从某全球网约车服务运营商违规跨境传输个人数据处罚案例再看欧盟与中国的数据出境治理 - 金杜律师事务所 - 宁宣凤

标签：合规业务-网络安全与数据合规，数字经济，汽车、制造业及工业-汽车与出行

引言

2024年7月22日，荷兰数据保护机构（Autoriteit Persoonsgegevens，下称“AP”）基于欧盟《一般数据保护条款》（下称“GDPR”）的规定发布一项最终调查决定[1]，该决定对某全球网约车服务运营商（下称“U公司”）处以2.9亿欧元罚款，原因在于U公司未能根据GDPR第五章有关个人数据跨境传输的合规要求向欧盟境外传输司机的个人数据。本次案件作为2024年期间就违规跨境传输个人数据活动施加最高处罚力度的案件，自处罚决定发布之日起即引起了全球范围内的广泛关注，同时也为各个司法辖区内开展数据跨境传输活动的企业敲响了合规警钟。

在此，本文拟从本案件所涉及的事实背景、核心争议焦点说开去，以近距离观察GDPR中有关数据跨境传输的合规要求在实践环境中的演绎与欧盟数据保护机构的执法思路，并再度思考与展望中国有关数据跨境治理路径的脉络与未来。

一、U公司违法开展个人数据跨境传输活动的基本事实与核心争议点

（一）U公司违法跨境传输司机个人数据的案件背景

根据AP发布的关于处罚U公司的最终决定内容，本次案件所涉及的详细事实背景为：位于荷兰的A公司于2021年8月6日至2023年11月27日期间，在既未签署标准合同条款（Standard Contractual Clauses，下称“SCC”）且尚未加入“欧盟-美国数据隐私框架（EU-US Data Privacy Framework，下称“DPF”）”的基础上，向位于美国境内B公司（A公司与B公司合称为“U公司”）传输了来自欧盟境内的司机的个人数据，该等个人数据包括司机的账户信息、车辆执照信息、位置数据、照片信息、支付信息、身份证件信息、犯罪记录以及医疗数据身份信息等数据，用于分析司机行为并给予经济激励。AP认为，A公司与B公司没有根据GDPR第五章第44条、第46条与第49条的要求对个人数据跨境活动采取适当的保护措施的事实情况，已经构成对GDPR的违反情形，故根据GDPR第83条规定的罚金计算标准（违规企业上一财政年度全球年营业额总额 4%）以及欧盟数据保护委员会（下称“EDPB”）发布的第04/2022号《关于GDPR下行政罚款计算的指南V2.1》指南，AP最终决定对A公司与B公司处以2.9亿欧元罚款。

本案的起因最初来源于法国数据保护机构（下称“CNIL”）收到的、来自非政府组织代表的170余名U公司司机提出的投诉。但是，根据GDPR有关确定领导性监管机构（Lead Supervisory Authority）的规定以及欧盟“一站式监管（On-Stop-Shop）”要求，由于A公司应当被视为U公司在欧盟境内的中央管理机构（Central Administration）与主要营业机构（Main Establishment），故该案件被进一步转移至AP进行调查，并由CNIL协助处理。

值得说明的是，自2020年7月16日欧盟法院公布了其对数据保护专员诉脸书爱尔兰有限公司Maximilian Schrems案（C-311/18）（Schrems II案）的判决后，“欧盟-美国隐私盾（the US Privacy Shield）”则被宣布无效，而该隐私盾曾是保障个人数据自欧盟向美国公司进行自由流动的主要数据传输机制之一。因此，如果相关主体拟从欧盟向美国境内跨境传输数据，则必须以另辟蹊径的方式采取足够的额外措施以确保数据处于与GDPR同等的保护水平下。我们理解，目前可选的合规路径主要包括由相关美国公司通过向美国商务部递交申请而获得DPF认证，以及由数据出口方与数据进口方签署SCC。

