2021年6月21日,，歐盟數(shù)據(jù)保護(hù)委員會（“EDPB”）終于發(fā)布了萬眾期待的“關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的補(bǔ)充措施最終建議”（簡稱“最終建議”）,。為什么說“終于”發(fā)布了？先快速回顧一下時間線,。

　　2020年7月16日,，歐盟法院對SchrmesII案件的判決認(rèn)定：歐盟標(biāo)準(zhǔn)合同條款（“SCC”）繼續(xù)有效,，但數(shù)據(jù)出口方和進(jìn)口方都有義務(wù)：（1）評估接收國法律是否能夠確保接收方履行SCC條款；且（2）接收方采取“補(bǔ)充措施”達(dá)到歐盟“實(shí)質(zhì)同等”的保護(hù)水平,。否則禁止數(shù)據(jù)跨境轉(zhuǎn)移,。【詳見：數(shù)據(jù)跨境流動 | 美歐“隱私盾協(xié)議”被判無效背后的邏輯】【詳見：數(shù)據(jù)跨境流動 | 歐盟EDPB對歐盟隱私盾協(xié)議被判無效的相關(guān)問答（全文翻譯）】

　　判決一出,，大家都很懵圈,。第一，企業(yè),，尤其是微小企業(yè)可能都沒有個公司法務(wù),，如何去評估一國法律？歐委會不是已經(jīng)自己認(rèn)定了“看的上”的13個國家（即“充分性”認(rèn)定）,，那就應(yīng)該推定其他國家都是不滿足歐盟要求的,，為何還要企業(yè)自己評估多次一舉？另外,，企業(yè)自己評估的結(jié)論歐盟監(jiān)管機(jī)構(gòu)不認(rèn)怎么辦,？畢竟歐盟法院也兩次推翻了歐委會對美國法律的認(rèn)定。第二,，什么是“補(bǔ)充措施”,？【詳見：數(shù)據(jù)跨境流動 | 愛爾蘭DPA即將禁止FACEBOOK的數(shù)據(jù)跨境傳輸，以及數(shù)據(jù)跨境流動 | 愛爾蘭高等法院暫時允許Facebook繼續(xù)個人數(shù)據(jù)跨大西洋傳輸】【詳見：數(shù)據(jù)跨境流動 | 德國巴符州DPA率先解釋與SCC配套的“額外的保障措施”,，以及數(shù)據(jù)跨境流動 | 中國公司基于SCCs開展數(shù)據(jù)跨境流動的基本策略】,。

　　2020年11月10日,，EDPB就上述兩個問題發(fā)布指南，并公開征求意見,。對“補(bǔ)充措施建議”反對聲音最大,，尤其是其案例6和7，它意味著歐盟可能將不會允許歐盟的個人數(shù)據(jù)轉(zhuǎn)移到美國,、俄羅斯,、印度等國，因?yàn)闅W盟可能認(rèn)為這些國家的政府?dāng)?shù)據(jù)訪問可能會導(dǎo)致隱私水平達(dá)不到歐盟要求,，是企業(yè)采用任何技術(shù),、組織、合同措施都無法消減的,。這會導(dǎo)致一個結(jié)果,，企業(yè)內(nèi)部數(shù)據(jù)（如HR、商業(yè)客戶聯(lián)系方式）無法跨境流動,；云服務(wù)提供商也無法在歐盟境外處理數(shù)據(jù),。【數(shù)據(jù)跨境流動 | EDPB關(guān)于標(biāo)準(zhǔn)合同條款之外的“補(bǔ)充措施”的指南終于問世】

　　關(guān)于“補(bǔ)充措施建議”的公開征求意見窗口期一再延長,，期間有幾百家企業(yè)/行業(yè)協(xié)會,，包括荷蘭、丹麥司法部也公開批評,。

　　2021年6月21日，“補(bǔ)充措施最終建議”終于發(fā)布,。

　　“最終建議”中明確了“六步法”的主線,，如下圖示意：

關(guān)于前文中提到的，跨國公司法務(wù)最關(guān)心案例6和7終于出現(xiàn)松動,，也就是說如果企業(yè)能夠證明有問題的法律不適用于該跨境場景,，那么補(bǔ)充性措施仍然是有效的，數(shù)據(jù)仍然可以跨境轉(zhuǎn)移,。先見下圖：

