验证而非预防 |
数据本地化要求
有数据本地化法律的国家
| 国家 | 要求 | 范围 | 处罚 |
|---|---|---|---|
| 中国(PIPL + CSL) | 关键数据和重要数据必须存储在中国境内;出境转账安全评估 | 广阔 | 高达 5% 的收入 |
| 俄罗斯(联邦法 242-FZ) | 俄罗斯公民数据的初始处理和存储必须在俄罗斯进行 | 俄罗斯公民数据 | 服务封锁 |
| 印度(DPDP 法案) | 关键个人数据必须在印度处理(规则待定) | 待定义 | 高达 25 亿印度卢比 |
| 沙特阿拉伯 (PDPL) | 敏感数据可能需要本地处理;转让限制 | 个人资料 | 高达 500 万沙特里亚尔 |
| 越南 (PDPD) | 重要数据需在国内保存;跨境转账 TIA | 越南公民数据 | 行政处罚 |
| 印度尼西亚(PDP 法) | 政府部门数据可能需要本地处理 | 政府数据 | 行政处罚 |
| 土耳其 (KVKK) | 转让需要同意或特定的法律依据+董事会批准 | 个人资料 | 180 万尝试 |
对云架构的影响
数据本地化影响云基础设施决策:
| 场景 | 建筑意义 |
|---|---|
| 中国本地化 | 中国的独立云区域(AWS 中国、阿里云) |
| 俄罗斯本地化 | 本地服务器或本地云提供商 |
| 仅限欧盟加工 | 选择欧盟云区域;确保不会将数据复制到非欧盟地区 |
| 多区域有限制 | 具有区域数据库的中心辐射型架构 |
常见场景的实际实施
场景 1:使用美国 SaaS 的欧盟公司
转移机制:首先检查供应商是否经过DPF认证。如果是,DPF 提供基础。如果没有,请实施 SCC(模块 2:控制器到处理器)。
场景 2:人力资源集中化的跨国公司
转移机制:用于组内转移的BCR,或每个实体对之间的SCC。实施 TIA 以向高风险国家转移。
场景 3:电子商务通过美国基础设施为欧盟客户提供服务
转移机制:您的欧盟实体(或欧盟代表)与您的美国基础设施之间的 SCC。使用欧盟持有的密钥加密客户数据。
场景 4:用于多国运营的 Odoo ERP
传输机制:如果托管在欧盟,则在以下情况下会发生传输:(1) 非欧盟国家/地区的员工访问系统(远程访问属于传输),(2) 数据复制到非欧盟备份位置,(3) 非欧盟国家/地区的支持人员访问客户/员工数据。为每个接入点实施 SCC,并使用 Odoo 访问组来按地理位置限制数据可见性。
合规检查表
- 映射所有跨境数据传输(什么数据、在哪里、传输给谁、为什么)
- 验证每个接收国的充足性状态
- 为资金不足的国家实施适当的转移机制(SCC、DPF、BCR)
- 完成基于 SCC 的转移的转移影响评估
- 在 TIA 发现风险时实施补充措施
- 更新隐私政策以披露国际转账
- 在供应商 DPA 中包含转让条款
- 每年或在国家法律发生变化时审查转移机制
- 保存所有转移评估和决定的文件
常见问题
欧盟-美国数据隐私框架值得信赖吗?
DPF 目前有效,为向经过认证的美国公司转账提供了法律依据。然而,它面临着类似于使安全港和隐私盾无效的法律挑战(La Quadrature du Net)。谨慎的组织使用 DPF,但也有 SCC 作为备份传输机制。如果 DPF 失效,您可以回退到 SCC,而不会中断数据流。
如果我们在没有有效机制的情况下传输数据会发生什么?
未经授权的转让属于直接违反 GDPR 的行为,最高可处以 2000 万欧元或全球年营业额 4% 的罚款。除了罚款之外,监管机构还可以下令暂停数据传输,这可能会扰乱业务运营。 Meta 于 2023 年因未经授权的欧盟-美国转账而被罚款 12 亿欧元,这是 GDPR 有史以来最大的罚款。
SCC 是否涵盖所有类型的数据传输?
SCC通过四个模块覆盖了大部分商业数据传输场景。然而,SCC 不适合由行使公共权力的公共当局转让。对于这些情况,国际协议或第 49 条规定的特定减损可能适用。
跨境要求如何影响我们的 Odoo 部署?
如果您的 Odoo 实例托管在欧盟并由欧盟以外的员工或合作伙伴访问,则每个远程访问点都构成一次数据传输。实施 Odoo 访问组以确保非欧盟用户只能看到他们需要的数据。使用 VPN 连接进行加密远程访问。如果在欧盟境外托管 Odoo,请与托管提供商一起实施 SCC 并确保数据库加密。 ECOSIRE 的 Odoo 基础设施服务 包括合规性感知部署配置。
接下来会发生什么
跨境传输合规性是数据治理难题的一部分。将其与数据治理基础知识、与国际供应商进行 DPA 的供应商合同管理 以及用于劳动力数据传输的员工数据隐私 相结合。
联系 ECOSIRE 获取跨境合规咨询和国际数据流映射。
由 ECOSIRE 发布——帮助企业充满信心、合规地跨境移动数据。
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
更多来自Compliance & Regulation
审计准备清单:您的 ERP 如何使审计速度加快 60%
使用 ERP 系统完成审核准备清单。通过适当的文档、控制和自动证据收集,将审计时间减少 60%。
Cookie 同意实施指南:合法合规的同意管理
实施符合 GDPR、ePrivacy、CCPA 和全球法规的 cookie 同意。涵盖同意横幅、cookie 分类和 CMP 集成。
按地区划分的网络安全监管要求:全球企业合规地图
了解美国、欧盟、英国、亚太地区和中东的网络安全法规。涵盖 NIS2、DORA、SEC 规则、关键基础设施要求和合规时间表。
数据治理与合规性:科技公司完整指南
完整的数据治理指南,涵盖合规框架、数据分类、保留政策、隐私法规和科技公司的实施路线图。
数据保留策略和自动化:保留您需要的内容,删除您必须的内容
根据 GDPR、SOX 和 HIPAA 的法律要求、保留计划、自动执行和合规性验证来构建数据保留策略。
员工数据隐私管理:平衡人力资源需求与隐私权
根据 GDPR 要求、HR 数据处理基础、监控政策、跨境传输和保留最佳实践来管理员工数据隐私。