如果需要数据出境，怎么办？-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

实践中，为避免大量的个人信息被传输到欧盟境外，大部分出海的中国车企会将欧盟用户的个人数据存储在由外部云服务商提供的位于欧盟某成员国的数据中心。依赖于本地的数据中心，出海车企在欧盟境内收集、存储、处理个人信息，特别是敏感类型的个人信息，以尽可能减少数据跨境传输的规模、场景以及敏感程度，从而将跨境传输控制在提供服务所必需的范围中，既充分保障了业务需求，亦减少了数据跨境传输带来的合规成本，这也是绝大部分车企已经在规划之中的工作，国内各大云业务公司也有海外云业务支持,但是从想做，到落地目前还是有不少阻碍。数字化转型网www.szhzxw.cn

例如，由于研发与运维团队主要位于国内，在海外建立数据中心不是一日之功，为了功能开发的需要，需要将部分数据传输至欧盟境外，所以这个时候怎么做呢？

这显然触发对于GDPR中对于数据跨境传输的风险。那么如何规避这个风险呢？

关于该风险点，首先需识别相关数据传输是否构成GDPR项下的“跨境传输”以及相关的合规义务是否由车企承担，其次需要基于企业的实际情况与合规成本考量选择GDPR规定的跨境传输合规路径，实践中大部分车企会选择签署SCCs，签署合同的双方一般为数据控制者和数据处理者。

什么叫数据“控制者”（Controller）呢？在GDPR的框架下，”控制者”（Controller）是指单独或与他人共同决定个人数据处理目的和方式的个人或法人、公共机构、行政机关或其他实体。简而言之，控制者是负责确定为何以及如何收集和使用个人数据的一方。控制者与数据处理者（Processor）不同，后者不对数据处理的目的和方式做决策。数字化转型网www.szhzxw.cn

值得强调的是，数据控制者不希望签署任何形式的数据合同，以期可以避免法规对其数据控制者的定义，然而在实践中，数据定义和用途通常十分清晰，此类做法非但不能规避法律风险，甚至直接可以被判定为不合规的行为从而受到罚款。

欧盟委员会对个人数据的保护水平认定决定有一个“白名单国家/地区”，目前白名单国家/地区仅有15个，中国不在列。在这种情况下，GDPR规定如果数据传输方提供了适当的保障措施，并且赋予了数据主体可执行的数据主体权利以及有效的法律补救措施，那么仍可把数据传输给位于白名单国家或地区之外的接收方。该路径下跨境传输方式主要有：签订欧盟标准合同条款（Standard Contractual Clauses, 简称SCCs）、跨国集团实体签订有约束力的公司规则（Binding Corporate Rules，简称BCRs）、获批准的行为准则（code of conduct）、获批准的认证机制（certification mechanisms）等。实践中，中国车企较为常用的是标准合同条款SCCs。数字化转型网www.szhzxw.cn

在签署完SCCs之后，还需要进行“数据传输影响评估”（Data Transfer Impact Assessment，简称TIA）。欧盟委员会明确规定，在欧盟以外转移个人数据的组织必须进行转移影响评估，以逐案核实个人数据发送到的第三国的法律是否对SCC的效率有任何影响。因为仅仅签署了SCCs，并不意味着你已经确保了与GDPR所保障的保护、可执行的权利和法律补救措施“基本等同”。只有出口组织进行了逐案记录的转移影响评估，以确保个人数据（和数据主体）仍然受到GDPR要求标准的保护，才可以依赖使用GDPR第46条工具（包括SCCs）进行的转移。 TIA主要可分为三大部分，按序依次是：

对跨境传输场景的描述；

对接收方所在国家/地区的法律法规对个人信息主体提供的权利保障与救济渠道，以及接收方当地政府机关访问相关个人数据的可能性分析；数字化转型网www.szhzxw.cn

按照第二部分的分析结果，判定是否需要采取相应的技术、组织、合同层面的补充措施，以及在需要的情况下，针对该等跨境传输场景应采取怎样的传输保障措施能够有效降低传输可能带来的权利 “减损”。

数据控制者应该记录所有遵循的步骤，并准备好在数据保护机构要求时提供这些文档，数据保护机构可能会要求查看您的文档以及您认为是该过程的一部分的内容。由于TIA是一个复杂的过程，我们需要法律专家和企业内部的DPO数据保护官的专业帮助准备TIA文档，确保评估符合目的。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn