【金融行业】欧盟数据跨境监管：缘起、要求与实践

我们此前9月7日发布的报告《数据跨境：概念辨析与监管方向》中[1]，指出数据跨境指数据产生主体与数据使用主体之间跨越国境或者司法管辖区的情况，而数据产生与使用的主体包括个人、企业与政府等，数据范围主要包括个人数据、商业数据与公共数据，且以个人数据为主，使用的方式具体包括数据传输、数据存储、数据访问、数据处理等。本文将主要从欧盟的数据监管政策入手，观察其对数据跨境所采取的监管态度，以及具体监管要求。

一、欧盟对数据跨境的严监管态度

欧盟对数据跨境采取了严监管态度，并出台一系列的法律与规制完善数据跨境的监管框架。在个人数据方面，主要法律法规为欧洲议会在2016年4月27日通过的《通用数据保护条例》（General Data Protection Regulation，GDPR）[2]。在非个人数据方面，主要法律法规为欧洲议会2019年5月通过的《欧盟非个人数据自由流动条例》（Regulation for the Free Flow of Non-personal Data in the European Union，以下简称“《非个人数据条例》”）[3]与2023年6月通过的《数据法案》（Data Act）[4]。以上3个法案共同构成欧盟个人数据与非个人数据跨境流动的基础，在此基础上，欧盟持续完善数据跨境监管框架，其数据保护相关法律成为全球参考范本。欧盟对数据跨境的严监管态度主要有两方面原因：一是欧洲有着个人数据保护的悠久传统；二是应对全球大型科技企业对欧盟数据保护的挑战。

1.1 出发点：欧盟对个人数据保护的悠久传统

个人隐私在欧盟被视为人权的一部分受到尊重与保护，且个人数据保护具有悠久的历史传统。早在1950年，欧洲委员会颁布的《欧洲人权公约》（European Convention on Human Rights）[5]第8条规定：“任何人都享有私人、家庭生活及其各项通讯被尊重的权利。”1980年，前身为欧洲经济合作组织的经合组织（Organization for Economic Cooperation and Development, OECD）发布《隐私保护和跨境个人数据流动指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，以下简称“《数据流动指南》”）[6]，确立了个人数据保护的多项准则，至今仍被广泛继承与沿用，例如：

一是收集限制原则（Collection Limitation Principle）。各类主体在收集个人数据时应设立限制，数据应以合法和公正的方式获取，并应获得数据主体知情或同意。

二是数据质量原则（Data Quality Principle）。收集的个人数据应与使用目的相关，并且在必要范围内应准确、完整和及时更新。

三是目的限定原则（Purpose Specification Principle）。收集个人数据的目的应在数据收集时指明，后续使用也应仅限于实现这些目的，若更改使用目的，则需保证与最初目的不冲突且应事先告知。

四是使用限制原则（Use Limitation Principle）。个人数据不应当在未经数据主体同意或拥有法律授权的情况下，用于规定目的之外其他目的。

1981年，欧洲委员会（Council of Europe）通过《有关个人数据自动化处理之个人保护公约》（ETS No. 108：Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下简称“《108号公约》”）[7]，建立了个人数据保护的基本原则并明确了各缔约国之间的基本义务，同时将对个人基本自由与权利的保护作为缔约国履行条约规定的出发点。《108号公约》第14条规定了个人数据跨境流通制度，允许缔约方之间自由传输数据，同时要求个人数据从缔约方向非缔约方传输时，必须满足一定的要求。1995年，欧盟委员会（European Commission）[8]颁布《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》（Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下简称“《95指令》”）[9]，第25条提出只有数据出境的目标国家在个人数据隐私保护方面水平达到一定标准，才能个人数据出境。个人隐私在欧洲被视为一项基本的人权，且在个人数据保护方面有着悠久的法律传统，这也成为欧盟重视个人数据跨境监管的出发点。

2016年4月27日，欧洲议会（European Parliament）[10]通过《通用数据保护条例》（General Data Protection Regulation，GDPR），基本确立个人数据的流动规则。2019年通过的《非个人数据条例》、2022年通过的《数据治理法案》与2023年通过的《数据法案》则制定了非个人数据跨境流转的基本规定。

1.2 催化剂：应对大型跨国互联网企业对欧盟数据的使用

当前，欧盟内部的大型互联网企业较少，其互联网各项服务多由境外跨国企业提供。因此，为应对全球尤其是美国大型跨国互联网企业对欧盟个人数据的采集和使用，同时鼓励欧盟内部互联网企业的发展，也是欧盟严格个人数据监管的一大出发点。

2020年2月，欧盟委员会发布《欧洲数据战略》（A European Strategy for data）[11]，其中指出少数几家大型互联网企业拥有全球大部分的数据，会降低以数据驱动的企业在欧盟成立、发展和创新的动力与积极性。截至2023年4月18日，全球市值前20大互联网企业中共有9家美国企业、6家中国企业，仅有1家欧洲企业，为总部位于欧盟成员国荷兰的在线酒店预订企业Booking[12]。与全球大型互联网企业分布集中于美国与中国的情况相对应，欧盟却是全球大型互联网科技企业的重要利润来源。以谷歌母公司Alphabet为例，2022年全年，其来自欧洲、中东与非洲地区的营收为821亿美元，占当年总营收的约30%，仅次于美国本土[13]。为了应对这一情况，此前欧盟已于2018年提出数字服务税的构想，以解决大型互联网企业跨境服务税收分配的问题。

除此之外，近年来欧盟发现境外的大型跨国互联网企业存在对欧盟境内个人数据过度收集使用的情况。一方面，在商业意义上，互联网企业的有效运营依赖于大量的个人数据分析，其不仅会在业务开展过程中会产生大量用户数据，而且需要基于用户数据分析提升其服务效率，如广告投放、精准营销等业务均高度依赖用户数据。另一方面，在非商业意义上，实践中美国政府借助美国的大型互联网企业对欧盟境内的人群进行监控。签署于2016年2月2日《欧美隐私保护盾协议》（EU-US Privacy Shield，以下简称“隐私盾协议”）在2020年7月失效的主要原因之一便是其对美国情报部门的约束作用较弱。2020年，欧盟最高法院明确表示[14]，美国政府的大规模监控计划与欧盟公民的隐私权不兼容，违反基本隐私权的行为意味着美国公司无法提供符合欧盟法律要求和欧美隐私盾协议承诺的对欧盟个人数据的充分保护。

针对大型跨国互联网企业，欧盟出台多项法律规定以规范其对个人数据的收集、使用与传输，数据跨境则是其中重点之一，欧盟制定的数据保护与数据跨境的法律中对这一点均有体现：

第一，GDPR对数据的监管范围采用“属人原则”，并将其适用范围扩展到各类跨国企业，实际赋予了欧盟长臂管辖的权利。GDPR将欧洲数据保护法的地域适用范围扩展到“数据控制者”（Data Controller）与“数据处理者”（Data Processor），二者即使位于欧盟境外，只要向欧盟的“数据主体”（Data Subject），即欧洲居民提供商品或服务，无论该企业是否位于欧盟境内，便属于欧盟数据保护法的适用范围（Jay and Sean，2016）。

第二，欧盟针对大型互联网跨国企业制定专门监管政策，实质上限制了通过大型互联网跨国企业这一渠道的数据跨境。根据我们此前发布的报告《数据跨境：概念辨析与监管方向》[15]，大型互联网跨国企业中存在内部数据跨境与相关服务贸易数据跨境两种情形，尤其是在互联网与数字经济时代，服务贸易往往伴随着个人数据和商业数据的跨境流动，属于数据跨境的重点监管领域。2022年7月，欧洲议会通过了《数字服务法案》（Digital Services Act），强调对大型互联网企业的监管，欧盟要求提高在线平台透明度，对平台推荐算法进行审核，防止滥用平台权利。在个人数据方面，2022年9月，欧洲议会通过了《数字市场法案》（Digital Markets Act），引入“守门人”（Gatekeeper）制度，对符合标准的大型互联网平台制定反垄断规则，大型互联网企业在获得用户的明示同意后才可进行个人数据的访问与使用。在非个人数据方面，针对头部互联网企业掌握大量数据、单方面对小微及初创企业施加不公平条款等情况，2023年6月欧洲议会正式通过的《数据法案》（Data Act）第二章第五条第二款做出明确规定，被《数字市场法案》判定为“守门人”的企业将不属于合格第三方，其获取或使用欧盟非个人数据受到额外限制，进一步限制了大型跨国企业在欧洲开展业务应当指出的是，对于跨国企业来说，以上监管措施虽然没有直接针对数据跨境，但实质上限制了对欧盟地区个人数据与非个人数据的收集与使用，间接影响了其对欧盟境内数据的跨境使用。

第三，增强欧盟本土企业的云服务能力。根据市场调研公司Synergy Research Group在2023年4月发布的数据显示[16]，全球云基础设施服务市场中亚马逊、微软、谷歌3家公司在2023年第一季度的市场份额总和达到65%。具体到欧洲云服务市场，Synergy Research Group在2022年9月发布的数据显示[17]，自2017年起到2022年第二季度，虽然欧洲云市场规模增长了约4倍，但本土云服务商的市场份额却从27%跌至15%以下，亚马逊、微软和谷歌3家公司仍然占据大部分市场份额。参照我们在9月7日发布的报告《数据跨境：概念辨析与监管方向》报告，云服务属于典型的服务贸易，由于其中数据存储、数据分析等服务环节所依赖的服务器与算力中心往往与数据生成地区并不在统一司法辖区，因此云服务往往涉及数据跨境。

欧洲议会在2019年5月通过《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data，以下简称“《非个人数据条例》”），其定义非个人数据指除GDPR定义的个人数据以外的其他数据，具体包括用于大数据分析的聚合和各种匿名化的数据集。《非个人数据条例》鼓励欧盟境内云服务商制定行业自律行为准则，避免因商业限制而造成数据流动限制，减少数据在云服务提供商之间切换的成本。《数据法案》则从“鼓励行业自律”演进至强制要求云服务切换应免费，即用户在切换云服务提供商时，原云服务提供商不得收费，以促进欧盟居民的云服务由美国云服务商向本土云服务商迁移。结合欧洲云服务市场以美国云服务商为主的情况，欧盟在云服务上的监管导向表明，其旨在减少对美国云供应商依赖的态度，提高本土云服务商的竞争力，从而降低潜在的数据跨境。

二、欧盟的数据跨境监管要求

前一部分重点在分析欧盟对数据跨境严监管的主要原因，本部分将具体分析欧盟针对数据跨境相关的监管要求。GDPR确定了欧盟个人数据跨境的三种途径：一是获得“充分性认定”（Adequacy Decision）；二是为欧盟境内数据主体提供“适当保障措施”（Appropriate Safeguards）；三是特定情形下的豁免（Derogations for Specific Situations）。

2.1 欧盟个人数据跨境的充分性认定要求

充分性认定（Adequacy Decision）是欧盟法律框架下实现个人数据跨境最便利的法律工具。对于通过欧盟充分性认定的第三国、地区、第三国的特定部门或国际组织（以下简称“第三方”）来说，将欧盟的个人数据向其传输将不需要再经过其他特别授权（Any Specific Authorisation）。这也反映了欧盟对个人数据的跨境监管思路，通过对第三方的数据保护水平提出要求并经过事前审核认定，从而确保欧盟境内个人数据出境后可以延续与欧盟境内同等程度的保护。GDPR中第45条规定了充分性认定的基本原则，并明确评估机构为欧盟委员会，具体来看，需要对第三方进行全面评估，其中主要考虑因素有以下三点：

第一，第三方的个人数据保护相关法制建设及其实施情况。在法制建设方面，欧盟委员会主要考虑数据保护相关立法的充分性，第三方应制定尊重人权和基本自由的相关法律，与涉及公共安全、国家安全、政府当局获取个人数据的法律规定，以及数据保护规则、向第三国或国际组织转移个人数据的规则和其他数据安全标准措施等制度。在具体实施情况方面，欧盟委员会主要考虑和评估相关立法的实施效果，评估范围通常包括个人数据跨境传输情况、是否存在有效且可执行的数据主体权利保障机制以及是否能够为个人数据被转移的主体提供有效的行政和司法救济等。

第二，第三方是否存在一个或多个专门的数据保护机构。具体来看，欧盟的要求包括三个方面：一是第三方需要建立一个或多个专门且有效运行的监管机构来负责保证数据保护法律规则的贯彻执行。二是第三方需要赋予这些监管机构充分的执法权力，以协助和指导数据主体行使其数据权利。三是这些监管机构需与欧盟成员国监管机构建立协作机制以解决数据保护的可能分歧。

第三，第三方应签署的与个人数据保护有关的国际协定。通常来说，欧盟委员会会考虑拟列入清单的第三方是否加入或签署与个人数据保护相关且有效的多边或区域机制，例如第三方有关个人数据保护的国际承诺、公约或文书等。

在第三方在事前获得充分性认定后，欧盟委员会还将持续对其进行评估和管理：

第一，欧盟委员会需要对第三方进行定期检查。根据GDPR第45条第4款的规定，欧盟委员会至少需要每四年对第三方的数据保护相关情况进行一次检查，并通过纠正机制以维持对第三方的充分性认定。以日本为例，日本于2019年1月23日正式获得欧盟的充分性认定，2022年8月，欧盟数据保护监督机构（European Data Protection Supervisor，EDPS）发布说明，经过欧盟检查，为了继续维持日本的充分性认定，欧盟将与日本开展谈判，主要目的是需要将跨境数据流动的规定纳入2018年7月17日签署的《欧盟与日本经济伙伴协定》[18]。

第二，欧盟委员会需对第三方进行持续监测管理，并在一定的必要情况下撤回充分性认定。欧盟委员会将持续监测第三方可能影响已发布的充分性决定的任何动态，并在第三方不具备充分的数据保护水平时，欧盟委员会可以修改或撤销对第三方的充分性认定。欧洲法院曾在2015年10月与2020年7月两次宣布欧盟与美国之间的数据跨境协议失效，即《欧美安全港框架》（U.S.-EU Safe Harbor Framework，以下简称“安全港协议”）与《欧美隐私保护盾协议》（EU-US Privacy Shield，以下简称“隐私盾协议”）失效。上述两个文件在其有效的时间内实质上为欧盟对美国的充分性认定。

2.2 欧盟充分性认定白名单

GDPR第45条第8款规定，欧盟委员会应当将满足充分性认定要求和不再满足充分性认定的第三国、地区、第三国的特定部门或国际组织（以下简称“第三方”）的名单列表发布在欧盟的官方网站。欧盟对充分性认定较为严格，截至2023年7月10日，欧盟官网公布的通过充分性认定的第三方共计15个[19]，按照时间顺序依次为瑞士、加拿大（仅包括该国的商业组织，Commercial Organisations）、根西岛、阿根廷、马恩岛、泽西岛、安道尔公国、法兰群岛、以色列、乌拉圭、新西兰、日本、英国、韩国、美国（仅包括该国已加入欧美隐私框架的美国商业组织，Commercial Organisations Participating in the EU-US Data Privacy Framework）。

由于欧盟的充分性认定较为全面与严格，自瑞士[20]成为首个获得充分性认定的第三方至今，20余年间仅有15个第三方通过欧盟的充分性认定。在GDPR发布之前，欧盟充分性认定的监管依据为1995年颁布的《95指令》，共有10个第三方在《95指令》的指导下通过审核。GDPR对充分性认定的原则延续了《95指令》，因此瑞士、新西兰等第三方在GDPR框架下仍然延续了其充分性认定。

在15个通过充分性认定的第三方中，较为特殊的是加拿大与美国，其可以接受欧盟个人数据跨境传输的范围限于一定条件下的商业组织。对加拿大来说，欧盟委员会指出[21]，根据《95指令》第25条第2款的要求，由于加拿大在2000年4月13日颁布的《个人信息保护和电子文件管理法案》（Canadian Personal Information Protection and Electronic Documents Act，以下简称“加拿大法案”）的适用范围仅限于在商业活动中收集、使用或披露个人信息的商业组织，不适用于公共部门与非营利组织，因此，仅有个人数据从欧盟转移至加拿大的商业组织时，欧盟才认可加拿大可以对欧盟的个人数据提供足够的保护。对于美国来说，2023年7月10日欧盟委员会发布了《欧盟-美国数据隐私框架》（EU-US Data Privacy Framework，以下简称“《欧美隐私框架》”），由于美国绝大多数主体对数据保护的程度不足以满足欧盟的充分性认定要求，因此只有加入《欧美隐私框架》的美国商业组织才能被欧盟认定为合格的数据接收第三方。

2.3 欧盟个人数据跨境的其他渠道

如前所述，在实践中能够满足GDPR严格的充分性认定条件的第三方较少。对于未能通过充分性认定的第三方，若其要接收和处理来自欧盟的个人数据，则需进行个案审查，GDPR给出了充分性认定之外的两种欧盟可行的个人数据跨境审批方式。

