數(shù)據(jù)跨國(guó)傳輸，這個(gè)話(huà)題離我們并不遙遠(yuǎn)：我國(guó)的跨國(guó)企業(yè)越來(lái)越多，基于統(tǒng)一人力資源管理的需要，母子公司將國(guó)際員工的個(gè)人信息在相互之間進(jìn)行傳輸不可避免。歐盟子公司和中國(guó)母公司之間如何傳輸歐盟員工的個(gè)人信息才算合規(guī)，不會(huì)被處罰？這恐怕是每個(gè)涉歐跨國(guó)中企都要面臨的問(wèn)題。

　　同時(shí)，我國(guó)與歐盟有貿(mào)易往來(lái)的企業(yè)（包括跨境電商）也越來(lái)越多，很多企業(yè)不可避免地會(huì)收集到歐盟境內(nèi)居民（比如歐盟消費(fèi)者）的個(gè)人信息，如果企業(yè)在歐盟境內(nèi)沒(méi)有分支機(jī)構(gòu)，那么要對(duì)這些信息進(jìn)行處理就必然涉及到如何將在歐盟收集的歐盟消費(fèi)者的個(gè)人信息合法合規(guī)地傳輸回中國(guó)的問(wèn)題。

　　那么，《歐盟通用數(shù)據(jù)保護(hù)條例》對(duì)個(gè)人數(shù)據(jù)的跨國(guó)傳輸?shù)降子心男┚唧w合規(guī)要求？法律條文的規(guī)定在企業(yè)實(shí)踐層面的可操作性如何？有沒(méi)有合規(guī)的捷徑？趙曉鵬博士在這篇文章里跟您一探究竟。

　　中國(guó)不屬于歐盟認(rèn)可的數(shù)據(jù)安全國(guó)度

　　并不是從歐盟向任何一個(gè)非歐盟國(guó)家進(jìn)行個(gè)人數(shù)據(jù)的傳輸都有額外的合規(guī)需求。歐盟有其認(rèn)可的數(shù)據(jù)安全國(guó)度名單，在這個(gè)名單里的國(guó)家被認(rèn)為有至少跟歐盟同級(jí)別的個(gè)人數(shù)據(jù)保護(hù)水平，所以從歐盟向這些國(guó)家傳輸個(gè)人數(shù)據(jù)并沒(méi)有特殊的合規(guī)要求，就像在歐盟境內(nèi)傳輸數(shù)據(jù)一樣簡(jiǎn)單。

　　截至目前，被歐盟認(rèn)可的數(shù)據(jù)安全國(guó)度包括：安道爾、阿根廷、加拿大（僅限商業(yè)組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。

　　中國(guó)目前尚不屬于歐盟認(rèn)可的數(shù)據(jù)安全國(guó)度，所以如果要將在歐盟境內(nèi)收集的個(gè)人信息傳輸?shù)街袊?guó)，需要采取其他方式證明在中國(guó)的接收方采取了足夠的措施以保證個(gè)人數(shù)據(jù)安全。

　　被歐盟認(rèn)可的數(shù)據(jù)安全措施

　　從歐盟出境中國(guó)的個(gè)人數(shù)據(jù)傳輸只要能滿(mǎn)足下述措施中的一項(xiàng)，就可以被歐盟監(jiān)管機(jī)構(gòu)認(rèn)為是合規(guī)的：

　　1.  數(shù)據(jù)輸出方與數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，并使用歐盟委員會(huì)給出的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款；

　　2.  如果是跨國(guó)集團(tuán)內(nèi)部的數(shù)據(jù)傳輸，可以在集團(tuán)內(nèi)部制定一套所謂的具有約束力的公司規(guī)則 （Binding Corporate Rules），保證集團(tuán)內(nèi)部嚴(yán)格遵守，并經(jīng)歐盟委員會(huì)批準(zhǔn)；

　　3.  某個(gè)行業(yè)的協(xié)會(huì)擬定一套數(shù)據(jù)保護(hù)行為規(guī)則，作為數(shù)據(jù)接收方的行業(yè)協(xié)會(huì)成員聲明遵守這套行為規(guī)則，該規(guī)則要經(jīng)過(guò)歐盟委員會(huì)的事先認(rèn)可；

　　4.  對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理流程進(jìn)行認(rèn)證，該認(rèn)證需要每三年更新一次。

　　雖然《歐盟通用數(shù)據(jù)保護(hù)條例》提供了上述四種跨國(guó)數(shù)據(jù)傳輸合規(guī)解決方案，但是從實(shí)踐操作的難度和成本來(lái)看，第1種的可行性較高。第2和第3種途徑中涉及的數(shù)據(jù)跨國(guó)傳輸規(guī)則都需要經(jīng)過(guò)歐盟委員會(huì)的特別認(rèn)可，有能力和財(cái)力做這項(xiàng)工作的跨國(guó)集團(tuán)和行業(yè)協(xié)會(huì)寥寥無(wú)幾。而第4種的認(rèn)證程序需要找有認(rèn)證資格的機(jī)構(gòu)進(jìn)行，費(fèi)時(shí)費(fèi)力，認(rèn)證成本和定期更新的成本都不低，對(duì)以個(gè)人數(shù)據(jù)處理為主業(yè)的企業(yè)來(lái)說(shuō)可能是個(gè)選擇。

