前 言

《通用数据保护条例》（GDPR)生效后，其长臂管辖规则使得围绕用户信息构建商业模式的互联网企业在开拓欧洲市场时受到GDPR的规制，存在潜在合规风险，而跨境传输个人信息就是其中无法回避的合规问题。

如，我国一家短视频企业在法国设立子公司，该子公司负责在多个欧盟成员国推广该企业的欧洲版短视频软件，为深度开发欧洲市场，该视频企业需要子公司将收集欧盟用户数据传输回大陆进行深度数据分析和挖掘。

那么，这家短视频企业与子公司通过什么方式传输个人信息才符合GDPR的规定？GDPR对个人信息跨境传输有何规制？本文将结合GDPR相关规定和实际场景对上述问题进行探讨。

一、GDPR对个人信息跨境传输的规制

首先，GDPR的实施是欧盟构建统一自由流动数字市场理念的体现。欧盟境内个人信息可自由流动不受特别监管，所以该跨境不是指在欧盟成员国内的跨境，而是指向欧盟以外的国家或国际组织传输个人信息。

当然跨境传输是属于GDPR所保护的个人信息，非个人信息不受管制（欧盟使用个人数据概念，我国使用个人信息概念；由于两个概念内涵基本相同，故本文同时使用两个概念，不作区分），不受GDPR保护的个人信息，即便从欧盟境内传输也不受GDPR限制。

比如，我国某公司通过App收集国内用户运动、睡眠、心率等个人数据为用户提供健康指标监测服务，该公司将在我国收集的用户数据传输至其欧盟一家数据处理中心处理，数据处理后同步传输回国内公司，该公司传输的是我国公民的个人信息，不受GDPR规制，但我国公民到欧洲旅游期间产生的个人信息可能受到GDPR规制，本文不具体展开。

其次，GDPR规制的是向第三国或国际组织传输个人信息，不限制第三国或国际组织向欧盟传输个人信息，GDPR管制是单向的，即只限制出境，不限制入境。本文讨论的跨境传输即指欧盟保护的个人信息从欧盟出境传输至欧盟境外的第三国或国际组织。

最后，个人信息在欧盟“出境”中的“出境”并非简单的地理意义上的跨越国境，需要结合GDPR规制的个人信息“处理”概念来具体认定。

GDPR第4条1款的“处理”是指对个人信息进行的任何操作，无论是否通过自动化手段进行，如收集、记录、组织、建构、存储、修改，恢复、查询、使用、传播、分发或被他人获得、排列、组合、限制、清除、销毁等。

因此，个人信息短时间流经第三国但没有进行以上实质处理操作。例如在欧盟收集的个人信息在上传欧盟境内的服务器时，可以短时间同步在我国服务器（但不进行本地存储），不是GDPR规制的个人信息跨境传输，但若后续在我国境内涉及个人信息处理，则受到GDPR的限制。

同时“处理”还需要结合GDPR第2条1款的规定来认定，因为GDPR规制的以自动化方式包括全部或部分通过自动化手段进行的个人信息处理及非自动化手段进行的、构成或旨在构成归档系统方式处理个人信息的行为。

因此，家庭、朋友之间进行简单的个人信息交换，以及线下不以建立档案系统为目的的个人信息处理不受GDPR规制。如某欧盟公民与在我国的某朋友电话聊天中涉及个人信息的交换，并非自动化方式，也不属于GDPR规制的“处理”，但若其目的是后续将该欧盟公民的个人信息输入电脑进行处理，则可能被认定为GPPR限制的出境。

综上，个人信息跨境传输主要针对受GDPR保护的个人信息。个人信息跨境传输，不能仅从技术角度看跨境传输，而应结合传输的目的是否属于GDPR规制的“自动化”和“处理”的个人信息；且跨境应从欧盟司法管辖区向非欧盟司法管辖区传输，向国际公海的欧盟成员国籍船舶、航空器、欧盟成员国驻外使馆、领馆，不构成跨境。

