跨境数据监管|数据跨境白名单制度——充分性认定研究
走出去智库官方账号
走出去智库观察
7月10日,欧盟委员会通过了“欧盟-美国数据隐私框架”的充分性决定。根据新框架,个人数据可以从欧盟自由地流向参与该框架的美国公司,而无需采取额外的数据保护措施。
走出去智库(CGGT)观察到,李强总理近日在上海临港中心调研时指出,“数据跨境流动和管理是当前各方都十分关切的问题,希望企业积极探索,为国家完善相关制度供给积累实践经验”。在当前的数字经济时代,数据跨境转移规则设计已引起各国高度重视,欧盟在数据跨境监管方面的经验对我国的数据跨境政策具有借鉴意义。
跨境数据的充分性认定如何有效运作?今天,走出去智库(CGGT)刊发关于跨境数据充分性认定的分析文章,供关注跨境数据监管的读者参阅。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、数据控制者或处理者通过运用充分性认定数据跨境合规机制,可以合法地将欧盟的个人数据传输至第三方国家或地区。
2、为了确保数据保护规则得以有效遵守,第三国需要建立独立、专门的监管机构,并赋予其充分的执法权力,以协助和建议数据主体行使其权利,并且该专门监管机构可与欧盟成员国的其他监管机构建立协作机制以解决分歧。
3、截至2023年7月10日,欧盟官网公布的通过数据保护充分性认定的国家或地区共计15个:安道尔公国、阿根廷、加拿大(限于商业组织)、法兰群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
7月10日,欧盟委员会通过了关于欧美数据隐私框架的充分性决定。根据该决定,美国已被正式列入至欧盟数据跨境白名单。换言之,欧盟内个人数据可以自由流动至美国而无需采取额外的保障措施。
数据保护法中的充分性认定(数据跨境白名单)是一种用于确定数据跨境传输合规性的机制。该机制允许国家制定并公布一份认定清单,列出符合特定要求的国家或地区,列入该清单的国家或地区被制定国认为能够提供足够的数据保护水平,制定国的数据控制者或处理者可以合法地将个人数据传输到这些位于清单中的国家或地区。该机制简化了数据跨境传输的合规审核流程。
许多国家和地区在制定数据保护法的过程中,“移植”了欧盟数据保护法的“白名单”机制,本文将以欧盟充分性认定机制为典型示例,阐述这一颇带政治、地域与文化亲缘色彩的法律机制。
一、如何理解欧盟委员会的“充分性认定”机制?
欧盟GDPR 明确规定了数据跨境传输的各项规则,以保障欧盟个人数据传输至非欧盟地区的安全性。这些数据跨境传输机制不仅包括各类规则,还包括可用的国际框架或工具。如GDPR第45条规定的“充分性认定”、“有约束力的公司规则”(BCRs)、“数据跨境标准合同条款”(SCCs)、“具有约束力的行为准则”(conduct code)、“经批准的认证”(certification) 以及政治体之间达成各项隐私框架协议,如现已失效的欧盟-美国隐私盾等。
数据控制者或处理者通过运用此类数据跨境合规机制,可以合法地将欧盟的个人数据传输至第三方国家或地区。此类机制通过简化数据跨境合规审核流程,一定程度上达到平衡数据主体权利保护与数据自由流动的目标。
充分性认定作为这些机制之一,赋予了欧盟委员会通过对第三国或地区的法律调研、机制评估等,发布并维护认定清单的权利,以较小的精力投入保障较大的数据流动自由。根据GDPR第 45 条,欧盟委员会有权确定第三国、某一地区或该第三国境内的一个或多个特定部门,或欧盟以外的国际组织是否为欧盟个人数据传输及后续的处理提供了相当于欧盟法程度的保护水平。如果欧盟委员会通过了特定第三国对欧盟个人数据提供充分保护的决定,将欧盟数据传输到该国家将不再需要获取其他任何特定授权。充分性认定的效果是个人数据可以自由从欧盟(包含挪威、列支敦士登和冰岛)流向第三国,而无需采取任何进一步的保护措施。
二、欧盟委员会如何认定“充分性保护”?