　　熟悉“補(bǔ)充措施征求意見稿”的同學(xué)們可能會發(fā)現(xiàn),，EDPB把之前斷然否認(rèn)的“主觀因素”又加回去了【去年9月美國司法部和情報部門聯(lián)合發(fā)布白皮書，聲稱大部分轉(zhuǎn)去美國的歐盟數(shù)據(jù)沒有情報價值,，不感興趣,。EDPB也發(fā)文懟回去，你說沒價值就沒價值么,？企業(yè)不能依據(jù)于此認(rèn)定沒有潛在風(fēng)險,。】很明顯,，EDPB就此向美國作出妥協(xié)——即使法律可能不滿足EU標(biāo)準(zhǔn),，但只要出口方能夠證明法律條文或者實(shí)踐中不適用于跨境數(shù)據(jù),，那么甚至可以不采取“補(bǔ)充措施”。與之前EDPB堅(jiān)持說采取所有補(bǔ)充措施在公權(quán)力面前都無濟(jì)于事相比,，這無疑是EU給美國公司的一條逃生通道,，甚至還就美國備受詬病的FISA 702還作了一個手把手的示例。

　　但企業(yè)要證明“有問題的法律不適于該數(shù)據(jù)跨境場景”,，EDPB規(guī)定了非常繁重的實(shí)質(zhì)和形式義務(wù),，我梳理如下：

　　企業(yè)負(fù)有證明義務(wù)，整個評估要有個詳細(xì)的報告,，說明（1）與該數(shù)據(jù)跨境有關(guān)的法律和實(shí)踐評估,；（2）企業(yè)評估流程，卷入了哪些角色,，比如律所,、顧問、DPO等,；（3）評估日期和后續(xù)定期檢查的日期,。以供日后歐盟監(jiān)管機(jī)構(gòu)要求提供。

　　企業(yè)要從法律解讀上證明有問題的法律不適于該場景,；

　　企業(yè)要從自身實(shí)踐中證明有問題的法律不適用于該場景,，比如是否收到過政府?dāng)?shù)據(jù)訪問請求，是否被禁止披露收到過請求,；

　　企業(yè)要從所在行業(yè)整體評估有問題的法律不適用于該場景,，簡言之，你說你沒收到過政府訪問請求,，但是你的同行收到過,，那么你的評估也有問題。

　　在評估標(biāo)準(zhǔn)上,，對法律解讀和實(shí)踐的評估,，EDPB提出了“相關(guān)、客觀,、可信,、驗(yàn)證、公開”目的就是強(qiáng)調(diào)可被歐盟監(jiān)管機(jī)構(gòu)驗(yàn)證檢查,；并在附件3中列出了信息來源,，大致幾類：（1）來自歐盟的認(rèn)定、判決,、決議,；（2）進(jìn)口國判例法、司法決定、議會報告,；（3）NGO,、商會、民權(quán)組織的報告,；（4）各企業(yè)的透明化報告,，必須明確寫明沒有收到過政府?dāng)?shù)據(jù)訪問請求：（5）進(jìn)口方的內(nèi)部聲明和記錄，明確說明在足夠長的一段時間內(nèi)沒有收到過政府訪問請求,，并出具內(nèi)審或DPO的證明,。

　　最后歸納一下企業(yè)合規(guī)的行動清單，為了便于把數(shù)據(jù)從EU轉(zhuǎn)移到中國,，位于中國的數(shù)據(jù)進(jìn)口方可以配合出口方做好幾件事情：

　　提前做好一個中國法律框架整體性評估,，個人信息保護(hù)法、民法典,、刑訴等一系列涉及政府?dāng)?shù)據(jù)訪問的法律都應(yīng)囊括在內(nèi),，建議也包括歐盟議會經(jīng)常關(guān)注提及的幾部法律，正好借此專業(yè)性地澄清,；

　　要求出口方提供數(shù)據(jù)流場景,，比如：轉(zhuǎn)移和處理目的（營銷、HR,、存儲,、IT支持、醫(yī)療診斷）,；處理的實(shí)體（公有,、私有）；轉(zhuǎn)移發(fā)生的領(lǐng)域（電信,、廣告,、金融）；轉(zhuǎn)移的數(shù)據(jù)種類（兒童數(shù)據(jù)）,；物理轉(zhuǎn)移還是遠(yuǎn)程訪問；數(shù)據(jù)轉(zhuǎn)移的格式（明文,、匿名,、加密）、是否可能被進(jìn)一步轉(zhuǎn)移,。

　　結(jié)合具體場景,，完成實(shí)踐評估，既包括自身也包括行業(yè),，評估信息要注明來源,，確保“相關(guān)、客觀,、可信,、驗(yàn)證、公開”,，可被歐盟監(jiān)管機(jī)構(gòu)日后驗(yàn)證檢查,；

　　形成報告后匹配數(shù)據(jù)流存檔，并指定后續(xù)重新評估的責(zé)任人,。

　　最后也是最重要的一點(diǎn),，無論法律評估結(jié)論如何，企業(yè)都應(yīng)同步采取“補(bǔ)充措施”,，比如數(shù)據(jù)加密,、合同背靠背承諾等。（完）