2021年6月21日,，歐盟數(shù)據(jù)保護(hù)委員會(huì)（“EDPB”）終于發(fā)布了萬(wàn)眾期待的“關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的補(bǔ)充措施最終建議”（簡(jiǎn)稱(chēng)“最終建議”）,。為什么說(shuō)“終于”發(fā)布了？先快速回顧一下時(shí)間線(xiàn),。

　　2020年7月16日,，歐盟法院對(duì)SchrmesII案件的判決認(rèn)定：歐盟標(biāo)準(zhǔn)合同條款（“SCC”）繼續(xù)有效，但數(shù)據(jù)出口方和進(jìn)口方都有義務(wù)：（1）評(píng)估接收國(guó)法律是否能夠確保接收方履行SCC條款,；且（2）接收方采取“補(bǔ)充措施”達(dá)到歐盟“實(shí)質(zhì)同等”的保護(hù)水平,。否則禁止數(shù)據(jù)跨境轉(zhuǎn)移?！驹斠?jiàn)：數(shù)據(jù)跨境流動(dòng) | 美歐“隱私盾協(xié)議”被判無(wú)效背后的邏輯】【詳見(jiàn)：數(shù)據(jù)跨境流動(dòng) | 歐盟EDPB對(duì)歐盟隱私盾協(xié)議被判無(wú)效的相關(guān)問(wèn)答（全文翻譯）】

　　判決一出,，大家都很懵圈。第一,，企業(yè),，尤其是微小企業(yè)可能都沒(méi)有個(gè)公司法務(wù)，如何去評(píng)估一國(guó)法律,？歐委會(huì)不是已經(jīng)自己認(rèn)定了“看的上”的13個(gè)國(guó)家（即“充分性”認(rèn)定）,，那就應(yīng)該推定其他國(guó)家都是不滿(mǎn)足歐盟要求的，為何還要企業(yè)自己評(píng)估多次一舉,？另外,，企業(yè)自己評(píng)估的結(jié)論歐盟監(jiān)管機(jī)構(gòu)不認(rèn)怎么辦？畢竟歐盟法院也兩次推翻了歐委會(huì)對(duì)美國(guó)法律的認(rèn)定,。第二,，什么是“補(bǔ)充措施”？【詳見(jiàn)：數(shù)據(jù)跨境流動(dòng) | 愛(ài)爾蘭DPA即將禁止FACEBOOK的數(shù)據(jù)跨境傳輸,，以及數(shù)據(jù)跨境流動(dòng) | 愛(ài)爾蘭高等法院暫時(shí)允許Facebook繼續(xù)個(gè)人數(shù)據(jù)跨大西洋傳輸】【詳見(jiàn)：數(shù)據(jù)跨境流動(dòng) | 德國(guó)巴符州DPA率先解釋與SCC配套的“額外的保障措施”,，以及數(shù)據(jù)跨境流動(dòng) | 中國(guó)公司基于SCCs開(kāi)展數(shù)據(jù)跨境流動(dòng)的基本策略】。

　　2020年11月10日,，EDPB就上述兩個(gè)問(wèn)題發(fā)布指南,，并公開(kāi)征求意見(jiàn)。對(duì)“補(bǔ)充措施建議”反對(duì)聲音最大,，尤其是其案例6和7,，它意味著歐盟可能將不會(huì)允許歐盟的個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國(guó)、俄羅斯、印度等國(guó),，因?yàn)闅W盟可能認(rèn)為這些國(guó)家的政府?dāng)?shù)據(jù)訪(fǎng)問(wèn)可能會(huì)導(dǎo)致隱私水平達(dá)不到歐盟要求,，是企業(yè)采用任何技術(shù)、組織,、合同措施都無(wú)法消減的,。這會(huì)導(dǎo)致一個(gè)結(jié)果，企業(yè)內(nèi)部數(shù)據(jù)（如HR,、商業(yè)客戶(hù)聯(lián)系方式）無(wú)法跨境流動(dòng),；云服務(wù)提供商也無(wú)法在歐盟境外處理數(shù)據(jù)?！緮?shù)據(jù)跨境流動(dòng) | EDPB關(guān)于標(biāo)準(zhǔn)合同條款之外的“補(bǔ)充措施”的指南終于問(wèn)世】

