范佳宜｜GDPR下对中国企业数据跨境合规的思考( 二 ) 本文转自：上观范佳宜上海市

总体而言， GDPR所确立的数据传输的一般性原则是，数据控制者或处理者在全面满足各条款的具体要求时，才能够将个人数据从欧盟转移到第三国或国际组织，类似的考虑也适用于从第三国或国际组织向其他国家或国际组织的转移。GDPR其中第50款“为保护个人数据的国际合作”是涉及欧盟委员会和监管机构应当采取适当的措施以促进关于个人数据的国际合作的具体规则。从企业合规的角度来看，其与数据跨境合规的联系相对没有那么紧密，因此本文的探讨主要限于GDPR的第44至49条的具体条文。针对数据跨境的具体规则主要涉及以下的几个方面：
1.“充分保护水平”：将个人数据从欧盟转移到第三国的活动仅限于欧盟委员会决定具有“充分保护水平”的国家。GDPR同时提供了评估保护程度的充足性时会考虑的相关因素。
2.“受适当保障措施约束”：数据控制者或处理者必须对数据提供适当的保障措施，以及为数据主体提供可执行的权利以及有效的救济措施，才能进行数据跨境转移。适当的保障措施包括数据控制者或数据处理者与数据控制者、数据处理者或第三国或国际组织的个人数据接收者之间的合同条款。
3.“有约束力的公司规则”：GDPR对公司规则是否具有足够的约束力给出了具体的评价标准，同时明确了欧盟委员会可以明确数据控制者、数据处理者和监管机构之间为了约束性公司规则而进行信息交换的形式和程序。
4.“未经欧盟法授权的转移或披露”：明确了在经法庭判决、仲裁裁决或第三国行政机构决定的情况下，进行数据转移或披露的条件。
5.“特殊情形下的克减”：明确了在不满足前述“充分保护水平”“受适当保障措施约束”以及“有约束力的公司规则” ，但仍可以进行数据跨境的情形。
当然，某国是否被认定为具有“充分保护水平”这一话题，通常被认为是极具政治意味的，也不在企业合规的讨论范畴内。从数据合规的角度来看，企业需要在现有的法律框架下完成相关的合规工作以避免潜在的处罚风险。那么， GDPR中其他与企业合规相关性更高的条款就值得引起企业的注意。
首先需要明确的是，相对于数据处理者，数据控制者对GDPR下的数据保护合规性负有相对而言更高的责任。例如根据第28条第1款的要求，数据控制者负有保证其所使用的数据处理者应当提供充分保证，以执行适当的技术和组织措施，使处理满足GDPR的要求，并确保数据主体的权利得到保护。第28条第3款所规定的数据处理者处理个人数据只能基于数据控制者的书面指示，包括有关个人数据向第三国或国际组织的转移，也印证了二者在GDPR下所负的义务不同。这将直接影响到企业在不同语境下所应尽的合规义务。同时第28条第4款、第5款所涉及的数据控制者与数据处理者之间的合同安排、被认可的行为准则的履行及遵守状况，也将影响到企业是否符合“受适当保障措施约束”的判断。
其次， “有约束力的公司规则”是针对企业，特别是跨国企业的一项制度，该规则要求企业通过内部设置规则的方式实现自我约束，从而满足合规要求，达到数据跨境传输的要求从而可以实现数据跨境。总体而言，约束性企业规则与GDPR问责制是具有逻辑一致性的，它可以保证企业在GDPR的总体框架下通过其内部的制度保证内部适用统一的标准来实现统一标准下对数据主体的保护，以此来达到防范数据跨境可能引发的潜在风险的目的。而企业如何保证其所设置的公司规则具有足够的约束力以达到GDPR的要求，则是企业数据合规的重要课题之一。