第一，数据控制者或处理者需要为欧盟境内数据主体提供“适当保障措施”（Appropriate Safeguards）。

GDPR第46条第1款规定，当数据出境的目的地没有获得欧盟的充分性认定时，数据控制者或处理者只有在提供了适当的保障措施并且满足数据主体能行使权利、能获得有效的法律救济的条件时，欧盟境内主体才能将相关个人数据向第三国或国际组织转移。GDPR第46条规定了若干的适当保证措施：包括政府之间有法律约束力和可执行性的文书、有约束力的公司规则（Binding Corporate Rules, BCRs）、欧盟委员会通过或批准的标准合同条款（Standard Contractual Clauses, SCCs）等。

其中标准合同条款（SCCs）是较为常见的数据跨境方式，当欧盟成员国的个人数据需要跨境传输到一个未经过充分性认定的第三方时，可以通过签订标准合同条款保障个人数据权利。该方式通过在数据转移双方的合同中纳入标准合同条款，将GDPR规定的法律义务和责任转化为合同义务和违约责任，尤其是转化为合同双方对作为第三者的数据主体的合同义务和违约责任（利他合同），然后通过纳入争议解决及法律适用等条款，来确保数据主体的权利落到实处[22]。欧盟于2001年即制定了两组数据跨境传输的标准合同条款（Standard Contractual Clauses，以下简称为“SCCs”），此后在2004年和2010年分别制定了第二套、第三套SCCs，而现行SCCs则是于2021年6月4日发布的新版本SCCs。

第二，数据控制者或处理者可以寻求特定情形下的豁免（Derogations for Specific Situations）。

在充分性认定和适当保障措施均不能满足的情况下，数据跨境需求方还可退而求其次，判断其数据跨境传输是否属于特定情形下的豁免。GDPR第49条规定了7种豁免情形，例如数据主体在被告知这种转移行为由于缺乏充分的保护标准和适当的保护措施可能会对其带来的风险后仍明确同意转移的情况。

2.4 欧盟非个人数据跨境监管要求

欧盟涉及非个人数据跨境监管的主要是两部法律规定，分别是欧洲议会在2019年5月通过的《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data，以下简称“《非个人数据条例》”）与2023年6月通过的《数据法案》（Data Act）。《非个人数据条例》定义非个人数据指除GDPR定义的个人数据以外的数据，具体包括与特定数据主体无关、或用于大数据分析的聚合和各种匿名化的数据集。

为了解决个人数据与非个人数据界限不清的问题，欧盟委员会在2019年5月29日发布《“非个人数据自由流动条例”的操作指引》（Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union）[23]，对个人数据与非个人数据进行详细的界定。GDPR定义个人数据指与识别或可识别的自然人（即数据主体）有关的任何信息。可识别的自然人是指可以直接或间接地通过诸如姓名、身份号码、位置数据、在线标识符或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一个或多个因素的参照来识别的自然人。如果数据不符合GDPR对个人数据的定义，即相关数据无法被关联到数据主体，则属于非个人数据。

具体来说，非个人数据按照其来源可以分为以下两类：

一是数据在产生阶段便与识别或可识别自然人无关的数据，例如由安装在风力涡轮机上的传感器生成的天气条件数据或工业设备维护需求数据。

二是最初为个人数据，但进行了匿名化处理后不再能识别至个人的数据。匿名化处理必须保证数据无法通过使用额外数据或者算法来关联到特定数据主体，才可被认定为非个人数据。例如一定群体的履约数据经过汇总等聚合处理后不能被关联到特定数据主体，可以被视为非个人数据。值得注意的是，匿名化后的数据若仍能与特定数据主体进行对应，则仍将被视为个人数据。

《非个人数据条例》与《数据法案》在监管内容上各有侧重，但其目标均为促进非个人数据的有效流动、运用，以及欧洲数字经济的发展。

《非个人数据自由流动条例》重在欧盟境内，旨在消除非个人数据在欧盟成员国之间自由流动的障碍。宋建宝（2019）的研究指出，《非个人数据条例》主要为了促进欧盟的数字经济发展，打破欧洲数据驱动经济发展的枷锁，实现欧盟成员国之间非个人数据的跨境自由流动。《非个人数据条例》主要在以下三个方面做出规定：