　　關(guān)于“補(bǔ)充措施建議”的公開(kāi)征求意見(jiàn)窗口期一再延長(zhǎng),，期間有幾百家企業(yè)/行業(yè)協(xié)會(huì)，包括荷蘭,、丹麥司法部也公開(kāi)批評(píng),。

　　2021年6月21日，“補(bǔ)充措施最終建議”終于發(fā)布,。

　　“最終建議”中明確了“六步法”的主線(xiàn),，如下圖示意：

關(guān)于前文中提到的，跨國(guó)公司法務(wù)最關(guān)心案例6和7終于出現(xiàn)松動(dòng),，也就是說(shuō)如果企業(yè)能夠證明有問(wèn)題的法律不適用于該跨境場(chǎng)景,，那么補(bǔ)充性措施仍然是有效的，數(shù)據(jù)仍然可以跨境轉(zhuǎn)移,。先見(jiàn)下圖：

　　熟悉“補(bǔ)充措施征求意見(jiàn)稿”的同學(xué)們可能會(huì)發(fā)現(xiàn),，EDPB把之前斷然否認(rèn)的“主觀因素”又加回去了【去年9月美國(guó)司法部和情報(bào)部門(mén)聯(lián)合發(fā)布白皮書(shū)，聲稱(chēng)大部分轉(zhuǎn)去美國(guó)的歐盟數(shù)據(jù)沒(méi)有情報(bào)價(jià)值,，不感興趣,。EDPB也發(fā)文懟回去，你說(shuō)沒(méi)價(jià)值就沒(méi)價(jià)值么,？企業(yè)不能依據(jù)于此認(rèn)定沒(méi)有潛在風(fēng)險(xiǎn),。】很明顯,，EDPB就此向美國(guó)作出妥協(xié)——即使法律可能不滿(mǎn)足EU標(biāo)準(zhǔn)，但只要出口方能夠證明法律條文或者實(shí)踐中不適用于跨境數(shù)據(jù),，那么甚至可以不采取“補(bǔ)充措施”,。與之前EDPB堅(jiān)持說(shuō)采取所有補(bǔ)充措施在公權(quán)力面前都無(wú)濟(jì)于事相比，這無(wú)疑是EU給美國(guó)公司的一條逃生通道,，甚至還就美國(guó)備受詬病的FISA 702還作了一個(gè)手把手的示例,。

　　但企業(yè)要證明“有問(wèn)題的法律不適于該數(shù)據(jù)跨境場(chǎng)景”，EDPB規(guī)定了非常繁重的實(shí)質(zhì)和形式義務(wù)，我梳理如下：

　　企業(yè)負(fù)有證明義務(wù),，整個(gè)評(píng)估要有個(gè)詳細(xì)的報(bào)告,，說(shuō)明（1）與該數(shù)據(jù)跨境有關(guān)的法律和實(shí)踐評(píng)估；（2）企業(yè)評(píng)估流程,，卷入了哪些角色,，比如律所、顧問(wèn),、DPO等,；（3）評(píng)估日期和后續(xù)定期檢查的日期。以供日后歐盟監(jiān)管機(jī)構(gòu)要求提供,。

　　企業(yè)要從法律解讀上證明有問(wèn)題的法律不適于該場(chǎng)景,；

　　企業(yè)要從自身實(shí)踐中證明有問(wèn)題的法律不適用于該場(chǎng)景，比如是否收到過(guò)政府?dāng)?shù)據(jù)訪(fǎng)問(wèn)請(qǐng)求,，是否被禁止披露收到過(guò)請(qǐng)求,；

