全球数字基础设施已然高度互联,数据在跨境流动过程中经由第三国网络节点、通信链路、服务器设施或云计算基础设施中转,成为跨国企业运营乃至日常经济活动中的常见情形。企业往往会基于网络传输效率、访问稳定性或系统协同等需要,对全球数据路径进行技术性优化。这种底层的链路中转现象在法律合规领域被称为数据过境(Data Transit),即数据虽不以第三国为最终落地目的地,但仍需经由其基础设施流转。随着全球数据安全与隐私保护议题的强化,数据过境已从纯粹的网络技术问题,演变为各法域识别监管连接点、界定控制关系和配置合规义务的核心场景。
从技术层面看,数据通常可区分为静态数据(Data at Rest)、使用中数据(Data in Use)以及传输中数据(Data in Transit / Data in Motion),而数据过境首先对应的,正是数据在电子邮件传输、文件同步、API调用或跨境专线传输过程中的动态流动状态。由于互联网采用分布式路由架构,因此一国数据在传往另一国时,经由第三国海底光缆登陆站、骨干网路由节点或内容分发网络(CDN)完成中转,本身并不罕见。
首先,需要明确数据过境(Data Transit)与数据跨境传输(Cross-Border Data Transfer,简称CBDT)的概念区分。一般而言,CBDT是指数据处理者将在特定司法管辖区内收集或产生的数据,通过物理传输或开放远程访问等方式,提供给境外的独立接收主体;而Data Transit更强调路径的中转属性,是指数据在跨国传输过程中,因网络底层路由分配或通信链路架构,客观上经由第三国的网络基础设施进行短暂流转或中转的动态状态。形式上二者皆为“数据出境”,但实质上,CBDT侧重于“向境外提供”,而Data Transit侧重于“经由特定路径传输”。两类场景对应的监管法益截然不同,CBDT侧重于约束境外接收方,确保数据流向境外后主体权益仍能获得充分保护;而Data Transit的合规审查则聚焦于两点:一是过境国节点、设施或人员是否取得了实质性的数据访问权;二是过境数据是否与本地业务数据发生了物理或逻辑上的混合。简言之,Data Transit表面是路径问题,实质仍是访问、控制与监管连接点问题。
需要说明的是,Data Transit并不是一个已经形成统一内涵的法律概念。不同法域面对相似的数据流动结构,往往采取并不相同的分析路径。欧盟更倾向于将相关问题纳入“向第三国传输”的框架考察,重点关注数据是否因此进入第三国法律环境,以及第三国主体或公权力是否可能接触相关数据;美国则并不特别强调“过境”与“跨境”的概念区分,而更关注相关安排是否使特定国家或主体获得对数据的访问能力;中国现行规则下,对相关场景的识别则更多围绕数据来源、境内节点功能以及是否引入境内个人信息或者重要数据展开。也正因如此,本文希望借由这一现实场景,观察不同法域如何围绕相似的数据流动结构形成差异化的法律定性和监管路径。
中国数据出境监管体系以《网络安全法》《数据安全法》《个人信息保护法》为核心。根据2022年《数据出境安全评估办法》及2023年《个人信息出境标准合同办法》,数据处理者向境外提供数据若触碰特定阈值(如累计处理10万人以上个人信息),便必须履行数据出境安全评估、订立标准合同或通过保护认证等前置程序。在这一框架下,数据出境的边界存在一定的模糊性,源自境外的业务数据在物理上经过中国境内网络节点时是否构成“出境”,实务界争议较大。
2024年3月22日,国家互联网信息办公室(“国家网信办”)发布《促进和规范数据跨境流动规定》(“新规”)。新规第四条明确“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。”本条澄清和说明了境外数据入境后再出境本身就不属于国家网信办列明的三类“数据出境行为”,在实务中这一条款被业界称为“过境豁免”(Data Transit Exemption)条款。
以一个简单的业务场景为例:一家总部位于新加坡的跨境电商平台,面向泰国、马来西亚和印度尼西亚用户提供在线零售服务。为提升东南亚用户访问速度和链路稳定性,该平台在中国大陆部署服务器节点并采购CDN加速服务。相关东南亚用户在访问平台、浏览商品、提交订单和查询物流过程中产生的个人信息,在传输过程中短暂经过中国境内节点后再回传至新加坡。在这一场景下,境内节点原则上仅承担通信中转、网络优化和缓存加速功能,并不对相关个人信息进行实质性分析、重组或二次利用,也未引入任何中国境内用户个人信息或者重要数据,属于新规第四条所涉的豁免情形。
