随着越来越多企业出海欧盟国家，数据回传的合规问题日益凸显。欧盟GDPR以“史上最严苛的数据保护条例”而闻名全球，总结而言，具备以下特点：

理解了GDPR的这些特点，我们就不难理解非欧盟企业在欧盟地区进行企业经营的过程中数据合规的重要性。

如何将位于欧盟的中国子公司的个人信息合规回传，也是中国企业出海欧洲亟待解决的重大挑战之一。GDPR为企业提供了三层次的数据跨境流动法律工具箱[2]，分别是：充分性认定机制、克减机制、适当安全保障机制。本文将聚焦数据自欧盟地区向中国跨境传输这一具体问题，进行思考及分析并为企业提供相应建议。 

企业在进行个人信息传出欧盟经济区时，首先应当破除“Comp.EU和Comp.CN间的传输是公司内部问题”这个完全靠“直觉”得出来的观点。在当前GDPR的监管体系中，按照GDPR第3.1条和EDPB[3]发布的《关于域外使用和数据跨境流动条款适用问题的指南》[4]，此跨境传输模型完全符合欧盟各成员国根据GDPR设立的本国监管机构管辖权的产生条件。不同于船舶、飞机这类空间意义上的拟制领土上的管辖问题，这种管辖权系以数据处理法律关系为媒介，沿着在欧盟境内产生的数据的行走路径，直接将欧盟的法律延伸扩展适用至另一国的数据控制者或处理者。因此，作为位于欧盟境内外的子母公司，Comp.EU和Comp.CN，从理论上讲，作为个人信息的传出方和接收方，都处于个人信息的传输链条上，都应受到GDPR的规制。从责任承担和结果的可执行角度而言，位于欧盟境内的公司实体将承担更大的合规义务。 

充分性认定机制的实质是欧盟对欧盟外国家在法律框架、监管机构、数据主体权利保障等方面的认可（被认为达到了欧盟的保障标准），因此被“豁免”了额外的数据传输保障措施，例如新西兰，日本，英国，以及在2023年10月后的美国[5]。截至目前，我国尚未获得欧盟的充分性认定。

特定情况下的克减机制则是对于不存在充分性决定或适当保障措施时的一种补充性规定，并不适合企业将之进行常态化适用。

对于未被列入白名单的国家，企业需要通过适当安全保障机制实现合规。GDPR规定，适当的保障措施包括：公共当局之间有法律约束力和可执行性的文书、有约束力的公司规则（BCRs）、欧委会通过或批准的标准合同条款（SCCs）、经批准的行为准则、经批准的认证机制。

在实践领域中，因上述保障措施在执行难度、执行效果中的不同，企业最常使用的路径是标准合同条款，其次是有约束力的公司规则（BCRs）。BCRs从申请到审批，需要企业与监管机构的频繁交互，流程相对复杂。目前经欧盟严格审查被批准采用BCRs进行数据跨境传输的企业数量较少，主要是例如宝马、爱马仕、西门子等总部就设置在欧盟域内的跨国集团。总部设置在我国的公司尚未见到成功案例。

综上，我们认为，签订标准合同条款是目前对中国企业而言可操作性最强的方式。我们将在下文结合欧盟委员会Schrems II案后发布的更新版标准合同条款和实施决定予以详细论述。 

GDPR并未设定“敏感个人信息”概念，而是将显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据划分为“特殊类别个人信息”（special categories of personal data）。在GDPR要求之下，针对特殊类别个人信息的数据处理（process）原则上是被禁止的（prohibited），除非存在获得数据主体对于处理其特殊类别个人信息的明确同意、非营利性数据处理等特殊豁免情形。从企业经营实践的角度看，上述豁免情形很难达成，因此为确保合规，应尽可能在剔除“特殊类别个人信息”的前提下完成传输。

相较而言，欧盟并未对SCCs的个人信息传输的性质或者规模进行规定。如果需要，任何规模和性质的传输都可以以SCCs作为适当安全保障机制。

我国个人信息保护法中对于数据处理者并未区分控制者和处理者，因此，出境标准合同统一给出一个标准合同模版。如上图所示，GDPR项下SCCs的四个模块是通过界定传输双方分别属于Controller（控制者）还是Processor（处理者），构造四个不同的传输模板。因此，与国内个人信息出境标准合同订立不同，在订立欧盟标准合同条款时，必须在确认主体角色的基础上，选择合适模板。

从定义上看，“Controller”体现出“控制、决定”的特征，在整个数据传输过程中起到决定性的主导作用，那么自然即可推导出“Controller”对“Processor”的处理行为的指示作用。欧盟立法机构也因这种地位不平等的指示行为的存在，认为应当对这两种不同“角色”的主体课以不同强度的合规义务，总体上看“Controller”承担相对“Processor”更为严苛的合规义务。

