标准合同条款(SCCs)详解(2026年)
标准合同条款(SCCs)是由欧盟委员会通过的一套预先批准的合同条款,供组织将个人数据从欧洲经济区(EEA)传输至没有欧盟充分性认定的国家时使用。它是GDPR项下国际数据传输最广泛使用的法律机制,全球数以万计的组织都依赖它。
信息最后核实于2026年5月19日。本文尚未经持牌律师审阅。
现行SCC于2021年6月4日通过,取代了先于GDPR制定、且未能回应CJEU在Schrems II裁决中提出关切的早期版本。2021年版条款引入了灵活的模块化体系、内置的补充措施要求,以及直接应对政府监控访问问题的条款。
本指南涵盖四个SCC模块、各模块的适用场景、如何开展传输影响评估、针对GDPR约束型接收方的新SCC的进展、SCC与充分性认定及具有约束力的公司规则的比较、英国自有的传输工具、近期执法动态,以及常见的实施陷阱。
适用范围说明: 本文讨论欧盟第2016/679号条例(GDPR)及英国GDPR(包括英国《数据(使用和访问)法案》2025)项下的标准合同条款,涵盖四个SCC模块(2021年实施决定)、EDPB关于补充措施的指南,以及英国IDTA和附录。关于获得欧盟充分性认定的国家清单,参见我们的欧盟充分性认定指南。关于欧美数据隐私框架的具体内容,参见我们的DPF指南。
快速解答:SCC是什么?何时需要使用它?
标准合同条款是GDPR第46(2)(c)条项下预先批准的合同条款,用于在欧洲经济区的数据输出方与欧洲经济区以外的数据接收方之间建立具有约束力的数据保护义务。只要组织将个人数据从欧洲经济区传输至没有欧盟充分性认定、且没有其他第46条传输机制适用的国家,就需要使用SCC。常见场景包括:欧盟企业使用位于美国、印度或其他不具充分性认定国家的云服务提供商;欧盟控制者聘用位于亚太或拉丁美洲的处理者;以及欧盟处理者将数据传送至欧洲经济区以外的次级处理者。使用SCC(或替代传输机制)的义务是严格的:在没有GDPR第五章有效法律依据的情况下,将个人数据传输至不具充分性认定的国家,可能构成违规,最高可被处以2000万欧元或全球年营业额4%(以较高者为准)的罚款。
为何旧版SCC被取代
欧盟委员会最初通过了两套标准合同条款。2001年(2004年更新)版涵盖控制者对控制者的传输。2010年版涵盖控制者对处理者的传输。两者均依据1995年《数据保护指令》(95/46/EC)制定,并在GDPR于2018年5月生效后继续沿用。
多个问题使得替换势在必行。旧版SCC是依据该指令制定的,而非依据GDPR,未能反映该条例在问责制、数据泄露通知及设计中的数据保护等方面所扩展的要求。它们假定只涉及两方(一个欧盟数据输出方与一个欧盟以外的数据接收方),未考虑处理者对处理者或处理者对控制者的传输场景,而这些场景在云计算和多层服务提供商关系中十分常见。
CJEU在数据保护专员诉Facebook Ireland Limited及Maximillian Schrems案(Case C-311/18,ECLI:EU:C:2020:559,2020年7月16日判决)(通常称为Schrems II)中作出的裁决,进一步凸显了这一问题的紧迫性。法院原则上维持了SCC作为一种传输机制的有效性,但要求数据输出方核实目的地国家的法律框架是否会削弱SCC所提供的保护。如果输入国的法律(例如美国的监控法律)与SCC义务相冲突,输出方必须采取"补充措施"以弥合差距,否则须停止传输。
欧洲数据保护委员会(EDPB)发布了01/2020号建议(于2021年6月定稿),详细说明了组织应考虑采取的补充措施。新版SCC将其中若干要求直接纳入了合同文本。
标准合同条款(SCC)的四个模块
