“数据”一词近年来开始频频出现各个国家和地区的数字经济关键政策之中，不少国家和地区开始设立负责数据要素的主管机构，以在顶层设计上制定、协调和实施数据要素发展战略。本文整理了欧盟、日本、韩国三个典型国家和地区所设立的数据相关政府机构及其运行情况，并进行了简要对比。欧盟：欧洲数据创新委员会1.

当资料当事人明确同意转移；转移是执行资料当事人和负责实体间的合同所必需，或是应资料当事人要求执行订定合同的预先措施所必需者；2.

Vaishnaw的评论是在西塔拉曼的预算公布后发表的。财政部长周三（2月1日）表示：“对于寻求数字连续性解决方案的国家，我们将协助他们在古吉拉特邦国际金融科技城

2022年全球数据治理观察报告在刚刚过去的2022年，数据治理在全球社会经济发展中的重要性进一步攀升，各国纷纷制定数据发展战略，强化个人信息保护，并力求构建数据跨境流动合作机制。在欧盟数字服务“一揽子”立法中，《数据法》、《数据治理法》、《数字服务法》与《数字市场法》相继出台，将助力“欧洲数据战略”进一步实施。同时，英国在脱欧后不断拓展数据跨境的“朋友圈”，探索数据战略“新方向”；美国联邦和各州隐私立法进展迅速；印度个人信息保护立法虽一波三折，但也终有结果。在我国《数据安全法》、《个人信息保护法》实施满一周年之际，相关法规政策也在不断完善，并在司法与执法活动中逐步实施。数据出境安全评估、个人信息跨境处理活动认证和标准合同条款的数据跨境流动三大机制，正逐步完善，并即将在2023年落地实施。

CoC）欧洲议会发布数据治理研究报告首个GDPR认证机制GDPR-CARPA详解全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲数据治理方式的转变：《数据治理法》Data

数据接收者是企业、非营利组织还是研究组织。其次，数据与最终产品或服务价值的贡献程度是相关的，《合理补偿研究》认为当数据接收者对其所开发的市场的创新做出更大贡献时，“附加”要素价值应该更低。2.3

CoC）欧洲议会发布数据治理研究报告首个GDPR认证机制GDPR-CARPA详解全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲数据治理方式的转变：《数据治理法》Data

引言“跨大西洋数据流动对于促成价值7.1万亿美元的欧美经济关系至关重要”，欧美之间的数据跨境传输政策变化牵动着多方利益主体的心。此前，欧美的“安全港”自我认证结构及“隐私盾”政策先后被CJEU以2015年Schrems

CoC）欧洲议会发布数据治理研究报告首个GDPR认证机制GDPR-CARPA详解全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲数据治理方式的转变：《数据治理法》Data

CoC）欧洲议会发布数据治理研究报告首个GDPR认证机制GDPR-CARPA详解全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲数据治理方式的转变：《数据治理法》Data

控制措施。只有在提供的解释和支持文件足够的情况下，监管机构才能正式验证合规性，以便将申报的服务列入公共登记册。定期评估定期评估每年进行一次。要继续在公共登记册中列为当前有效，必须至少每

使用领英上公开的个人信息以构建数据档案，据称可以预测员工何时更有可能离开公司。在法院12月6日的最终裁决中，法院做出了有利于领英的裁决，裁决要旨如下：1.

2022年12月，国际标准组织IEEE（电子电气工程师协会）正式任命我国下一代互联网国家工程中心主任刘东为IEEE标准协会（IEEE-SA）企业战略委员会（CAG，Collaborative

