2015年10月6日,欧盟法院(CJEU)对成员国法院提交的Maximillian Schrems v.Data Protection Commissioner 一案做出裁决,宣布美国为欧盟公民提供的数据保护规定,不符合欧盟法的数据保护标准,欧盟与美国数据传输《安全港决议》因不满足“充分性”保护而无效,欧盟用于批量进行跨境信息传输的“充分性决议”因此成为关注焦点。目前,在国家推动电子商务的政策鼓励下,中国企业将不断开拓欧、美市场。中国网络服务提供商与他国的合作与合并,不可避免地产生信息的跨境流动。不论中国是作为信息的进口国,还是出口国,其信息立法都亟待改善。文章的前三部分按照时间顺序排列。第一部分是欧盟“充分性决议”的概述。为保护欧盟法赋予公民的数据权利,欧盟1995年的《个人数据处理和自由流动中个体权利保护指令》规定,由欧盟执委会(European Commission)认定第三国信息规范满足“充分保护”的标准,统一发布充分性决议。因无需个别审查企业提供给用户的特殊条款,充分性决议方便了欧盟和美国之间大量数据传输的需求。第二、三部分考察了欧盟与美国的两个充分性决议的形成与演进过程,总结了“充分性”信息保护标准的内涵演变。欧盟与美国的第一份充分性决议——《安全港决议》发布之际,将评估第三国是否提供充分保护,抽象地理解为强调传输原则的实施和遵守。但决议在实施过程中面临许多具体问题:规范实施没有透明的监督机制,独立的救济机制没有落实,情报机关过度干涉。该决议最终被欧盟法院废止。欧美双方为重建欧美跨境数据流动的信任机制,努力达成新“充分性保护”方案,使原有的内涵得以充实。在跨境信息传输的充分性决议的演进过程中,双方关注的内容有:跨境数据保护义务的强制力度、透明化管理,主管机关对目标国法律是否达标的定期监督和主动调查,公民权利是否受信息接受国相关法律保护、能否获得司法救济,以及对情报机关干涉的严格限制等问题。因此废止《安全港决议》后的较短时间内,欧盟发布了欧美之间的第二份充分性决议——《隐私盾决议》。通过充分性决议的演变,总结“充分性”信息保护的评估要素,第四部分首先将这些要素作为参考标准,分析我国的信息保护规范。“充分性决议”的演变对我国相关规范的改进有国内和国际两个层面的意义。在国内层面,欧盟对美国法的评估,对我国如何完善国内规定,保护国内外用户信息在境内的安全,有借鉴意义。国际层面的意义又分为两部分:其一,是欧盟的做法,可用于反思如何有效保护被外国企业大批量提取的本国用户信息;其二,是美国的国内法改革,对如何结合已有规范,通过完善国内立法,为中国企业获取的外国公民信息提供保护,具有启示意义。目前,中国的个人信息保护规范不统一,尤其欠缺对信息跨境相关问题的规定。以现有的国内规范为基础,完善信息保护规范的努力,在国内层面,可保持管理透明度上的优势,注意系统规定国内用户的各项信息权利,统一主管机关或规范多个主管机关的职责分配,在行政法救济方式以外提供其它救济途径,建立起国内用户信息跨境传输的定期评估、监督机制;当国内形成了系统性的保护,应关注国际的层面,可以国内法为依托,保护入境的境外信息,扩大国内法中信息权利的域外效力。