《通用数据保护条例》(GDPR)系列解读三：欧洲子公司如何向国内母公司回传数据？

对国际贸易和国际合作而言，与欧盟以外的国家之间的数据流动是不可或缺的，但日益增多的数据跨境流动也给个人数据保护带来了新的挑战与顾虑。当数据在欧盟与非欧盟国家间流动时，也应接受欧盟内同等力度的保护。GDPR规定，在任何情况下，向第三国或国际组织传输数据必须要满足相关规定。

01 跨境传输的定义

GDPR专设第五章，对个人数据向第三国或者国际组织的传输规则展开了细致的描述，即大家所熟知的数据跨境传输（一般认为“第三国third countries”指非欧盟条约缔约国的国家）。

2021年11月，欧盟数据保护机构EDPB还通过了《Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR》，通过具体的案例分析帮助各成员国更好地理解GDPR的跨境传输规则，解决执法过程中的实际适用问题。

来源：EDPB

总的来说，数据传输行为需同时满足以下三个条件才可认定为GDPR中所说的“数据跨境传输”，缺一不可：

（1）数据输出方（控制者或处理者）的处理活动受GDPR管辖。是否适用GDPR可参照GDPR系列解读一——适用范围篇判断。

（2）数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给数据接收方。数据接收方包括控制者、联合控制者、处理者等，他们的角色视在数据处理活动中的分工而定。

（3）“数据接收方”位于第三国或是国际组织，无论该境外接收方是否域外适用GDPR。

例如，意大利用户A在新加坡购物网站B上购物，在提交订单时提交了自己的电话、地址、银行账户等个人数据。在此种情况下，由于A的个人信息是自己自愿提交给新加坡公司B，而没有通过任何数据输出方，因此该数据传输行为不属于跨境传输，此类数据传输行为无需通过任何额外的审核认定。

来源：数据法盟

那么位于欧盟境内的子公司将数据分享给位于第三国的母公司，是否属于跨境传输呢？在此种情形下，子公司被认为是位于欧盟境内的数据控制者，接收数据的母公司则被视为数据处理者，此类数据共享行为也被认为符合数据跨境传输的规定，适用GDPR第五章的情形。

有一种数据传输场景对中国企业也较为常见。中国企业A未在欧盟境内设立经营实体，其收集的个人数据均为非欧盟居民，因此A并不受GDPR的管辖。但在经营活动中，中国企业A将其数据交给欧盟企业B进行处理，欧盟企业B再将处理完毕的数据传输给中国企业A。在此种情况下，由于欧盟企业B的数据处理活动受GDPR管辖，因此将数据回传给中国企业A仍属于数据跨境传输。

02 数据跨境传输需要满足哪些条件？

GDPR规定，向非欧盟国家传输个人数据应在以下两个特定条件下进行：传输目的地获得欧盟委员会的充分性认定（transfers on the basis of an adequacy decision），或者，该数据传输行为得到了适当的保障。

1. 充分性认定

当传输目的地已通过欧盟委员会的充分性认定后，欧盟国家向其传输数据无需获取额外授权，遵守GDPR对数据传输的普通规定即可。充分性认定要求第三国或国际组织具备以下条件：

（1）法治，尊重人权和基本自由，相关立法和执法情况；

（2）第三国或国际组织所在国是否拥有负责数据保护的独立监管机构；

（3）第三国或国际组织缔结的国际承诺、有法律效力的公约或文书、加入的与数据保护相关的多边关系或区域体系。

欧盟委员会将按照以上标准进行充分性认定，且每四年进行一次审查，得到充分性认定的国家会在《欧盟官方公报》和欧盟委员会网站上公布。目前达到充分性认定标准的国家有：安道尔、根西岛、泽西岛、阿根廷、以色列、新西兰、加拿大、马恩岛、瑞士、法罗群岛、日本以及乌拉圭。

来源：Privacy Study Groups

2. 保障措施

获得欧盟充分性认定的国家毕竟是少数。当传输目的地没有获得充分性认定，但能够提供适当的措施来保护数据主体的权利和自由，且数据主体可以申请法律救济，那么向其传输数据也是被允许的。这些保障措施包括以下八项：

（1）公共当局或机构之间有具备法律约束力和执行力的文书。

（2）约束性企业规则。

（3）欧盟委员会通过的标准数据保护条款。

（4）监管机构通过并经欧盟委员会核准的标准数据保护条款。

（5）经核准的行为守则，以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

（6）经核准的认证机制，以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

（7）控制者/处理者与第三国或国际组织的控制者/处理者/接收者之间的合同条款。

（8）在公共当局或机构间的行政安排中加入的规定中，包括可执行和有效的数据主体权利。

目前企业传输数据较为常见的保障措施是约束性企业规则（BCR）和标准合同条款（SCC）。

约束性企业规则主要适用多组织或跨国企业在其体系内传输个人数据。标准合同条款被认为是欧盟个人数据出境的主要路径，是经欧盟委员会核准的条款，企业不得随意更改。大多数中国企业都会选择签署SCC作为跨境传输数据的有效保障。

03 跨境传输的特殊情况

如果传输目的地既未通过欧盟委员会的充分性认定，也无法采取以上提到的保障措施，只有在满足以下条件时，才可向第三国或国际组织传输个人数据：

（1）传输不是重复性的。

（2）只涉及有限数量的数据主体。

（3）对于控制者实现其所诉求的令人信服的合法利益确属必要，且这些利益不会因数据主体的权益或权力与自由而否决。

（4）控制者已评估与数据传输有关的所有情况，并根据该评估为个人数据的保护提供了适当的保障。

也就是说，当数据传输行为是偶发的、必要的，涉及的数据主体较少，并且数据控制者或处理者也采取了适当的保护措施来保障数据安全，此类跨境数据传输无需获得额外的许可。

04合规建议

考虑到实际跨国业务的复杂程度，出海企业应对数据全生命周期中涉及到欧盟的环节格外注意，明确其是否受GDPR的跨境传输规则约束。对于确实符合GDPR跨境传输定义的业务，跨国公司可考虑采用约束性企业规则、普通的企业可采用标准合同条款，确保数据传输双方都应遵守。

2020年7月，欧盟法院做出Schrems II案裁决后，对标准合同条款（SCC）的法律效力又作了进一步说明，明确数据输送双方除了应遵守标准合同条款外，还应核实传输目的地所在国家是否有相应的立法，是否能为传输到该国的个人数据提供GDPR所要求的保护力度。这一裁决也使得美国和欧盟之间的隐私盾协议被判无效，多家美国互联网企业与欧盟之间的数据传输业务受到了极大的干扰。GDPR执法案例的不断更新也迫使企业应持续关注其最新进展。