作者丨杨洪泉、车佳倩

安杰律师事务所

* 本文首发于威科先行-网络安全合规模块

前言：安杰律师事务所“欧盟数据跨境传输规则实务指引”系列文章将解读Schrems案对欧盟数据跨境传输规则的影响、GDPR下的数据跨境传输规则、EDPB的最新建议、跨境传输标准合同条款等问题，剖析欧盟数据跨境传输规则的最新发展，为涉及从欧盟境内转移数据的中国出海企业提供建议。本文为该系列文章的第二篇，解读GDPR框架下数据从欧盟传输至一个第三国或地区的若干法律依据（或称为合法路径）。

- 关联阅读 -

一、GDPR下数据跨境传输的合法路径

在Schrems II案审理过程中正式生效的GDPR对《数据保护指令》中的数据跨境传输规则进行了完善，用第五章一整章的内容为企业、机构及其他组织提供了不同的合规路径。

GDPR的立法者们认为，虽然数据跨境流动对于推动国际贸易是必要的，但对自然人的数据保护水平也不得因此受到减损。因此，GDPR规定将个人数据转移到欧盟以外的国家/地区只能通过以下三种法律路径来实现。

二、首选路径：获得欧委会的充分性认定（Adequacy Decisions）

GDPR数据跨境传输规则体系以充分性认定机制为首选路径。若欧盟委员会认定第三国、第三国内的特定地区和国家组织对个人数据可提供足够的保护（与欧盟成员国保护水平相当），则可以将个人数据转移至该国家或地区，并且此类转移无需获得事先特定的授权，也无需提供额外的数据保护补充措施。[1]当前正式获得欧委会充分性认定的国家和地区仅有12个：安道尔、阿根廷、加拿大（限于商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭。[2]此外，由于英国已于2020年1月31日起正式脱离欧盟，英国已成为GDPR语义下的第三国，不再是被默认提供充分保护的国家。为此，欧委会于2021年2月19日发布了将个人数据传输至英国的充分性认定草案。待该草案获得正式批准后，脱欧后的英国才能被视为获得了欧委会的充分性认定。[3]

欧委员在做出充分性认定前，需要综合评估第三国的数据保护水平，评估内容包括第三国的法治、对人权及基本自由的保障、数据保护的立法水平及执行情况、公共当局获得转移数据的情况、数据保护当局的存在和职能、与保护个人数据有关的国际承诺和其他义务等方面。欧委会充分性认定不仅可以针对国家、地区，还可针对特定行业、国际组织而做出。充分性认定还需接受定期审核（4年必须重新审核一次），根据审核结果欧委会可能会废除、修订或暂停充分性认定。

三、常规路径：提供适当的保障措施（Appropriate Safeguards）

欧委会充分性认定机制虽然是GDPR下进行数据跨境传输的首要选择，但对大多数国家和地区而言（除上述已获得认定的12个国家和地区及不久将会获得认定的英国之外），为数据主体提供“适当的保障措施”才是更为切实可行的路径选择。

GDPR规定，适当的保障措施有：（1）公共当局之间有法律约束力和可执行性的文书、（2）有约束力的公司规则（Binding Corporate Rules, BCRs）、（3）欧委会通过或批准的标准合同条款（Standard Contractual Clauses, SCCs）、（4）经批准的行为准则（codes of conduct）、（5）经批准的认证机制（certification mechanism）。[4]在上述保障措施中，企业最常依赖的路径是标准合同条款，其次是有约束力的公司规则。

标准合同条款虽然是数据转移双方之间的合同，但重点在于保障非合同方也即数据主体的权利。值得注意的是，目前可供企业选择的三套标准合同条款在Schrems II案后很可能会失去效力跨境传输，[5]因为欧委会已于2020年11月12日发布了更新的标准合同条款和实施决定草案（正在征求公众意见，尚未正式通过），以更好地统一GDPR执法工作。[6]

有约束力的公司规则主要适用于跨国集团公司内部数据跨境传输的情形。若跨国集团公司具备经欧盟成员国数据保护机构批准的有约束力的公司规则，那么该公司无需得到另行批准即可直接将欧盟境内的个人数据传输到同一集团内的其他公司，即使其他公司位于没有按照GDPR要求为个人数据提供足够保护的国家。目前采用有约束力的公司规则进行数据跨境传输的有花旗集团、e-Bay、安永、通用电气、爱马仕、康士伯、PayPal等跨国集团公司。[7]

四、其他路径：特定情形下的豁免（Derogations for Specific Situations）

在充分性认定和适当保障措施均不能满足的情况下，数据输出者还可退而求其次，判断其数据跨境传输是否属于特定情形下的豁免。GDPR下这些豁免情形有：数据主体的明确同意、履行合同所必需、为公共利益目的、行使法律诉求等。此外跨境传输，GDPR还列出了豁免情形的“最后选择”，适用于只涉及少量数据主体、偶尔进行的数据跨境传输。[8]上述豁免情形只能在特定情形下使用，数据输出者不应将此作为常规化数据跨境传输的合法依据。

向上滑动阅览

· 注释：

[1] GDPR, Article 45.

[2] 在隐私盾协议无效前，美国（仅限于加入隐私盾协议的企业）也视为获得了欧委会的充分性认定。Adequacy decisions, available at

[3] See Data protection: European Commission launches process on personal data flows to UK, available at

[4] GDPR, Article 46.

[5] Standard Contractual Clauses (SCC), available at

[6] Standard contractual clauses for transferring personal data to non-EU countries (implementing act), available at

[7] BCR overview until 25th May 2018, available at

[8] GDPR, Article 49.

作者简介

杨洪泉律师是安杰律师事务所科技、数据保护及网络安全业务合伙人。

杨律师已有近20年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务，尤为专注IT、电信和互联网、数据保护、网络安全、电子商务、社交网络、硬件和软件、技术采购和转让，分销和许可以及其他与技术有关的领域。杨律师还为客户提供合规和争议解决等法律服务。

在TMT和数据保护法律领域，杨律师多次受到国际权威评级机构推荐，包括：

- Global Leader: Data (Who’s Who Legal, 2021)

- Leading Individual, TMT (Legal 500, 2020/2021)

- Leading Individual, Data (Legal 500, 2021)

- Ranked TMT Lawyer（Chambers and Partners, 2021）

- 网络安全及数据—中国律师特别推荐榜15强（LEGALBAND, 2021)

在加入安杰之前，杨律师曾在英国欧华律师事务所（DLA Piper）、英国电信（BT）等机构工作。

Wolters Kluwer | 威科先行

威科先行丨网络安全合规模块

集合法规案例查询、更新信息接收、实务问题解决，为您提供全方位实务资源支持，助力您洞悉网络安全精髓，自信决策，合规经营。

申请试用

威科先行 | 网络安全合规模块

长按并识别左侧二维码

WHEN YOU HAVE TO BE RIGHT.