2021年版SCC采用模块化方式。它并非针对不同场景分别制定不同条款,而是在一个统一的框架内包含四个模块,供双方根据各自角色及数据流向进行选择。
模块1:控制者对控制者(C2C)
模块1适用于欧盟境内的数据控制者向欧洲经济区以外的控制者传输个人数据的情形。双方各自独立确定处理的目的和方式。
常见场景包括:一家欧洲公司出于自身业务目的,与美国母公司共享客户数据;或者两家公司在联合营销安排中各自独立控制数据。
模块1项下的关键义务包括:应数据主体要求提供SCC副本、适用数据输出方的目的限制要求,以及允许数据主体作为第三方受益人执行相关条款。
模块2:控制者对处理者(C2P)
模块2涵盖最常见的传输场景:欧盟控制者聘用位于欧洲经济区以外的处理者(如云服务提供商、薪资处理服务商或分析服务商)。该模块与GDPR第28条关于处理者协议的要求保持一致。
数据接收方(处理者)只能依据输出方的书面指示处理数据。其必须实施适当的技术和组织安全措施,协助控制者处理数据主体权利请求,在服务关系结束时删除或返还所有数据,并在发生任何个人数据泄露时无不当延误地通知控制者。
次级处理仅在获得控制者事先特定或一般性书面授权的情况下方可进行。处理者必须通过合同,将相同的数据保护义务施加于任何次级处理者。
模块3:处理者对处理者(P2P)
模块3适用于欧盟境内处理者聘用欧洲经济区以外次级处理者的情形。这一场景在云基础设施链条中极为常见。例如,一家欧盟公司使用一家德国云服务提供商(处理者),该提供商又使用一家美国基础设施提供商(次级处理者)。
数据流从一个处理者流向另一个处理者,但最终的控制者仍是最初聘用第一个处理者的欧盟主体。模块3要求次级处理者只能依据最初控制者的指示(经由第一处理者转达)处理数据。
模块4:处理者对控制者(P2C)
模块4涵盖相反方向的数据流:欧盟境内处理者将数据返还或传输至位于欧洲经济区以外的控制者。例如,一家欧洲数据处理服务提供商将处理结果传回其位于欧洲经济区以外、作为数据控制者的客户,即属于这一场景。
该模块的使用频率低于其他模块,但填补了一个真实存在的空白。在旧版SCC下,并无针对该传输方向的标准条款,组织不得不依赖替代性法律依据或临时性合同安排。
如何使用模块化SCC
组织在实施SCC时,应遵循一套结构化流程以确保合规。
第一步:确定适用模块
梳理所有国际数据传输,识别各方的角色。为每一项传输选择适当的模块。若各方在不同处理活动中角色不同,同一份SCC协议可以纳入多个模块。
第二步:填写附件
SCC包含数份附件,须填入与具体传输相关的细节:
- 附件一:描述各方、数据传输情况(数据主体类别、个人数据类型、传输频率、传输目的),并确定有管辖权的监管机构
- 附件二:列明数据接收方所实施的技术和组织安全措施
- 附件三:列明获授权的次级处理者(适用于模块2和模块3,若控制者已给予一般性授权)
第三步:开展传输影响评估
在开始传输之前完成TIA。记录该评估,并将其作为GDPR第5(2)条项下问责记录的一部分予以保存。
第四步:实施补充措施
根据TIA的评估结果,采取并记录任何必要的补充措施。将技术措施纳入你的数据处理架构。
第五步:签署与整合
SCC可以并入更广泛的商业合同,也可以作为独立协议单独签署。第三方可以在获得所有现有各方同意的情况下随时加入SCC;这一功能被称为"接入条款",是2021年版新增的内容。
第六步:持续监测与重新评估
确保保护充分的义务是持续性的。当情况发生变化时,例如目的地国家出台新立法、数据接收方的次级处理安排发生变化,或出现新的政府监控项目,组织必须重新评估其TIA。
传输影响评估与补充措施
2021年版SCC要求各方在依赖条款进行数据传输之前,开展一项传输影响评估(TIA)。该要求直接体现在SCC的第14条中。