在母子公司的内部传输中，母公司基于其组织架构上的优势在大部分情况下处在控制者的地位，但在实际传输过程中，还是必须根据实际情况具体认定，以下我们试举两例。

Comp.CN和Comp.EU使用相同的数据库来管理员工信息。该数据库托管在Comp.CN的服务器上，因此Comp.CN在数据存储方面是公司的处理器。Comp.EU会自行输入员工和面试者的数据，并仅出于自己的目的处理这些数据。此外，Comp.EU还将独立决定其员工信息的访问、保留期、更正或删除。[7]在这种情况下，Comp.EU为控制者。该模型为C2P模型。

Comp.CN公司仅从Comp.EU处接收信息，Comp.CN公司决定如何对这些市场和客户信息进行处理，处理是为了Comp.CN营销策略制定的目标和活动，并向Comp.EU提供了需要收集哪些信息的详细说明。因此，Comp.CN公司仍被视为处理个人数据的控制者，Comp.EU只能按照Comp.CN公司给出的清单收集和处理数据，因此被视为处理者。[8]该传输模型为P2C模型。

总体而言，Controller要承担比Processor更繁重的合规义务。在实践中是否可以采取措施规避在数据传输关系中被定义为Controller呢？我们认为，规避可能也只能发生在设计数据传输架构的过程中，也即实质上不参与数据传输的内容、时间、方式等决策。如果只是基于母公司在合同签订中的相对优势地位，直接在合同中将对方设定为“数据控制者”，以求在形式上规避合规风险，但实际上仍然作为控制者参与传输，存在无法通过欧盟监管机构的实质性穿透式审查的风险。

根据欧盟制定的新版SCCs问答（Q＆A）[9]，除了签订标准合同必需的选择模块、附件填写等修改，添加额外的保护措施以提高数据的保护水平的修改也不会被视为改变核心文本，这意味着，如果要对SCCs进行合法的修改，目标应当是将保护水平提高到SCCs确认的基准线以上，是一种“收紧性”的约定。

我国个人信息出境标准合同要求个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案，通过后获得备案号。我们认为，我国的标准合同备案事实上经历了网信部门的材料实质审核及沟通指导，最终获得备案号，这一过程有一定的行政许可特征。与国内备案制度不同，一般情况下，欧盟标准合同的签订并无向监管机构审批或备案的要求，而是直接作为商事合规过程中的一个重要环节，企业只需要自行记录SCCs的使用情况，以备合规备查。但个别欧盟成员国可能要求企业在SCCs生效前通知监管机构。例如在德国，某些情况下，德国的数据监管机构可能会要求在SCCs适用前进行额外的合规审查。在法国，涉及健康数据处理或其他公共利益相关的数据传输可能需要CNIL（国家信息与自由委员会）事先授权或征求意见。

参考上表，尽管Processor和Controller在对数据主体的权利救济途径、公共管理部门要求访问时的应对等方面的义务几近一致，但总体而言，Processor在GDPR下最主要的义务是按照Controller指示及双方约定的目的限制进行个人数据处理活动，协助controller履行其各项GDPR合规义务，负责执行和技术服务支持。而Controller需要给出明确的指示，且这些指示需要对数据处理活动的合法性以及数据主体行使权利负责。

在各方对数据主体的责任上，我国个人信息出境标准合同和SCCs相似的责任分配理念是，签订该合同的数据传输各方应当承担连带责任[11]，这也意味着，即使Comp.CN位于欧盟域外，仍不可能就不合规的数据传输导致的数据主体损失独善其身。作为真正连带责任，各方将根据过错大小确定责任份额，一方向数据主体承担责任后有权向其他各方追偿。

若SCCs系作为商业合同的一部分签订，需要明确该商业合同中的其他条款（例如，责任分配的特殊规则、各方关系中的责任上限）在约定与SCCs相关的责任时，不得与 SCCs 的这些责任方案相矛盾或实质上削弱某一方需承担的责任。

我们分析，欧盟对准据法的区分认定主要是基于Controller的“主导和控制权”定义，在P2C模式下，数据传输行为受到欧盟外的Controller（数据导入方）主导，根据密切联系原则，欧盟外国家与该传输行为可能具备更紧密的联系。

争议机构的选择涉及的是管辖权问题，管辖权又可能涉及该国的司法主权问题。欧盟SCCs条款对争议解决机构的约定与准据法的选择的思路是一致的。

第一类争议解决机构选择方式

在上述框架中，通过签署标准合同的路径进行数据跨境传输，在产生争议的情况下，存在中国企业不得不前往欧盟国家法院应诉的情况，因此有必要对欧盟相关法律法规及诉讼流程多加关注。