(一)欧盟委员会在评估拟纳入清单的第三国或地区是否具有充分保护水平时,将考虑和评估以下因素:
(1)第三国或地区关于尊重人权和基本自由的法治建设及其实施情况。
有关尊重人权和基本自由的相关立法通常载于各国宪法和各部门法(包括一般性法律和部门性法律)中,包括涉及公共安全、国防、国家安全、刑法中有关于公共当局获取个人数据的法律规定、数据保护规则和其他数据安全标准措施等。欧盟委员会不仅考虑相关立法的充分性还会进一步考虑相关立法在实践中的实施效果及其保障,并且前述法律法规的实施情况是评估的重要因素和关键主题。评估范围通常包括个人数据跨境传输情况、是否存在有效且可执行的数据主体权利保障机制以及是否能够为个人数据被转移的数据主体的提供有效的行政和司法救济等。
(2) 第三国或地区独立监管机构的设置和有效运作情况。
为了确保数据保护规则得以有效遵守,第三国需要建立独立、专门的监管机构,并赋予其充分的执法权力,以协助和建议数据主体行使其权利,并且该专门监管机构可与欧盟成员国的其他监管机构建立协作机制以解决分歧。
(3)第三国或地区参与或批准的有关个人数据保护的国际承诺、公约或文书。
有关个人数据保护的国际承诺、公约或文书规定了一国或地区在个人数据保护方面需要遵守的国家责任或其他具有法律约束力的义务。通常来说,欧盟委员会会考虑拟列入清单的国家、地区是否存在与个人数据保护相关且有效的多边或区域机制。
(二)欧盟委员会充分性认定流程如下:
(1)欧盟委员会针对某国家或地区的提案;
(2)考虑欧盟数据保护委员会的意见,欧盟数据保护委员会应就欧盟委员会的提案发表相应意见;
(3)获得欧盟成员国代表的批准;
(4)欧盟委员会正式通过针对某国家或地区具有充分保护水平的决定。
(三)认定后欧盟委员会的管理职责:
(1)定期审查
委员会在公布某项充分性决定后,会实施定期审查机制,针对第三国的保护水平进行周期性审查。根据GDPR第45条第4款的要求,委员会至少每四年对第三国的相关进展进行一次审查。以欧盟针对日本的周期审查为例,审查主题涵盖日本法律框架下的“商业应用中对个人数据的保护”层面和“公共当局个人数据访问和使用情况”层面。
“商业应用中对个人数据的保护”层面上,将评估以下要素:
·第三国或地区法律框架和治理的相关进展
此类进展可以是数据主体权利保障的强化、适用于处理个人数据的企业实体义务的加重,如禁止以非法或不当行为等方式进行数据处理。在数据外发、数据跨境转移限制方面,第三国或地区增加对监管和执法情况的审查等。
·第三国或地区是否公布相关补充规则并检视补充规则的适用效果
补充规则可能是一项该国或地区新制定的文书。
·第三国或地区专门监管机构的设置和有效运作情况
“公共当局个人数据访问和使用情况”层面上,将评估以下要素:
·对公共当局收集和使用个人数据进行限制和实施保障
鉴于公共当局存在超出目的收集和使用欧盟个人数据的可能性,有必要针对公共当局出于执法目的收集和使用个人数据进行限制和实施保障措施。
·有效的监督和纠正机制
第三国国家法律中是否存在针对公共当局收集和使用欧盟个人数据的可用的、有效的监督和纠正机制将是欧盟委员会审查的重要部分。此类机制可以包括政府根据决定为转移接收到的欧盟个人数据主体所创建的专门管理和监督的具体争议解决程序。
(2)持续监测第三国动态
欧盟委员会将持续监测第三国可能影响已发布的充分性决定的任何动态。
(3)必要时撤回充分性决定
如果欧盟委员会行为超出了法律规定的执行权力,欧洲议会和理事会可以随时要求欧盟委员会维持、修改或撤销充分性决定。
(4)保持与第三国的磋商机制
与第三国的磋商机制是为了解决不符合充分性决定的情况而设置的。
(5)在官方公报上公布清单列表
三、全球各国家和地区数据跨境白名单列表
欧洲
【欧盟】
欧盟在《通用数据保护条例》(General Data Protection Regulation)第45条设置了“数据保护充分性认定”制度。截至2023年7月10日,欧盟官网公布的通过数据保护充分性认定的国家或地区共计15个:安道尔公国、阿根廷、加拿大(限于商业组织)、法兰群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国。
【英国】
英国在《英国通用数据保护条例》(United Kingdom General Data Protection Regulation)第45条设立了“数据保护充分性认定”制度。截至2023年6月30日,英国信息专员办公室(UK Information Commissioner’s Office)官网公布的通过数据保护充分性认定的国家或地区共计44个:
(1) 欧洲经济区(EEA)成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2) 部分通过欧盟委员会充分性认定的国家或地区(12个):安道尔公国、阿根廷、加拿大(限于加拿大《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act)所涵盖的数据)、法兰群岛、根西岛、以色列、马恩岛、日本(仅限私营部门组织)、泽西岛、新西兰、瑞士、乌拉圭。
(3) 其他国家或地区(2个):直布罗陀、韩国。
此外,2021年8月,英国政府对外公布了拟新增的给予充分性认定的国家或地区名单,涵盖10个国家或地区,分别为:澳大利亚、哥伦比亚、迪拜国际金融中心(DIFC)、韩国(2022年11月已给予充分性认定)、新加坡、美国、印度、巴西、印度尼西亚、肯尼亚
【瑞士】
瑞士于2022年8月31日在新修订的《联邦数据保护法》(Ordinance to the Federal Data Protection Act)中设立了数据跨境白名单机制,并公布了数据跨境白名单,覆盖共计43个国家或地区:安道尔公国、阿根廷、比利时、保加利亚、丹麦、德国、爱沙尼亚、法兰群岛、芬兰、法国、直布罗陀、希腊、格恩西岛、爱尔兰、冰岛、马恩岛、以色列、意大利、泽西岛、加拿大、列支敦士登、立陶宛、卢森堡、马其他、摩纳哥、荷兰、新西兰、挪威、奥地利、波兰、葡萄牙、罗马尼亚、瑞典、斯洛伐克、斯洛文尼亚、西班牙、捷克共和国、匈牙利、乌拉圭、英国、克罗地亚、塞浦路斯、拉脱维亚。
2023年9月1日起正式生效。
【塞尔维亚】
塞尔维亚在其个人数据保护相关法律中设立了数据跨境白名单制度,其公布的数据跨境白名单涵盖57个国家或地区:
(1) 欧盟(EU)成员国家(27个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典。
(2) 加入欧洲理事会《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)的国家或地区(28个):阿根廷、波斯尼亚和黑塞哥维那、布基纳法索、乌拉圭、希腊、格鲁吉亚、安道尔公国、列支敦士登公国、摩纳哥、摩洛哥、挪威、墨西哥、阿塞拜疆、阿尔巴尼亚、亚美尼亚、佛得角共和国、冰岛、毛里求斯、摩尔多瓦共和国、圣马力诺共和国、北马其顿共和国、塞内加尔共和国、英国、突尼斯、土耳其、乌克兰、黑山、瑞士。
(3) 其他国家或地区(2个):加拿大(仅限商事主体)、日本。
【马恩岛】
马恩岛通过《2018年数据保护法案》(Data Protection Act 2018)等系列法案建立了数据跨境白名单制度,其数据跨境白名单涵盖45个国家或地区:
(1) 欧洲经济区(EEA)成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2) 通过欧盟充分性认定的国家或地区(14个):安道尔公国、阿根廷、加拿大、法兰群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭。
(3) 其他国家或地区(1个):直布罗陀。
亚洲
【日本】
《个人信息保护法》(Act on the Protection of Personal Information)第28条设立了数据跨境充分性认定制度。2019年1月,日本公布通过数据保护充分性认定的国家或地区有2个:欧盟、英国。
【泰国】
《个人数据保护法》(Personal Data Protection Act)第28条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
【中国香港】
《个人资料(私隐)条例》第33条第(2)(3)款设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
【马来西亚】
草案,未生效,其中数据跨境白名单草案中包含中国。
马来西亚于2017年4月在其《个人数据保护(向马来西亚境外传输个人数据)》2017法令草案(Personal Data Protection (Transfer Of Personal Data To Places Outside Malaysia) Order 2017)中公布了草拟的数据跨境白名单,截至2023年6月30日,该份草拟的数据跨境白名单尚未通过和生效。列入该份草拟数据跨境白名单的国家或地区共计52个:
(1) 欧洲经济区(EEA)成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2)其他国家或地区(22个):英国、美国、加拿大、瑞士、新西兰、阿根廷、乌拉圭、安道尔公国、法罗群岛、格恩西岛、以色列、马恩岛、泽西岛、澳大利亚、日本、韩国、中国、中国香港、中国台湾、新加坡、菲律宾、迪拜国际金融中心(DIFC)。
【印度】
草案,未生效。
