世界主要经济体先后出台了数个个人信息保护相关法案,整体来看,全球各法域对个人信息的跨境流动监管趋严。
欧盟于 2016 年通过《通用数据保护条例》(GDPR),明确规定了个人数据跨境转移的条件。目前欧盟个人信息跨境传输路径主要分为以下三种机制:一是充分性认定。根据 GDPR 规定,只有当第三国对个人数据的保护水平达到欧盟的要求,欧盟成员国的个人数据才能进行数据跨境流动。认定第三国是否提供“充分”数据保护,主要是根据第三国个人数据保护相关法律制度的完备情况、执行情况等因素判断。但目前中国尚未通过该认定; 二是适当保障措施,常见的为标准合同条款(SCCs)和约束性企业规则(BCRs)。标准合同条款是从欧洲经济区向区域外第三国或组织跨境传输数据时使用的标准合同文本,通过合约的形式约束数据输出者和数据输入者,以确保个人数据获得充分的保护。约束性企业规则可以简单地理解为适用于跨国企业的“白名单”,即当欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后,企业内部的个人数据跨境流通不再受限; 三是克减情形。克减仅适用于只涉及少量数据主体在特定情形下偶尔进行的数据跨境传输,数据输出者不应将此作为常规化数据跨境传输的合法依据。
美国对个人数据跨境传输的政策规制整体持开放态度,先后与欧盟签订《安全港协议》和《隐私盾协议》,对大西洋两岸跨境转移个人数据的隐私保护进行规范。但在特定的重要数据上,美国则采取了相应限制措施。如制定被称为“全球最贵数据保护法案”的《加州消费者隐私法案》(CCPA)和对部分关键技术与特定领域的数据出口进行限制的《出口管理条例》(EAR)。另外,美国在医疗健康领域的《健康保险可携性和责任法案》(HIPAA)和金融服务数据方面的《格雷姆-里奇-比利雷法案》(GLB)等行业特殊规定也需要重点关注。
《个人数据保护法》(PDPA)是新加坡的主要个人信息保护立法,用来管理各机构对个人数据的收集、使用和披露。PDPA 适用于所有在新加坡收集、使用和披露个人数据的营业机构,无论其是否在新加坡物理存在。PDPA 规定,企业必须遵守数据转移限制的义务。即除非企业能确保个人数据的接收者受到法律上可执行的义务的约束,被转移的个人数据获得与PDPA规定的保护标准相当的保护,否则个人数据不能被转移到新加坡以外的国家或地区。这些“可依法执行的义务”包括根据法律法规、合同或具有约束力的公司规则或任何其他具有法律约束力的文书规定的义务。
韩国是世界上对数据安全相关规定最严格的法域之一。韩国个人信息保护委员会(PIPC)在对《个人信息保护法》(PIPA)的修正案中增加了向海外传输个人数据的方法。除此之外,还颁布了一系列 PIPA 的配套实施条例,包括《个人信息保护标准指南》《关于个人信息影响评估的通知》《违反个人信息保护法的处罚标准》《个人信息技术和行政保护措施标准》等。
日本与欧盟于 2019 年作出“充足性认定”,互相认定对方的保护水平及安全措施,允许个人数据在欧盟和日本之间自由流动。但日本对于其本土个人数据跨境传输态度较为严格。2022 年 4 月修订后的《日本个人信息保护法》(APPI)在保留原有要求处理个人信息的经营者应获取数据主体的同意之外,新增了披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施的要求;如采取必要措施确保该境外第三方持续实施了与APPI 对个人信息的保护要求相当的保护措施,并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息等要求。
俄罗斯在新修订的《联邦个人数据法》第 22 条规定了“个人数据处理通报”义务,增加了个人数据跨境传输的前置通报,意味着运营商要履行两份通报义务,即“个人数据处理通报”义务和“个人数据跨境流动通报”义务,两份通报要分开发送,这项要求已于 2023 年 3 月 1 日起生效。同时,俄罗斯《联邦个人数据保护法》对于个人信息出境的监管提出相对严格的要求,概括为相关机构、国外政府或者国家必须拥有同等的数据保护水平才可以将个人信息传输出。
