MORVANTINE
数据保护3 min read

2026年GDPR数据跨境传输:后Schrems II框架实务指南

2026年GDPR国际数据传输机制从业者级分析:欧美数据隐私框架在政治压力下的当前法律地位、标准合同条款、有约束力的公司规则、非美国充分性决定、传输影响评估,以及针对数据保护官、首席法务官、首席技术官和隐私顾问的应急规划。

Morvantine Editorial — Legal

19 January 2026

引言:跨大西洋数据流动的结构性不稳定

2020年7月16日,欧盟法院(CJEU)在Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems(C-311/18,Schrems II)案中宣告《隐私盾》协议无效,揭示了美国监控法律——主要是第12333号行政令和《外国情报监视法》(FISA)第702条——与GDPR关于向第三国传输数据须保证同等保护的要求之间的结构性不兼容。欧盟委员会于2023年7月10日通过委员会决定C(2023) 4745,采纳欧美数据隐私框架(DPF),将其定位为持久性解决方案。然而三年之后,该框架正面临一系列法律、政治和制度层面的压力,每一位数据保护专业人士都应将其视为现实存在的风险,而非已解决的问题。

本文全面分析GDPR第44条及欧美DPF充分性决定框架下可用的数据传输机制,评估其相对法律稳健性,并为需要在DPF命运未定情形下维持运营连续性的组织提供实务框架。

欧美数据隐私框架:2026年法律现状

DPF的制度架构

委员会决定C(2023) 4745认定,美国为向经DPF认证的组织传输的个人数据提供充分保护水平。DPF的核心法律基础设施包括:

  • 第14086号行政令Enhancing Safeguards for United States Signals Intelligence Activities,2022年10月7日),规定信号情报收集的比例性要求及申诉机制
  • 数据保护审查法院(DPRC),依第14086号行政令设立,作为独立机构受理并裁决欧盟个人就美国情报机构访问其数据提出的申诉
  • DPF原则(与原隐私盾原则基本相同),由美国商务部管理,联邦贸易委员会(FTC)享有执法权

当前面临的法律挑战

截至2026年第一季度,DPF面临三项重大法律威胁。

第一项挑战:La Quadrature du Net(CJEU案件C-078/25)。 该案于2025年1月向CJEU提起,主张第14086号行政令未能充分约束FISA第702条的批量收集行为,且DPRC——一个在行政权力下运作的非第三条款法院——不符合CJEU在Schrems II中设定的"有效司法救济"要求。CJEU于2025年3月启动加速程序;法律顾问意见预计于2026年第三季度发布,最终判决可能于2026年底或2027年初作出。CJEU法律顾问在隐私案件中的意见历史上均被最终判决所采纳(Schrems II案法律顾问意见即预示了最终的无效宣告结果)。

第二项挑战:美国政治动态。 特朗普第二任政府对FISA第702条再授权及信号情报改革的立场,引发了外界对DPF美方承诺运营连续性的质疑。DPRC在运行首个18个月内受理不足50件案例——远低于欧洲数据保护机构基于美国企业处理欧盟公民数据体量所预期的数量——致使学术界和公民社会对其实际有效性产生担忧。

第三项挑战:欧洲数据保护委员会(EDPB)复审。 依据DPF充分性决定第186项前言,委员会承诺在通过决定三年内(即2026年7月前)进行审查。EDPB就首次年度审查发表的第70条意见(2024年10月)指出,对DPRC透明度、第702条的广泛性以及缺乏与欧盟比例性标准等同的批量收集限制等问题仍存在持续关切。

实务结论:DPF可用时应作为主要传输机制使用,但任何在运营层面无法承受充分性决定突然无效的组织,都不应仅依赖DPF而不设置有效的备用机制。

标准合同条款:不可或缺的备用机制

法律框架

标准合同条款(SCC)是GDPR国际数据传输的核心工具。委员会执行决定2021/914(2021年6月4日)以涵盖四种传输配置的模块化框架取代了原有SCC:

  • 模块一:数据控制者间传输
  • 模块二:控制者向处理者传输
  • 模块三:处理者间传输
  • 模块四:处理者向控制者传输

新SCC直接纳入了Schrems II的要求:第14条要求对第三国法律进行评估,第15条在收到政府数据访问请求时规定通知和透明度义务。

传输影响评估义务

Schrems II案认定,使用SCC并不自动保证充分保护——出口方必须进行个案性的传输影响评估(TIA),以核实SCC在目的地国能否有效发挥作用。EDPB《传输建议01/2020》(2020年11月通过,2021年6月更新)提供了方法论框架:

