數(shù)據(jù)跨國傳輸，這個話題離我們并不遙遠：我國的跨國企業(yè)越來越多，基于統(tǒng)一人力資源管理的需要，母子公司將國際員工的個人信息在相互之間進行傳輸不可避免。歐盟子公司和中國母公司之間如何傳輸歐盟員工的個人信息才算合規(guī)，不會被處罰？這恐怕是每個涉歐跨國中企都要面臨的問題。

　　同時，我國與歐盟有貿(mào)易往來的企業(yè)（包括跨境電商）也越來越多，很多企業(yè)不可避免地會收集到歐盟境內(nèi)居民（比如歐盟消費者）的個人信息，如果企業(yè)在歐盟境內(nèi)沒有分支機構(gòu)，那么要對這些信息進行處理就必然涉及到如何將在歐盟收集的歐盟消費者的個人信息合法合規(guī)地傳輸回中國的問題。

　　那么，《歐盟通用數(shù)據(jù)保護條例》對個人數(shù)據(jù)的跨國傳輸?shù)降子心男┚唧w合規(guī)要求？法律條文的規(guī)定在企業(yè)實踐層面的可操作性如何？有沒有合規(guī)的捷徑？趙曉鵬博士在這篇文章里跟您一探究竟。

　　中國不屬于歐盟認可的數(shù)據(jù)安全國度

　　并不是從歐盟向任何一個非歐盟國家進行個人數(shù)據(jù)的傳輸都有額外的合規(guī)需求。歐盟有其認可的數(shù)據(jù)安全國度名單，在這個名單里的國家被認為有至少跟歐盟同級別的個人數(shù)據(jù)保護水平，所以從歐盟向這些國家傳輸個人數(shù)據(jù)并沒有特殊的合規(guī)要求，就像在歐盟境內(nèi)傳輸數(shù)據(jù)一樣簡單。

　　截至目前，被歐盟認可的數(shù)據(jù)安全國度包括：安道爾、阿根廷、加拿大（僅限商業(yè)組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。

　　中國目前尚不屬于歐盟認可的數(shù)據(jù)安全國度，所以如果要將在歐盟境內(nèi)收集的個人信息傳輸?shù)街袊?，需要采取其他方式證明在中國的接收方采取了足夠的措施以保證個人數(shù)據(jù)安全。

　　被歐盟認可的數(shù)據(jù)安全措施

　　從歐盟出境中國的個人數(shù)據(jù)傳輸只要能滿足下述措施中的一項，就可以被歐盟監(jiān)管機構(gòu)認為是合規(guī)的：

　　1.  數(shù)據(jù)輸出方與數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，并使用歐盟委員會給出的標準數(shù)據(jù)保護條款；

　　2.  如果是跨國集團內(nèi)部的數(shù)據(jù)傳輸，可以在集團內(nèi)部制定一套所謂的具有約束力的公司規(guī)則 （Binding Corporate Rules），保證集團內(nèi)部嚴格遵守，并經(jīng)歐盟委員會批準；

　　3.  某個行業(yè)的協(xié)會擬定一套數(shù)據(jù)保護行為規(guī)則，作為數(shù)據(jù)接收方的行業(yè)協(xié)會成員聲明遵守這套行為規(guī)則，該規(guī)則要經(jīng)過歐盟委員會的事先認可；

　　4.  對數(shù)據(jù)接收方的數(shù)據(jù)處理流程進行認證，該認證需要每三年更新一次。

　　雖然《歐盟通用數(shù)據(jù)保護條例》提供了上述四種跨國數(shù)據(jù)傳輸合規(guī)解決方案，但是從實踐操作的難度和成本來看，第1種的可行性較高。第2和第3種途徑中涉及的數(shù)據(jù)跨國傳輸規(guī)則都需要經(jīng)過歐盟委員會的特別認可，有能力和財力做這項工作的跨國集團和行業(yè)協(xié)會寥寥無幾。而第4種的認證程序需要找有認證資格的機構(gòu)進行，費時費力，認證成本和定期更新的成本都不低，對以個人數(shù)據(jù)處理為主業(yè)的企業(yè)來說可能是個選擇。

