个人数据的跨境流动极大促进了数字经济的发展，但同时也会引发国家安全及个人隐私受到侵犯的危险。各国出于不同的价值需求，逐渐形成了不同的数据跨境流动治理模式。为实现对个人基本权利的充分保护，同时保护本土数字企业的发展，欧盟构建了较为严格的数据跨境流动标准，形成了以充分性决定机制（Adequacy Decision）为基础的数据跨境传输路径。对于经欧盟评估，被认定为能够为个人数据提供充分性保护（Adequate Level of Protection）的国家或国际组织，欧盟允许数据可以无需另行授权地传往该国家或国际组织。自欧盟在《关于个人数据处理保护与自由流动指令》（简称“《95年指令》”）首次创设该机制后，欧盟通过配套工作组文件及《通用数据保护条例》（General Data Protection Regulation，GDPR）不断细化和明确该机制的评估标准。

在数据治理问题上，美国采取了与欧盟不同的价值取向，推崇行业自律模式，反对政府为个人数据跨境流动设置障碍。从欧盟视角来看，美国模式不能实现对个人数据的充分保护，无法通过充分性决定机制实现与欧盟的数据跨境流动。但出于欧美之间海量数据传输的现实需求，经过欧美双方谈判，欧盟先后发布了《关于安全港协议的充分性保护决定》（简称“《安全港协议》”）以及《关于隐私盾协议的充分性保护决定》（简称“《隐私盾协议》”），将承诺接受相关原则的美国企业视为满足充分性保护要求，允许其接收来自欧盟的个人数据。然而，由于美国不能合理限制情报机关的监控活动这一主要原因，两份协议相继被欧洲法院认定保护程度不足而宣告失效。目前，欧美双方已就跨大西洋数据隐私框架进行了第三次谈判尝试，并已公布了《关于欧盟-美国数据隐私框架的充分性决定草案》。随着三次协调机制的构建、无效及演进，欧盟对充分性保护水平的把握力度不断加强，充分性决定机制的关注要点也在此过程中得到了进一步的阐释。

借助充分性决定机制，欧盟逐步把控了个人数据的自由流向，在全球范围内不断扩充其数字保护标准的影响力。但与此同时，这一立法模式也招致了技术性层面和合法性层面的批评。技术性层面，现行规范过于严苛且不确定的标准既带有形式审查的固化缺陷，也有夹杂欧盟政治考虑的不确定因素，引发了广泛质疑；合法性层面，尽管尚未在WTO争端解决机构被诉，但该机制被普遍认为涉嫌违反了WTO体系下的“最惠国待遇”“市场准入”及“国民待遇”义务，且难以通过例外条款免责。

我国作为数字经济大国，近年来已经陆续出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息安全保护法》等法律，并出台配套性规范性文件，逐步完善了安全评估、安全认证及标准合同三条个人数据跨境流动路径。我国的三条数据出境路径虽不能与欧盟路径一一对应，但安全评估制度与充分性决定机制在某些方面有一定的关联。通过与充分性决定机制的制定与运行情况比较，可以发现，我国的数据出境安全评估制度仍有待健全，立法、执法、司法三个维度对数据主体的权利保护均有待加强，国际规则参与程度有待提升。未来，我国应当进一步完善安全评估制度、加强对数据主体的权利保护，并逐步提高国际规则参与度。

个人数据的跨境流动极大促进了数字经济的发展，但同时也会引发国家安全及个人隐私受到侵犯的危险。各国出于不同的价值需求，逐渐形成了不同的数据跨境流动治理模式。为实现对个人基本权利的充分保护，同时保护本土数字企业的发展，欧盟构建了较为严格的数据跨境流动标准，形成了以充分性决定机制（Adequacy Decision）为基础的数据跨境传输路径。对于经欧盟评估，被认定为能够为个人数据提供充分性保护（Adequate Level of Protection）的国家或国际组织，欧盟允许数据可以无需另行授权地传往该国家或国际组织。自欧盟在《关于个人数据处理保护与自由流动指令》（简称“《95年指令》”）首次创设该机制后，欧盟通过配套工作组文件及《通用数据保护条例》（General Data Protection Regulation，GDPR）不断细化和明确该机制的评估标准。

在数据治理问题上，美国采取了与欧盟不同的价值取向，推崇行业自律模式，反对政府为个人数据跨境流动设置障碍。从欧盟视角来看，美国模式不能实现对个人数据的充分保护，无法通过充分性决定机制实现与欧盟的数据跨境流动。但出于欧美之间海量数据传输的现实需求，经过欧美双方谈判，欧盟先后发布了《关于安全港协议的充分性保护决定》（简称“《安全港协议》”）以及《关于隐私盾协议的充分性保护决定》（简称“《隐私盾协议》”），将承诺接受相关原则的美国企业视为满足充分性保护要求，允许其接收来自欧盟的个人数据。然而，由于美国不能合理限制情报机关的监控活动这一主要原因，两份协议相继被欧洲法院认定保护程度不足而宣告失效。目前，欧美双方已就跨大西洋数据隐私框架进行了第三次谈判尝试，并已公布了《关于欧盟-美国数据隐私框架的充分性决定草案》。随着三次协调机制的构建、无效及演进，欧盟对充分性保护水平的把握力度不断加强，充分性决定机制的关注要点也在此过程中得到了进一步的阐释。