Data Transit Exemption存在严格的适用边界。首先,来源要件要求,数据必须在境外收集和产生,这意味着企业需建立有效的识别机制,判断拟入境数据本身是否含有中国境内个人信息或重要数据。其次,处理要件要求,境内环节仅为传输至境内处理后向境外提供,境内网络设施不能涉及对数据内容的实质性修改、二次解析或分析。最后,要求处理过程中没有引入境内个人信息或者重要数据,这要求过境数据与中国本地业务数据在物理或逻辑层面实现严格隔离。
截至目前,中国监管部门尚未公开针对新规第四条的专门适用案例。这一现状既反映了该条款作为2024年新出台规定的实施周期尚短,也体现了监管部门在执法实践中对豁免条款适用边界的审慎态度。然而,企业不应因此放松合规准备。对于主张Data Transit Exemption的企业而言,企业需建立以下识别与保障机制。第一,在数据入境前即需判断待加工数据本身是否含有中国境内个人信息或重要数据,确保数据来源和最终目的地均在境外。同时,还需关注数据来源国/地区对数据出境的合规要求,避免违反来源地法律。第二,建立严格的技术隔离措施,确保境内处理过程中不引入境内个人信息或重要数据;保存完整的审计日志;实施定期的合规自查与第三方评估,及时发现并纠正潜在风险点。第三,需要关注我国内容安全和行业监管要求。此外,程序性豁免不等于实体义务的免除,豁免仅免除了数据出境安全评估、标准合同备案和个人信息保护认证这三项前置程序,但《个人信息保护法》下的告知同意、事前个人信息保护影响评估等实质性合规要求仍需履行。值得注意的是,一旦监管部门对Data Transit Exemption的适用提出质疑,举证责任完全在企业一方。因此,企业应在日常运营中持续积累保留合规证据。
与中国围绕特定Data Transit设置便利化安排不同,欧盟《通用数据保护条例》(GDPR)并没有关于Data Transit的直接定义,其制度重心在于,数据流动是否构成第五章意义上的“向第三国或国际组织传输”。长期以来,欧盟对何种数据流动进入第五章管辖存在解释空间。为此,欧洲数据保护委员会(EDPB)于2023年发布了05/2021号指南[1]。根据EDPB 05/2021号指南,一项数据处理活动若要构成GDPR第五章意义上的向第三国传输,通常需要同时满足三个累积性要件:第一,相关控制者或处理者作为数据输出方,就该项处理活动受GDPR管辖;第二,输出方通过传输或其他使数据可得的方式,将个人数据披露给另一控制者、共同控制者或处理者,即数据输入方;第三,该导入者位于欧洲经济区以外的第三国或属于国际组织。这一框架的意义在于,它并非仅以数据是否物理上离开欧洲为判断标准,而是更强调是否存在一个独立于导出者的境外接收主体,以及个人数据是否因此被向该主体提供或使其可得。
在这一逻辑下,纯粹网络路由意义上的Data Transit并不当然构成向第三国传输。如果欧盟个人数据仅因底层路由、海底光缆等安排短暂经过第三国节点,且相关节点仅承担技术管道功能,未作为独立主体接收或处理数据,则无法满足上述第二项要件。实务中,这一区分对于保障全球互联网底层通信的合规运行具有重要意义,避免了GDPR管辖权向底层路由过度延伸。
EDPB关于企业内部跨境访问的示例也印证了这一点:若欧盟企业员工赴第三国出差并远程访问雇主系统,因访问仍在同一组织内部发生,未向独立主体披露,通常不构成向第三国传输。但EDPB强调,此类内部过境并未脱离GDPR管辖,控制者仍需遵守GDPR项下的一般安全义务,尤其需要结合远程访问地点、设备安全、身份认证、加密措施和当地法律环境。
尽管纯粹网络路由意义上的Data Transit并不当然构成GDPR第五章下的向第三国传输,但Schrems II案[2]之后,欧盟企业在处理涉及第三国的Data Transit时,实务上普遍采取更为审慎的合规策略。2020年7月,欧盟法院在Schrems II案中废止欧盟-美国隐私盾,并强调企业在依赖标准合同条款等传输工具时,不能仅停留在形式签署层面,而应结合第三国法律和实践,评估相关工具是否能够在目的地国维持与欧盟实质等同的保护水平。若第三国法律可能削弱该等保护,数据输出方还需要采取有效的补充措施;在无法通过补充措施弥合保护缺口时,则应暂停或终止相关传输。
这一要求对Data Transit监管的影响在于,只要中转安排超出了纯技术路由,使第三国云服务商、节点运营方具备了接触数据的可能性,企业便无法再以“数据仅为经过”作抗辩。而需要进一步评估是否已构成向第三国传输,并相应考虑SCCs、传输影响评估(TIA)和补充措施。
