执行摘要

欧盟《通用数据保护条例》（GDPR）的通过是为了达到双重目的：促进个人数据在欧盟内部的自由流动，同时维护个人的基本权利和自由，特别是他们保护个人数据的权利。

欧盟法院在其最近的C-311/18号判决（Schrems II）中提醒我们，在欧洲经济区（EEA）给予个人数据的保护必须随跟随数据的流动。将个人数据转移到第三国不能成为破坏或淡化其在欧洲经济区所受保护的手段。法院还主张，第三国的保护水平不需要与欧洲经济区内的保护水平相同，但要基本等同。法院还支持标准合同条款的有效性，作为一种转移工具，可用于确保在合同上对转移到第三国的数据提供基本等同的保护。

标准合同条款和GDPR第46条中提到的其他转移工具并不是在真空中运作。法院指出，作为出口方的控制者或处理者有责任在个案的基础上，酌情与第三国的进口方合作，核实第三国的法律或惯例是否影响到GDPR第46条转移工具中所载的适当保障措施的有效性。在这些情况下，法院仍然为出口方留下了实施补充措施的可能性，以填补这些保护措施的空白，使其达到欧盟法律要求的水平。法院没有说明这些措施可以是哪些。然而，法院强调，出口方将需要在个案的基础上确定这些措施。这符合GDPR第5.2条的责任原则，该原则要求控制者负责，并能够证明遵守GDPR有关处理个人数据的原则。

为了帮助出口方（无论是控制者还是处理者，私人实体还是公共机构，在GDPR的适用范围内处理个人数据）完成评估第三国并在必要时确定适当的补充措施这一复杂任务，欧洲数据保护委员会（EDPB）通过了这些建议。这些建议为出口方提供了一系列应遵循的步骤、潜在的信息来源，以及一些可以实施的补充措施的例子。

作为第一步，EDPB建议你，出口方，了解你的传输。绘制所有转移到第三国的个人数据传输图可能是一项困难的工作。然而，了解个人数据的去向是必要的，以确保其在任何地方被处理时都能获得基本同等的保护水平。你还必须核实你所转移的数据是充分的、相关的，并且仅限于与处理目的有关的必要内容。

第二步是核实你的转移所依赖的转移工具，在第五章GDPR下所列的工具中。如果欧盟委员会已经根据GDPR第45条或以前的95/46号指令（只要该决定仍然有效），通过其一项充分性决定，宣布你要转移数据的国家、地区或部门是充分的，你将不需要采取任何进一步的步骤，除了监督充分性决定仍然有效。在没有充分决定的情况下，您需要依靠GDPR第46条所列的转移工具之一。只有在某些情况下，如果你满足条件，你可能会依靠GDPR第49条规定的克减之一。克减不能成为实践中的“规则”，而是需要限制在特定情况下。

第三步是评估第三国现行的法律和/或惯例中是否有任何东西可能会影响到你所依赖的转移工具的适当保障措施在你的具体转移中的有效性。你的评估应首先关注与你的转移相关的第三国立法和你所依赖的GDPR第46条转移工具。检查第三国公共当局的做法将使您能够核实转移工具中包含的保障措施是否能够在实践中确保有效保护所转移的个人数据。在下列情况下，审查这些做法对你的评估尤其重要：

1. 第三国正式符合欧盟标准的立法在实践中明显没有应用/遵守。

2. 在第三国缺乏相关立法的情况下，存在与传输工具的承诺不一致的做法。

3. 您被转移的数据和/或进口方属于或可能属于有问题的立法范围（即影响转移工具对基本同等保护水平的合同保证，不符合欧盟关于基本权利、必要性和比例性的标准）。

在前两种情况下，如果你想继续进行传输，你将不得不暂停传输或实施适当的补充措施。

在第三种情况下，鉴于围绕有问题的立法可能适用于您的传输的不确定性，您可以决定：暂停传输；实施补充措施以继续进行传输；或者，您可以决定继续进行传输而不实施补充措施，如果您认为并能够证明和记录，您没有理由相信相关和有问题的立法将被解释和/或实际应用，以涵盖您的传输数据和进口方。

关于评估第三国处理公共当局为监控目的获取数据的法律时应考虑的因素，请参考EDPB欧洲基本保障的建议。

你应该尽职尽责地进行这一评估，并将其彻底记录下来。你的主管监督和/或司法当局可能会要求你这样做，并对你在此基础上做出的任何决定进行问责。

第四步是确定并采取必要的补充措施，使转移的数据的保护水平达到欧盟的基本等同标准。只有当您的评估显示第三国的立法和/或惯例妨碍了您所依赖的或您打算在传输背景下依赖的第46条GDPR传输工具的有效性时，这一步骤才是必要的。这些建议包含（在附件2中）一个非详尽的补充措施的例子清单，以及它们需要的一些有效条件。与第46条传输工具中包含的适当保障措施一样，一些补充措施可能在某些国家有效，但在其他国家不一定有效。你将负责在传输的背景下，根据第三国的法律和惯例以及你所依赖的传输工具来评估其有效性，因为你将对你在此基础上做出的任何决定负责。这也可能要求你把几个补充措施结合起来。你最终可能会发现，没有任何补充措施可以确保对你的具体传输的保护达到基本等同的水平。在那些没有补充措施适合的情况下，您必须避免、暂停或终止转移，以避免损害个人数据的保护水平。你还应该尽职尽责地进行这种补充措施的评估，并将其记录下来。

第五步是采取任何正式的程序步骤，采用你的补充措施可能需要，这取决于你所依赖的GDPR第46条转移工具。这些建议规定了其中的一些手续。您可能需要就其中一些咨询您的主管监督机构。

第六步，也是最后一步，是在适当的时间段重新评估你转移到第三国的个人数据的保护水平，并监测是否有或将有任何可能影响它的发展。问责原则要求对个人数据的保护水平持续保持警惕。

监管机构将继续行使其职责，监督GDPR的应用，并执行它。监管当局将适当考虑出口方采取的行动，以确保他们传输的数据得到基本同等水平的保护。正如法院所回顾的，在调查或投诉后发现无法确保基本同等保护水平的情况下，监管当局将暂停或禁止数据转移。

监管当局将继续为出口方制定指导意见，并协调他们在EDPB中的行动，以确保欧盟数据保护法的应用一致性。