　　對(duì)于小規(guī)?；蚺既婚g進(jìn)行數(shù)據(jù)跨國(guó)傳輸?shù)拇蟛糠制髽I(yè)來(lái)說(shuō)，使用歐盟委員會(huì)給出的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款與接收方簽訂數(shù)據(jù)傳輸協(xié)議是最佳方案。

　　經(jīng)數(shù)據(jù)主體同意的跨境傳輸

　　即便上述四項(xiàng)措施都沒(méi)有，如果數(shù)據(jù)處理者能征求到數(shù)據(jù)主體的同意，也可以將其個(gè)人數(shù)據(jù)傳輸?shù)街袊?guó)，但是《歐盟通用數(shù)據(jù)保護(hù)條例》對(duì)同意的流程提出了很高的要求：

　　1.  該同意必須是自愿的，也就是數(shù)據(jù)主體必須明確給出同意的答復(fù)，默認(rèn)同意不受認(rèn)可；

　　2.  必須告知數(shù)據(jù)主體計(jì)劃中的數(shù)據(jù)跨境傳輸?shù)哪康牡貒?guó)家以及由此可能對(duì)數(shù)據(jù)主體帶來(lái)的風(fēng)險(xiǎn)；

　　3.  同意的內(nèi)容必須要明確，數(shù)據(jù)傳輸?shù)姆绞?、范圍和目的都要在同意?shū)中寫(xiě)明。

　　這種方式看上去不難，為什么實(shí)踐操作中不推薦呢？原因有三：

　　1.  該方式的困難之處在于，數(shù)據(jù)控制者可能自己都不知道數(shù)據(jù)傳輸?shù)街袊?guó)之后，具體有哪些作為分包商的數(shù)據(jù)處理者還會(huì)接觸到這些數(shù)據(jù)，所以無(wú)法在同意書(shū)中面面俱到。

　　2.  根據(jù)《歐盟通用數(shù)據(jù)保護(hù)條例》的規(guī)定，數(shù)據(jù)主體可以隨時(shí)撤回其同意。同意撤回后，數(shù)據(jù)控制者和數(shù)據(jù)處理者需要立即停止數(shù)據(jù)處理行為，這會(huì)對(duì)數(shù)據(jù)傳輸?shù)碾p方帶來(lái)很大的工作負(fù)擔(dān)。

　　3.  如果涉及到員工的個(gè)人信息傳輸，基本無(wú)法只通過(guò)員工同意的途徑達(dá)到。因?yàn)楹芏鄽W盟國(guó)家的法律實(shí)踐都認(rèn)為員工在這種情形下做出地同意的意思表示并不是完全出于自愿，而是迫于用人單位的壓力。

　　所以，經(jīng)數(shù)據(jù)主體同意這種合規(guī)方式在數(shù)據(jù)跨國(guó)傳輸實(shí)踐中很少被采用。

　　無(wú)需同意特例特辦

　　特殊情況下，還可以不經(jīng)數(shù)據(jù)主體的同意將其個(gè)人數(shù)據(jù)傳輸?shù)降谌龂?guó)，比如數(shù)據(jù)傳輸乃

　　1.  為了履行與數(shù)據(jù)主體訂立的合同所必需，

　　2.  為了數(shù)據(jù)主體自己的利益，或者

　　3.  為了主張或抗辯數(shù)據(jù)主體的法定權(quán)利。

　　在這些特殊情況下，數(shù)據(jù)控制者必須要能證明數(shù)據(jù)傳輸乃實(shí)現(xiàn)上述目的所必需，否則將面臨違規(guī)處罰。

　　另外，既然是特例特辦，那就決定了以上述理由進(jìn)行的數(shù)據(jù)跨國(guó)傳輸只能是偶然性的，不能反復(fù)發(fā)生，不能成為慣例。所以上述特例的情形雖然看上去簡(jiǎn)單易行，但是長(zhǎng)期來(lái)看并不是企業(yè)理想的解決方案。比如，跨國(guó)企業(yè)不能以履行與員工的勞動(dòng)合同所必需為由，經(jīng)常性地將歐盟員工的個(gè)人信息傳往中國(guó)。

　　總結(jié)而言

　　要想將歐盟境內(nèi)收集的個(gè)人數(shù)據(jù)合規(guī)地傳輸?shù)街袊?guó)國(guó)內(nèi)，最省時(shí)省力的方法是使用歐盟委員會(huì)給出的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款與國(guó)內(nèi)的數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議。如果您有任何疑問(wèn)或者數(shù)據(jù)保護(hù)合規(guī)需求，歡迎掃描文后的作者二維碼直接跟趙曉鵬博士聯(lián)系。

　　最后，歐盟委員會(huì)于2021年6月4日公開(kāi)了最新版本的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，所以，不要用錯(cuò)版本哦！