GDPR对数据出境的规制

GDPR第五章集中规定了数据跨境流动的形式，总的来说给出了三种个人数据出境的条件，分别是基于充分决定的数据传输；基于采取适当保障措施的数据传输；以及基于特殊情况的减损条款，分别对应的是第45条、46条和49条。但其并不是并列的，而是呈阶梯式，及上一级条件不满足时才适用下一级条件。对企业而言，困难程度逐渐增加。

（1）基于充分决定的数据传输

GDPR第45条：当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织只有在提供充足保护时，才可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。

也就是说，只要数据接收国或国际组织得到欧盟委员会的认定，认为对其数据具有充足保护，就不需要特别授权。这些获得欧盟委员会认定的数据接收国或国际组织相当于一个欧盟的“数据出境白名单”。目前，中国并不在白名单内。

（2）基于采取适当保障措施的数据传输

何为适当保障措施？GDPR第46条第2款规定主要有以下几种：

1. 公共机构或实体之间签订的具有法律约束力和可执行性的文件；
2. 约束性企业规则（BCRs）；
3. 标准合同条款（SCC）；
4. 经批准的行为准则（CoC）；
5. 经批准的认证机制等。

（3）基于特殊情况的减损条款

GDPR第49条规定的减损条款包括：

1. 获得数据主体的明示同意
2. 企业与数据主体签订、履行合同之必要条件
3. 保护数据主体或他人重大利益、公共利益
4. 为了建立、行使或抗辩法律主张

如果上述项都不符合，想要将数据转移到第三国或国际组织，只有在转移情况满足如下条件时才可以：

1. 转移是非重复性的
2. 关乎很小一部分数据主体的权利
3. 为数据控制者追求合法利益所必需，且数据控制者已进行全面评估并据此提供适当保护措施。同时数据控制者需要向监管机构通报数据转移，并告知数据主体数据转移及所追求的合法利益。

GDPR背景下中国企业数据出镜合规实践之建议

由于中国不在白名单内，故只能通过满足第二级（适当保障措施）和第三级（减损条款）条件，来实现数据出镜传输的合规要求。

（1）BCRs

GDPR第47条是对BCRs内容的规定，其中有一项“如何应对国内法冲突，尤其是本国法很有可能会对BCRs的履行产生不利的影响时”，是中国企业需要重视的一点。

2019年，美国执法部门对一家香港公司反洗钱调查，其中要求三家中资银行提供证据配合调查。三家银行均根据国际司法礼让原则对大陪审团的传票提出异议，并援引《中华人民共和国国际刑事司法协助法》（以下简称“《刑事司法协助法》”）以及由中国人民银行颁布的《法人金融机构洗钱和恐怖融资风险管理指引》（以下简称“《央行指引》”）抗辩称，如果其遵守美国大陪审团的传票要求直接配合境外司法调查则会触犯中国国内法。所以，如果法院要求执行传票的要求，这三家银行将不可避免地被美国或中国所处罚。美国华盛顿联邦上诉法院认为，三家银行所援引的依据都不是法律，因此一致裁定驳回三家中资银行提起的上诉。根据判决结果，这三家银行需从本月8日起每日支付5万美元的罚金。法院还特别提及其中一家银行，表示若一直拒不接受调查，将动用美国法务部长和财政部长的权限，封锁其在美国的银行账户。

从上述案例中我们可以看到，企业在订立BCRs时，需要考虑到国内已经生效的法律，例如《网络安全法》、《个人信息保护法》，同时也要关注一些征求意见稿，看是否与GDPR有冲突，以及如何避免。

（2）SCC
目前欧盟发布的SCC共有三套，即SCC2001C、SCC2004C和SCC2010P。SCC2010P是在SCC2001C的基础上更新而来，并完全取代SCC2001C。

由于预先拟定的标准条款可以减少缔约成本，也有助于提升国际数据保护规定的一致性和可预见性，因此在全球数据保护同意规则缺失的情况下，SCC成为了不同国家之间在共同规则下进行数据出镜传输的重要工具，故中国企业在数据出境时也可采取签订SCC的方式，即企业之间签订包含SCC的数据出镜传输合同，后续即可进行个人数据传输。然而值得注意的是，SCC不是一份完整的合同，因此企业需要将数据转移的详情填写完整，事先对数据类型、数据主体类型、数据处理目的、数据流等事项进行梳理，以便准确填写。