二、从欧盟传输个人信息合规路径

GDPR第5章“向第三国或国际组织传输个人信息”中规定了几种可以进行跨境传输个人信息的情形，企业向欧盟境外国家或国际组织传输个人信息需满足其一才是合法的。从GDPR规定看，这几种方式存在适用上的梯度，在监管上，只有不满足前一种方式才适用后一种方式，相应合规成本也逐渐增加。

为方便读者了解GDPR跨境传输个人信息的路径，笔者做了一张简要路径图，可以根据下图顺序依次检索相应路径：

需要注意，虽然存在梯度，但即便有前一种方式可供使用，企业也可选择其他方式。下面对路径进行逐一分析：

1.接收地为欧盟认定达到充分保护水平的国家或国际组织

根据GDPR第45条规定，如果接收数据的第三国或国际组织通过了欧盟委员会的充分性认定，可以自由传输个人信息，无需任何特别授权（指无需监管部门做特殊预先允许或批准、审批、评估等）。但GDPR规定企业最初收集数据时须告知数据主体可能将数据转移到第三国或国际组织的事实及数据接收地是否为欧盟委员会作出或未作出充分决定等情况。

目前通过欧盟充分性认定的国家和地区（白名单）包括：安道尔、阿根廷、法罗群岛（丹麦属地）、根西岛（英国属地）、以色列、马恩岛（英国属地）、泽西岛（英国属地）、瑞士、新西兰、乌拉圭、美国（符合隐私盾要求的企业）、加拿大（符合个人信息保护和电子文件法范围的私营实体）和日本，我国目前并不在其中。故该法国子公司需要寻求GDPR规定的其他路径。

2.采取了适当的安全保障措施

GDPR第46条规定，缺乏充分性认定情况下，在保障数据主体可行使权利和获得司法救济情况下，企业可以采取下述适当安全保障措施向欧盟境外国家或国际组织传输个人信息，包括以下几种方式：

（1）有约束力的企业规则（binding corporate rules,简称“BCRs”）。GDPR第47条的规定，BCRs通常由大型跨国公司和关联企业集团（具体指“从事联合经济活动的企业团体”）、包括经济联盟实体、特许经营组织以及共同从事经济活动的商业伙伴起草，并经有权监管机构批准。监管机构一般是欧盟当地数据控制者或处理者所在国的数据保护监管机构，也可以是欧盟数据保护委员会(简称“EDPB”)。BCRs经批准后，企业集团内部按照BCRs，可向其欧盟境外关联企业进行数据传输，而无需再特别授权。

BCRs是跨国企业集团主要采用的数据传输机制，BCRs中应确保所有集团成员同意接受数据保护机构的审计，并遵守数据保护机构的建议。同时，实施时企业应确保集团内的成员企业及其员工和分包商共同遵守，在其他非欧盟企业违反BCRs时必须指定欧盟境内的一个集团成员承担集团内的责任等。由于BCRs要求严格，目前仅宝马汽车、通用电气、惠普、西门子电子等132家跨国企业获得欧盟批准的BCRs。

（2）数据保护标准条款，GDPR第46条2款c、d项规定，数据保护标准条款可由各国监管机构制定并提交欧盟委员会进行审查通过之后颁布。实践中，数据保护标准条款由国际商会领导的企业协会联盟与EDPB（GDPR生效前为第29条款工作组，WP29)对条款进行了磋商后，提交欧盟委员会通过颁布，企业可以直接采用。

在GDPR实施前，根据1995年《数据保护指令》（95 指令），欧盟已经颁布了三个版本的标准合同条款（SCC)，具体为：“从数据控制者到非欧盟控制者”的标准合同文本（Decision2001/497/EC、Decision2004/915/EC），以及“从数据控制者到非欧盟数据处理者”的标准合同文本（Decision2010/87/EU）。

从GDPR颁布和生效至今，EDPB暂时没有根据GDPR第46条2款c、d项制定新的“数据保护标准条款”,EDPB前身WP29制定的这三套标准条款仍可使用，可从欧盟官网中获取。

