数据跨境流通要求
中华人民共和国
无
印度
新加坡
美国;日本;澳大利亚;加拿大;墨西哥;韩国; 东南亚国家联盟(Association of Southeast Asian Nations-ASEAN,简称“东盟”)成立于1967年,截至2020年10月,成员国包括文莱、柬埔寨、印度尼西亚、老挝、马来西亚、缅甸、菲律宾、新加坡、泰国、越南。
日本
英国,欧盟
APPI 规定不得将个人数据传输到国外,除非:
数据主体已事先明确同意将其个人数据传输给外国实体;
接收者所在国家的法律体系被认为等同于 PPC 指定的日本个人数据保护制度;
或者接收方按照 PPC 的规定采取充分的预防措施来保护个人数据。
目前,根据2019年1月23日的充分性决定,英国和欧盟国家被指定为白名单国家。因此,企业经营者现在可以将个人数据从日本转移到欧洲经济区,而无需采取特定数据主体同意或特殊合同条款等措施。 日本《个人信息保护法》承认 APEC CBPR和PRP认证,可用于个人数据的海外转移。
美属萨摩亚
澳大利亚
the Privacy Act是澳大利亚的个人隐私保护法。数据传输到澳大利亚以外的企业,以下条件满足可以跨境传输: 1 - 该组织有理由相信,信息接收者受法律或有约束力的计划约束,该法律或计划有效地提供了至少与《隐私法》基本相似的保护水平; 2 - 个人同意传输。但是,根据《隐私法》,该组织必须在收集同意之前,明确告知个人,如果他或她同意在海外披露信息,该组织将不需要采取合理措施,以确保海外接收方不违反APPs。 3 - 法律或法院/法庭命令要求或授权披露。
文莱
柬埔寨
印度尼西亚
中国-香港
中国-台湾
中国-澳门
朝鲜
韩国
老挝
马来西亚
蒙古
缅甸
新西兰
巴布亚新几内亚
泰国
东帝汶
越南
法国
参见欧盟白名单国家
参见欧盟要求
荷兰
参见欧盟白名单国家
参见欧盟要求
比利时
参见欧盟白名单国家
参见欧盟要求
卢森堡
参见欧盟白名单国家
参见欧盟要求
瑞士
参见欧盟白名单国家
参见欧盟要求
列支敦士登
参见欧盟白名单国家
参见欧盟要求
奥地利
参见欧盟白名单国家
参见欧盟要求
摩纳哥
参见欧盟白名单国家
参见欧盟要求
德国
参见欧盟白名单国家
参见欧盟要求
波兰
参见欧盟白名单国家
参见欧盟要求
匈牙利
参见欧盟白名单国家
参见欧盟要求
斯洛伐克
参见欧盟白名单国家
参见欧盟要求
捷克
参见欧盟白名单国家
参见欧盟要求
保加利亚
参见欧盟白名单国家
参见欧盟要求
罗马尼亚
参见欧盟白名单国家
参见欧盟要求
俄罗斯
俄罗斯联邦通信,信息技术和大众传媒监督局(Roskomnadzor)批准了对个人数据主体权利提供充分保护的国家名单.该名单共包括89个国家,分为两组,第一组国家是加入《欧洲委员会在个人数据自动处理方面保护个人公约》的缔约国,包括奥地利,墨西哥,意大利,阿尔巴尼亚等;第二组国家是未加入该《公约》但其法律规则和采取的措施符合规定的国家. 新批准的国家是哥斯达黎加、加蓬、哈萨克斯坦、马里、卡塔尔、南非和新加坡。他们加入了安哥拉、阿根廷、贝宁、加拿大、佛得角、智利、以色列、马来西亚、墨西哥、蒙古、摩洛哥、新西兰、秘鲁、韩国和突尼斯。印度在2023年1月被俄罗斯正式承认为充分保护国。美国既不是该公约的签署国,也不在罗斯科纳佐尔的隐私保护足够允许从俄罗斯传输个人数据的国家名单上。 您可以阅读声明 here 和名单 here,两个都只有俄语。