2022年11月，欧盟发布了题为《欧洲研究数据的状况》的报告。本项研究的总体目标是提供欧洲范围内研究数据生态系统的详细特征。该报告着眼于研究人员在生产、重复利用和存储数据并且使其FAIR（可查找、可访问、互操作和可重复利用）方面的实践，以及检查研究数据存储库的情况。该研究的结果表明，虽然某些FAIR实践正在被采用，并且研究人员受到开放科学理想的激励，但在使数据FAIR方面仍然存在障碍，其中包括有限的本地支持、FAIR在实践中的实际实施、缺乏意识以及缺乏各级进度监控。在这些发现的基础上，该研究提出了一些建议和可能的行动，这些建议和可能的行动可能有助于使欧洲研究人员的实践更加公平，并使研究数据存储库更加符合FAIR原则。（完）往期文章1、全球数据治理观察印度《2022年数字个人数据保护法案》亮点解读全球主要数据治理政策对比分析——基于日本、韩国、印度和欧盟的进展非洲联盟国家数据保护与数据跨境流动政策蓝图解析美国数据隐私和保护法（ADPPA）内容简析前沿分析|印度撤回《个人数据保护法（草案）》英国数据保护改革|《数据保护和数字信息法案》要点印度国家数据治理政策框架（草案）全文翻译（附草案原文）马斯克收购Twitter交易中的数据争议国内外数据交易模式对比分析我们应当如何理解数据治理中的管辖权冲突？数据交易治理：中国、欧盟和印度的发展（附报告全文）数据访问治理：中国、欧盟和印度的发展（附报告全文）作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）2、全球数据跨境流动治理欧盟《关于控制者约束性公司规则的建议》简析德国：拼写检查功能可能将数据非法跨境传输给第三方双边自由贸易协定——印度数据跨境流动的突破口？G20轮值主席国印度尼西亚的数据跨境流动主张简析EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本印度拟发布新的数据保护法草案，或放宽数据本地化要求欧盟与日本拟将数据跨境流动规则纳入经济伙伴关系协议美英就跨境数据充分性保障方面的进展发表联合声明美国发布欧美数据跨境传输行政命令简析美国或最早于10月3日就欧美数据跨境传输发布新的行政命令数据跨境流动

中的要素和原则”两部分组成，旨在：（1）提供新一版的BCR-C申请表；（2）明确BCR-C必须包含的内容并提供进一步解释；（3）区分必须包含在BCR-C中的内容和必须在BCR申请中向BCR

Act：欧盟数据访问和使用的新框架国际数据空间在欧洲数据战略中的作用对数据的监管如何培育数字经济创新和竞争

背景印度是世界上增长最快的数字经济体之一。根据印度电子和信息技术部（MeitY）发布的《关于印度万亿美元数字机会的报告》，印度的数字消费群位居世界第二，并且是全球17个主要经济体中数字化速度第二快的经济体。预计到2025年，印度的数字经济产值将达到1万亿美元。目前，印度有超过7.6亿活跃互联网用户（Digital

Act：欧盟数据访问和使用的新框架国际数据空间在欧洲数据战略中的作用对数据的监管如何培育数字经济创新和竞争

Rules】第3（5）条中的但书规定，以电子方式保存的账簿、公司其他账簿和文件的备份（包括在印度境外的）应存储在物理上位于印度法律管辖范围内的服务器中。e.

,(May,3.2022),https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_2712.[6]

欧盟委员会经济贸易：https://trade.ec.europa.eu/doclib/docs/2019/june/tradoc_157920.pdf，2022年11月8日访问。[11]

11月8日下午，2022年世界互联网大会重磅活动“携手构建网络空间命运共同体精品案例”正式发布。由澳门数字化发展协会牵头，联合澳门科技大学下一代互联网国际研究院、下一代互联网国家工程中心、全球IPv6论坛、中国电信澳门公司、北京尚隐科技有限公司、北京理工大学、珠海澳科大科技研究院申报的“中国澳门-欧盟科研数据跨境流动实践”案例经层层评选，最终成功入选，成为本次发布活动现场展示的12项精品案例之一。（文末附发布视频）据了解，“携手构建网络空间命运共同体精品案例”面向海内外政府部门、互联网企业、社会组织、技术社群、科研机构和高校等公开征集实践案例，本届共征集申报案例200余项，案例涉及亚洲、欧洲、北美洲、南美洲、非洲、大洋洲六大洲，共百余个国家和地区，最终推选12项精品案例于现场发布。相关案例全景式展现了全球各方在网络基础设施建设、网上文化交流、数字经济创新发展、网络安全保障和网络空间国际治理五大领域中形成的实践，讲述网络空间国际交流合作的生动故事，具有广泛的国际代表性。“携手构建网络空间命运共同体精品案例”-“中国澳门-欧盟科研数据跨境流动实践”围绕探索数据跨境安全有序流动的高效机制，构建科研领域的“中国澳门-欧盟数据跨境流动通道”，并在澳门科技大学下一代互联网国际研究院与弗劳恩霍夫软件与系统技术研究所之间形成科研数据跨境流动安全管理实践。“中国澳门-欧盟科研数据跨境流动实践”案例发布现场当前，国际上既有的数据跨境流动机制正在经历各方面的压力，在数据要素愈发重要的形势下，各国或地区普遍不满足于仅依赖“事后追究”的安全管理思路。为探索新形势下的数据跨境安全有序流动机制，澳门数字化发展协会依托澳门特区“一国两制”的制度优势以及与欧盟的法律渊源，联合欧盟国际数据空间协会（IDSA），在澳门《个人资料保护法》与欧盟《通用数据保护条例》（GDPR）现行法律框架下，率先在科研领域构建了集“法律规则+管理机制+技术保障”三位一体的、全程覆盖“事前、事中、事后”的、既能保障安全又能促进数据共享的“中国澳门-欧盟数据跨境流动通道”。《2022携手构建网络空间命运共同体精品案例》“中国澳门-欧盟科研数据跨境流动实践”部分这套数据跨境流通治理模式以澳门科技大学下一代互联网国际研究院与弗劳恩霍夫软件与系统技术研究所之间的科研数据跨境流动为安全管理实践，将澳门和欧盟的数据跨境流动相关法律法规之间的最大公约数作为内嵌规则，以同时符合澳门和欧盟数据保护标准，实现出入境数据的自动化自检和数据审查，保障科研数据的高效双向有序流动。同时，在全球IPv6论坛、ETSI-IPE、下一代互联网国家工程中心以及中国电信澳门公司的支持下，“中国澳门-欧盟数据跨境流动通道”采用IPv6、隐私增强、区块链等先进技术，具备最小必要原则审核、数据主体同意管理与权利响应、用户合规自检等全流程合规保障措施，实现了保障数据自主权的数据跨境传输与访问。澳门数字化发展协会理事张汉卓在案例发布演讲中表示，“中国澳门-欧盟跨境科研数据流动实践不仅为科研数据在中国澳门和欧盟间的双向传输探索出一条切实可行的路径，还可扩展至中国澳门与其他更多国家和地区的数据跨境双向对等合规流动，同时还将适用于金融、贸易、会展、医疗等更多行业的全球化经营。”2022“携手构建网络空间命运共同体精品案例”颁奖仪式澳门数字化发展协会的一整套数据跨境流通治理模型，不仅助力澳门特区融入全球数字经济发展浪潮，还搭建了多利益相关方的交流桥梁，凝聚各方对安全有序的数据跨境流动的共识，对于全球跨境数据合作具有示范作用。视频：“中国澳门-欧盟科研数据跨境流动实践”精品案例发布视频澳门数字化发展协会是设立在澳门的非营利性社会团体，由澳门及大陆关注并致力于推进数字经济和数字化发展的各界企业、高校、科研机构、个人等共同发起成立，会长为澳门科技大学副校长唐嘉乐，理事长为下一代互联网国家工程中心主任刘东。协会旨在促进澳门数字化发展，通过加强澳门与国内外数字经济创新资源的集聚与深度融合，推动数字领域产业发展及应用，搭建具有国际影响力的数字化发展及数字经济创新资源共享平台。