第一步:绘制传输图谱——识别传输的个人数据类型、目的地国、传输目的及所适用的传输机制。

第二步:核查传输工具——确认适用的SCC模块及其是否已被正确执行。

第三步:评估第三国法律框架——评估目的地国有关政府访问数据的法律是否与SCC提供的保证相兼容。关键因素:访问权力是否具有比例性、是否存在有效的司法或准司法救济、是否授权批量收集。

第四步:识别并采取补充措施——若TIA表明SCC本身不能保证充分保护,则须采取技术性(加密、假名化)、合同性(进口方提供额外保证)或组织性补充措施。

第五步:履行正式程序性步骤——签署SCC,保存TIA文件,必要时向数据保护机构(DPA)通报。

2026年SCC与美国数据传输

EDPB在Schrems II后的指引指出,对于涉及可能吸引情报机构关注的数据类别(电信元数据、云通信内容)的美国传输,仅凭SCC不足以提供充分保护。修订版SCC第15条的通知要求——要求美国进口方将政府访问请求通知欧盟出口方——创设了一项实务合规义务,大多数美国云服务提供商已通过经DPA认可的通知条款予以落实。

对于不受DPF保护的美国传输(因美国收件方未获DPF认证,或数据类别超出DPF范围),辅以适当TIA和技术性补充措施(欧盟管理密钥加密、源端假名化)的模块二SCC是法律上最为稳健的备用方案。

有约束力的公司规则:最高标准及其成本

BCR的保护价值

有约束力的公司规则(GDPR第46(2)(b)条和第47条)是经批准的集团内部传输机制,允许集团成员企业跨司法管辖区传输个人数据。BCR由牵头监管机构依第60条一致性机制批准,对集团所有成员企业具有约束力,作为第三方受益人,并赋予数据主体可直接针对BCR控制者行使的可强制执行的权利。

BCR是跨国集团最为稳健的GDPR传输机制,原因在于:

  • 不限于特定司法管辖区——一经批准,即覆盖向全球所有集团成员企业的传输(不仅限于美国)
  • 能够在充分性决定无效后继续存续——BCR代表集团自身对提供充分保护的承诺,而非依赖第三国的法律框架
  • 与SCC相比,为第三方提供更强的可执行性

BCR审批周期与成本

BCR审批程序耗时长、资源消耗大:

  • 确认牵头DPA:1至3个月
  • 提交申请:3至6个月(按EDPB WP256控制者BCR模板和WP257处理者BCR模板准备BCR文件)
  • DPA审查及第60条程序:从提交到批准12至24个月
  • 成本:大型跨国集团的外部法律费用和内部合规资源约50万至200万欧元

截至2026年1月,EDPB的BCR登记册记载了148项已批准的控制者BCR和79项已批准的处理者BCR——主要集中于大型科技公司、金融机构和工业集团。BCR不适合中型企业,也不适合预计将开展重大并购活动的企业(收购每一个非BCR实体均需启动BCR修订程序)。

美国以外的充分性决定:全球传输地图

欧盟委员会已依GDPR第45条就15个国家/地区作出充分性决定,为数据传输提供无需SCC的通道。这些决定在覆盖范围和法律稳定性方面存在显著差异:

国家/地区充分性决定范围法律状态(2026年3月)主要风险
英国C(2021) 4800(2021年6月)一般性(GDPR第45条)有效;2025年6月落日审查——延期至2027年6月待英国充分性重新评估英国脱欧后监控法律分歧;CJEU可能提出质疑
瑞士C(2000) 3503一般性(第95/46/EC号指令框架)GDPR前;委员会2022年启动更新评估;仍有效GDPR前版本;GDPR时代标准存在法律不确定性
日本C(2019) 61一般性(GDPR第45条)有效;四年审查进行中须遵守补充规则;需进行APPI-GDPR差距分析
韩国C(2021) 6065一般性(GDPR第45条)有效PIPA修订可能需要重新评估
加拿大(PIPEDA)2002/2/EC仅适用于商业组织GDPR前;委员会2023年启动审查;CPPA改革待定PIPEDA替代法(CPPA)可能影响充分性覆盖范围
以色列C(2011) 332一般性GDPR前;重新评估中GDPR前版本;以色列监控法律存疑
新西兰C(2013) 2896一般性依据2020年《隐私法》修订案进行审查总体稳健
阿根廷C(2003) 1731一般性GDPR前;现代化审查进行中GDPR前版本
美国(仅限DPF)C(2023) 4745仅限经DPF认证的组织见上文——诉讼待决CJEU质疑;DPRC有效性

