2021年6月21日，歐盟數(shù)據(jù)保護(hù)委員會(huì)（“EDPB”）終于發(fā)布了萬眾期待的“關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的補(bǔ)充措施最終建議”（簡(jiǎn)稱“最終建議”）。為什么說“終于”發(fā)布了？先快速回顧一下時(shí)間線。

　　2020年7月16日，歐盟法院對(duì)SchrmesII案件的判決認(rèn)定：歐盟標(biāo)準(zhǔn)合同條款（“SCC”）繼續(xù)有效，但數(shù)據(jù)出口方和進(jìn)口方都有義務(wù)：（1）評(píng)估接收國法律是否能夠確保接收方履行SCC條款；且（2）接收方采取“補(bǔ)充措施”達(dá)到歐盟“實(shí)質(zhì)同等”的保護(hù)水平。否則禁止數(shù)據(jù)跨境轉(zhuǎn)移。【詳見：數(shù)據(jù)跨境流動(dòng) | 美歐“隱私盾協(xié)議”被判無效背后的邏輯】【詳見：數(shù)據(jù)跨境流動(dòng) | 歐盟EDPB對(duì)歐盟隱私盾協(xié)議被判無效的相關(guān)問答（全文翻譯）】

　　判決一出，大家都很懵圈。第一，企業(yè)，尤其是微小企業(yè)可能都沒有個(gè)公司法務(wù)，如何去評(píng)估一國法律？歐委會(huì)不是已經(jīng)自己認(rèn)定了“看的上”的13個(gè)國家（即“充分性”認(rèn)定），那就應(yīng)該推定其他國家都是不滿足歐盟要求的，為何還要企業(yè)自己評(píng)估多次一舉？另外，企業(yè)自己評(píng)估的結(jié)論歐盟監(jiān)管機(jī)構(gòu)不認(rèn)怎么辦？畢竟歐盟法院也兩次推翻了歐委會(huì)對(duì)美國法律的認(rèn)定。第二，什么是“補(bǔ)充措施”？【詳見：數(shù)據(jù)跨境流動(dòng) | 愛爾蘭DPA即將禁止FACEBOOK的數(shù)據(jù)跨境傳輸，以及數(shù)據(jù)跨境流動(dòng) | 愛爾蘭高等法院暫時(shí)允許Facebook繼續(xù)個(gè)人數(shù)據(jù)跨大西洋傳輸】【詳見：數(shù)據(jù)跨境流動(dòng) | 德國巴符州DPA率先解釋與SCC配套的“額外的保障措施”，以及數(shù)據(jù)跨境流動(dòng) | 中國公司基于SCCs開展數(shù)據(jù)跨境流動(dòng)的基本策略】。

　　2020年11月10日，EDPB就上述兩個(gè)問題發(fā)布指南，并公開征求意見。對(duì)“補(bǔ)充措施建議”反對(duì)聲音最大，尤其是其案例6和7，它意味著歐盟可能將不會(huì)允許歐盟的個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國、俄羅斯、印度等國，因?yàn)闅W盟可能認(rèn)為這些國家的政府?dāng)?shù)據(jù)訪問可能會(huì)導(dǎo)致隱私水平達(dá)不到歐盟要求，是企業(yè)采用任何技術(shù)、組織、合同措施都無法消減的。這會(huì)導(dǎo)致一個(gè)結(jié)果，企業(yè)內(nèi)部數(shù)據(jù)（如HR、商業(yè)客戶聯(lián)系方式）無法跨境流動(dòng)；云服務(wù)提供商也無法在歐盟境外處理數(shù)據(jù)?！緮?shù)據(jù)跨境流動(dòng) | EDPB關(guān)于標(biāo)準(zhǔn)合同條款之外的“補(bǔ)充措施”的指南終于問世】

　　關(guān)于“補(bǔ)充措施建議”的公開征求意見窗口期一再延長(zhǎng)，期間有幾百家企業(yè)/行業(yè)協(xié)會(huì)，包括荷蘭、丹麥司法部也公開批評(píng)。

　　2021年6月21日，“補(bǔ)充措施最終建議”終于發(fā)布。

　　“最終建議”中明確了“六步法”的主線，如下圖示意：

關(guān)于前文中提到的，跨國公司法務(wù)最關(guān)心案例6和7終于出現(xiàn)松動(dòng)，也就是說如果企業(yè)能夠證明有問題的法律不適用于該跨境場(chǎng)景，那么補(bǔ)充性措施仍然是有效的，數(shù)據(jù)仍然可以跨境轉(zhuǎn)移。先見下圖：