2022年10月27日，美国消费者金融保护局（CFPB）发布了一份正在制定的关于消费者数据权利的新规大纲，该新规为《消费者金融保护法》（Dodd-Frank

由澳门特别行政区政府个人资料保护办公室主办、澳门科技大学下一代互联网国际研究院协办的“《中华人民共和国个人信息保护法》实施一周年系列活动”日前在澳门科技大学成功举办。活动包括一场银行界研讨会，一场个资办内部讲座以及一场由澳门大学、澳门科技大学与澳门城市大学相关法律学者共同参与的座谈会。与会专家共同学习交流了《个人信息保护法》和最新的数据出境管理规则，为澳门的多元化发展出谋献策。澳门个人资料保护办公室主任杨崇蔚在会上指出，在“一国两制”制度之下探讨数据的跨境流动和监管，不仅能解决实际问题，也是为“一国两制”的成功实践添砖加瓦。下一代互联网国家工程中心主任、澳门科技大学下一代互联网国际研究院院长刘东在致辞中表示，全球化已进入一个由数据流动定义的新时代，越来越多的经济活动由数据所驱动。在这个历史机遇期，澳门如何发挥自身优势实现跨越式发展，刘东提出三点建议。第一，打通全球数据在澳门流通汇聚的“规则通道”。这个通道的一端是澳门和内地的数据双向互通，另一端是澳门与国际的数据规则多向衔接。在当前形势下，澳门可基于自身在数据领域的法律衔接、监管协调、国际合作方面的独特优势，将自身打造为海外数据汇聚的“桥头堡”。第二，打通数据在澳门流通汇聚的“技术通路”。建议全面开展包括IPv6、区块链、联合计算以及数据空间等在内的相关技术方向的研究和应用，积极开展试点示范建设，以技术赋能数据流动、赋能数据增值、赋能数据信任、赋能数据保护。第三，以数据产业加速琴澳深度合作区建设，发挥价值溢出效应。发挥琴澳深度合作区和大湾区更多合作示范区在资源方面的优势，让数据要素在大湾区汇聚，赋能土地、劳动、资本等传统生产要素，发挥更大的价值溢出效应。相关发言全文详见澳门个人资料保护办公室官方网站：https://www.gpdp.gov.mo/file/NewsRelease/20221031%20speech%20-%20liu%20sim.pdf下图为澳门“个资办系列活动研讨内地个人信息保护”新闻稿澳门“个资办系列活动研讨内地个人信息保护”新闻稿请见：https://www.gpdp.gov.mo/file/NewsRelease/20221031%20press%20release%20CN.pdf（完）往期文章1、我国数据跨境流动治理香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒《数据出境安全评估申报指南》（第一版）发布（附英文全文）《个人信息出境标准合同规定（征求意见稿）》适用要点解读2、欧盟数据治理模式欧洲议会发布数据治理研究报告首个GDPR认证机制GDPR-CARPA详解全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲数据治理方式的转变：《数据治理法》Data

印度科学与科技部：https://dst.gov.in/national-data-sharing-and-accessibility-policy-0，2022年10月25日访问。[7]

https://www.youtube.com/watch?v=w2x3nPRGStE.[2]《前沿分析|印度撤回》，载微信公众号“数据信任与治理”，2022年8月8日。[3]AIHIK

2019年1月，日本正式通过欧盟的充分性认定，自此，个人数据从欧盟或者欧洲经济区的控制者或处理者传输至日本时，无需再获得额外授权。2019年2月1日，《欧盟与日本经济伙伴关系协定》（EU-Japan

Donelan）代表美国和英国政府就基于2021年发展具有里程碑意义的双边技术合作伙伴关系的承诺启动美英技术和数据全面对话以及美英数据充分性保障取得重大进展发表以下声明：美英技术伙伴关系1.

https://www.europarl.europa.eu/RegData/etudes/ATAG/2015/569050/EPRS_ATA(2015)569050_EN.pdf.[4]

2016年2月，欧盟与美国达成了“隐私盾协议”，以解决欧美数据跨境问题。但在2020年7月，欧盟法院判决“隐私盾协议”无效。法院认为，在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。根据判决，欧美企业仍然可以采用标准合同条款（以下简称“SCC”）作为数据跨境传输的合法依据，但由于SCC必须遵守欧盟《一般数据保护条例》（GDPR）的所有内容，因此对数据传输及数据保护带来了极高的标准，这对所有国际公司来说，数据跨境传输的壁垒仍然存在且亟待解决。据Politico

近年来，欧洲一直致力于挖掘数据价值，释放数据经济活力。2020年2月19日，欧洲委员会发布《欧洲数据战略》，宣布要在工业、农业、能源等9个领域打造欧洲共同数据空间（common

2022年9月23日，俄罗斯联邦通信、信息技术和大众传播监管局（Roskomnadzor）公布了其批准的“为个人数据主体的权利提供充分保护的外国名单”。该名单共包括89个国家，其中既有《欧洲委员会在个人数据自动处理方面保护个人公约》（“108公约”）的缔约国，也有其他法律规则和采取的措施符合其规定，但不是“108公约”缔约国的国家。在该名单中，奥地利、墨西哥、意大利、阿尔巴尼亚等国家位居前列；澳大利亚、中国、白俄罗斯和日本等国家则位于第二组。Roskomnadzor在其网站新闻稿中称，判断是否将一个国家列入名单的条件包括：（1）存在全面规范个人数据领域的监管法律，（2）存在保护个人数据主体权利的主管机构；以及（3）存在对违反该领域立法要求的系统性处罚规定。2022年7月14日，俄罗斯总统普京签署了对2006年版《联邦个人数据法》进行大规模修改的第266号联邦法律（以下简称“修正案”），增加了通报作为个人数据跨境传输的前置程序。对此，数治君曾发布过分析文章“俄罗斯修改个人数据跨境传输程序“（见往期文章）。Roskomnadzor此次更新的充分性保护国家名单将和修正后的《联邦个人数据法》一同于2023年3月1日生效。来源：Roskomnadzor（完）往期文章：1、全球数据跨境流动治理CPTPP数据跨境流动要求遭遇挑战G7国家数据跨境流动政策演进俄罗斯修改个人数据跨境传输程序欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见全文首发|美国《保护美国人免受外国监视法案》（中译本）《个人信息出境标准合同规定（征求意见稿）》适用要点解读英国“数据