　　對于小規(guī)?；蚺既婚g進行數(shù)據(jù)跨國傳輸?shù)拇蟛糠制髽I(yè)來說，使用歐盟委員會給出的標準數(shù)據(jù)保護條款與接收方簽訂數(shù)據(jù)傳輸協(xié)議是最佳方案。

　　經(jīng)數(shù)據(jù)主體同意的跨境傳輸

　　即便上述四項措施都沒有，如果數(shù)據(jù)處理者能征求到數(shù)據(jù)主體的同意，也可以將其個人數(shù)據(jù)傳輸?shù)街袊?，但是《歐盟通用數(shù)據(jù)保護條例》對同意的流程提出了很高的要求：

　　1.  該同意必須是自愿的，也就是數(shù)據(jù)主體必須明確給出同意的答復(fù)，默認同意不受認可；

　　2.  必須告知數(shù)據(jù)主體計劃中的數(shù)據(jù)跨境傳輸?shù)哪康牡貒乙约坝纱丝赡軐?shù)據(jù)主體帶來的風險；

　　3.  同意的內(nèi)容必須要明確，數(shù)據(jù)傳輸?shù)姆绞?、范圍和目的都要在同意書中寫明?/p>

　　這種方式看上去不難，為什么實踐操作中不推薦呢？原因有三：

　　1.  該方式的困難之處在于，數(shù)據(jù)控制者可能自己都不知道數(shù)據(jù)傳輸?shù)街袊?，具體有哪些作為分包商的數(shù)據(jù)處理者還會接觸到這些數(shù)據(jù)，所以無法在同意書中面面俱到。

　　2.  根據(jù)《歐盟通用數(shù)據(jù)保護條例》的規(guī)定，數(shù)據(jù)主體可以隨時撤回其同意。同意撤回后，數(shù)據(jù)控制者和數(shù)據(jù)處理者需要立即停止數(shù)據(jù)處理行為，這會對數(shù)據(jù)傳輸?shù)碾p方帶來很大的工作負擔。

　　3.  如果涉及到員工的個人信息傳輸，基本無法只通過員工同意的途徑達到。因為很多歐盟國家的法律實踐都認為員工在這種情形下做出地同意的意思表示并不是完全出于自愿，而是迫于用人單位的壓力。

　　所以，經(jīng)數(shù)據(jù)主體同意這種合規(guī)方式在數(shù)據(jù)跨國傳輸實踐中很少被采用。

　　無需同意特例特辦

　　特殊情況下，還可以不經(jīng)數(shù)據(jù)主體的同意將其個人數(shù)據(jù)傳輸?shù)降谌龂热鐢?shù)據(jù)傳輸乃

　　1.  為了履行與數(shù)據(jù)主體訂立的合同所必需，

　　2.  為了數(shù)據(jù)主體自己的利益，或者

　　3.  為了主張或抗辯數(shù)據(jù)主體的法定權(quán)利。

　　在這些特殊情況下，數(shù)據(jù)控制者必須要能證明數(shù)據(jù)傳輸乃實現(xiàn)上述目的所必需，否則將面臨違規(guī)處罰。

　　另外，既然是特例特辦，那就決定了以上述理由進行的數(shù)據(jù)跨國傳輸只能是偶然性的，不能反復(fù)發(fā)生，不能成為慣例。所以上述特例的情形雖然看上去簡單易行，但是長期來看并不是企業(yè)理想的解決方案。比如，跨國企業(yè)不能以履行與員工的勞動合同所必需為由，經(jīng)常性地將歐盟員工的個人信息傳往中國。

　　總結(jié)而言

　　要想將歐盟境內(nèi)收集的個人數(shù)據(jù)合規(guī)地傳輸?shù)街袊鴩鴥?nèi)，最省時省力的方法是使用歐盟委員會給出的標準數(shù)據(jù)保護條款與國內(nèi)的數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議。如果您有任何疑問或者數(shù)據(jù)保護合規(guī)需求，歡迎掃描文后的作者二維碼直接跟趙曉鵬博士聯(lián)系。

　　最后，歐盟委員會于2021年6月4日公開了最新版本的標準數(shù)據(jù)保護條款，所以，不要用錯版本哦！