第一，要求欧盟成员国政府对现有数据本地化要求进行修改，修改后的数据本地化要求仅能够将公共安全作为数据本地化要求的理由。

第二，畅通欧盟境内以监管为目的的数据跨境使用，欧盟成员国政府出于监管需要可以访问在欧盟境内存储的所有数据，并对拒绝提供数据的成员国制定了相应的制裁措施。

第三，鼓励欧盟境内云服务商制定行业自律行为准则，避免因商业限制而造成数据流动限制，减少数据在云服务提供商之间切换的成本。

与之相对应，《数据法案》重在欧盟境外，旨在严格限制欧盟的非个人数据出境欧盟。《数据法案》要求数据服务主体需要落实具体的保障措施，限制欧盟境内非个人数据向第三国的跨境流动，从而实现欧盟公民、企业、公共部门对数据的控制，促进欧盟内部对数据的信任。《数据法案》一方面填补了欧盟数据跨境流动规则对非个人数据要求的空缺，另一方面限制非欧盟国家通过本土立法的“长臂管辖”权限获取欧盟境内非个人数据。2018年3月，美国颁布的《澄清境外数据的合法使用法案》（Clarify Lawful Overseas Use of Data，以下简称“《云法案》”），其中指出，只要与美国建立最小关联，美国以外的云服务商也要受到美国《云法案》的管辖，欧盟《数据法案》则是对美国《云法案》的有效应对（吴沈括和蔡佩原，2022）。《数据法案》第7章对非个人数据出境欧盟作出了较为严格的限制：

一是数据处理服务提供者（Providers of data processing services）应采取一切合理的技术、法律和组织措施，包括合同安排，以防止其非个人数据的国际转移或第三国政府对欧盟非个人数据的访问与欧盟法律或欧盟成员国的法律冲突。

二是第三国的法院、仲裁机构、或行政机关的判决与决定若涉及到数据处理服务提供者从欧盟内获得的非个人数据的跨境流动，只有基于第三国与欧盟或成员国的国际协议（International Agreement）时，如相互法律协助条约（Mutual Legal Assistance Treaty），才能在被承认与执行。

三是若数据处理服务提供者收到第三国法院或行政当局请求转移或允许访问欧盟境内的非个人数据的决定，而相关决定有可能与欧盟或欧盟成员国的法律相冲突，且该第三国与欧盟或成员国未曾签订相应的国际协议，《数据法案》给出了三种可以数据跨境的特定情形。此外，数据处理服务提供者认为该数据出境行为可能涉及商业敏感数据，或可能侵犯欧盟或相关成员国的国家安全、国防利益时，可以根据《数据法案》咨询欧盟相关监管机构的意见。

四是数据处理服务提供者应坚持“最小原则”，响应数据出境请求时仅提供最小范围的数据（Minimum Amount of Data）。

五是数据处理服务提供者应履行“告知义务”，在数据出境前，需要告知数据持有者（Data Holder）第三国查阅其数据的要求，除非该数据出境要求是服务于执法目的。

三、欧盟数据跨境监管实践案例

如前所述，欧盟严格数据跨境监管的重要原因之一为避免大型跨国科技企业对欧盟个人数据的过度使用。而美国是全球拥有大型跨国科技企业最多的国家，因此，欧盟在数据跨境的监管实践案例大多与美国科技企业相关。自GDPR于2018年正式施行以来，欧盟、欧盟成员国的数据监管机构以GDPR为依据向美国大型跨国科技企业施以处罚的案例达到数百起，2022年，欧盟、欧盟成员国的数据监管机构针对GDPR违规的罚款额达创纪录的29亿欧元[24]。应当指出的是，大多数处罚案例为数据垄断、侵犯个人隐私与数据泄露，与数据跨境相关的处罚案例较少，其中金额最大的为Facebook母公司Meta在2023年收到的12亿欧元罚单。

2020年7月16日，欧洲法院判定欧美之间的隐私盾协议失效，主要原因为美国《外国情报监视法》（Foreign Intelligence Surveillance Act，FISA）第702条允许美国情报机构访问欧盟的个人数据，而隐私盾计划对该行为限制较弱，因此被认为违反了GDPR规定。随后，以Meta为代表的美国跨国企业选择以标准合同条款（SCCs）的渠道进行欧盟个人数据的跨境传输。

2023年4月13日，对于爱尔兰数据保护局提出的Meta自欧洲向美国传输数据的合法性基础争议，欧盟的数据监管机构欧盟数据保护委员会（European Data Protection Board，EDPB）做出了具有约束性的决定（Binding Decision）[25]，决定主要有两方面内容[26]：

