导言

GDPR第五章“向第三国或者国际组织传输个人数据” 被视为GDPR第三条地域适用范围的补充，规定了从欧盟向欧盟境外或国际组织传输个人数据的条件，列明了合法转移数据的法律依据，旨在保障欧盟主体的个人数据被转移至欧盟以外的地区时，该数据继续受到与GDPR同等水平的保护。

这意味着，对于不受GDPR第三条管辖的中国企业而言，如果其数据传输活动落入GDPR“欧盟跨境数据传输”的范围，其仍须按照GDPR第五章的规定采取GDPR项下的保障措施，尤其是签订跨国数据传输标准合同及承诺补充措施，以确保跨境数据传输和商业活动的顺利进行。

本文结合GDPR第五章和欧洲数据保护委员会（EDPB）在2021年11月发布的《关于域外使用和数据跨境流动条款适用问题的指南》（Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR），对GDPR第五章“欧盟数据跨境传输”的概念的阐明，协助中国企业判断其跨境数据传输活动是否落入GDPR项下的“欧盟数据跨境传输”并提供合规应对建议。

一、 判断中国企业是否进行GDPR项下的“欧盟跨境数据传输”

需要明确的是，涉及欧盟的数据跨境传输并不必然受到GDPR第五章的管辖。例如，一家中国公司柏林分公司将其收集的个人信息传输给位于巴黎的合作伙伴公司，由于数据接收方位于欧盟境内，这一情形并不构成GDPR第五章规定的“欧盟跨境数据传输”；又如，一位巴黎居民主动向中国企业传输个人信息的情形中，中国企业因具有向欧盟居民提供商品的意图而落入GDPR第三条的适用范围，但这一情形同样不构成GDPR第五章规定的“欧盟跨境数据传输”，因此该中国企业无需满足第五章设定的特殊义务。

那么，一家中国企业该如何判定其是否受制于GDPR第五章的约束呢？EDPB通过《关于域外使用和数据跨境流动条款适用问题的指南》确定了三个标准，当三个标准同时符合时，该数据处理活动需满足GDPR第五章的规定。下文将对三个标准的具体含义进行说明。

标准一：数据出口方受GDPR管辖

首先，数据出口方（包括控制者和处理者）须受GDPR管辖，即其数据处理活动符合GDPR第3条地域管辖的规定。对于数据控制者/处理者的数据处理活动是否受GDPR管辖，可参考此前GDPR系列文章(一)(二)。

特别需要注意的是，根据GDPR第三条第2款，在欧盟没有经营场所的中国企业，由于向欧盟主体提供商品或服务等针对性行为可以成为GDPR管辖的数据控制者。此时，位于中国的中国企业将其在欧盟收集到的数据转移至欧盟境外时，也需要遵守GDPR第五章。

标准二：数据出口方通过传输或其他方式将个人数据提供给数据进口方

首先，数据出口方和数据进口方必须是数据控制者/处理者。这就排除了数据是由数据主体直接主动向接收方传输的情况，在此种情况下不存在发送或提供数据的控制者或处理者。例如，欧盟居民Maria（数据主体）在中国线上服装网站上购买了商品， Maria将她的个人数据直接上传至服装网站以便中国公司发货。由于Maria的身份是数据主体而非数据控制者/处理者，因此其提供个人数据的行为不构成GDPR项下下的“欧盟跨境数据传输”，Maria和中国公司均不受GDPR第五章的约束。但中国公司应当根据但中国公司应当根据GDPR第3条检验其是否针对欧盟主体提供服务进而受到GDPR管辖。

其次，数据出口方和数据进口方必须相互区别（different/ separate）。这就排除了同一数据控制者/处理者内部的跨境传输行为。例如，中国企业的员工在德国出差期间将其收集的德国客户数据回传至中国企业，由于中国企业的员工是以公司名义收集和传输的个人数据，这一跨境传输场景下数据出口方和数据进口方实际均为中国企业，因此并不构成GDPR项下的“欧盟跨境数据传输”。

但是，相互区别并不意味着相互独立。例如，数据控制者和数据处理者就同一套个人数据进行的跨境传输，甚至数据处理者和其分包的数据处理者就同一套个人数据进行的跨境传输，虽然后者均受命于前者，甚至二者可以存在控制权关系，如果能够确定二者的身份相互区别^[1]，则也会被视为GDPR项下的“欧盟跨境数据传输”。

标准三：数据进口方位于欧盟境外，无论是否受GDPR管辖

无论数据进口方是否受GDPR管辖，其在地理上应位于欧盟境外，或其身份为国际组织。如果中国公司意大利分公司接收来自比利时分销商的个人数据，由于数据进口方（意大利分公司）位于欧盟境内，则比利时分销商-中国公司意大利分公司之间的数据传输将不被视为GDPR项下的“欧盟跨境数据传输”。

二、常见情形

1.位于欧盟的子公司与中国母公司共享数据

实践中，跨国公司集团内共享全球信息，且定期要求全球分支机构通过统一的办公系统和邮件等上传各类公司数据，包括但不限于员工数据、财物数据、市场数据、产品数据、技术研发数据等。这种集团内部数据传输可能构成GDPR项下的“欧盟跨境数据传输”。

例如，一家中国公司在爱尔兰设立了一家子公司，子公司需向中国总公司汇报其雇员的个人数据，该等信息由中国总公司统一存储在人力资源数据库中。在此种情况下，爱尔兰子公司以雇主的身份处理个人数据，是数据控制者，而中国母公司是处理者，两个实体彼此区别。根据GDPR第三条第1款，爱尔兰子公司的数据处理活动受GDPR约束，而中国总公司位于欧盟境外。因此，该披露符合GDPR第五章意义上的向欧盟境外转移的条件。

2.委托欧盟处理者进行数据分析，并将数据传回中国

实践中中国企业常有将数据委托欧盟数据分析机构处理的商业需求，此种情形中国企业应当遵守GDPR第五章。

例如：中国数据控制者将其雇员和客户的个人数据（均为非欧盟居民）发送给位于奥地利的处理者，委托奥地利公司代表其在欧盟进行数据处理。奥地利的数据处理者将处理过的数据重新传回中国企业。奥地利公司回传个人数据的跨境传输活动符合“欧盟跨境数据传输”的定义：

（1）奥地利公司在欧盟境内设有经营场所，受GDPR管辖；

（2）中国公司为数据控制者，奥地利公司为数据处理者，双方均不是数据主体且相互区别；

（3）中国企业作为进口方位于中国。因此，从欧盟到中国的数据传输可以被认为是个人数据的跨境转移，中国企业应当在此跨境传输活动中受GDPR第五章管辖。

但在中国公司→奥地利公司的传输活动中，作为数据进口者的奥地利公司位于欧盟境内，不符合标准三（数据进口方应位于欧盟境外），因此中国公司→奥地利公司的跨境传输活动不构成GDPR项下的“欧盟跨境数据传输”。

3.App和产品在欧盟销售或使用，并将所收集数据传回中国

中国企业的产品和App服务在欧盟被使用，若在联网情况下通过App和产品（如智能手表、医疗健康App，智能联网汽车等），将在欧盟收集的数据传回中国境内的数据中心，也必然涉及到GDPR项下的“欧盟跨境数据传输”，导致中国企业需适用GDPR第五章。

例如，2021年爱尔兰数据保护委员会针对中国短视频平台TikTok涉及向中国转移个人数据启动调查，调查包括TikTok（区别于总部“字节跳动”的独立集团公司）向中国转移数据时是否遵守GDPR第五章规定。2018年德国数据监管机构对摩拜单车涉及将App收集欧盟数据主体的数据（包括用户未使用软件时的定位信息）展开调查，德国数据监管机构强调一旦摩拜德国将该类数据发回中国总部，将必须遵守GDPR第五章。

