6月4日，欧盟委员会发布了新的标准合同条款（SCC），用于从欧盟成员国向其他国家传输个人数据。这一变化发生在具有里程碑意义的Schrems II案之后，该案指控以前的做法干扰了《一般数据保护条例》（GDPR）的合规性。这一更新肯定是应该的，因为自该法颁布以来，SCC此前从未进行过修改，也没有考虑到与数字时代相关的披露风险增加。数据保护是一个全球关注的趋势，不仅是为了维护隐私，也是为了建立对数字市场的信心。

旧的SCC于2021 9月27日被废除，在此截止日期之前使用这些SCC的任何人都可以认为这些条款在2022年12月27日之前有效。位于美国的需要诉讼或调查数据的组织应重新考虑SCREMS II裁决和SCC修改，以确保合法、快速的跨境数据传输。

施雷姆斯二号(SCREMS II)决定

2020年7月，欧盟法院发布了这一关键决定，引发了随后的SCC改革。该案件最初由一名消费者维权人士提起，他对脸书在美国和爱尔兰之间的数据传输政策感到不满。他辩称，允许将个人数据传输到该公司美国总部会使数据面临被政府情报机构截取或访问的风险。法院同意并认为先前的SCC不够充分，并指出，数据传输影响评估将揭示何时需要采取额外措施来充分保护传输过程中的敏感数据——特别是当一个国家没有提供与欧盟相同水平的保护和消费者权利时。法院特别注意到美国政府机构对私人公司之间传输的数据拥有更广泛的访问和监视能力的风险。

根据GDPR，只有在有足够的保障措施来保护数据时，才允许个人数据传输。加拿大和日本等一些国家已收到欧盟委员会的充分性决定，认为它们的隐私法足以促进安全转移。美国尚未收到这一指定，并在Schrems II裁决之前依赖旧的SCCs或欧盟-美国隐私盾框架(EU-US Privacy Shield Framework)来促进转让，该裁决使这两种机制无效。

自2020年7月裁决下来以来，有很多未知数，受影响的组织一直在等待欧盟委员会如何改变长期存在的SCC，因为这是欧盟跨境数据传输最常见的方式之一，不仅在美国，而且在全球范围内。自从去年7月Schrems II的决定出台后，隐私保护框架立即失效，美国的组织也受到了额外的影响。现在有了答案，各组织应彻底审查新的SCC，以便做好相应准备。

重要的SCC修订

新的SCC侧重于提高问责制、透明度，并在数据流向隐私标准较低的其他国家时保持GDPR级别的保护。虽然有一些有限的例外情况，即这些条款对于实现传输是不必要的，但在涉及向美国组织和欧盟委员会认为不充分的其他国家输出数据的绝大多数情况下，都需要这些条款。以下是一些关键修订：

• 模块：为了提供更多的传输专用性，新的SCC提供了四种不同的模块化子句选项：1）控制者到控制者、2）控制者到处理者、3）处理者到控制者和4）处理者到处理者。最后两个选项不是旧版本中的选项，并且更清楚地说明了实现这些类型转移的组织应如何继续保持GDPR合规性。虽然模块中的语言需要保持完整，但各方可以将其纳入更大的合同中，并添加与新的SCC保持一致的附加条款，并且不违反GDPR对消费者个人数据提供的保护。
• 域外适用：出口数据的组织不需要实际位于欧盟才能使用新的SCC，这与以前的规则不同。数据出口商只需要遵守GDPR，就像他们处理欧盟消费者数据或向欧盟数据主体提供产品一样。然而，当涉及数据导入时，似乎需要更加明确，因为新的SCC仅适用于其处理活动不属于GDPR权限的情况。希望未来会有关于这是否意味着属于GDPR域外范围的进口商不需要使用SCC的指导，因为这偏离了先前条款下的惯例，并造成监管冲突。
• 评估和风险：作为一个额外的保护层，双方现在都需要进行数据传输影响评估，以确认是否符合要求。规定了评估标准和风险因素，其中两个主要因素是进口国的隐私法和预期的转让保障措施。如果公共机构要求访问受GDPR约束的个人数据，则进口商必须遵守某些指令，以避免干扰欧盟消费者权利的非法披露。
• 其他重要修订：新的SCC对向欧盟以外的其他组织转发数据和未经事先同意使用子处理者提供了一些限制。所有协议都需要明确包含在合同条款中，以避免未来的争议。还授权使用新SCC的多方协议。此外，还包括了更多的数据泄露和安全义务，以保证传输期间的充分保护。

请记住，这只是一些关键特性的概述，希望实现这些条款的组织应仔细审查新文本和任何进一步的指导。

最佳做法

为了保持GDPR合规性并避免增加责任，需要从欧盟传输数据的组织需要熟悉新的SCC要求，并进行必要的政策更改。否则可能导致延迟或无法传输对美国诉讼或调查至关重要的数据。最重要的是记录所有促进透明度的活动。这包括书面合同，包括适当条款、所有处理活动、合规障碍通知、补救措施、消费者通知和信函。指定适当的联系人处理转让、合同、谈判和争议。撤销以前违反新SCC的政策，并为参与这些过程的所有人员提供内部培训机会。如果使用第三方供应商，请确保他们熟悉新的要求，并采取措施提供额外的安全性。

特别是对于美国组织而言，在所有情况下，利用新的SCC可能还不够，可能需要采取额外措施，例如挑战公共机构的数据访问请求。尽快制定数据传输影响评估计划也至关重要。考虑所有必要因素，指定团队成员职责，并创建清晰的流程大纲。虽然没有明确要求，因为SCC包含更多的保护工作，但组织还应考虑执行单独的标准数据保护协议，以涵盖所有基础。

遵循上述步骤将有助于避免未来的障碍，并根据最近的变化简化转移过程。重要的是监测可能改变跨境数据传输程序的任何其他修订、发布的指南或判例法。

如果你觉得这个博客很有趣，可以考虑阅读最近针对亚马逊和WhatsApp的GDPR罚款记录。

本文：https://cioctocdo.com/navigating-gdpr-cross-border-data-transfers-us