作者:宁宣凤 吴涵 徐梦悦 陈琳珺
2024年7月22日,荷兰数据保护机构(Autoriteit Persoonsgegevens,下称“AP”)基于欧盟《一般数据保护条款》(下称“GDPR”)的规定发布一项最终调查决定,该决定对某全球网约车服务运营商(下称“U公司”)处以2.9亿欧元罚款,原因在于U公司未能根据GDPR第五章有关个人数据跨境传输的合规要求向欧盟境外传输司机的个人数据。本次案件作为2024年期间就违规跨境传输个人数据活动施加最高处罚力度的案件,自处罚决定发布之日起即引起了全球范围内的广泛关注,同时也为各个司法辖区内开展数据跨境传输活动的企业敲响了合规警钟。
在此,本文拟从本案件所涉及的事实背景、核心争议焦点说开去,以近距离观察GDPR中有关数据跨境传输的合规要求在实践环境中的演绎与欧盟数据保护机构的执法思路,并再度思考与展望中国有关数据跨境治理路径的脉络与未来。