数据跨境流动的"碎片化世界"

2026年,全球数据跨境流动的规则进一步"碎片化"——不同的司法管辖区有不同(甚至相互冲突)的数据保护规则。对于跨国企业来说,数据合规已经成为最复杂的法律挑战之一。

2026年,全球数据跨境流动的格局呈现出"三极"特征:欧盟的GDPR模式(以人权保护为核心,限制数据向"保护水平不足"的国家/地区传输)、中国的数据出境安全评估模式(以国家安全为核心,要求数据出境前进行安全评估)、美国的"自由流动+国家安全例外"模式(原则上支持数据自由流动,但对"受关注国家"的数据传输施加限制)。

这三种模式之间的冲突在2026年日益加剧,跨国企业不得不在"不可能三角"中寻找平衡。

GDPR:全球数据保护的"黄金标准"

2026年,欧盟GDPR实施8周年,仍然是全球最严格、最有影响力的数据保护法规。

GDPR罚款。 2026年,GDPR罚款总额继续增长。2026年上半年,GDPR罚款总额约15亿欧元,其中最大的一笔是欧盟对Meta处以12亿欧元罚款(因向美国非法传输欧盟用户数据)。自GDPR 2018年生效以来,累计罚款已超过50亿欧元。

GDPR的核心原则。 2026年,GDPR的核心原则仍然有效:合法、公平、透明(数据处理必须有合法基础,如用户同意、合同履行、法定义务等)、目的限制(数据只能用于收集时明确的目的)、数据最小化(只能收集实现目的所需的最少数据)、准确性(数据必须准确,及时更新)、存储限制(数据保存时间不得超过必要期限)、完整性和保密性(数据必须安全保护)、问责制(数据控制者必须能够证明其合规)。

GDPR的域外适用。 2026年,GDPR的域外适用(对欧盟以外的企业也适用)仍然是一个重要特征。只要数据处理涉及"向欧盟境内的个人提供商品或服务"或"监控欧盟境内个人的行为",GDPR就适用。2026年,中国企业(尤其是有欧洲业务的电商、游戏、SaaS公司)面临的GDPR合规压力在增加。

GDPR的跨境数据传输。 2026年,GDPR对跨境数据传输的限制仍然是核心难点。GDPR第45-49条规定,个人数据只能在以下情况下传输到欧盟以外的国家/地区:“充分性认定”(欧盟认定该国的数据保护水平"充分")、适当保障措施(如标准合同条款SCC、有约束力的公司规则BCR)、特定例外(如用户明确同意、合同履行所必需)。

2026年,包括日本、韩国、英国、加拿大、以色列等16个国家/地区获得了欧盟的"充分性认定"。中国没有获得充分性认定,这意味着从欧盟传输个人数据到中国,需要依赖SCC或BCR等"适当保障措施"。

欧美数据流动:从"隐私盾"到"数据隐私框架"

2026年,欧盟和美国之间的数据跨境流动,是数据合规领域最曲折的故事。

“隐私盾"的兴衰。 2016年,欧盟和美国达成了"隐私盾”(Privacy Shield)协议,允许美国企业自我认证后,自由接收欧盟用户数据。2020年,欧盟法院在"Schrems II"案中认定"隐私盾"无效,因为美国政府的监控权力(尤其是《外国情报监控法》FISA)与欧盟的数据保护标准不兼容。

“数据隐私框架"的建立。 2023年,欧盟和美国达成了新的"欧盟-美国数据隐私框架”(EU-US Data Privacy Framework,DPF),2024年正式生效。DPF引入了新的保障措施,包括限制美国情报机构的数据访问、建立独立的监督机制、为欧盟公民提供申诉渠道。

DPF面临的挑战。 2026年,DPF正在面临法律挑战。隐私倡导者(Max Schrems及其组织NOYB)在2026年对DPF提起了诉讼,主张DPF仍然无法有效保护欧盟公民数据免受美国政府的监控。2026年,案件仍在审理中,DPF的命运悬而未决。如果DPF被推翻,欧美之间的数据流动将再次陷入法律真空。