　　熟悉“補(bǔ)充措施征求意見稿”的同學(xué)們可能會(huì)發(fā)現(xiàn)，EDPB把之前斷然否認(rèn)的“主觀因素”又加回去了【去年9月美國司法部和情報(bào)部門聯(lián)合發(fā)布白皮書，聲稱大部分轉(zhuǎn)去美國的歐盟數(shù)據(jù)沒有情報(bào)價(jià)值，不感興趣。EDPB也發(fā)文懟回去，你說沒價(jià)值就沒價(jià)值么？企業(yè)不能依據(jù)于此認(rèn)定沒有潛在風(fēng)險(xiǎn)?！亢苊黠@，EDPB就此向美國作出妥協(xié)——即使法律可能不滿足EU標(biāo)準(zhǔn)，但只要出口方能夠證明法律條文或者實(shí)踐中不適用于跨境數(shù)據(jù)，那么甚至可以不采取“補(bǔ)充措施”。與之前EDPB堅(jiān)持說采取所有補(bǔ)充措施在公權(quán)力面前都無濟(jì)于事相比，這無疑是EU給美國公司的一條逃生通道，甚至還就美國備受詬病的FISA 702還作了一個(gè)手把手的示例。

　　但企業(yè)要證明“有問題的法律不適于該數(shù)據(jù)跨境場(chǎng)景”，EDPB規(guī)定了非常繁重的實(shí)質(zhì)和形式義務(wù)，我梳理如下：

　　企業(yè)負(fù)有證明義務(wù)，整個(gè)評(píng)估要有個(gè)詳細(xì)的報(bào)告，說明（1）與該數(shù)據(jù)跨境有關(guān)的法律和實(shí)踐評(píng)估；（2）企業(yè)評(píng)估流程，卷入了哪些角色，比如律所、顧問、DPO等；（3）評(píng)估日期和后續(xù)定期檢查的日期。以供日后歐盟監(jiān)管機(jī)構(gòu)要求提供。

　　企業(yè)要從法律解讀上證明有問題的法律不適于該場(chǎng)景；

　　企業(yè)要從自身實(shí)踐中證明有問題的法律不適用于該場(chǎng)景，比如是否收到過政府?dāng)?shù)據(jù)訪問請(qǐng)求，是否被禁止披露收到過請(qǐng)求；

　　企業(yè)要從所在行業(yè)整體評(píng)估有問題的法律不適用于該場(chǎng)景，簡(jiǎn)言之，你說你沒收到過政府訪問請(qǐng)求，但是你的同行收到過，那么你的評(píng)估也有問題。

　　在評(píng)估標(biāo)準(zhǔn)上，對(duì)法律解讀和實(shí)踐的評(píng)估，EDPB提出了“相關(guān)、客觀、可信、驗(yàn)證、公開”目的就是強(qiáng)調(diào)可被歐盟監(jiān)管機(jī)構(gòu)驗(yàn)證檢查；并在附件3中列出了信息來源，大致幾類：（1）來自歐盟的認(rèn)定、判決、決議；（2）進(jìn)口國判例法、司法決定、議會(huì)報(bào)告；（3）NGO、商會(huì)、民權(quán)組織的報(bào)告；（4）各企業(yè)的透明化報(bào)告，必須明確寫明沒有收到過政府?dāng)?shù)據(jù)訪問請(qǐng)求：（5）進(jìn)口方的內(nèi)部聲明和記錄，明確說明在足夠長(zhǎng)的一段時(shí)間內(nèi)沒有收到過政府訪問請(qǐng)求，并出具內(nèi)審或DPO的證明。

　　最后歸納一下企業(yè)合規(guī)的行動(dòng)清單，為了便于把數(shù)據(jù)從EU轉(zhuǎn)移到中國，位于中國的數(shù)據(jù)進(jìn)口方可以配合出口方做好幾件事情：

　　提前做好一個(gè)中國法律框架整體性評(píng)估，個(gè)人信息保護(hù)法、民法典、刑訴等一系列涉及政府?dāng)?shù)據(jù)訪問的法律都應(yīng)囊括在內(nèi)，建議也包括歐盟議會(huì)經(jīng)常關(guān)注提及的幾部法律，正好借此專業(yè)性地澄清；

　　要求出口方提供數(shù)據(jù)流場(chǎng)景，比如：轉(zhuǎn)移和處理目的（營銷、HR、存儲(chǔ)、IT支持、醫(yī)療診斷）；處理的實(shí)體（公有、私有）；轉(zhuǎn)移發(fā)生的領(lǐng)域（電信、廣告、金融）；轉(zhuǎn)移的數(shù)據(jù)種類（兒童數(shù)據(jù)）；物理轉(zhuǎn)移還是遠(yuǎn)程訪問；數(shù)據(jù)轉(zhuǎn)移的格式（明文、匿名、加密）、是否可能被進(jìn)一步轉(zhuǎn)移。

　　結(jié)合具體場(chǎng)景，完成實(shí)踐評(píng)估，既包括自身也包括行業(yè)，評(píng)估信息要注明來源，確?！跋嚓P(guān)、客觀、可信、驗(yàn)證、公開”，可被歐盟監(jiān)管機(jī)構(gòu)日后驗(yàn)證檢查；

　　形成報(bào)告后匹配數(shù)據(jù)流存檔，并指定后續(xù)重新評(píng)估的責(zé)任人。

　　最后也是最重要的一點(diǎn)，無論法律評(píng)估結(jié)論如何，企業(yè)都應(yīng)同步采取“補(bǔ)充措施”，比如數(shù)據(jù)加密、合同背靠背承諾等。（完）