　　企業(yè)要從所在行業(yè)整體評(píng)估有問(wèn)題的法律不適用于該場(chǎng)景，簡(jiǎn)言之,，你說(shuō)你沒(méi)收到過(guò)政府訪(fǎng)問(wèn)請(qǐng)求,，但是你的同行收到過(guò)，那么你的評(píng)估也有問(wèn)題,。

　　在評(píng)估標(biāo)準(zhǔn)上,，對(duì)法律解讀和實(shí)踐的評(píng)估，EDPB提出了“相關(guān),、客觀,、可信、驗(yàn)證,、公開(kāi)”目的就是強(qiáng)調(diào)可被歐盟監(jiān)管機(jī)構(gòu)驗(yàn)證檢查,；并在附件3中列出了信息來(lái)源，大致幾類(lèi)：（1）來(lái)自歐盟的認(rèn)定,、判決,、決議；（2）進(jìn)口國(guó)判例法,、司法決定,、議會(huì)報(bào)告；（3）NGO,、商會(huì),、民權(quán)組織的報(bào)告；（4）各企業(yè)的透明化報(bào)告,，必須明確寫(xiě)明沒(méi)有收到過(guò)政府?dāng)?shù)據(jù)訪(fǎng)問(wèn)請(qǐng)求：（5）進(jìn)口方的內(nèi)部聲明和記錄,，明確說(shuō)明在足夠長(zhǎng)的一段時(shí)間內(nèi)沒(méi)有收到過(guò)政府訪(fǎng)問(wèn)請(qǐng)求，并出具內(nèi)審或DPO的證明。

　　最后歸納一下企業(yè)合規(guī)的行動(dòng)清單,，為了便于把數(shù)據(jù)從EU轉(zhuǎn)移到中國(guó),，位于中國(guó)的數(shù)據(jù)進(jìn)口方可以配合出口方做好幾件事情：

　　提前做好一個(gè)中國(guó)法律框架整體性評(píng)估，個(gè)人信息保護(hù)法,、民法典,、刑訴等一系列涉及政府?dāng)?shù)據(jù)訪(fǎng)問(wèn)的法律都應(yīng)囊括在內(nèi)，建議也包括歐盟議會(huì)經(jīng)常關(guān)注提及的幾部法律,，正好借此專(zhuān)業(yè)性地澄清,；

　　要求出口方提供數(shù)據(jù)流場(chǎng)景，比如：轉(zhuǎn)移和處理目的（營(yíng)銷(xiāo),、HR,、存儲(chǔ)、IT支持,、醫(yī)療診斷）,；處理的實(shí)體（公有、私有）,；轉(zhuǎn)移發(fā)生的領(lǐng)域（電信,、廣告、金融）,；轉(zhuǎn)移的數(shù)據(jù)種類(lèi)（兒童數(shù)據(jù)）,；物理轉(zhuǎn)移還是遠(yuǎn)程訪(fǎng)問(wèn)；數(shù)據(jù)轉(zhuǎn)移的格式（明文,、匿名,、加密）、是否可能被進(jìn)一步轉(zhuǎn)移,。

　　結(jié)合具體場(chǎng)景,，完成實(shí)踐評(píng)估，既包括自身也包括行業(yè),，評(píng)估信息要注明來(lái)源,，確保“相關(guān),、客觀,、可信、驗(yàn)證,、公開(kāi)”,，可被歐盟監(jiān)管機(jī)構(gòu)日后驗(yàn)證檢查；

　　形成報(bào)告后匹配數(shù)據(jù)流存檔,，并指定后續(xù)重新評(píng)估的責(zé)任人,。

　　最后也是最重要的一點(diǎn)，無(wú)論法律評(píng)估結(jié)論如何,，企業(yè)都應(yīng)同步采取“補(bǔ)充措施”,，比如數(shù)據(jù)加密、合同背靠背承諾等,。（完）