中国数据出境安全评估制度

2026年,中国的数据出境安全评估制度日趋成熟和明确。

法律框架。 2026年,中国数据出境的法律框架包括三个层次:顶层法律(《网络安全法》、《数据安全法》、《个人信息保护法》)、行政法规(《数据出境安全评估办法》、《个人信息出境标准合同办法》)、部门规章和指引(国家网信办发布的各项细则和指引)。

数据出境安全评估的触发条件。 2026年,以下情形需要向国家网信办申报数据出境安全评估:向境外提供重要数据(由各行业主管部门认定)、关键信息基础设施运营者(CIIO)向境外提供个人信息、处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息。

2026年数据出境安全评估的实施情况。 2026年,国家网信办共受理数据出境安全评估申报约2000件,通过率约60%(较2024-2025年的约40%有所提升)。未通过的主要原因是:数据出境目的不明确或不合理、数据出境范围过大(未遵循"最小必要原则")、数据接收方的保护措施不足、数据出境合同不符合标准。

个人信息出境标准合同。 2026年,对于不满足安全评估触发条件的数据出境,可以通过签订"个人信息出境标准合同"(效仿GDPR的SCC模式)来实现合规。2026年,国家网信办发布了《个人信息出境标准合同》的修订版,进一步明确了标准合同的条款和备案要求。

粤港澳大湾区数据跨境流动。 2026年,粤港澳大湾区(大湾区)在数据跨境流动方面进行了制度创新。2025年,大湾区的数据跨境流动合同(GBA SCC)生效,允许大湾区内的企业使用简化的合同条款进行数据跨境流动。2026年,GBA SCC已覆盖约500家企业,成为"一国两制"下数据跨境流动的创新实践。

2026年数据合规的全球趋势

数据本地化。 2026年,越来越多的国家要求数据"本地化"(数据必须存储在境内)。印度、俄罗斯、越南、土耳其、巴西等国都出台了数据本地化法规。2026年,全球约60个国家/地区有某种形式的数据本地化要求。但数据本地化面临着"效率损失"(增加企业成本)和"数字保护主义"(阻碍数字贸易)的批评。

数据主权的兴起。 2026年,“数据主权”(Data Sovereignty)概念从学术讨论进入了政策实践。数据的"主权"意味着:国家有权决定本国数据如何被收集、处理、存储和传输。2026年,G20、WTO、APEC等国际组织都在讨论数据主权的规则,但进展缓慢。

AI数据合规。 2026年,AI数据合规是数据合规领域的新焦点。AI训练数据的收集、使用、共享是否合规?AI模型本身是否包含个人数据(如模型记忆了训练数据中的个人信息)?AI生成内容是否涉及数据处理合规?这些问题在2026年仍然处于探索阶段。

数据合规的"自动化"和"AI化"。 2026年,数据合规工具正在快速发展。AI可以帮助企业自动识别数据资产、自动分类分级数据、自动检测数据跨境传输、自动生成合规报告。但AI工具不能替代法律判断——最终的数据合规决策仍然需要人类律师。

2026年企业数据合规建议

绘制数据地图。 了解你的数据在哪里、是什么、流向何处。2026年,数据地图(Data Mapping)是数据合规的基础。

进行数据分类分级。 将数据分为一般数据、个人信息、重要数据、核心数据四个等级,并制定相应的保护措施。

评估数据出境场景。 识别哪些业务场景涉及数据出境,评估是否需要申报安全评估或签订标准合同。

建立数据合规管理体系。 任命数据保护官(DPO),建立数据合规政策和流程,定期进行合规培训。

关注全球数据法规的变化。 2026年,数据法规变化极快。建议企业订阅全球数据法规更新服务,或与外部律所合作,及时了解最新法规变化。

2026年,数据合规不再是"加分项",而是"生存项"。一次严重的数据合规违规,可能导致数亿元的罚款、业务中断、声誉损害。对于任何有数据跨境流动需求的企业来说,数据合规是2026年最重要的法律议题之一。