一是Meta不能通过SCCs的渠道进行个人数据跨境。主要原因为美国法律没有提供与欧盟法律同等水平的保护，SCCs是针对未能通过充分性认定的第三方需要接收和处理来自欧盟的个人数据时的补充手段，需进行个案审查。而Meta在隐私盾失效期间，大规模、定期传输欧盟个人数据至美国，而SCCs无法且Meta也未曾提供补充措施（Supplemental Measures）以填补美国法律的上述缺陷，因此欧盟相关监管机构认为SCCs无法适用于Meat的数据跨境场景，Meta的跨境数据传输违反了GDPR第46条第1款的规定。

二是Meta的数据跨境情形不适用于特定情形下的豁免。在无法以SCCs作为跨境传输个人数据的法律基础的前提下，Meta依次主张将GDPR第49条豁免规则中的履行合同所必需、公共利益、数据主体同意作为法律基础。EDPB的决定指出，豁免规则也不应被适用于Meta系统性、规模的、重复和持续的个人数据跨境传输，而且Meta在数据跨境的操作过程中并未获得欧盟数据主体的明确同意。

2023年5月23日，爱尔兰数据保护局（Irish Data Protection Authority）根据EDPB的约束性决定，针对Meta在欧美未达成个人数据跨境流动协议期间，即自2020年7月16日《欧美隐私保护盾协议》（EU-US Privacy Shield，以下简称“《隐私盾协议》”）被欧洲法院判决失效以来，持续大规模将欧盟用户数据传输到美国的行为，向Meta开出12亿欧元的罚单，并要求其停止对欧盟个人数据的非法处理，包括已在美国存储的违反GDPR规定传输的欧盟个人数据[27]。

欧盟对Meta的处罚并非顶格处罚，其处罚时间具有更多含义。GDPR规定Meta适用的最高处罚是其上一年全球年营业额的4%，结合Meta在2022年高达1166亿美元的全年营业额，12亿欧元并非顶格处罚。但针对美国大型跨国互联网企业在《隐私盾协议》失效后，主要依靠SCC将欧盟个人数据传输至美国的情况，Meta的处罚示例意味着若欧美不达成相关数据跨境传输协议，将对美国其他大型跨国互联网企业造成较大影响。故而，这一案例直接促进了随后2个月内《欧美隐私框架》协议的达成。

参考文献：
（1）胡苗苗,胡代芳,崔若雨等.欧盟非个人数据自由流动框架条例指南[J].北外法学,2020(01):147-169.
（2）宋建宝，欧盟《非个人数据自由流动条例》概要，人民法院报，2019年7月26日，http://rmfyb.chinacourt.org/paper/images/2019-07/26/08/2019072608_pdf.pdf。
（3）吴沈括，蔡佩原，欧盟《数据法案》（草案）的非个人数据跨境制度，数字治理全球洞察，2022年2月27日，https://bokeshuofa.blogchina.com/761361585.html。
（4）Jay F. Kramer & Sean B. Hoar，GDPR, PART I: HISTORY OF EUROPEAN DATA PROTECTION LAW，2016，https://lewisbrisbois.com/assets/uploads/files/GDPR,_Part_I-_History_of_European_Data_Protection_Law.pdf。

注：
[1]资料来源：任图南，陈昊和鲁政委，《数据跨境：概念辨析与监管方向》 ，EB/OL，2023/9/7[2023/9/22]，https://app.cibresearch.com/shareUrl?name=402388a08a4f8a31018a6dc4dfe01b87。
[2]资料来源：欧洲议会官网，General Data Protection Regulation，EB/OL，2016/4/27[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679。
[3]资料来源：欧洲议会官网，Regulation for the Free Flow of Non-personal Data in the European Union，EB/OL，2019/5/31[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32018R1807。
[4]资料来源：欧洲议会官网，Data Act，EB/OL，2022/2/23[2023/9/5]，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN。
[5]资料来源：欧洲委员会官网，European Convention on Human Rights，EB/OL，1950/11/4[2023/8/18]，https://www.echr.coe.int/european-convention-on-human-rights。
[6]资料来源：OECD官网，Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，EB/OL，1980/9/23[2023/9/5]，https://www.oecd-ilibrary.org/science-and-technology/oecd-guidelines-on-the-protection-of-privacy-and-transborder-flows-of-personal-data_9789264196391-en
[7]资料来源：欧洲委员会官网，Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，EB/OL，1981/1/28[2023/9/5]，https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108。
[8]欧盟委员会（European Commission），是欧洲联盟的常设执行机构，欧盟委员会主席由欧盟理事会和成员国政府首脑一起决定，并需要得到欧洲议会的赞成。
[9]资料来源：欧盟官网，Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，EB/OL，1995/10/24[2023/9/5]，https://edps.europa.eu/data-protection/our-work/publications/legislation/directive-9546ec_en。
[10]欧洲议会（European Parliament）是欧盟三大机构（欧洲理事会、欧盟委员会、欧洲议会）之一，为欧盟的参与立法、监督、预算和咨询机构。
[11]资料来源：欧盟官网，A European Strategy for data，EB/OL，2020/2/19[2023/9/5]， https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066。
[12]资料来源：Statista官网，Market capitalization of the largest internet companies worldwide as of April 2023，EB/OL，2023/4/18[2023/9/5]，https://www.statista.com/statistics/277483/market-value-of-the-largest-internet-companies-worldwide/。
[13]资料来源：Alphabet Annual Report 2023，EB/OL，2023/2/3[2023/9/5]，https://stocklight.com/stocks/us/services/nasdaq-googl/alphabet/annual-reports/nasdaq-googl-2023-10K-23583498.pdf。
[14]资料来源：境外媒体报道，EU Court Again Rules That NSA Spying Makes U.S. Companies Inadequate for Privacy，EB/OL，2020/7/16[2023/9/5]，https://www.eff.org/deeplinks/2020/07/eu-court-again-rules-nsa-spying-makes-us-companies-inadequate-privacy。
[15]https://app.cibresearch.com/shareUrl?name=402388a08a4f8a31018a6dc4dfe01b87
[16]资料来源：Synergy Research Group官网，Q1 Cloud Spending Grows by Over $10 Billion from 2022; the Big Three Account for 65% of the Total，EB/OL，2023/4/27[2023/9/5]，https://www.srgresearch.com/articles/q1-cloud-spending-grows-by-over-10-billion-from-2022-the-big-three-account-for-65-of-the-total。
[17]资料来源：Synergy Research Group官网，European Cloud Providers Continue to Grow but Still Lose Market Share，EB/OL，2022/9/27[2023/9/5]，https://www.srgresearch.com/articles/european-cloud-providers-continue-to-grow-but-still-lose-market-share。
[18]资料来源：EDPS官网，Opinion 17/2022，EB/OL，2022/8/9[2023/9/5]，https://edps.europa.eu/system/files/2022-08/22-08-09_edps_opinion_eu_japan_en.pdf。
[19]资料来源：欧盟官网，Adequacy decisions ，EB/OL，2023/9/5[2023/9/5]， https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#adequacy-decisions-latest。
[20]瑞士不是欧盟成员国。
[21]资料来源：欧盟官网，Commission Decision of 20 December 2001 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data provided by the Canadian Personal Information Protection and Electronic Documents Act ，EB/OL，2001/12/20[2023/9/5]， https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#adequacy-decisions-latest。
[22]资料来源：清华大学智能法治研究院，欧盟数据跨境传输标准合同条款（SCCs）综述，EB/OL，2022/7/26[2023/9/5]， https://mp.weixin.qq.com/s/jtEeoJ3ZLfP8qek717DZyQ。
[23]资料来源：欧盟官网，Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union ，EB/OL，2019/5/29[2023/9/5]， https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2019:250:FIN。
[24]资料来源：中国商务部官网，2022年欧盟数据违规罚款总额翻倍至29亿欧元，EB/OL，2023/2/15[2023/9/5]， http://ie.mofcom.gov.cn/article/jmxw/202302/20230203385050.shtml。
[25]资料来源：EDPB，Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service，EB/OL，2023/4/13[2023/9/6]，https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en。
[26]资料来源：信通合规，Meta因跨境传输数据被欧盟处罚12亿欧元，EB/OL，2023/6/8[2023/9/6]，https://mp.weixin.qq.com/s/dtOXVdqArDSUT-wfCzOP0A。
[27]资料来源：EDPB，1.2 billion euro fine for Facebook as a result of EDPB binding decision，EB/OL，2023/5/22[2023/9/6]，https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en。