在没有充分保护个人数据的情况下,如果满足以下条件之一,则允许跨境转移: 1)数据主体同意; 2)转移是根据俄罗斯签署的国际条约规定的; 3)根据保护宪法、国防、安全和运输系统的联邦法律,该转移是必要的; 4)为了履行数据主体为一方当事人的合同;5)或 转移是为了保护数据主体的重要利益,而不可能得到数据主体的书面同意。
乌克兰
白俄罗斯
摩尔多瓦
英国
丹麦
挪威
冰岛
芬兰
瑞典
立陶宛
拉脱维亚
爱沙尼亚
爱尔兰
西班牙
葡萄牙
希腊
意大利
梵蒂冈
安道尔
北马其顿
圣马力诺
马耳他
斯洛文尼亚
克罗地亚
波黑
黑山
塞尔维亚
阿尔巴尼亚
阿拉伯联合酋长国
巴林
美国
无
相比欧盟严格的管控政策,美国主张个人数据跨境自由流动,采取了行业自律模式辅助于政府监管的方式保护数据跨境。行业自律方面,企业制定隐私政策的标准,最具代表性的为ISO/IEC29100系列标准,包括《隐私保护框架》、《隐私体系框架》、《隐私能力保护评估模型》、《隐私影响评估》、《个人可识别信息保护指南》等。 美国对数据跨境传输的路径没有特定规制,但在对欧盟和中国的策略和态度上还是存在很大差异的。如前所述,欧盟与美国已就新的跨大西洋数据隐私框架达成共识,努力促进双方间数据的自由流动。相比而言,美国对我国科技企业陆续开展非正当的管制措施,如自2020年以来,美国以用户数据隐私和国家安全审查为由对TikTok(抖音海外版)和微信国际版进行打压,也显示出美国向我国进行数据跨境传输的政策日趋严格。
加拿大
安提瓜和巴布达
N/A
巴哈马
N/A
巴巴多斯
N/A
伯利兹
N/A
哥斯达黎加
N/A
古巴
N/A
多米尼克
N/A
多米尼加共和国
N/A
萨尔瓦多
N/A
安圭拉
N/A
百慕大
N/A
英属维尔京群岛
N/A
开曼群岛
N/A
格陵兰
N/A
格林纳达
N/A
瓜德罗普
N/A
危地马拉
N/A
海地
N/A
洪都拉斯
N/A
牙买加
N/A
马提尼克岛
N/A
墨西哥
N/A
蒙特塞拉特
N/A
那瓦萨岛
N/A
阿鲁巴
N/A
库拉索
N/A
荷兰加勒比区
N/A
尼加拉瓜
N/A
巴拿马
N/A
圣基茨和尼维斯
N/A
圣卢西亚
N/A
圣文森特和格林纳丁斯
N/A
特立尼达和多巴哥
N/A
特克斯和凯科斯群岛
N/A
法属圣马丁
N/A
波多黎各
N/A
圣巴泰勒米
N/A
荷属圣马丁
N/A
圣皮埃尔和密克隆群岛
N/A
美属维尔京群岛
N/A
巴西
哥伦比亚
N/A
阿根廷
N/A
秘鲁
N/A
委内瑞拉
N/A
智利
N/A
厄瓜多尔
N/A
玻利维亚
N/A
乌拉圭
N/A
巴拉圭
N/A
圭亚那
N/A
苏里南
N/A
法属圭亚那
N/A
福克兰群岛
N/A
南乔治亚和南桑威奇群岛
N/A
尼日利亚
所有欧盟成员国; 安哥拉; 阿根廷; 澳大利亚;巴西; 加拿大; 佛得角;中国。
尼日利亚数据保护条例于2019年1月25日发布,该条例对保障自然人的数据隐私权、保护涉及个人数据交换的交易安全、防止个人数据被篡改提供了与最佳实践相协调的公正、公平的数据保护法律监管框架。