TIA涉及哪些内容
TIA评估目的地国家的法律和实践,是否提供与欧盟法律所保障水平"本质上相当"的保护。评估必须考虑:
- 传输的具体情况,包括数据的性质、目的、处理链条的长度,以及接收方的类别
- 目的地国家与该传输相关的法律,尤其是涉及政府出于监控或执法目的访问个人数据的法律
- 已到位的、用以补充SCC的相关合同性、技术性或组织性保障措施
EDPB的01/2020号建议概述了开展TIA的六步流程:
- 梳理你的数据传输情况
- 确定传输机制(本文语境下即SCC)
- 评估目的地国家的法律框架是否损害该传输机制的有效性
- 如有需要,识别并采取补充措施
- 采取补充措施所要求的任何程序性步骤
- 按适当的时间间隔重新评估
补充措施
当TIA识别出风险时,组织必须实施补充措施,将保护水平恢复至"本质相当"的标准。这些措施分为三类:
技术措施包括端到端加密(仅由数据输出方持有解密密钥)、假名化(映射表留存于欧洲经济区内),以及防止接收方以明文形式访问数据的拆分或多方处理方式。
合同措施涉及在SCC基线之上加强相关义务。例如要求数据接收方通过所有可用法律途径质疑政府的数据访问请求,在法律允许的范围内将任何具有法律约束力的数据披露请求通知输出方,并提供定期的透明度报告。
组织措施包括内部数据治理政策、将传输的数据最小化至严格必要的范围、在接收方一侧采取严格的访问控制,以及开展定期审计。
EDPB强调,若政府能够强制获取明文数据,仅靠合同和组织措施本身无法弥补目的地国家法律框架方面的不足。能够阻止接触到可读数据的技术措施,在高风险司法辖区中是最有效的保障手段。
注意事项: 执法行动表明,在未经严格TIA的情况下签署SCC,会带来重大合规风险。爱尔兰数据保护机构依据EDPB第1/2023号具有约束力的决定,于2023年5月对Meta处以12亿欧元罚款,理由是其通过SCC将Facebook用户数据传输至美国时,所采取的补充措施不足以弥补美国法律所提供保护的不足。荷兰数据保护机构于2024年对Uber处以2.9亿欧元罚款,理由是其在没有有效传输机制的情况下,将司机数据传输至美国。监管机构将不充分的TIA以及缺失的补充措施视为实质性违规,而非程序性瑕疵。
待通过的、适用于GDPR约束型接收方的SCC
2021年版SCC存在一项重大局限:它们仅适用于数据接收方的处理活动本身不受GDPR约束的传输场景。按照条款自身的表述,这些条款适用于欧盟/欧洲经济区数据输出方向"其数据处理不受[GDPR]约束"的数据接收方进行的传输。
这就产生了一个空白。一家总部位于加拿大、日本或巴西的公司,其处理活动可能因为向欧盟居民提供商品或服务、或监测其行为,而落入GDPR第3(2)条所规定的域外适用范围。当欧盟主体向这样的公司传输个人数据时,仍需要依据GDPR第五章使用一种传输机制。即便接收方在其处理活动中已直接受GDPR约束,跨境传输本身仍会带来风险。然而,2021年版SCC在结构上并不适合这一场景,因为这些条款会与接收方已直接依据GDPR承担的义务部分重复、部分冲突。
EDPB呼吁欧盟委员会制定专门针对这一场景的新SCC。委员会已承认这一空白,并宣布将制定一套新的SCC。原计划于2024年第四季度开展公众咨询,目标是在2025年第二季度形成待通过草案。
截至2026年5月,欧盟委员会官方SCC公告页面尚未列出针对第3(2)条SCC的正式通过决定。目前面临这一场景的组织,可选方案有限:具有约束力的公司规则(适用于企业集团内部)、经监管机构依据第46(3)(a)条批准的临时合同条款,或在适用情形下依赖第49条的减损情形。荷兰数据保护机构对Uber的处罚,正凸显了在没有获得认可的机制下,向受GDPR约束的接收方进行传输所面临的真实执法风险。