《跨太平洋伙伴全面进步协定》第14.2条第2款：“任何缔约方不得要求一涵盖的人在该缔约方领土内将使用或设置计算设施作为在其领土内开展业务的条件。”[6]

2022年9月7至8日，七国集团（以下简称“G7”）数字部长级会议的补充会议在德国波恩举行，会议参与者包括G7各成员国及欧盟相关隐私监管部门的部长。据“华尔街日报”报道，会议在此前已达成“信任的数据自由流动（DFFT）”共识的背景下，会议各方以“如何让数据在发达国家之间更顺畅地流动”为主题[1]，从国际数据空间、SCC协议和技术措施、监管和立法合作等角度展开了讨论。★1G7是什么？G7最早起源于1973年，从建立之初便旨在汇集世界主要工业国家的国家元首和政府首脑进行面对面会谈，就全球政治问题交换意见，从而达成一致的立场和目标。目前，G7的成员国包括：加拿大、法国、德国、意大利、日本、英国、美国以及欧盟这几个主要工业国家和民主国家。与通常被认为是全球经济协调框架的二十国集团（G20）一样，G7并非是一个国际组织，而是一个受共同价值观约束的非正式论坛。因此，G7没有独立的行政机构，每年由成员国轮流担任当值主席，负责组织峰会和制定议程。2022年，德国从英国（2021年）手中接任轮值主席职位，并将由日本（2023年）继任。除受到广泛关注的国家元首和政府首脑峰会以外，G7还包括具有特定职责的各部长级会议，数字部长会议便是其中之一。2G7数字部长会议的核心议题：数据跨境流动2022年9月举行的G7数字部长补充会议上，各国讨论的核心问题在于“如何让数据在发达国家之间更顺畅地流动”。与会的大多数成员之间都存在支持双边数据流动的协议，但由于各国对数据和个人隐私等性质的认识差别，对数据合规的标准也存在差异，现有的协议面临着国家数据保密、数据跨境传输安全、个人信息保护等问题的考验。例如，美国和欧盟此前签订的数据传输协议“隐私盾”，在2020年被欧盟法院判定为无效。法院认为，在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。[2]该判决下，即使欧美企业仍然可以采用标准合同条款（以下简称“SCC”）作为数据跨境传输的合法依据，但由于SCC必须遵守欧盟《一般数据保护条例》（GDPR）的所有内容，因此对数据传输及数据保护带来了极高的标准，这对所有国际公司来说，数据跨境传输的壁垒仍然存在且亟待解决。3“信任的数据自由流动”（DFFT）此前，日本在G7提出了“信任的数据自由流动”（Date