从监管演变看,欧洲体系内部对“传输”与“过境”的边界认定并非一直完全一致。EDPB发布05/2021号指南之前,英国信息专员办公室(ICO)曾在2017年版国际传输指南中明确区分“transfer”与“mere transit”,强调传输并不等同于数据在传输路径中的临时性、被动性经过。该表述在当时较为清楚地承认了纯粹技术过境与法律意义上传输之间的边界。英国脱欧及Schrems II之后,ICO相关指南经历修订,现行指引不再以同样方式保留该表述,但英国ICO目前仍表明,若个人数据只是通过第三国电子路由,而实际发送方和接收方均在英国,该场景通常不构成受限传输(restricted transfer)[3]。
这种谨慎也带来了学术和实务层面的反思。2024年,信息政策领导力中心(CIPL)与Theodore Christakis教授发布关于“零风险谬误”的研究[4],批评Schrems II之后部分欧洲数据保护机构在国际数据传输问题上趋向过度保守,似乎要求企业消除所有外国政府访问欧洲个人数据的可能性。该研究主张,GDPR并不必然要求采取“零风险”路径,而应允许企业根据数据性质、外国政府访问可能性和潜在损害程度,采取更具比例性的风险导向方法。这一观点对Data Transit的监管具有现实意义,并非所有经由第三国路径的数据流动都具有同等风险,也并非所有第三国路径都应适用同等强度的传输工具和补充措施。
不过,从企业合规角度看,风险导向观点并未完全改变当前欧洲实务的保守倾向。对于纯路由、无独立导入者、无访问能力的Data Transit场景,企业仍有空间论证其不构成GDPR第五章意义上的向第三国传输;但一旦Data Transit安排叠加云服务、缓存、存储、远程运维或其他可能使第三国主体接触数据的环节,企业通常仍需要按照向第三国传输的逻辑进行更审慎的评估。总体而言,欧盟路径下的关键并不是把所有Data Transit一律等同于向第三国传输,而是在“是否存在独立导入者”和“是否存在实质访问风险”之间进行分层判断。对于跨国企业而言,稳妥的做法是在数据流设计阶段即识别第三国路径、访问主体和密钥控制安排,并据此决定是否需要配置SCCs、TIA以及加密、密钥隔离等补充措施。
与欧盟以基本权利保护为核心、中国以数据出境程序和安全评估为主线不同,美国近年来对CBDT的监管重心明显转向国家安全。自2024年以来,美国陆续通过《保护美国人数据免受外国对手侵害法案》(PADFA)、第14117号行政令及司法部数据安全计划[5](Data Security Program,下称“DSP”),开始以国家安全和出口管制的逻辑重塑跨境数据监管框架。
美国DSP的核心问题是相关交易是否使受关注国家或受覆盖人员获得对美国政府相关数据或美国人大量敏感个人数据的访问能力。美国司法部(DOJ)官方亦将DSP描述为一种“effectively export controls”,其目标在于阻止受关注国家及受其管辖、所有、控制或指示的主体,通过特定交易接触和利用相关数据。
与欧盟关注数据主体权利不同,美国DSP的核心关切是阻断特定实体对美国敏感数据的“访问权”(“access”)。DOJ在28 C.F.R.§202.201中将“访问”宽泛定义为涵盖逻辑或物理层面的获取、读取、解密、编辑及通过云平台等查看的能力。这一定义彻底改变了传统基于地理边界的CBDT概念。美国监管机构不关心在商业逻辑上是否仅为Data Transit,只关注一个技术事实,部署在受关注国家(中国、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉)的物理网络节点、数据中心、云服务提供商的系统,或其相关雇员,是否在事实上获得了对美国敏感数据的“访问权”。这一设计意味着,美国规则并不满足于判断数据是否已经被实际读取或下载,而是提前关注相关主体是否在技术、合同或运维层面具备接触数据的可能性。就Data Transit场景而言,企业需要评估的该国实体、人员、设备或服务商是否因网络节点、云服务、系统运维、外包开发或供应商协议而获得物理或逻辑层面的访问能力。
这一路径在供应商协议场景中体现得尤为明显。DSP明确将云计算包含在供应商协议内,根据规则示例,若美国公司将大量地理位置或健康数据交由受关注国家实体处理、存储或提供IT服务,即可能构成受限交易[6]。因此,即便Data Transit表面上仅是路由优化或技术托管,只要相关服务商能接触数据,企业便不能以“数据已处于加密状态”来作为降低风险评级的抗辩。
尽管美国DSP对“访问能力”的定义较宽,但其并未试图将所有底层通信活动一概纳入限制。为避免影响国际通信和互联网基础设施的正常运行,28 C.F.R. § 202.509设置了电信服务豁免[7]:对于通常附属于并构成电信服务一部分的数据交易,除数据经纪外,相关禁止、限制、尽职调查、审计和报告要求原则上不适用。规则示例进一步说明,美国电信服务商与受关注国家本地运营商之间,为国际漫游、网络服务开通或费用结算而共享网络或设备信息,即便超过相应数量门槛,也可能属于豁免交易。