对于设计传输架构的组织,日本(充分性)+英国(充分性)+针对无充分性决定目的地的欧盟SCC组合,能够以最低的日常合规负担提供最广泛的覆盖。

传输影响评估:方法论与文档管理

监管机构的期望

Schrems II案后监管机构的执法实践,已将TIA文档列为审计的常规重点。爱尔兰数据保护委员会(DPC)在针对Meta的执法行动(2022年12月,处以3.9亿欧元罚款;及2023年5月Meta Platforms Ireland传输决定,处以12亿欧元罚款——迄今为止最大的GDPR罚款)中,专门审查了Meta针对美国传输的TIA是否充分。DPC认定,Meta在缺乏充分补充措施的情况下依赖SCC,加之TIA文档存在缺陷,足以证明罚款和暂停命令的正当性。

法国CNIL、德国DSK和荷兰AP均发布了TIA指导意见,尽管与EDPB《建议01/2020》保持一致,但各自强调了司法管辖区特有因素:法国执法重点关注云服务商传输;德国执法重点关注人力资源数据处理者;荷兰执法重点关注跨境医疗健康数据流。

TIA文档最低标准

TIA文档至少应包含:

  1. 传输图谱摘录:数据类别、数据主体、目的、处理的法律依据、目的地国、接收方身份
  2. 传输机制:适用的SCC模块、BCR或充分性决定(附委员会决定引用)
  3. 第三国法律分析:对监控法律框架、比例性及司法监督的评估——尽可能引用EDPB发布的国别建议
  4. 已采取的补充措施:技术性(附说明)、合同性(附SCC条款引用)、组织性措施
  5. 结论:所采取措施能否确保与GDPR标准等同的有效保护
  6. 审查日期:TIA应每年审查,并在传输机制或目的地国法律框架发生重大变化时及时更新
  7. 审批签字:数据保护官和法务负责人审批,高风险传输须向董事会报告

应急规划:DPF再次失效将发生什么

Schrems I/II应对手册

Schrems I(2015年)和Schrems II(2020年)两次无效宣告后均能维持运营连续性的组织,有一个共同特点:它们在无效宣告之前已与所有美国处理者签署了SCC,并保持着最新的TIA文档。那些完全依赖隐私盾协议且未签署备用SCC的组织,面临了立即的运营中断——在无效宣告与SCC实施之间的空窗期内,数据传输在技术上是违法的。

CJEU的Schrems II判决于2020年7月16日作出,没有设置任何过渡期。监管机构宣布,考虑到执行所需时间,不会立即采取执法行动,但没有有效机制的持续传输在技术上仍属违法。DPF被宣告无效后的类似情形,可能会产生相同的监管态势——监管机构允许短暂的过渡期,随后对未做好准备的组织采取执法行动。

应急框架

即时行动(DPF无效判决后90日内):

  1. 签署模块二SCC,覆盖所有目前仅依赖DPF认证的美国处理者关系。SCC现在即可作为DPF之外的保护层签署——双重保障在法律上是允许的,且被推荐采用。

  2. 更新TIA,以反映无效后的法律情况:DPRC机制将不再可用,第14086号行政令将不再是有效的救济框架,补充措施分析须在假设DPF保障缺失的前提下进行。

  3. 对高风险传输类别实施技术补充措施(GDPR第9条规定的特殊类别数据;儿童数据;受DPA高度关注的数据):采用欧盟管理密钥加密,使得即便美国法律强制要求访问,数据也无法以可读形式获取。

  4. 评估数据最小化机会:对非运营必要的传输,停止传输或在传输前进行假名化处理。传输量决定风险级别。

  5. 通知董事会:GDPR第83(4)条的罚款风险(程序违规最高1000万欧元或全球营业额2%)和第83(5)条的罚款风险(包括非法传输在内的实质性违规最高2000万欧元或4%)要求董事会知晓应急状态。

中期架构调整(6至18个月):

  1. 评估欧盟数据驻留方案:对风险级别最高的数据类别,评估在附有合同数据驻留承诺的欧盟云基础设施(AWS EU、Azure EU、Google Cloud EU)上进行处理,是否可彻底消除传输行为。若数据从未离开欧洲经济区,则不构成传输。

  2. 评估BCR申请:对于跨多个集团成员企业存在持续跨大西洋数据流动的集团,BCR审批周期(18至24个月)应现在启动,而非等到无效后。

传输机制对比分析

机制法律依据(GDPR)覆盖范围法律稳健性运营负担最适合
充分性决定(DPF)第45条仅限经DPF认证的美国组织中等——CJEU质疑待决低(无需签署SCC)持有DPF认证的美国云SaaS提供商
充分性决定(英国、日本等)第45条向充分性国家的一般传输高(英国审查中)极低向英国、日本、韩国的传输
SCC(模块二)第46(2)(c)条任意第三国;所有数据类别高(辅以TIA正确实施时)中等(TIA+补充措施)美国处理者关系;非DPF传输
BCR第46(2)(b)条,第47条仅限集团内部传输极高——经DPA批准极高(18-24个月,50万欧元+)频繁开展集团内部传输的大型跨国集团
例外情形(第49条)第49条个案处理;非重复性低——仅限于例外情形高(逐案证明)一次性传输(诉讼数据、紧急医疗)
明确同意(第49(1)(a)条)第49(1)(a)条经知情同意的任何传输低——同意可撤回高(符合GDPR的同意机制)数据主体可真实自主选择的消费者数据

数据保护官、首席法务官及隐私法律顾问实务要点

  1. 切勿仅依赖DPF处理运营关键性的美国传输。 立即与所有美国处理者并行签署模块二SCC。双重保障的成本属于行政层面;CJEU宣告无效后传输被迫暂停的成本属于运营层面。Meta因非法传输被处以12亿欧元罚款,是监管机构认定对未部署充分备用机制的主要处理者施以相称制裁的参考基准。

  2. 将TIA视为动态文档,而非一次性评估。 监管执法实践表明,组织通常在合同订立时开展TIA,但在美国监控法律或传输机制本身发生变化时未能及时更新。EDPB《建议01/2020》明确要求定期审查。每年审查TIA,并在目的地国法律或传输数据类别发生重大变化时触发审查,是最低合规标准。将审查频次纳入GDPR合规日历。

  3. 对照DPF认证状态梳理美国云及SaaS提供商组合。 DPF认证名单(维护于dataprivacyframework.gov)是权威参考依据。组织常常发现,主要SaaS提供商使用的关键分包处理者并未持有DPF认证。分包处理者的DPF认证状态须通过主要处理者的分包处理者清单核实,并在认证登记册中确认。分包处理者覆盖缺失是常见的审计发现。

  4. 对于高风险数据类别,欧盟控制密钥加密是最可靠的技术补充措施。 即便在FISA第702条政府令下也能阻止可读访问的技术补充措施——具体而言,采用端到端加密且解密密钥由欧盟持有、美国处理者无法访问的架构——已获EDPB和各国DPA认可为有效弥补充分性缺口的措施。该架构可在主要云服务提供商处获得(Google CMEK、AWS KMS欧盟密钥管理、Azure客户管理密钥),应针对高敏感性数据类别评估其与运营开销的平衡。

  5. 如贵集团在欧洲经济区外拥有三个以上成员企业,现在即应启动BCR准备工作。 BCR审批从提交到批准需18至24个月。今日启动BCR准备工作的组织,将在预期的CJEU就La Quadrature du Net案作出判决(2026年底/2027年初)前获得已批准的机制。等待无效判决后再行动的组织将面临两年的空窗期——在此期间,所有集团内部传输将在更高的审查强度下依赖SCC和TIA。

监管机构执法:监管风险全景

数据传输领域里程碑式执法决定

国际数据传输领域的执法格局由一系列决定塑造,这些决定既体现了监管机构的执法意愿,也揭示了实际的罚款风险。

Meta Platforms Ireland——爱尔兰DPC,2023年5月(12亿欧元)。 爱尔兰数据保护委员会对Meta Platforms Ireland Limited作出的决定,以迄今最高的12亿欧元GDPR罚款,惩处了Meta在缺乏充分补充措施的情况下依据SCC将Facebook欧盟用户数据传输至美国的行为。DPC认定,Meta的TIA存在重大缺陷,未能评估FISA第702条针对所传输数据的大规模监控风险,且SCC单独使用不能确保充分保护。DPC还命令暂停未来传输并删除非法传输的数据。该决定依据GDPR第65条具有约束力的争议解决程序作出(在EDPB推翻DPC原始决定草案后),已被诉至爱尔兰高等法院,截至2026年第一季度仍在审理中。