借助充分性决定机制，欧盟逐步把控了个人数据的自由流向，在全球范围内不断扩充其数字保护标准的影响力。但与此同时，这一立法模式也招致了技术性层面和合法性层面的批评。技术性层面，现行规范过于严苛且不确定的标准既带有形式审查的固化缺陷，也有夹杂欧盟政治考虑的不确定因素，引发了广泛质疑；合法性层面，尽管尚未在WTO争端解决机构被诉，但该机制被普遍认为涉嫌违反了WTO体系下的“最惠国待遇”“市场准入”及“国民待遇”义务，且难以通过例外条款免责。

我国作为数字经济大国，近年来已经陆续出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息安全保护法》等法律，并出台配套性规范性文件，逐步完善了安全评估、安全认证及标准合同三条个人数据跨境流动路径。我国的三条数据出境路径虽不能与欧盟路径一一对应，但安全评估制度与充分性决定机制在某些方面有一定的关联。通过与充分性决定机制的制定与运行情况比较，可以发现，我国的数据出境安全评估制度仍有待健全，立法、执法、司法三个维度对数据主体的权利保护均有待加强，国际规则参与程度有待提升。未来，我国应当进一步完善安全评估制度、加强对数据主体的权利保护，并逐步提高国际规则参与度。

Cross-border flows of personal data have greatly facilitated the development of the digital economy, but also raises the risk of national security and personal privacy infringement at the same time. Due to different values, different countries have gradually developed different models of governance for cross-border data flows. In order to achieve adequate protection of personal data and protect the development of local digital enterprises, the EU has established strict standards for cross-border data flows, and developed Adequacy Decision as the basis tool to transfer personal data from the EU to third countries. If a third country or international organization is assessed by the EU as being able to offer an adequate level of protection for personal data, the data may be transferred to the country or the international organization without separate authorization. Since the EU first created the mechanism in the Directive on the Protection and Free Movement of Personal Data Processing (Directive 95/46/EC), the EU has continuously refined and clarified the evaluation criteria through supporting documents and the General Data Protection Regulation.

    The United States has adopted a different value from the EU on the issue of data governance, advocating an industry self-regulatory model and opposing government barriers to the cross-border flow of personal data. From the perspective of the EU, the US model cannot offer an adequate protection of personal data, thus cannot obtain the Adequacy Decision. However, due to the massive data transfer between the two parties, the EU issued the Decision on “the adequacy of the protection provided by the safe harbour privacy principles” and “the adequacy of the protection provided by the EU-U.S. Privacy Shield. However, since the United States cannot reasonably limit the surveillance activities of its intelligence agencies, both of the two agreements have been declared invalid by the European Court of Justice. The two parties engaged in a third attempt to negotiate a transatlantic data privacy framework, which resulted in the draft decision on the adequacy of the EU-US data privacy framework. With the negotiation, invalidation and evolution of the three agreements, the EU has been constantly raising the standard of adequate level of protection, its focuses on the Adequacy Decision have been further elaborated at the same time.

    Through Adequacy Decision, the EU has gradually controlled the free flows of personal data and expanded the influence of its digital protection standards globally. However, the legislative model has also attracted criticism at the technical operation level and the legality level. At the technical operation level, it has aroused widespread doubts that the current criteria is too stringent and uncertain, which not only has the solidification defect of formal examination, but also has uncertain factors including political considerations. At the legality level, although it has not yet been sued before the WTO Dispute Settlement Body, the mechanism is widely considered as being suspected to violate the "Most-Favored-Nation treatment", "Market Access Rules" and "National Treatment" obligations under the WTO, and the liability cannot be exempted through the clause of General Exceptions either.

    As a major digital economy country, China has introduced Cybersecurity Law, Data Security Law, and Personal Information Protection Law, etc., also issued supporting regulatory documents to improve the compliance requirements of the three routes for personal information transfer: security assessment, security certification, and standard contracts in recent years. Although these routes cannot correspond to the EU route one by one, the security assessment and the Adequacy Decision are related in some aspects. By comparison with the development and operation of Adequacy Decision, the security assessment still needs to be improved, and the protection of data subjects’ rights in the three dimensions of legislation, enforcement and justice needs to be strengthened, and the degree of participation in international rules needs to be improved. In the future, China should improve the security assessment system, strengthen the protection of the rights of data subjects, and gradually increase participation in international rules.