编者按：2022年7月7日，国家互联网信息办公室发布了《数据出境安全评估办法》，办法于今年9月1日起施行。同日，中国香港个人资料私隐专员公署就办法生效发布提醒，并就办法相关内容做归纳和解读，并提醒香港企业，尤其是在内地开展业务的香港企业或机构，例如银行、保险公司和证券公司等，如符合《办法》所订明的情形，可能须按有关规定向国家网信部门申报数据出境安全评估。内地《数据出境安全评估办法》今生效个人资料私隐专员公署（私隐专员公署）留意到，国家互联网信息办公室（网信办）发布的《数据出境安全评估办法》（《办法》）于今日（9月1日）生效。私隐专员公署提醒香港企业，尤其是在内地开展业务的香港企业或机构，例如银行、保险公司和证券公司等，如符合《办法》所订明的情形，可能须按有关规定向国家网信部门申报数据出境安全评估。个人资料私隐专员（私隐专员）钟丽玲指出︰「在《办法》实施前已经开展的数据出境活动，如不符合《办法》的规定，亦须在《办法》实施起计6个月内，即2023年2月28日前，完成整改。鉴于国家网信部门处理申请可能需时，有关企业或机构应尽早了解《办法》的规定及评估《办法》对其数据出境活动的影响，作出适时的跟进和（如有需要）寻求专业意见，以符合《办法》的相关要求。」具体而言，《办法》要求数据处理者（当中包括企业或机构）向境外提供数据，如有以下情形之一，须开展数据出境风险自评估，并须通过所在地省级网信部门向国家网信部门申报数据出境安全评估：数据处理者向境外提供重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。当中「重要数据」是指一旦遭到篡改、破坏、洩露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。至于出境风险自评估，当中包括重点评估以下事项：数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；数据出境中和出境后遭到篡改、破坏、洩露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；其他可能影响数据出境安全的事项。为协助有关企业或机构了解内地个人信息出境相关法规的最新发展，私隐专员公署将举办网上专题讲座，公署亦更新了内地《个人信息保护法》专题网页，提供包括《办法》在内的简介︰https://www.pcpd.org.hk/tc_chi/data_privacy_law/mainland_law/mainland_law.html请按此参阅《办法》全文。国家网信办亦上载了《办法》的记者会问答，就《办法》背景及内容提供更详细的解释，请按此浏览。背景资料内地《个人信息保护法》列明，个人信息处理者如需向境外提供个人信息，须先自行作出个人信息保护影响评估，取得当事人的单独同意，以及具备指明条件，当中包括通过国家网信部门组织的安全评估。而《办法》就如何进行数据出境安全评估（包括评估的事项、流程及期限等）提供更详细和严格的规定。《办法》乃根据内地的《网络安全法》、《数据安全法》及《个人信息保护法》等法规而制定，以规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。来源：香港个人资料私隐专员公署https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20220901.html（完）往期文章：1、我国数据跨境流动治理《数据出境安全评估申报指南》（第一版）发布（附英文全文）2、全球数据治理观察非洲联盟国家数据保护与数据跨境流动政策蓝图解析美国数据隐私和保护法（ADPPA）内容简析前沿分析|印度撤回《个人数据保护法（草案）》英国数据保护改革|《数据保护和数字信息法案》要点印度国家数据治理政策框架（草案）全文翻译（附草案原文）马斯克收购Twitter交易中的数据争议国内外数据交易模式对比分析我们应当如何理解数据治理中的管辖权冲突？数据交易治理：中国、欧盟和印度的发展（附报告全文）数据访问治理：中国、欧盟和印度的发展（附报告全文）作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）3、国际数据空间【域外执法】欧盟EDPB：发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护（附意见原文）全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见（中译本）全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲共同数据空间：进展与挑战国际数据空间在欧洲数据战略中的作用合作发布|国际数据空间IDS

Act：欧盟数据访问和使用的新框架国际数据空间在欧洲数据战略中的作用对数据的监管如何培育数字经济创新和竞争

https://www.itu.int/net4/wsis/archive/stocktaking/Project/Details?projectId=1488401022,

按为了建立欧洲“数字单一市场”，欧盟于2020年发布《欧洲数字战略》，提出在工业、医疗卫生、农业、能源、技能等9个领域建设共同数据空间（common

Entity））。这条规则有多项例外情况，包括使用之前收集的数据“进行内部研究”的例外情况。另一项创新是分层适用性，其中所有商业实体都是“涵盖实体”，但“大数据持有者”（large

引言2022年7月14日，俄罗斯总统普京签署了对2006年版《联邦个人数据法》进行大规模修改的第266号联邦法律（以下简称“修正案”），增加了通报作为个人数据跨境传输的前置程序。修正案将于2023年3月1日生效，在生效之前之前，运营商（оператора）需要向主管机构联邦通信、信息技术和大众媒体监管局（Roskomnadzor，以下简称“RKN”）提交对新规则实施的说明。