（二）案件核心争议点介绍

我们理解，本案在调查与审理的过程中，主要涉及三个争议焦点，分别围绕GDPR第五章有关个人数据跨境传输合规要求的适用性、A公司与B公司之间是否存在受管制的数据跨境传输活动，以及U公司是否可以根据“履行合同所必须”而适用于GDPR第49条所规定的克减条款（Derogations for Specific Situations）。

1. GDPR第五章有关跨境传输个人数据的合规要求是否适用于U公司

GDPR第三条规定了GDPR的适用范围，简言之，在欧盟设立实体的数据控制者或处理者在开展业务过程中所进行的个人数据处理活动（不论是否在欧盟境内进行），以及在欧盟境外开展的、以向欧盟境内个人提供商品、服务或监控个人为目的的个人数据处理活动均受到GDPR的管辖。此外，GDPR第五章则规定了自欧盟境内向境外跨境传输个人数据所应当满足的系列合规要求，包括但不限于仅能向充分性决定下的司法辖区传输数据，或为数据跨境传输活动提供适当的保护措施，如签署欧盟委员会发布的SCC、制定有约束力的公司准则（Binding Corporate Rules）等。

首先，A公司与B公司在U公司 APP的隐私政策中表明双方为司机个人数据处理活动在欧盟的共同控制者，位于美国境内的B公司认可自身将根据GDPR第三条的域外适用条款而直接受到GDPR的管辖，进而应当履行GDPR所提出的个人数据保护义务。在此基础上，U公司认为，GDPR第五章所提出的有关数据跨境传输的合规义务实际上应当只适用于那些无法根据GDPR第三条的规定而受到GDPR规制的数据处理活动，从而确保GDPR对个人数据所提供的保护不会因为相关数据被跨境传输至第三方国家而遭受减损。此外，U公司认为，GDPR第三条与第五章同时适用的结论将导致欧盟违反其国际义务，例如根据WTO协议，欧盟成员国不得对非欧洲实体施加比欧洲实体更为不利的待遇。因此，U公司认为，由于GDPR第三条与GDPR第五章并不能同时适用，故U公司不应当承担GDPR第五章下有关个人数据跨境传输的合规义务。

对于U公司的上述论点，AP并不认同，原因在于：一方面，虽然GDPR的合规义务适用于所有落入GDPR第三条管辖范围内的个人数据处理活动，但是这仍不能保证实际发生在欧盟以外的数据处理活动均可以在GDPR的保护水平下进行。因此，GDPR第五章有关数据跨境传输的合规要求正是旨在把GDPR对于个人数据的保护要求延伸至欧盟以外的第三国，其应当被视为是GDPR第三条的补充而非重复性适用。另一方面，EDPB也认为，关于GDPR的适用是指其全部条款的适用，包括关于数据跨境传输的特殊要求。因此，U公司有关GDPR第三条与GDPR第五章并不能同时适用，U公司不应当承担GDPR第五章下有关个人数据跨境传输的合规义务的观点不能成立。

2. U公司是否存在跨境传输个人数据的活动

根据EDPB所发布的第05/2021号《关于GDPR第三条的适用与GDPR第五章关于国际传输的规定之间的相互作用》的指南，构成个人数据跨境传输需要符合如下三个条件，简言之即：

相关数据控制者或处理者作为数据出口方（Data Exporter），需要受到GDPR的管辖；
数据出口方通过传输或其他方式向其他控制者、共同控制者或处理者（数据进口方，Data Importer）披露个人数据，以供数据进口方进行使用；
数据进口方位于第三国，无论该数据进口方是否受到GDPR管辖。

在本案中，根据上述EDPB有关个人数据跨境传输的认定标准，U公司认为，由于相关个人数据是由司机通过其个人的设备向位于美国的服务器直接提供，该数据流应当被视为是在自助环境（Self-service Environment）中进行，中途不涉及A公司及其员工的任何干涉与影响，因此，A公司实际上没有作为数据出口方向境外传输数据，此外，A公司也不应当只因为作为共同的控制者即被视为开展了数据跨境传输活动。

