跨境数据 · GDPR · 2026 年 5 月

GDPR 中国数据传输：从 SCC 到落地架构的中国 SaaS 实战手册

合同签完一周，德国客户的法务部发来一份 22 题的「传输影响评估」问卷，要求你说明中国政府是否可以索取欧盟个人数据、SCC 第 14 条所谓的「补充措施」你打算怎么实施、以及为什么你认为 PIPL 等同于 GDPR。Schrems II 之后，GDPR 跨境传输不再是「签个标准合同就完事」。这是一份从 14 家中国 SaaS 客户的真实欧盟合同里整理出来的传输合规手册。

本文要点

• 中国至今没有 GDPR 充分性认定。把欧盟个人数据传到中国境内，必须用 SCC、BCR 或 Article 49 例外，而且都要叠加「传输影响评估（TIA）」和「补充措施」
• Schrems II 判决之后，欧盟监管机构盯的不是合同条款，而是目的地国法律是否允许政府随意获取数据。PIPL 第 41 条、网安法第 28 条、国家情报法第 7 条是 TIA 必答题
• 14 家中国 SaaS 客户里，11 家最终选了「欧盟数据留在欧盟」 的架构（AWS Frankfurt 或 OVHcloud），SCC 只覆盖支持流程中无法避免的远程运维访问
• SCC 2021 版有 四个模块（Module 1 至 4），中国 SaaS 通常需要 Module 2（控制者到处理者）和 Module 3（处理者到子处理者），用错模块直接被欧盟法务退回
• 补充措施不是写在合同里就完事。加密 + 假名化 + 访问审计 是技术三件套，缺一不可。客户端密钥管理（BYOK / HYOK）是 2026 年欧盟大客户的新标配
• 从「客户提出 TIA」到「双方法务签字」，中位周期 11 周。提前把 TIA 模板、SCC 附件、技术架构图准备好，可以压到 4 周

GDPR 第 44 至 49 条管「个人数据从欧盟传到第三国」。对中国公司来说，这一段比 GDPR 其他任何部分都棘手，原因有三个，是结构性的，不是改个流程就能绕过去的。

这三点的共同后果是：欧盟客户的法务团队默认对来自中国的处理者持「怀疑姿态」。他们不是反对你，而是必须按 EDPB（欧洲数据保护委员会）2021 年 06/2020 号建议书的要求做尽职调查。你的目标不是说服他们「不需要做 TIA」，而是把 TIA 做得让他们的内部审查能签得下来。下面五节就是怎么做到这一点的具体方法。

GDPR 第 44 至 49 条总共给出了六种把欧盟数据合法传到第三国的路径。对中国 SaaS 来说，绝大多数选项要么用不上，要么不实用。下表是 14 家客户走过的真实组合。

SCC（Standard Contractual Clauses，标准合同条款）2021 年欧盟委员会修订之后是唯一对绝大多数中国 SaaS 实用的机制。BCR（具约束力公司规则）适合大型跨国集团，审批周期 2 至 3 年，对成长期 SaaS 投入产出比太低。其他几种基本可以忽略，写在 DPA 里只会让客户法务困惑。

SCC 2021 版分四个模块。中国 SaaS 用错模块是常见错误：

操作上：每签一家欧盟客户，把 Module 2 + Module 3 作为 DPA 附件交付。Module 3 的「子处理者清单」必须准确列出每一家境外服务商及其所在地。我们见过的最常见错误是把 Module 1 用在 SaaS 关系上，结果客户法务退回三次，浪费两个月。

TIA（Transfer Impact Assessment）是 Schrems II 判决之后 EDPB 在 06/2020 号建议书里要求的「目的地国法律评估」。欧盟客户的内部 DPO 会问你六个问题，缺一不可。我们把这六个问题拆成可以直接抄到你 TIA 文档里的模板。

第三问「中国法律评估」是大部分中国 SaaS 卡住的地方。诚实的答法不是「中国法律和 GDPR 类似，没问题」，那样会被识破。正确做法是承认风险存在，然后用补充措施降到欧盟客户能接受的程度。例如：「PIPL 第 41 条规定境外司法或执法机构请求调取中国境内个人信息，须经中国主管机关批准。我们的欧盟客户数据不存储在中国境内，因此该条款对本次传输不直接适用。中国境内员工对欧盟数据的访问需经双因素认证 + 审计 + 加密通道，技术上排除了未授权调取。」

14 家客户里，写好 TIA 模板可以复用 80% 给后续的欧盟客户。第一份 TIA 通常要花 60 至 100 小时（含外部法律意见书），第二份只需要 15 至 20 小时。把 TIA 模板当作长期资产维护，是这套合规投入的最大单点回报。

SCC 第 14 条要求传输方在 TIA 评估出风险后实施「补充措施」（supplementary measures）。EDPB 把补充措施分成技术、合同、组织三类。对中国 SaaS 来说，欧盟客户法务真正信的是技术措施，合同和组织措施只是配套。下面是 14 家客户里被欧盟 DPO 接受率最高的技术三件套。

2026 年欧盟大企业新增的明确要求是 BYOK（Bring Your Own Key，客户自带密钥）。客户希望即使你的中国工程师在堡垒机上看到一行行密文，也没有解密能力，因为 KMS 主密钥在客户自己的 AWS KMS 或 HashiCorp Vault 里。AWS、Azure 都提供 BYOK 接入，工程改造一般 4 至 8 周。HYOK（Hold Your Own Key，HSM 留客户机房）成本更高，目前 14 家客户里只有 2 家做到了，主要服务金融和医疗类欧盟客户。

最快让欧盟客户安心的方法是从架构上把数据留在欧盟。这样 SCC 只覆盖少量必要的运维访问，TIA 也更容易通过。14 家客户走过四种典型架构，下表给出取舍。

实操建议：起步阶段选模式 B（数据留在 AWS Frankfurt 或 OVHcloud），用相同代码库部署一个独立的欧盟租户。CI/CD 流水线在中国总部，但部署到欧盟集群，发布前的镜像不含真实欧盟个人数据。欧盟运维由值班团队远程接入欧盟堡垒机，所有操作有审计日志，季度向客户呈交访问报告。当欧盟收入超过 200 万欧元，再考虑设立爱尔兰或荷兰子公司转 Module 1 的 C2C 架构（模式 C）。

14 家客户的真实数据：第一份 TIA 从客户发问卷到双方签字，中位 11 周。预先把模板和架构准备好的客户，可以压到 4 周。下图是 4 周快通道的拆解。

值得强调的是「中国侧并行」：你完成欧盟侧的 SCC 签字后，如果传输路径里仍包含从欧盟节点流向中国境内的数据（例如运维访问），按 PIPL 第 38 条还要走中国侧的三选一：网信办安全评估、个人信息出境标准合同、或个人信息保护认证。中等量级的中国 SaaS（每年欧盟个人信息条数 < 10 万）通常走「标准合同」备案最经济，约需 30 至 60 天。

Atlant Security 如何帮你

GDPR 跨境传输全套交付

我们为 30 至 300 人的中国 SaaS 提供 GDPR 跨境传输的全套交付。从 TIA 主文档撰写、SCC 模块选型、欧盟数据驻留架构方案、补充措施技术落地、PIPL 出境标准合同备案到欧盟客户法务答辩，整套流程一站式完成。所有交付物中英双语、按欧盟客户法务团队的标准格式提交。

• 固定价格 USD 18,000 起（首份 TIA + SCC + 补充措施实施）
• 4-8 周完成首份完整传输包；后续客户复用降至 1-2 周
• 14 家中国 SaaS 客户的欧盟传输实战经验
• 欧盟和中国双侧法律意见书 + 工程改造路线图
• 合同签字之前付款比例不超过 30%

预约 30 分钟咨询 →

GDPR 跨境传输对中国 SaaS 不是一道考试题，是一个长期工程。Schrems II 之后欧盟监管机构对「中国处理者」的默认怀疑姿态短期内不会改变，但这不等于欧盟市场对中国 SaaS 关上了门。14 家客户的真实经验是：把 TIA 模板、SCC 附件、补充措施技术架构当作可复用资产打磨好，第一份合同会花 4 至 11 周，从第二份合同开始通常 2 周就能签。把这套合规能力做成产品，欧洲市场的签单速度甚至会快于美国市场，因为欧盟法务对「准备充分的中国处理者」的认可度比想象中高。

如果你正在和第一家欧盟客户谈合同，或者已经签了但被 TIA 问卷卡住，趁着客户法务还耐心的窗口期，把数据驻留架构、SCC 模块选型、补充措施清单这三件事先定下来。三个月之后回头看，这是中国 SaaS 进入欧盟市场最值得的一笔投入之一。

想聊聊你公司的具体情况？预约 30 分钟咨询，或直接发邮件给 alexander@atlantsecurity.com。