认为此修改作为一个例外而存在，不会成为未来与其他第三国的贸易协议的基础。在正当理由下，欧盟可以要求控制者或处理者将个人数据存储在欧盟或者欧洲经济区EDPS

编者按2022年7月21日，美国司法部和英国政府宣布，美国政府和英国政府于2019年10月3日签署《数据访问协议》（全称“大不列颠及北爱尔兰联合王国政府与美利坚合众国政府关于为打击严重犯罪而获取电子数据的协定”，，以下简称《协议》）将于2022年10月3日正式生效。2021年，英国政府公布其在脱欧后的新全球数据计划，计划表明其将与美国、澳大利亚、新加坡等国家建立全球数据合作伙伴关系，并签订新的数据传输协议。该计划旨在为本国数字经济在脱欧后实现自主良性发展创造可靠条件。该《协议》的签署也是英国脱离欧盟阵营，实现其新数据计划的步骤之一。《协议》是全球第一部专门针对数据跨境取证的双边国际协议，它将使两国能够比以往更快地访问与预防、侦查、调查或起诉严重犯罪相关的信息和证据。《协议》通过提高两国打击严重犯罪的能力来保护其公民。该《协议》致力于应对严重犯罪的威胁，将开启美国和英国合作的新时代。《协议》的运作方式是要求每一方确保其法律允许电信运营商合法地回应另一方管辖范围内的相关公共机构对《协议》所涉及的数据的直接请求。《协议》要求受其约束的数据请求都要符合各自国内现有相关义务。《协议》规定了相关电信运营商回应数据请求的方式及隐私和数据安全保障。《协议》提出电信运营商有针对数据请求提出反对意见的权利，并规定了相关解决方案。《协议》还要求各国的相关机构应设置联络点，以回应数据请求的相关法律或者实际问题。本文是数治君对该《协议》全文的中文翻译，供读者参考。（完）往期文章：1、数据跨境流动治理全文首发|美国《保护美国人免受外国监视法案》（中译本）《个人信息出境标准合同规定（征求意见稿）》适用要点解读英国“数据

1.引言2022年8月3日，印度发布通知撤回2019年公布的《个人数据保护法（草案）》（以下简称“被撤回法案”）。被撤回法案提出了对跨境数据流动的严格监管，并提议赋予印度政府从公司获取用户数据的权力，这被视为总理莫迪对科技巨头实施更严格监管的手段之一。在被撤回之前，该法案的审议进程可谓一波三折。在2019年12月被撤回法案被提交给议会联合委员会（Joint

可识别性该法案阐明了如何确定某些数据是否与个人数据有关。根据英国GDPR，“个人数据”是指与已识别或可识别的自然人有关的任何信息【即用法案的术语来说为“可识别的生命个体”（identifiable

2022年6月12日，欧盟数据保护委员会（EDPB）和欧洲数据保护监管机构（EDPS）就《欧洲健康数据空间条例》提案发布联合意见。通过这份联合意见，EDPB和EDPS旨在提请注意关于欧洲健康数据空间提案的一些首要问题，并敦促联合立法机构采取果断行动：提案部分规定可能削弱对隐私权和数据保护权的保护；澄清本提案的规定与GDPR和成员国法律的规定之间的关系尤其重要；建议从提案的第三十三条第1款第f项中排除健康应用程序和其他数字应用程序以及与健康有关的健康和行为数据；建议提案不要涉及GDPR规定的数据主体权利的例外；注意改善提案中规定的数据主体的权利的不确定性；不应促进健康应用程序与其他电子健康记录的连接；提案应更加详细描述二次利用目的；应明确二次利用目的类型与GDPR规定之间的关系；有必要增加将数据存储在欧盟或欧盟经济区内的要求；新的公共机构的任务和权限需要仔细调整，以避免权限重叠。（完）往期文章：1.国际数据空间全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）欧洲共同数据空间：进展与挑战国际数据空间在欧洲数据战略中的作用合作发布|国际数据空间IDS

Lab正式启动5.产业数据治理如何解锁制造业数据的价值？（下）如何解锁制造业数据的价值？（上）车联网中的隐私与信任（下）车联网中的隐私与信任（上）物联网数据共享和控制的四个法律挑战

principles）（可查找、可访问、可互操作、可重复使用）为中心，作为全球责任的一项要求，以及在数据权力不对称的情况下为集体利益、控制权、责任和道德提供指导的关怀原则（CARE