这一豁免为理解美国法下的Data Transit提供了有限空间。就底层通信链路、网络互联、国际漫游或常规IP路由而言,只要相关数据流动通常附属于电信服务本身,且没有转化为数据经纪、云存储、应用层处理、商业分析或供应商访问,美国规则仍保留一定容忍度。其核心逻辑是,未将纯底层路由一律视为受限交易,而是关注数据流动是否从“通信管道”上升为实质的“访问”。
但这一豁免边界并不宜被过度扩张。一旦相关安排脱离底层传输功能,进入云计算、外包IT、软件开发、数据处理、广告交易或数据库授权等场景,就可能重新落入受限交易风险范畴。律所实务文章也普遍提醒,企业在评估DSP适用时,应先完成数据流动的梳理,识别数据类型、数量、交易方身份、最终用途、传输方式及是否存在受关注国家或受覆盖人员参与,再判断是否落入禁止交易、限制交易或豁免交易[8]。
据此,实务中可以形成一条相对清晰的判断边界:越接近底层通信管道,越有可能落入电信服务豁免;越向应用层、数据处理层或运维控制层延伸,越可能重新进入受限制交易框架。例如,纯粹的网络层路由、IP Transit或为实现通信连接所必需的中继服务,通常更接近电信服务豁免的适用范围;但如果相关服务进一步涉及云存储、数据驻留、应用层API调用、日志分析、定制化内容管理或其他实质性处理,就可能不再只是通信传输,而会被评价为供应商协议、数据经纪或其他受规制交易。
以内容分发网络(CDN)为例,若其节点仅提供旨在加速网络传输的纯粹路由优化与基础缓存,尚有空间被解释为电信服务的附属部分;但若该CDN服务叠加了深层数据解析、日志分析或定制化内容管理等功能,便会转化为受规制的“供应商协议”[9],从而触发美国网络安全和基础设施安全局(CISA)的安全合规义务。一旦相关交易落入受限制交易框架,企业即需进一步落实CISA安全要求。CISA强制要求加密密钥不得存储于受关注国家,受覆盖人员亦无权访问密钥。这意味着,在处理高风险Data Transit时,加密本身不能自动消除访问风险,只有通过密钥控制、权限隔离和严密的运维边界,实质性切断受关注国家的获取能力,加密才真正具备合规价值。
综上,在当前美国框架下,电信服务豁免并非常态化避风港,而是一项需要结合业务功能、技术架构和权限安排持续证明的有限例外。对企业而言,判断能否主张豁免,不宜仅看数据是否经由底层网络传输,而应同步审查数据平面和管理平面:前者关注数据包是否仅为盲传、是否存在深度包检测或应用层解析;后者关注网络运维、系统配置、故障排查和安全管理权限是否向受关注国家或受覆盖人员暴露。与此同时,网络运行中产生的元数据也不应被忽视。BGP路由日志、NetFlow数据、IP地址和其他网络遥测数据,如仅用于连通性维护、故障排查或网络安全防护,通常更容易与电信服务功能相匹配;但如果被进一步池化用于商业分析、画像或交易,亦可能使企业失去豁免基础,并引发数据经纪或其他限制性交易风险。
综合前述规则与实务可以看到,Data Transit之所以成为跨国企业需要单独评估的问题,并不在于数据是否短暂经过第三国这一技术事实本身,而在于不同法域会如何将这一事实转化为监管连接点。中国更强调数据来源、是否引入境内个人信息或重要数据;欧盟更关注是否构成向第三国传输以及第三国法律环境是否削弱个人数据保护水平;美国则以受关注国家或相关人员是否取得访问能力为判断核心。中国、欧盟和美国三个主要司法辖区对Data Transit的监管呈现出鲜明的差异化路径,反映了各自数据主权理念的根本分歧。

由此可见,Data Transit的合规判断更关注对数据控制关系、访问能力和风险暴露面的综合评估。对跨国企业而言,全球数据架构的设计不宜仅由网络效率或成本优化驱动,而应在系统搭建阶段同步完成数据流向、接收主体、访问权限、密钥位置、供应商关系和后续转让限制的合规映射。尤其是在使用CDN、云服务、跨境运维、集中式数据平台或第三方供应链服务时,企业需要在技术方案落地前即判断相关节点究竟只是通信管道,还是已经形成可能触发本地监管义务的实质连接。
因此,企业在面对Data Transit安排时,应避免将其简单理解为低风险的技术中转,而应将其纳入跨境数据治理、供应商管理和网络架构设计的前置议题。只有在规则理解、技术隔离和证据留存之间形成闭环,Data Transit安排才可能真正转化为可持续、可解释、也可被监管接受的全球数据流动方案。
●注释:
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
本文作者

大成能为您做什么?
联系我们 +