《个人数据保护法(草案)》(The Digital Personal Data Protection Bill)第18条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
非洲
【尼日利亚】
据跨境白名单中包含中国。
尼日利亚于2020年11月在《2019尼日利亚数据保护条例:实施框架》(Nigeria Data Protection Regulation 2019: Implementation Framework)中公布了视为拥有充分数据保护法规的国家或地区白名单,涵盖82个国家或地区:
(1) 所有签署《非洲联盟网络安全和个人数据保护公约(2014年马拉博公约)》(African Union Convention on Cyber Security and Personal Data Protection (Malabo Convention 2014))的非洲国家(18个):贝宁共和国、喀麦隆共和国、乍得共和国、科摩罗、刚果、冈比亚共和国、加纳、几内亚比绍共和国、莫桑比克、毛里塔尼亚、卢旺达、南非、塞拉利昂、圣多美和普林西比民主共和国、苏丹、多哥共和国、突尼斯、赞比亚。
(2) 所有欧盟(EU)和欧洲经济区(EEA)的成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(3) 其他国家或地区(34个):阿尔及利亚、阿根廷、巴林王国、贝宁王国、巴西、加纳、毛里求斯、南非、多哥、突尼斯、加拿大、佛得角、中国、中国香港、中国台湾、塞浦路斯、以色列、日本、菲律宾、新加坡、韩国、法罗群岛、马恩岛、泽西岛、瑞士、肯尼亚、美国、根西岛、马来西亚、卡塔尔国、土耳其、阿拉伯联合酋长国、印度、乌拉圭。
【肯尼亚】
《数据保护(通用)法规》(Data Protection (General) Regulations, 2021)第44条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
【塞内佳尔】
《2008-12号法案》(Law No. 2008-12)设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
【安哥拉】
《数据保护法》(Data Protection Law)第34条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
南美洲
【哥伦比亚】
哥伦比亚工商监管局于2017年8月根据国际数据传输法律提出了一项新规定,且公布了符合数据保护水平判断标准的国家和地区名单,涵盖43个国家或地区:阿尔巴尼亚、阿根廷、奥地利、比利时、保加利亚、加拿大、哥斯达黎加、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、冰岛、爱尔兰、意大利、日本、拉脱维亚、立陶宛、卢森堡、马耳他、墨西哥、荷兰、新西兰、挪威、秘鲁、波兰、葡萄牙、大韩共和国、罗马尼亚、塞尔维亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、美国、英国、乌拉圭。
【阿根廷】
阿根廷于2016年11月16日在《Disposición 60-E/2016》中公布了拥有充分数据保护立法之国家或地区的白名单,并于2019年更新了该份白名单。白名单共计涵盖42个国家或地区:
(1) 欧盟(EU)和欧洲经济区(EEA)的成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2) 其他国家或地区(12个):瑞士、格恩西岛、泽西岛、马恩岛、法兰群岛、加拿大(仅限私营部门)、安道尔公国、新西兰、乌拉圭、以色列、英国、北爱尔兰。
【乌拉圭】
乌拉圭于2021年6月8日在《Resolución N° 23/021》中公布了视为拥有充分数据保护的国家或地区的白名单,涵盖42个国家或地区:
(1) 欧盟(EU)和欧洲经济区(EEA)的成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2) 其他国家或地区(12个):安道尔公国、阿根廷、加拿大(限于私营部门)、根西岛、马恩岛、法兰群岛、以色列、日本、泽西岛、新西兰、英国、瑞士。
【巴西】
《巴西通用数据保护法》(Brazilian General Data Protection Law)第33条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
中东
【迪拜国际金融中心】(阿拉伯联合酋长国自由贸易区)
迪拜国际金融中心(DIFC)在《DIFC数据保护法》(Data Protection Law DIFC Law No. 5 of 2020)第26条设置了将数据跨境传输至提供同等保护水平之国家或地区的制度。截至2023年6月30日,迪拜国际金融中心官网公布的通过评估的同等保护水平之国家或地区共计52个:
(1) 欧盟(EU)和欧洲经济区(EEA)的成员国家(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2)其他国家或地区(17个):安道尔公国、阿根廷、阿布扎比全球市场(ADGM)、加拿大、哥伦比亚、法罗群岛、格恩西岛、马恩岛、以色列、日本、泽西岛、新西兰、瑞士、乌拉圭、英国、新加坡、韩国。
(3) 部分加入跨境隐私规则(Cross-Border Privacy Rules (CBPR) System)体系的国家或地区(5个):美国、墨西哥、澳大利亚、中国台北、菲律宾。
【阿布扎比全球市场】(阿拉伯联合酋长国自由贸易区)
阿布扎比全球市场(ADGM)在《ADGM2021年数据保护条例》(ADGM Data Protection Regulations 2021)第41条设立了“数据保护充分性认定”制度。截至2023年6月30日,阿布扎比全球市场官网公布的通过充分性认定的国家或地区共计44个:日本、安道尔公国、奥地利、比利时、保加利亚、塞浦路斯、捷克、克罗地亚、爱沙尼亚、丹麦、芬兰、法兰群岛、德国、法国、根西岛、希腊、冰岛、匈牙利、马恩岛、爱尔兰、泽西岛、意大利、列支敦士登、拉脱维亚、卢森堡、立陶宛、荷兰、马耳他共和国、波兰、挪威、罗马尼亚、葡萄牙、斯洛文尼亚、斯洛伐克、瑞典、西班牙、英国、瑞士、新西兰、迪拜国际金融中心(DIFC)、以色列、阿根廷、乌拉圭、加拿大(限于加拿大《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act)所约束的接收方)。
【以色列】
以色列于2001年6月17日在《隐私保护(数据跨境传输)条例》(Privacy Protection (Transfer of Data to Databases Abroad) Regulations)中公布了数据跨境传输白名单,涵盖55个国家或地区:
(1) 原欧洲共同体(European Community)现欧盟成员国家(27个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典。
(2) 加入欧洲理事会《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)的国家或地区(28个):阿根廷、波斯尼亚和黑塞哥维那、布基纳法索、乌拉圭、希腊、格鲁吉亚、安道尔公国、列支敦士登公国、摩纳哥、摩洛哥、挪威、墨西哥、阿塞拜疆、阿尔巴尼亚、亚美尼亚、佛得角共和国、冰岛、毛里求斯、摩尔多瓦共和国、圣马力诺共和国、北马其顿共和国、塞内加尔共和国、英国、突尼斯、土耳其、乌克兰、黑山、瑞士。
【阿拉伯联合酋长国】(不含迪拜国际金融中心和阿布扎比全球市场)
《个人数据保护法》(Personal Data Protection Law No. 45/2021)第22条设立了数据跨境白名单制度,但目前暂未查询到官方公布的具体白名单。
【土耳其】
《个人数据保护法》(Law on the Protection of Personal Data)第9条设立了数据保护充分性认定制度,但目前暂未查询到官方公布的具体白名单。
独联体
【俄罗斯】数据跨境白名单中包含中国,2023年3月1日生效。
俄罗斯于2022年9月20日公布了最新的数据跨境白名单,涵盖89个国家或地区:
(1) 加入欧洲理事会《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)的国家或地区(55个):奥地利、阿根廷、波斯尼亚和黑塞哥维那、布基纳法索、卢森堡、匈牙利、乌拉圭、希腊、格鲁吉亚、爱尔兰、意大利、安道尔公国、列支敦士登公国、摩纳哥、比利时、丹麦、西班牙、摩洛哥、荷兰、挪威、瑞典、拉脱维亚共和国、立陶宛、墨西哥、葡萄牙、阿塞拜疆、阿尔巴尼亚、亚美尼亚、保加利亚、佛得角共和国、冰岛、塞浦路斯、毛里求斯、马耳他共和国、摩尔多瓦共和国、波兰、圣马力诺共和国、北马其顿共和国、塞内加尔共和国、塞尔维亚、斯洛文尼亚共和国、克罗地亚、罗马尼亚、斯洛伐克、英国、突尼斯、土耳其、乌克兰、德国、芬兰、法国、黑山、捷克、瑞士、爱沙尼亚共和国。
(2) 其他国家或地区(34个):澳大利亚、加蓬共和国、以色列、卡塔尔、加拿大、吉尔吉斯斯坦、中国、泰国、马来西亚、蒙古国、孟加拉国、新西兰、安哥拉共和国、白俄罗斯、贝宁共和国、赞比亚、印度、科特迪瓦共和国、哈萨克斯坦、哥斯达黎加、韩国、马里共和国、尼日尔、秘鲁、新加坡、塔吉克斯坦、乌兹别克斯坦、乍得共和国、越南、多哥共和国、巴西、尼日利亚、南非、日本。
来源:合规小叨客
免责声明:
本文仅代表原作者观点,不代表走出去智库立场。