Act：欧盟数据访问和使用的新框架国际数据空间在欧洲数据战略中的作用对数据的监管如何培育数字经济创新和竞争

1.引言我国《个人信息保护法》第38条规定了“通过国家网信部门组织的安全评估”、“个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”三种个人信息跨境合规机制。自其颁布以来，业界翘首以盼落实个人信息跨境合规机制的执行细则。继《数据出境安全评估办法（征求意见稿）》（以下简称“《安全评估办法》”）和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（以下简称“《认证规范》”）发布后，2022年6月30日，国家互联网信息办公室发布了《个人信息出境标准合同规定（征求意见稿）》（以下简称“《合同规定》”）以及《个人信息出境标准合同》（模板）（以下简称“《合同模板》”），明确了标准合同的适用细则。至此，《个人信息保护法》第38条规定的三种数据跨境传输机制都有了可行的落地方案。2.适用范围与效力2.1.与安全评估和认证的适用关系数据出境安全评估、认证与标准合同虽然是平行的三种数据跨境传输机制，但其侧重点和适用范围有所不同。其中，数据出境安全评估在保护个人信息权益的同时，还旨在“维护国家安全和社会公共利益”，因而其适用具有强制性，即凡是达到《安全评估办法》规定门槛的，必须在数据出境前进行安全评估。《数据出境安全评估办法（征求意见稿）》第4条数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（二）出境数据中包含重要数据；（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。认证机制和标准合同则侧重个人信息保护，旨在保护个人信息权益，促进个人信息跨境安全、自由流动。《认证规范》明确指出：“需要通过国家网信部门组织的安全评估的个人信息跨境处理活动，应当向国家网信部门申报安全评估”。《合同规定》则指出，同时符合“非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”个人信息处理者，可以通过签订标准合同的方式向境外提供个人信息。综上，安全评估、认证和标准合同这三种数据跨境传输合规机制的适用关系如下图所示：此外，由于标准合同的适用情形必须满足“自上年1月1日起累计向境外提供未达到10万人个人信息的”且“自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”，我们理解，大规模处理个人信息/对外提供个人信息的个人信息处理者（特别是大型互联网企业等）可能无法选择标准合同作为合规机制。2.2.与《认证规范》和《安全评估办法》中规定的合同的适用关系《安全评估办法》与《认证规范》也分别有关于合同的规定，且合同内容与标准合同条款存在不少重合。但应当注意的是，标准合同是由国家网信部门制定的一种独立的数据跨境传输机制，其模板内容具有一定强制性，而安全评估下的合同是为了约定境外接收方的数据安全保护责任义务，认证下的标准合同则是为了在个人信息跨境处理活动的相关方之间建立“约束力和执行力”。《安全评估办法》数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容……（第9条）《认证规范》参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件，确保个人信息主体权益得到充分的保障……（第4.1条）2.3.与双方签订的其他合同的适用关系根据《合同规定》第2条第2款，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。因此，个人信息处理者在签署其他合同时，须检查其他合同各项条款是否与标准合同相冲突、是否符合《合同规定》相关规定。3.合同相对方《合同模板》规定的合同双方为“个人信息处理者”与“境外接收方”。根据《个人信息保护法》第73条，“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，与GDPR中的“数据控制者”概念相似。根据《合同模板》第1条第5项，“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。文本中此处没有使用“境外处理者”的措辞，而是与《出境安全评估》和《认证规范》保持一致，使用了“数据接收方”。我们理解，这里的数据接收方应当既包括可以自主决定处理目的、处理方式的组织、个人（即“个人信息处理者），也包括受个人信息处理者委托处理个人信息的受托人。因此，签订标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形，也就是说，境内受委托人处理个人信息的受托人不能作为标准合同的相对方，转委托境外主体处理个人信息。境内境外个人信息处理者受托人个人信息处理者个人信息处理者还应当注意，在“一国两制”框架下，香港特区和澳门特区分别属于独立的司法辖区，制定有各自的个人信息（资料）保护法律，位于港澳的个人信息处理者或者受托人也属于“境外接收方”。4.适用前准备：个人信息保护影响评估企业在选定标准合同作为个人信息跨境传输合规机制的情况下，需要首先进行个人信息保护影响评估，该规定是对《个人信息保护法》第55条个人信息保护影响评估的落实。个人信息保护影响评估（“PIA”）是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。在跨境传输场景中，PIA在国际实践中已经是规定动作。如欧盟在Schrems

Act：欧盟数据访问和使用的新框架国际数据空间在欧洲数据战略中的作用对数据的监管如何培育数字经济创新和竞争