欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

转让的一般原则 只有在不违反本条例其他规定的情况下，控制者和处理者必须遵守本章规定的条件，才能将正在处理或打算在传输后处理的个人数据转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一个第三国或另一个国际组织。本章的所有规定均应适用，以确保本条例保障的自然人保护水平不被削弱。

根据充分性决定进行转移 1. 如果委员会认为第三国、该第三国的一个领土或一个或多个特定部门或相关国际组织确保提供充分的保护，则可以将个人数据转移到第三国或国际组织。此类转让不需要任何特定授权。 2. 在评估保护水平是否充分时，委员会应特别考虑以下因素： (一) 法治、尊重人权和基本自由、一般性和部门性相关立法，包括公共安全、国防、国家安全和刑法以及公共当局获取个人数据的相关立法，以及此类立法、数据保护规则、专业规则和安全措施的实施，包括在该国或国际组织中遵守的将个人数据转移到另一个第三国或国际组织的规则、判例法、以及有效和可执行的数据主体权利以及有效的行政和司法补救措施其个人数据正在被传输的数据主体； (二) 第三国或国际组织所管辖的一个或多个独立监管机构的存在和有效运作，负责确保和强制遵守数据保护规则，包括充分的执法权力，协助和建议数据主体行使其权利，并与成员国监管机构合作；和 (三) 有关第三国或国际组织已作出的国际承诺，或具有法律约束力的公约或文书以及参与多边或区域体系所产生的其他义务，特别是与保护个人数据有关的义务。 3. 委员会在评估保护水平的充分性后，可通过实施法案决定第三国、第三国境内的一个或多个特定部门、或国际组织确保本条第 2 款含义内的充分保护水平。实施法应规定至少每四年定期审查的机制，审查应考虑第三国或国际组织的所有相关发展。实施法案应明确其领土和部门的适用，并在适用时确定本条第 2 款 (b) 点中提到的一个或多个监管机构。实施法应按照第93条第(2)款规定的审查程序予以通过。 4. 委员会应持续监测第三国和国际组织的动态，这些动态可能影响根据本条第 3 款通过的决定以及根据 95/46/EC 指令第 25(6) 条通过的决定的运作。 5. 如果现有信息显示，特别是在本条第 3 款所述审查之后，第三国、第三国的一个领土或一个或多个特定部门、或一个国际组织不再确保本条第 2 款含义内的充分保护水平，则委员会应在必要的范围内，通过不具有追溯力的实施行动，废除、修改或暂停本条第 3 款所述的决定。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。 如果有正当理由的紧急情况，委员会应根据第 93 条第(3)款所述的程序立即通过适用的实施法案。 6. 委员会应与第三国或国际组织进行磋商，以纠正导致根据第 5 款作出决定的情况。 7. 根据本条第 5 款作出的决定不影响根据第 46 条至第 49 条向第三国、该第三国境内的一个领土或一个或多个特定部门或有关国际组织传输个人数据。 8. 委员会应在 欧盟官方公报 并在其网站上列出了其已决定提供或不再提供充分保护的第三国、领土和第三国特定部门以及国际组织的名单。 9. 委员会根据 95/46/EC 指令第 25(6) 条通过的决定应继续有效，直至被根据本条第 3 或 5 款通过的委员会决定修改、取代或废除。

转让须遵守适当的保障措施 1. 在没有根据第 45 条第(3)款作出决定的情况下，只有在控制者或处理者提供了适当的保障措施，并且数据主体具有可执行的数据主体权利和有效的法律补救措施的情况下，控制者或处理者才可以将个人数据转移到第三国或国际组织。 2. 第 1 款中提到的适当保障措施可以通过以下方式提供，无需监管机构的任何具体授权： (一) 公共当局或机构之间具有法律约束力且可执行的文书； (二) 根据第 47 条具有约束力的公司规则； (三) 委员会根据第 93(2) 条所述的审查程序通过的标准数据保护条款； (四) 由监管机构采用并由委员会根据第 93(2) 条所述审查程序批准的标准数据保护条款； （五） 根据第 40 条批准的行为准则，以及第三国控制者或处理者具有约束力且可执行的承诺，以实施适当的保障措施，包括数据主体的权利；或 （六） 根据第 42 条批准的认证机制，以及第三国控制者或处理者具有约束力和可执行的承诺，以实施适当的保障措施，包括数据主体的权利。 3. 经主管监督机构授权，还可以提供第 1 款中提到的适当保障措施，特别是通过以下方式： (一) 控制者或处理者与第三国或国际组织的控制者、处理者或个人数据接收者之间的合同条款；或 (二) 将条款纳入公共当局或机构之间的行政安排，其中包括可执行且有效的数据主体权利。 4. 对于本条第 3 款所述情况，监管机构应适用第 63 条所述一致性机制。 5. 成员国或监管机构根据 95/46/EC 指令第 26(2) 条作出的授权应一直有效，直至该监管机构根据需要进行修改、替换或废除。委员会根据第 95/46/EC 号指令第 26(4) 条通过的决定应一直有效，直至根据本条第 2 款通过的委员会决定进行修订、替换或废除（如有必要）。

具有约束力的公司规则 1. 主管监管机构应根据第 63 条规定的一致性机制批准具有约束力的公司规则，前提是： (一) 具有法律约束力，适用于从事联合经济活动的企业集团或企业集团的每个相关成员，包括其雇员，并由其强制执行； (二) 明确授予数据主体在处理其个人数据方面可执行的权利；和 (三) 满足第 2 段规定的要求。 2. 第 1 款中提到的具有约束力的公司规则应至少规定： (一) 企业集团或从事联合经济活动的企业集团及其每个成员的结构和联系方式； (二) 数据传输或一组传输，包括个人数据的类别、处理类型及其目的、受影响的数据主体的类型以及有关第三国的身份； (三) 其对内和对外的法律约束力； (四) 一般数据保护原则的应用，特别是特定目的限制、数据最小化、有限存储期限、数据质量、设计和默认数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施以及向不受具有约束力的公司规则约束的机构继续传输的要求； （五） 数据主体在处理方面的权利以及行使这些权利的方式，包括不接受仅基于自动化处理的决定的权利，包括根据第 22 条进行分析的权利、根据第 79 条向主管监督机构和向成员国主管法院提出投诉的权利，以及因违反具有约束力的公司规则而获得补救和（在适当情况下）赔偿的权利； （六） 设立在成员国境内的控制者或处理者接受对未在联盟设立的任何相关成员违反具有约束力的公司规则的行为的责任；仅在证明该会员对造成损害的事件不负有责任的情况下，控制者或处理者才应全部或部分免除该责任； （克） 除第 13 条和第 14 条外，如何向数据主体提供有关具有约束力的公司规则的信息，特别是有关本段 (d)、(e) 和 (f) 点中提到的规定的信息； （八） 根据第 37 条指定的任何数据保护官员或负责监督企业集团或从事联合经济活动的企业集团内具有约束力的公司规则的遵守情况以及监督培训和投诉处理的任何其他个人或实体的任务； (一) 投诉程序； (j) 从事联合经济活动的企业集团或企业集团内的机制，用于确保核查具有约束力的公司规则的遵守情况。此类机制应包括数据保护审计和确保采取纠正措施以保护数据主体权利的方法。此类核查结果应传达给(h)点中提到的个人或实体以及企业集团或从事联合经济活动的企业集团的控股企业的董事会，并应根据要求向主管监管机构提供； (k) 报告和记录规则变更并向监管机构报告这些变更的机制； (l) 与监管机构的合作机制，以确保企业集团或从事联合经济活动的企业集团的任何成员遵守规定，特别是向监管机构提供(j)点所述措施的核查结果； (米) 向主管监管机构报告企业集团成员或从事联合经济活动的企业集团成员在第三国须遵守的任何法律要求的机制，这些法律要求可能对具有约束力的公司规则提供的担保产生重大不利影响；和 (n) 对永久或定期访问个人数据的人员进行适当的数据保护培训。 3. 委员会可以规定控制者、处理者和监管机构之间交换信息的格式和程序，以约束本条含义内的公司规则。这些实施细则应当按照第九十三条第二款规定的审查程序予以通过。

未经联邦法律授权的转让或披露 要求控制者或处理者传输或披露个人数据的法院或法庭的任何判决以及第三国行政当局的任何决定只有在基于提出请求的第三国与欧盟或成员国之间有效的国际协议（例如司法协助条约）的情况下，才能以任何方式得到承认或执行，且不影响根据本章进行传输的其他理由。

特定情况下的减损 1. 如果没有根据第 45 条第(3)款作出充分性决定，或根据第 46 条没有采取适当的保障措施，包括具有约束力的公司规则，则仅在满足以下条件之一的情况下才可以向第三国或国际组织转移或一组个人数据转移： (一) 在被告知由于缺乏充分的决定和适当的保障措施而对数据主体进行此类传输可能存在的风险后，数据主体已明确同意拟议的传输； (二) 该传输是履行数据主体与控制者之间的合同或实施应数据主体请求而采取的合同前措施所必需的； (三) 该传输是控制者与其他自然人或法人之间为了数据主体的利益而签订的合同的签订或履行所必需的； (四) 出于公共利益的重要原因，有必要进行转让； （五） 该转让对于确立、行使或辩护法律主张是必要的； （六） 当数据主体在身体上或法律上无法给予同意时，为了保护数据主体或其他人的切身利益而有必要进行传输； （克） 转移是从登记册进行的，根据联盟或成员国法律，该登记册旨在向公众提供信息，并且可供公众或任何能够证明合法利益的人进行咨询，但仅限于在特定情况下满足联盟或成员国法律规定的咨询条件。 如果传输不能基于第 45 条或第 46 条的规定，包括有关具有约束力的公司规则的规定，并且本款第一款中提到的特定情况的减损均不适用，则只有在传输不重复、仅涉及有限数量的数据主体、为了强制控制者追求不被数据利益或权利和自由凌驾于其之上的合法利益所必需时，才可以向第三国或国际组织进行传输。主体，并且控制者已评估了与数据传输相关的所有情况，并根据该评估提供了有关个人数据保护的适当保障措施。控制者应将转移情况通知监管机构。除了提供第 13 条和第 14 条中提到的信息外，控制者还应告知数据主体传输情况以及所追求的令人信服的合法利益。 2. 根据第 1 款第 (g) 点进行的转让不应涉及登记册中包含的全部个人数据或全部类别的个人数据。如果登记册供具有合法利益的人查阅，则仅应这些人的请求或者他们是接收者时才可进行转让。 3. 第 1 款第 1 项和第 2 项第 (a)、(b) 和 (c) 点不适用于公共当局行使其公共权力所进行的活动。 4. 第 1 款第 (d) 点中提到的公共利益应在欧盟法律或控制者所在成员国的法律中得到承认。 5. 在缺乏充分性决定的情况下，出于公共利益的重要原因，联盟或成员国法律可以明确限制向第三国或国际组织传输特定类别的个人数据。成员国应将此类规定通知委员会。 6. 控制者或处理者应将评估以及本条第 1 款第二项中提到的适当保障措施记录在第 30 条中提到的记录中。

保护个人数据的国际合作 对于第三国和国际组织，委员会和监管机构应采取适当措施： (一) 建立国际合作机制，促进个人数据保护立法的有效执行； (二) 在执行保护个人数据的立法方面提供国际互助，包括通过通知、投诉转交、调查援助和信息交换，但须采取适当的保障措施来保护个人数据及其他基本权利和自由； (三) 让相关利益攸关方参与旨在促进个人数据保护立法执行方面的国际合作的讨论和活动； (四) 促进个人数据保护立法和实践的交流和记录，包括与第三国的管辖权冲突。