但是，AP并不认同U公司的上述观点，原因在于：一方面，在本次案件中，数据出口方的定义不能被进行狭义化的（Restrictive）理解，否则将会导致从欧盟出境的司机个人数据无法得到充分的保护，也无法贯彻GDPR有关对境外数据依然提供高水平保护的立法初衷。另一方面，就欧盟境内司机向位于美国的服务器上传其个人数据的行为而言，无论司机是在注册或使用U公司 APP的阶段，这些个人数据提供的行为实际上都是基于与之缔结合同的A公司的实质性要求、通过已经设定好相关功能的U公司 APP进行，对此，司机对于是否愿意提供以及提供何种个人数据而言并无任何自主权，故司机并不能被视为是自身个人数据的控制者。在此基础上，U公司应当对通过U公司 APP所开展的数据跨境传输活动承担责任，具体而言，在司机通过位于欧盟境内的设备上的U公司 APP向位于美国的服务器传输数据的过程中，A公司应当被视为是数据出口方，位于美国B公司则应当被视为是数据进口方，而U公司 APP本身也应当被视为本次数据跨境传输的技术工具（Technical Tool）。

3. U公司是否可以基于“履行合同所必需”适用于数据跨境传输的克减条款

根据GDPR第49条的规定，在无法根据GDPR第45条所规定的充足保护决定或GDPR第46条所规定的适当安全措施作为个人数据跨境传输的合规路径时，将个人数据转移到第三国可以GDPR第49条所提出的“履行合同所必需”作为豁免情形，具体是指：1）个人数据跨境传输活动对于履行数据主体与控制者之间的合同，或者满足数据主体在签订合同前所提出要求具有必要性；以及2）控制者和另一自然人或法人之间签订或履行合同时，个人数据跨境传输对于实现数据主体的利益具有必要性两种情形。

基于上述规定，U公司认为，即便A公司开展了个人数据跨境传输活动，但一方面，该个人数据跨境传输活动的目的实际上是为了履行与U公司司机所缔结的协议，该协议约定了U公司必须履行向司机提供承运订单等合同义务；另一方面，A公司与B公司实际上就双方之间的数据共享活动签署了数据共享协议（Data Sharing Agreement），该数据共享协议促进了U公司对于司机个人数据以及个人数据权利的保护，因此属于为维护司机权益而缔结的合同。因此，基于U公司与司机之间达成的协议以及数据共享协议，向境外跨境传输司机个人数据均应当被视为履行合同所必需。

对于U公司的上述论据，AP从更加客观的角度提供了解构的思路。AP认为，“履行合同所必需”中的“必要性”应当被加以更加客观（Objective）的考量，在此基础上，“履行合同所必需”实际上并不等于有助于履行合同（Processing is Useful for the Contract），亦不等同于仅存在事实上的合同约定。为了论证数据处理活动对于履行合同而言具有必要性，控制者必须证明如果没有相关的数据处理活动，则合同的核心目的即无法实现。因此，“履行合同所必需”的数据处理活动需要与实现相关合同的本质性目的直接相关，例如，本处最典型的示例仍是旅行社基于为旅客预定境外酒店的约定而向境外传输个人数据的情形。因此，AP认为，无论是基于U公司与司机之间的合同约定，还是为了履行A公司与B公司之间签署的数据共享协议，前述理由都不足以支撑需要将司机的个人数据跨境传输至欧盟境外的必要性。值得说明的是，AP在本次案件中说明，为实现商业目的，相关商业集团将个人数据集中在特定第三国进行处理本身即欠缺一定必要性，我们理解，实践中，该观点可能会对大多数基于集团统一管理而未开展数据本地化部署的跨国公司带来合规压力。

（三）案件小结

从上述案件事实与争议焦点可以看出，本次案件中，欧盟数据保护执法机构通过对GDPR第五章对欧盟境外企业的适用性、数据跨境传输活动的认定标准以及“履行合同所必需”如何作为数据跨境传输合规义务豁免前提这三个议题进行讨论，直观地展现欧盟以个人数据权利保护为中心，强调与试图扩展GDPR的域外适用效力以营造空间意义上的“同等保护水平”的执法理念。该案件赋予了GDPR个人数据跨境传输合规机制更为明确的应用标准，具有为企业提供直观数据跨境传输合规指南的价值。

二、再观中国数据出境治理机制的发展脉络

通过观察本次U公司处罚案例，我们理解欧盟监管机构实际上是就U公司在2021年8月6日至2023年11月27日期间存在的一段“合规真空”状态的数据出境活动进行了查处，从中窥见欧盟地区对于企业数据跨境进一步加强监管的态势。这一方面可能预示着欧盟地区后续对于企业数据跨境监管的执法态度将更加强硬，另一方面也为各涉及出海业务的企业进一步敲响了警钟。从中国有关数据跨境传输的执法现状来看，尽管目前我们尚未通过公开渠道了解到中国监管部门对于存在与U公司类似“合规真空”情况的企业给予了处罚，但是，未来中国对于企业数据跨境合规的监管将何去何从，是否也将效仿欧盟对于“合规真空”状态下的数据跨境情况进行追查，这也引发了我们的思考。

从中国当前的数据跨境治理规则框架来看，当前中国对于数据跨境流动的治理对比欧盟地区已呈现出一定差异，下文将进一步梳理中国近年来对于数据跨境监管规则的演变，并试图从中总结未来中国数据跨境合规监管的趋势与期待。

（一）中国有关数据出境活动的认定标准与监管要求概述

自中国《数据安全法》及《个人信息保护法》生效以来，中国对于数据跨境传输活动的监管要求逐渐趋向明确。根据中国当前的法律法规要求，“数据出境”指的是数据处理者将在中国境内运营中收集和产生的数据传输至境外，或者数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出的两种情形。值得注意的是，根据国家网信办此前发布的《数据出境安全评估申报指南（第二版）》，符合《个人信息保护法》第三条第二款[2]情形，在境外处理境内自然人个人信息等的其他数据处理活动，也被纳入为“数据出境行为”的范畴。

因此，如涉及上述三种情形之一的中国企业，则需按照《个人信息保护法》《数据出境安全评估办法》《个人信息标准合同办法》以及国家网信办于2024年3月发布的《促进和规范数据跨境流动规定》（下称“《数据跨境新规》”）履行相应的合规义务。具体而言，如果涉及关键信息基础设施运营者向境外提供重要数据或个人信息，或者非关键信息基础设施运营者向境外提供个人信息达到一定规模的，则需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。如不涉及关键信息基础设施运营者、重要数据且向境外提供个人信息未达到一定规模的，则需与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

根据《数据跨境新规》，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。根据我们的经验，实践中大部分涉及数据跨境传输活动的企业都涉及因达到上述阈值而需要履行个人信息出境标准合同备案义务。

如上所述，从本次U公司处罚案例来看，A公司正是因为被认定为在一段“合规真空”期间内、由于未与B公司签署欧盟SCC的情况下向B公司跨境传输欧盟境内司机的个人数据而被给予处罚。但就当前中国境内的执法情况而言，经公开渠道检索，我们理解目前尚未出现中国监管部门就应签署中国个人信息出境标准合同而未签署的企业给予了相关行政处罚的案例。但随着中国数据跨境监管机制趋向成熟，未来中国监管部门对于相关企业的数据跨境“合规真空”情况是否会做出处罚，目前仍不明朗。

（二）以安全促发展：趋于精细化管理的中国数据跨境监管机制

通过观察中国近年来的数据跨境管控机制发展脉络，我们可以发现当前该机制已然趋向于追求数据安全与经济发展的动态平衡。随着《数据安全法》以及《个人信息保护法》相继出台并生效，我国数据跨境制度的基本法律框架得以进一步厘清。2022年7月，《数据出境安全评估办法》正式颁布，明确了应当申报数据出境安全评估的情形，并进一步明确了“自评估——申请评估——重新申报评估”的评估流程框架。2023年2月，《个人信息出境标准合同办法》正式出台，该办法规定了个人信息出境标准合同的适用范围、订立条件和备案要求，明确了标准合同范本，为向境外提供个人信息提供了具体指引，也进一步与《个人信息保护法》提出的个人信息保护影响评估义务呼应。

值得一提的是，与欧盟GDPR框架下的SCC条款类似，中国的个人信息出境标准合同制度也要求适用于该合规路径的个人信息处理者按照标准合同条款与境外接收方订立《个人信息出境标准合同》，明确双方的数据安全保护责任义务。这些义务包括数据出境的目的、方式、范围，境外接收方处理数据的用途、方式，数据在境外的保存地点、期限，以及在数据安全事件发生时的应急处置要求等。不过，中国个人信息出境标准合同比照欧盟SCC仍有自己的特色，例如：我国个人信息出境标准合同并未就个人信息跨境场景下数据出境方与境外接收方所形成的数据处理法律关系做进一步划分，而是以统一将数据出境方归纳为“个人信息处理者”、数据进口方定义为“境外接收方”的方式作为参与数据跨境传输活动的基本角色，对缔约双方在个人信息跨境过程中所享有和承担的权利义务进行了一致性的规定。此外，我国网信部门对个人信息出境标准合同的备案更多被视为一种形式审查机制，其主要目的在于为监管部门后期开展数据跨境治理铺垫基础。但就当前的监管实践来看，网信部门除形式审查外，还会对个人信息处理者就个人信息跨境活动获得个人主体的单独同意情况进行审查并给予相关指导。有关中欧个人信息出境标准合同的对比分析，读者可进一步参阅我们此前文章《映日荷花别样红——中欧个人信息出境标准合同（条款）对比分析》。

结合上述两部规章发布后的监管落地实践情况，以及基于“以安全促发展”的理念，经过中国近年对数据出境安全监管机制的探索，最新出台的《数据跨境新规》也进一步明确了数据出境安全评估及标准合同备案的若干豁免情形，以便让符合豁免情形的数据处理者免予履行相关的申报义务。例如，若符合“1）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；2）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；3）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；4）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”情形，则免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

此外，《数据跨境新规》也进一步明确了数据处理者相关申报义务，并提出了针对自由贸易试验区内企业的变通规则。这也体现了中国在数据出境监管活动中的特色合规要求，即旨在确保数据安全并同时促进数据的合法有序流动。有关《数据跨境新规》解读及中国数据出境安全保护相关的具体合规路径介绍，读者可参阅《水无形而有万形——《促进和规范数据跨境流动规定》的变化与数据跨境监管的未来》。

但与GDPR及欧盟SCC不同的是，《数据跨境新规》实际上明确提出了触发相应申报义务的出境数据量阈值计算方式，即当前中国的监管规则将出境数据量的起算节点着眼于“当年1月1日”，在此基础上，对于数据处理者在当年1月1日之前向境外提供的历史数据是否也应一并纳入《数据跨境新规》的统计范畴的问题，目前仍不存在明确的要求与规定。但我们理解，自当年1月1日起算的方式可能恰恰是中国监管部门对于促进数据跨境流动的题中应有之义。出于减轻企业合规压力的角度，我们也建议对于出境数据量统计的方式予以宽松化的理解，例如，采用仅将产生了实质性变化的历史数据纳入当年1月1日出境的数据的计算范畴的思路，但该思路的有效性仍有待监管部门的进一步明确。

（三）中国建立国际间数据跨境流动互信机制的整体趋势

如上文所述，在境外处理中国境内自然人个人信息的企业若符合《个人信息保护法》第三条第二款情形的域外适用情形，且涉及数据跨境传输活动的，不免会面临着需要同时满足当地数据保护法律要求和中国数据保护法律要求的情况。由此，适用不同国家或地区的法律要求所产生的冲突也将导致相关企业面临着较高的合规成本，这也为企业建立自身数据跨境合规治理机制带来了难题。

对此，中国当前也在积极与各国政府沟通，争取建立国际间有关数据跨境传输的互信机制，努力为企业履行数据跨境合规义务寻求便利条件，例如：2024年6月26日，中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行，双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。中国国家网信办将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下，建立“中德数据政策法规交流”对话机制，加强在数据跨境流动议题上的交流，为两国企业营造公平、公正、非歧视的营商环境[3]。2024年6月27日，中国与新加坡也就数据跨境领域的合作开展交流，并明确双方未来合作方向和重点，便利企业数据跨境流动等共识。[4]2024年8月27日，中欧数据跨境流动交流机制第一次会议以视频方式举行，双方就数据跨境流动的具体问题以及监管框架进行了交流。[5]为此，我们也期待未来中国与各友邻国之间能够就数据跨境流动的监管达成合作，特别是对需要同时履行各司法辖区之间签署类似数据跨境传输协议的企业，能够建立相关合规举措的互信机制，以便减轻企业的合规负担，促进数据的跨境流动。

结语

在全球化的商业环境中，数据跨境监管已成为各司法辖区普遍关注的问题。在各国数据监管机构均试图在数据自由流动与数据安全保护之间找到平衡点的过程中，就如何认定数据跨境行为、应当采取何种程度的保护措施、如何将本国所确立的数据保护水平延伸至域外进行适用等议题而言，各国数据保护的法律法规、监管机构的治理视角在以权利保护为本位的基础上呈现出日趋严谨、精细化的特点。

在此日趋复杂的数据跨境全球监管局面下，对于在开展日常经营的过程中既需要遵守本国数据保护法规，同时还需要深入了解并遵守目标市场国或地区的法律法规的出海企业而言，制定全流程、全球化数据跨境合规解决方案已势在必行。我们理解，企业应高度审慎地、前瞻性地判断与部署自身合规措施，从而避免出现U公司案件中所出现的数据跨境传输“合规真空状态”，就构建全流程、全球化数据合规方案的具体方面而言：

首先，企业应当全面识别业务开展过程中向境外提供数据的需求、具体业务场景、数据流转情况与所涉司法辖区，从而研判相关活动是否可能构成受到立法规制的数据跨境传输活动，并进一步了解企业所可能面临的境内外数据合规要求。

其次，企业应当对数据跨境传输活动进行内部全面风险评估，确保数据跨境传输的目的、范围和方式符合合法性、必要性、正当性等数据保护原则性要求，识别数据跨境传输过程中所存在的安全风险以及对个人权益的负面影响，同时采取与风险相对应的安全技术与管理措施，降低或避免数据跨境传输过程中所可能发生信息安全事件的可能。

最后，企业应当在履行相关司法辖区对数据跨境传输所施加的特殊性义务的基础上再实际执行数据跨境传输活动，纵观目前全球范围内较为主流的数据出境监管方式，该等特殊义务包括但不限于：签署为国家所认可的数据保护条款/协议（如欧盟SCC、中国个人信息出境标准合同），履行相关监管部门备案或报告义务、获得国家认可的数据保护认证等。

我们理解，包括中国、欧盟在内的各司法辖区的数据保护监管部门正持续根据数字经济发展、数据安全管控的实际需求动态调整监管策略，并致力于将自身所确立的数据保护水平延伸至境外领域，从而确保自本国出境的数据仍可以在空间意义上获得与本国同等的保护水平。因此，灵活适应全球化数据合规挑战与制定全流程、全球化数据合规战略，避免违法跨境传输数据的法律风险，并在日益激烈的全球市场中树立良好的企业形象，将成为所有跨国企业需要持续应对的合规挑战。但可以合理预见的是，在中国及各司法辖区正努力建立双方或多方对于数据跨境合规举措的互信机制的环境下，企业也有望从中受益，进而在更为轻量的合规压力下推动业务所需的数据出境活动。

感谢实习生程越对本文做出的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