NDPR 适用于打算和处理个人数据的所有交易,无论数据的处理方式如何,它适用于居住在尼日利亚或居住在尼日利亚境外但具有尼日利亚血统的自然人,并且不会阻止任何尼日利亚人或任何自然人根据当时在尼日利亚或任何外国司法管辖区有效的任何法律、法规、政策、合同享有的隐私权。 NDPR
NDPR 禁止将数据传输给本地或国际第三方,除非符合其规定。但是,向符合 NDPR 要求的外国转移是在联邦荣誉总检察长('HAGF') 的监督下进行的。实施框架包含一个数据保护白名单,其中列出了具有足够数据保护法律的国家/地区,尼日利亚可以与之交换个人数据。
南非
南非的POPI(个人信息保护)法案使其数据监管标准达到世界各地现有数据保护法的同等水平。该条例旨在保护个人验证信息(PII)、保障个人私隐权利、规定合法处理敏感信息准则,并在数据泄露时通知监管者和信息持有者。 企业不得将数据主体的个人信息转让给国外第三方,除非作为信息接收者的第三方受到具有同等保护水平的法律、约束性公司规则或约束性协议的限制。该规定的例外情况是: (1)数据主体同意转让; (2)转让对于履行数据主体与企业之间的合同或执行根据数据主体的请求采取先合同措施是必要的; (3)转让对于订立或履行合同是必要的; (4)在无法征询数据主体意见,但若能够征询其意见,数据主体很有可能同意的情况下,出于维护其利益而进行的转让。
埃及
肯尼亚
不适用
肯尼亚法律目前没有涉及个人数据的收集和处理。然而,《2017年卫生法》要求 内阁卫生部长将颁布立法,以规范个人健康信息的收集和使用等。因此,肯尼亚目前收集和处理个人数据的人只需遵守有关保密的合同规定、法院命令和普通法中的保密义务。
加纳
阿尔及利亚
安哥拉
不适用
向具有适当保护水平的国家进行个人数据的国际转移需要事先通知APD。 向不能确保充分保护水平的国家进行国际转移个人资料,必须事先得到APD的授权,只有在满足特定要求的情况下才会被批准。如果是同一集团的公司之间的转移,可以通过采用关于数据保护和隐私的协调和强制性的内部规则来达到适当的保护水平的要求。但是目前安哥拉APD机构还未成立,无法争得该机构的同意。
贝宁
博茨瓦纳
迪戈加西亚岛
布基纳法索
布隆迪
喀麦隆共和国
加那利群岛
佛得角共和国
中非共和国
休达
查德
科摩罗
科特迪瓦
刚果民主共和国
吉布提共和国
阿拉伯埃及共和国
赤道几内亚共和国
厄立特里亚国
埃塞俄比亚联邦民主共和国
加蓬共和国
冈比亚共和国
加纳共和国
几内亚共和国
几内亚比绍共和国
佩拉杰群岛
莱索托王国
利比里亚共和国
利比亚国
马达加斯加共和国
马德拉群岛
马拉维共和国
马里共和国
毛里塔尼亚伊斯兰共和国
毛里求斯共和国
马约特
梅利利亚
摩洛哥王国
莫桑比克共和国
纳米比亚共和国
尼日尔共和国
尼日利亚联邦共和国
刚果共和国
卢旺达共和国
圣多美和普林西比民主共和国
塞内加尔共和国
塞舌尔共和国
塞拉利昂共和国
索马里联邦共和国
索马里兰共和国
南苏丹共和国
苏丹共和国
斯威士兰王国
坦桑尼亚联合共和国
多哥共和国
突尼斯共和国
乌干达共和国
阿拉伯撒哈拉民主共和国
赞比亚共和国
津巴布韦共和国
最后更新于