三、中国企业涉及“欧盟跨境数据传输”的合规安排

跨境数据流动的合规是企业风险管理重要一环，特别是跨国企业和提供数字产品和服务的企业。GDPR第五章跨境数据传输的条款旨在保障欧盟数据在欧盟境外受到 “同等保护”，在此基础上提出了充分性认定（adequacy decision）、标准合同条款（standard contract clause），以及约束性公司规则（binding corporate rules）等不同合规思路。

我们建议中国企业根据自身特点和需要，对涉及欧盟跨境数据传输做出相应的合规安排，防范GDPR大额行政罚款的风险。

1.充分理解中国和欧盟的跨境数据法律规定

GDPR第五章要求对数据进口方（中国）法律环境评估的要求，即所谓的充分性认定。当前，通过欧盟委员会充分性认定的国家十分有限，而中国并不在其中。中国企业需要认识到，建立在中国数据保护法体系下的合规制度，与GDPR体系下的合规制度之间，存在着保护水平的不一致。因此，充分理解两国数据法律规定可以快速识别两种法律体系下合规体系的差距点，查明两种法律体系并提供的解决方案。中国企业应当根据自身产业类型、供应链位置、企业类型对适用企业需求的个人数据保护的法律要求进行评估认定。

2.拟定跨境数据传输相关法律文件

在我国尚未通过充分性认定的背景下，制定通过欧盟审查的跨境传输标准合同则是另一条可行之路。事实上，一旦中国企业符合“欧盟数据跨境传输”的定义，跨境传输合同是跨境数据传输安排中必不可少的部分。

目前，欧盟委员会已为跨境传输标准合同设计了一套完整的模板。中国企业可以通过该等模板明确数据处理范围，设置安全性条款，约定审计方式，确定合同另一方的通知与协助义务，限制特定数据出境，明确处理者处理数据规则，约定删除、销毁或归还数据条款等，通过法律文件管控跨境传输的合规风险。

 3.制定约束性公司规则

约束性公司规则是为跨国集团或联合经济体提供跨境数据传输的特殊合规思路，保障跨国集团内部的公司在个人数据处理方面均达到GDPR合规标准，从而可以在集团内部自由传输个人数据。该规则可以避免每次跨境传输均需拟定跨境传输标准合同的麻烦，有利于统一集团数据管理和处理规则，节约合规成本。

约束性公司规则程序上要求中国企业向主管欧盟成员国数据保护机构提交一套对公司具有约束力的有关数据保护的管理规则，经其批准认证后方可实施，另外中国跨国企业应确保集团所有成员同意接受该数据保护机构的审计，并遵守主管数据保护机构的建议。

可见，欧盟对于约束性公司规则设定了极高的门槛，企业需要付出相对高昂的合规成本。事实上，GDPR生效后只有28个国际企业被批准认证了约束性公司规则，其中没有中国企业。

4.制定相应补充安全措施和组织措施

根据GDPR第五章规定，通过跨境传输标准合同不能保障欧盟数据在境外受到同等充分保护的，应当制定补充措施。另外EDPB与2021年6月公布了《数据跨境传输补充措施的最终建议》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），中国企业在制定补充措施时可予以参考。

5.针对跨境数据处理活动建立数据清单

此外，在具体的传输活动中，为合理把控风险，中国企业应当针对跨境数据处理活动建立数据清单，建议可以从以下几个步骤着手：

● 首先针对本次跨境数据处理活动涉及的数据进行分类，将传输活动中的个人数据、非个人数据、敏感数据分类管理；

● 其次，根据数据分类查明现有安全保障措施及机构保障措施；

● 最后，根据数据清单反应的跨境数据处理的数据保护状况，进一步拟定法律文件、确定需要采取哪种相应补充保障措施。

注释：

[1]建议参考Guidelines 07/2020 on the concepts of controller and processor in the GDPR。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。