數據跨國傳輸，這個話題離我們并不遙遠：我國的跨國企業越來越多，基于統一人力資源管理的需要，母子公司將國際員工的個人信息在相互之間進行傳輸不可避免。歐盟子公司和中國母公司之間如何傳輸歐盟員工的個人信息才算合規，不會被處罰？這恐怕是每個涉歐跨國中企都要面臨的問題。

　　同時，我國與歐盟有貿易往來的企業（包括跨境電商）也越來越多，很多企業不可避免地會收集到歐盟境內居民（比如歐盟消費者）的個人信息，如果企業在歐盟境內沒有分支機構，那么要對這些信息進行處理就必然涉及到如何將在歐盟收集的歐盟消費者的個人信息合法合規地傳輸回中國的問題。

　　那么，《歐盟通用數據保護條例》對個人數據的跨國傳輸到底有哪些具體合規要求？法律條文的規定在企業實踐層面的可操作性如何？有沒有合規的捷徑？趙曉鵬博士在這篇文章里跟您一探究竟。

　　中國不屬于歐盟認可的數據安全國度

　　并不是從歐盟向任何一個非歐盟國家進行個人數據的傳輸都有額外的合規需求。歐盟有其認可的數據安全國度名單，在這個名單里的國家被認為有至少跟歐盟同級別的個人數據保護水平，所以從歐盟向這些國家傳輸個人數據并沒有特殊的合規要求，就像在歐盟境內傳輸數據一樣簡單。

　　截至目前，被歐盟認可的數據安全國度包括：安道爾、阿根廷、加拿大（僅限商業組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。

　　中國目前尚不屬于歐盟認可的數據安全國度，所以如果要將在歐盟境內收集的個人信息傳輸到中國，需要采取其他方式證明在中國的接收方采取了足夠的措施以保證個人數據安全。

　　被歐盟認可的數據安全措施

　　從歐盟出境中國的個人數據傳輸只要能滿足下述措施中的一項，就可以被歐盟監管機構認為是合規的：

　　1.  數據輸出方與數據接收方簽訂數據傳輸協議，并使用歐盟委員會給出的標準數據保護條款；

　　2.  如果是跨國集團內部的數據傳輸，可以在集團內部制定一套所謂的具有約束力的公司規則 （Binding Corporate Rules），保證集團內部嚴格遵守，并經歐盟委員會批準；

　　3.  某個行業的協會擬定一套數據保護行為規則，作為數據接收方的行業協會成員聲明遵守這套行為規則，該規則要經過歐盟委員會的事先認可；

　　4.  對數據接收方的數據處理流程進行認證，該認證需要每三年更新一次。

　　雖然《歐盟通用數據保護條例》提供了上述四種跨國數據傳輸合規解決方案，但是從實踐操作的難度和成本來看，第1種的可行性較高。第2和第3種途徑中涉及的數據跨國傳輸規則都需要經過歐盟委員會的特別認可，有能力和財力做這項工作的跨國集團和行業協會寥寥無幾。而第4種的認證程序需要找有認證資格的機構進行，費時費力，認證成本和定期更新的成本都不低，對以個人數據處理為主業的企業來說可能是個選擇。

　　對于小規?；蚺既婚g進行數據跨國傳輸的大部分企業來說，使用歐盟委員會給出的標準數據保護條款與接收方簽訂數據傳輸協議是最佳方案。

　　經數據主體同意的跨境傳輸

　　即便上述四項措施都沒有，如果數據處理者能征求到數據主體的同意，也可以將其個人數據傳輸到中國，但是《歐盟通用數據保護條例》對同意的流程提出了很高的要求：

　　1.  該同意必須是自愿的，也就是數據主體必須明確給出同意的答復，默認同意不受認可；

　　2.  必須告知數據主體計劃中的數據跨境傳輸的目的地國家以及由此可能對數據主體帶來的風險；

　　3.  同意的內容必須要明確，數據傳輸的方式、范圍和目的都要在同意書中寫明。

　　這種方式看上去不難，為什么實踐操作中不推薦呢？原因有三：

　　1.  該方式的困難之處在于，數據控制者可能自己都不知道數據傳輸到中國之后，具體有哪些作為分包商的數據處理者還會接觸到這些數據，所以無法在同意書中面面俱到。

　　2.  根據《歐盟通用數據保護條例》的規定，數據主體可以隨時撤回其同意。同意撤回后，數據控制者和數據處理者需要立即停止數據處理行為，這會對數據傳輸的雙方帶來很大的工作負擔。

　　3.  如果涉及到員工的個人信息傳輸，基本無法只通過員工同意的途徑達到。因為很多歐盟國家的法律實踐都認為員工在這種情形下做出地同意的意思表示并不是完全出于自愿，而是迫于用人單位的壓力。

　　所以，經數據主體同意這種合規方式在數據跨國傳輸實踐中很少被采用。

　　無需同意特例特辦

　　特殊情況下，還可以不經數據主體的同意將其個人數據傳輸到第三國，比如數據傳輸乃

　　1.  為了履行與數據主體訂立的合同所必需，

　　2.  為了數據主體自己的利益，或者

　　3.  為了主張或抗辯數據主體的法定權利。

　　在這些特殊情況下，數據控制者必須要能證明數據傳輸乃實現上述目的所必需，否則將面臨違規處罰。

　　另外，既然是特例特辦，那就決定了以上述理由進行的數據跨國傳輸只能是偶然性的，不能反復發生，不能成為慣例。所以上述特例的情形雖然看上去簡單易行，但是長期來看并不是企業理想的解決方案。比如，跨國企業不能以履行與員工的勞動合同所必需為由，經常性地將歐盟員工的個人信息傳往中國。

　　總結而言

　　要想將歐盟境內收集的個人數據合規地傳輸到中國國內，最省時省力的方法是使用歐盟委員會給出的標準數據保護條款與國內的數據接收方簽訂數據傳輸協議。如果您有任何疑問或者數據保護合規需求，歡迎掃描文后的作者二維碼直接跟趙曉鵬博士聯系。

　　最后，歐盟委員會于2021年6月4日公開了最新版本的標準數據保護條款，所以，不要用錯版本哦！