2025年3月13日，欧盟中国商会携手贝克·麦坚时律师事务所，举行“中企应对跨境数据传输合规方略”线上培训会。本次培训会旨在深入解读欧盟《通用数据保护条例》（以下简称GDPR）下的跨境数据合规策略，助力中国企业在欧业务与合规的协同发展，活动吸引了超五十家企业及机构参会。

欧盟中国商会会长刘坚东欢迎各与会嘉宾。他表示，GDPR是全球最具影响力、也是最严格的数据保护法规之一，如何在合规的前提下，实现数据安全流动、保障业务稳定运行，是在欧中企面临的重大挑战。商会希望通过本次研讨会，为中企提供更清晰数据合规指南，助力企业在国际市场上稳健前行，共同推动数据合规新生态的建立，促进更多国内数字企业“走出去”，在欧洲范围内实现数据合规与业务的可持续发展。

本次线上培训会由欧盟中国商会秘书长方东葵主持。他表示，在当今互联互通的世界中，跨境个人数据传输已成为全球商业运营的重要组成部分，在复杂的法规环境下，企业必须保持信息更新，并采取最佳实践保护数据安全。

在开场和欢迎辞后，来自贝克·麦坚时律师事务所的资深专家对GDPR跨境数据合规策略进行深入讲解。

01 GDPR 的数据传输概述

贝克·麦坚时律师事务所合伙人Csaba Vari博士为与会企业梳理了GDPR的核心内容。GDPR 作为欧盟个人数据保护的基本法规，适用于所有欧盟成员国及欧洲经济区。在某些领域，允许成员国制定补充性法规，如就业相关数据保护、出于公共利益目的的数据处理等。

GDPR 的核心原则包括数据处理的合法性、透明性、目的限定、数据最小化、准确性、完整性与保密性等。Vari博士强调了GDPR中“问责制”的重要性，以及“隐私设计”和“默认隐私”概念在数据保护中的实践。此外，GDPR 赋予数据主体多项权利，包括个人数据访问权、更正权、删除权、限制处理权、数据可携权及反对处理权等，也包含对自动化决策（如人工智能信用评分）的特定要求。

在法律责任方面，Vari 博士介绍了 GDPR 规定的四类制裁措施：民事责任（数据主体可要求损害赔偿）、行政责任（最高可达 2000 万欧元或全球营业额 4% 的罚款）、刑事责任（严重违规可导致监禁或数据处理禁令）以及声誉损害（企业面临负面媒体报道及市场信任危机）。GDPR 的监管原则对所有在欧盟市场开展业务的企业都会产生巨大影响。

02 跨境数据传输的挑战与实践案例

贝克·麦坚时律师事务所律师Andras Gaal主要就“第三国”（欧盟及欧洲经济区外的国家）数据传输问题展开论述。欧洲经济区内部的数据传输无需额外限制，但如果数据需传输至第三国，企业需依赖充分性决定、数据传输工具或特殊例外来确保合规。

首先，充分性决定由欧盟委员会作出，是对第三国的法律分析后，确认其数据保护水平与欧盟等同，并实施与欧盟内部相同的数据传输规则，目前欧盟作出充分性决定的国家包括阿根廷、日本、韩国、瑞士、英国、美国等。如果不具备充分性决定，数据出口方必须使用 GDPR 规定的数据传输工具，例如标准合同条款（SCCs）、具有约束力的公司规则（BCRs）等。若以上两者都不满足，则需申请“特殊例外”，例如，数据主体已明确同意，或数据传输是履行与数据主体相关的合同所必需，或数据传输是建立法律主张的必要条件。

他提到，由于数据传输合规问题，近年来多家企业遭受欧盟监管机构巨额罚款，如某社交媒体平台因未采取足够补充措施，被罚 12 亿欧元，荷兰、葡萄牙、瑞典等国也因类似问题对违规企业进行了处罚。

培训会尾声，欧盟中国商会传播与调研主任梁淋淋组织企业代表与嘉宾开展问答。

问：通常情况下，完成数据传输合规评估需要多长时间？

答：这取决于公司的节奏和准备情况。一般来说，数据传输合规评估可能需要三到六个月，较大的企业或涉及多个国家的数据传输可能需要更长时间。在准备阶段，企业需进行数据映射、分类数据处理活动，并协调合规、法律、IT、采购或人力资源部门等多个职能部门，因此这一过程可能较为复杂。

问：当前是否有涉及中国公司的 GDPR 相关调查案例？

答：是的。GDPR 相关调查的一部分背景来源于Schrems II案，该案件涉及数据隐私活动人士对跨境数据传输的挑战。过去，该案件主要针对美国的数据传输，而目前也开始涉及中国企业。这些调查的重点在于企业是否具备适当的数据传输工具，类似的调查在过去针对美国企业进行过，并最终得到了妥善处理。

问：GDPR 的适用范围是否涵盖欧洲企业？

答：GDPR 主要保护自然人的个人数据，而不是公司数据。因此，如果中国企业向欧洲企业销售设备，GDPR 一般不会适用。但如果涉及企业代表的个人数据（如姓名、电子邮件地址等），GDPR 可能会对其数据处理方式施加约束。此外，欧盟计划于今年晚些时候推出一项专门针对企业数据的新法规。

问：企业向中国传输数据的主要风险是什么？

答： 包括三点。其一是欧盟监管机构的审查，如果监管机构认为企业采取的保护措施不足，可能会对企业处以罚款，或要求企业重新评估和调整数据传输安排。其二是网络安全事件，如黑客攻击或数据泄露等问题导致的数据安全风险。其三是数据类型的影响，一般客户数据的风险较低，但如果涉及健康数据、金融数据或其他敏感数据，监管要求更严格，企业需采取额外的保护措施。

问：数据传输合规评估的有效期是多久？是否需要定期重新评估？

答：评估的有效性取决于数据处理情况是否发生变化。如果数据传输方式、法规要求或目的地国的法律环境发生变化，企业需要重新进行评估。此外，欧盟数据保护委员会建议企业定期进行后续评估，例如每年或每两年进行一次，以降低数据合规风险。

问：如果公司签订集团内部数据传输协议（IGDTA），是否仍然需要签订标准合同条款（SCCs）？

答：是的，IGDTA 并不能替代 SCCs，而是一种补充。IGDTA 本质上是集团内部的数据传输协议，它通常会包含 SCCs 以及必要的补充措施，以确保数据传输符合 GDPR 规定。因此，企业若选择 IGDTA，通常仍然需要签署 SCCs 以满足合规要求。

问：IGDTA 是否需要获得欧盟委员会或其他监管机构的批准？

答：不需要。IGDTA 无需提交给监管机构批准，企业可在集团内部直接实施。但若涉及 GDPR 评估，企业可以咨询监管机构意见，但这种做法并不常见。

问：跨境数据传输（特别是涉及运营技术方面）最有效的方式是什么？互联网行业在实施上有何不同？

答：从法律角度来看，两者没有本质区别。尽管在技术上有所不同，但这些区别主要体现在技术和组织措施上，这更属于技术专家的领域。因此，企业在实施合规措施时，应该让法律部门和 IT 部门共同评估，确保符合 GDPR 要求。互联网行业与其他行业相比，并没有太大的法律差异。但如果企业是一家大型 IT 服务提供商，在公司集团内部传输个人数据，出于声誉考虑，可以考虑采用BCRs。