（3）已批准的行为准则（Codes of conduct，GDPR第40条）且第三国或国际组织的数据控制者或处理者出具有约束力和执行力的承诺以满足GDPR规定适当的安全保障数据主体权利的措施（如合同或其他具有法律效力的文件）。

同样，已批准的行为准则由数据控制者所在行业协会或所属行业具有代表性的企业起草。根据GDPR规定，包括两类行为准则：特定的行为准则（经所在国数据保护监管机构批准）和一般行为准则（由所在国数据保护监管机构对一般行为准则提出意见提交欧盟数据保护委员会，由欧盟数据保护委员会认定，再由欧盟委员会通过实施）。

（4）通过欧盟、有监管权限的机构或其他第三方认证机构认证机制且第三国或国际组织接收数据的数据控制者或处理者出具有约束力和执行力的承诺以满足GDPR规定适当的安全保障数据主体权利的措施（如合同或其他具有法律效力的文件）。

需要注意，2019年6月4日，EDPB发布的《针对GDPR第42和第43条有关“认证”规定的指南》是关于在欧盟境内建立数据保护的认证机制，截至目前EDPB尚未就GDPR第46条2款（f)点规定向第三国或国际组织转移欧盟境内个人信息的认证机制起草指南，可能EDPB后续将根据欧盟境内认证机制实施情况来制定向欧盟外国家或国际组织传输数据的认证机制。

（5）欧盟境内数据控制者或处理者与第三国或国际组织的数据控制者或处理者订立合同条款且经监管机构审查批准（遵循GDPR第63条一致性机制下）。

3.满足GDPR第49条规定的特定情况

在缺乏充分性认定机制，也没有第46条提供诸如约束力企业规则等安全保障措施的，GDPR第49条还规定数据控制者或处理者向第三国转移的情形：a.企业在转移数据时明确告知数据主体其数据传输缺乏充足保护和适当的安全措施，并且可能存在相应风险，数据主体仍然明确表示同意的；b.数据转移是履行数据主体与数据控制者之间的合同，或者是数据主体要求下实现签署合同所必要的；c.为了实现数据主体权益数据控制者和另一自然人或法人之间签订或履行合同而进行数据转移的；d.数据转移是为了实现公共利益（为欧盟及成员国所认可）的；e.数据转移是诉讼活动中行使起诉、抗辩主张所必要的；f.当数据主体基于身体性或法律性原因无法表达同意，个人信息转移时为了保护数据主体或其他人重大利益的。

4.其他情形

GDPR第49条1款2段规定，在不满足前述45、46条规定以及49条1款特定情形下，只有在同时满足以下条件时才能向欧盟外第三国或国际组织传输数据：

a.非重复转移个人信息；

b.涉及小部分数据主体；

c.数据控制者在不妨碍数据主体的权益和自由下转移数据是具备压倒性的正当合法理由；

d.数据控制者对数据转移相关情况进行了评估且基于该评估对数据主体提供适当的安全保障措施；

e.通知数据监管机构；

f.向数据主体提供GDPR第13条“收集数据主体个人信息时应当提供的信息”和第14条“当个人信息还没有从数据主体那里收集”规定的信息，并告知数据主体转移数据所追求的压倒性正当利益。

综上，在个人信息接收地非欧盟充分性认定下，法国子公司可采用适当的安全保障措施等替代机制向欧盟外国家或国际组织传输个人信息。除前述第2点(5)种方式需要监管机构介入外，其他适当安全保障措施无需监管机构另行授权或批准和再次征求数据主体的明确同意，只是其中认证机构尚未建立，暂时不适用。

在既没有充分性认定，也缺乏适当安全保障措施的情况下，可以采取第3和第4种路径，但合规成本较高，很少使用。 

三、结 语

本文简要分析了在GDPR规定下，企业需要从欧盟向第三国或国际组织传输个人信息的合规路径和基本框架。还有很多其他合规问题和细节值得研究和讨论，比如如何使用标准合同条款进行传输等。限于篇幅，后续再作进一步探讨。