WhatsApp Ireland——爱尔兰DPC,2021年9月(2.25亿欧元)。 同样涉及Meta的WhatsApp服务,该决定主要处理透明度义务,但也包含对向WhatsApp美国母公司跨境传输的认定。

TikTok——意大利Garante,2021至2024年多项决定。 意大利数据保护局(Garante per la protezione dei dati personali)因TikTok欧盟业务将欧盟用户数据传输至中国而多次处以罚款。PIPL(中国《个人信息保护法》,2021年11月起实施)提供的法律框架被EDPB和各国DPA评估为不符合GDPR标准。中国目前不享有欧盟充分性决定。TikTok针对中国传输所签署的SCC,及其TIA对中国特有政府访问风险的充分性评估(尤其是依据中国《国家情报法》第7条——要求组织"支持、协助和配合"国家情报工作),持续受到审查。

SRB v Advocate General(CJEU,2023年12月,C-337/21)。 CJEU判决确认,GDPR第五章传输限制适用于欧盟机构(未受GDPR第3条覆盖的欧洲经济区内部传输),并阐明了第46条传输工具与公共机构处理活动之间的关系。虽与美国传输无直接关联,该判决确认了CJEU对第五章"传输"概念的扩张性解释——这对于评估本机构的数据处理架构是否构成触发第五章义务的"传输"具有重要意义。

2025至2026年各国DPA调查趋势

多国数据保护机构已宣布或正在开展针对数据传输实践的积极调查:

  • 德国DSK(联邦及各州独立数据保护监管机构联席会议):就德国企业在其网站访客数据处理中使用美国云端分析工具(Google Analytics、Adobe Analytics、Salesforce)展开联合调查。DSK指导文件明确,IP地址属于个人数据,通过分析脚本将欧盟访客数据传输至美国服务器构成须具备有效第五章机制的传输行为。

  • 法国CNIL:就Cookie同意横幅及第三方追踪脚本触发的数据传输持续开展调查——《电子隐私指令》合规与GDPR第五章的交叉地带是执法重点。

  • 荷兰AP:就医疗健康领域跨境传输展开调查,起因为2024年一起事件:荷兰患者数据依据SCC传输至美国医疗AI提供商,但TIA未评估HIPAA不适用于该特定数据处理活动的影响。

规律清晰可辨:各国DPA的执法对象已超越大型平台,转向金融服务、医疗健康、人力资源等受监管行业中使用模板SCC而未进行专项TIA的中型企业。

结论

CJEU在Schrems II案中确立的法律原则,DPF并未予以化解:欧盟基本权利法要求出口至美国的欧盟个人数据享有与GDPR标准"本质上等同"的保护,包括针对政府监控的有效司法救济。DPRC是否满足该标准,将由CJEU而非委员会的充分性评估来决定。审慎的法律策略是:在DPF有效期间将其作为便利性机制加以利用,同时将强健的SCC和TIA基础设施作为永久性基线加以维护。

在监管合规、运营连续性和诉讼风险管理方面处于最佳位置的组织,将是那些在整个处理者关系体系中部署了SCC、保持了最新TIA文档、对敏感数据采取了技术补充措施,并已着手为集团内部传输准备BCR申请的组织。这不是合规负担的选择问题,而是一项具有直接可量化下行风险的风险管理决策。

法律免责声明:本文仅供一般信息目的,不构成法律建议。文中所述法律法规复杂,随情况不同而有所差异,且可能发生变化。文中援引的GDPR执法立场、CJEU判决和委员会充分性决定均处于持续演变之中。本文任何内容均不应替代具有欧盟数据保护及跨境数据传输合规专长的合格律师的专业意见。Morvantine及其撰稿人对依据本文信息所采取的行动不承担任何责任。

联系我们的法律团队

Need expert advice on this topic?

Our team at Morvantine specializes in exactly these issues. Get in touch for a consultation.

Get in Touch