组织应持续关注委员会的SCC页面,以获知这些条款正式获得通过的消息。
SCC、充分性认定与具有约束力的公司规则的比较
GDPR第五章为合法的国际数据传输提供了多种机制。最常用的三种是:充分性认定(第45条)、标准合同条款(第46(2)(c)条),以及具有约束力的公司规则(第47条)。
| 机制 | 法律依据 | 适用对象 | 主要特点 |
|---|---|---|---|
| 充分性认定 | GDPR第45条 | 向获认定为充分保护国家进行传输的任何组织 | 无需额外步骤。委员会认定该国提供本质上相当的保护。示例:英国(有效期至2031年)、加拿大(PIPEDA)、日本、瑞士。参见完整清单。 |
| 标准合同条款 | GDPR第46(2)(c)条 | 任何组织;最广泛使用的机制 | 须完成SCC填写、填补附件、开展TIA,并在需要时实施补充措施。适用于任何国家。 |
| 具有约束力的公司规则 | GDPR第47条 | 跨国企业集团(仅限集团内部传输) | 须获得数据保护机构批准。前期负担较高(通常需1至3年获得批准)。一经批准,可覆盖批准范围内的所有集团内部传输,无需逐案签署SCC。 |
对于大多数组织而言,SCC是向不具充分性认定国家进行传输的默认机制。在可获得充分性认定的情况下,该机制更为简单,但受限于地域范围。BCR对于集团内部传输量大的大型跨国企业而言十分有效,但对小型组织或对外部传输而言并不实际。
SCC与欧美数据隐私框架的关系
SCC与欧美数据隐私框架(DPF)服务于相同的基本目的(使从欧盟发出的数据传输合法化),但通过不同的法律机制运作。
DPF为发送至已获认证的美国组织的数据,提供一条基于充分性认定的传输路径。当一家美国公司持有有效的DPF认证时,欧盟组织可以在无需使用SCC的情况下向其传输数据,如同向获充分性认定国家的公司传输数据一样。有关完整的国家清单,参见我们的欧盟充分性认定完整指南。
SCC提供一条基于合同的传输路径,无论目的地国家是否获得充分性认定均可使用。它是向大多数亚洲、非洲、拉丁美洲及中东国家进行传输的主要机制,这些国家大多没有获得充分性认定。
许多组织会同时使用这两种机制。一家公司可能对已获认证的美国服务提供商依赖DPF进行传输,同时对印度、菲律宾或巴西的处理者使用SCC。鉴于跨大西洋传输框架历史上曾多次被推翻,一些组织即便与获得DPF认证的美国合作方合作,仍保留SCC作为备用方案。
截至2026年5月的DPF法律地位
DPF曾面临法律挑战。2025年9月3日,欧盟普通法院驳回了法国欧洲议会议员菲利普·拉通布(Philippe Latombe)提起的撤销诉讼,确认了DPF基于委员会2023年充分性认定作出时的事实基础是有效的。法院驳回了拉通布关于美国数据保护审查法院缺乏独立性、以及大规模监控缺乏充分事后司法审查的主张。拉通布已于2025年10月31日向欧盟法院提起上诉,该上诉目前仍在审理中。
另一个相关问题涉及美国政府的行政行为。特朗普诉斯劳特案(Trump v. Slaughter)原定于2026年6月或7月前作出裁决,该案可能对支撑DPF的美国隐私框架产生影响。
仅依赖DPF进行对美传输的组织应持续关注这些诉讼进展。SCC加补充措施的组合方式提供了一种备用方案,即便DPF被宣告无效(正如2020年隐私盾协议的遭遇),该方案仍将保持有效。
英国的国际数据传输机制
英国脱欧后,依据英国GDPR及《2018年数据保护法》,建立了自己的国际数据传输框架。欧盟SCC不能用于受英国法律管辖的传输。
国际数据传输协议(IDTA)
英国信息专员办公室(ICO)于2022年3月批准了国际数据传输协议(IDTA)。IDTA是一份独立合同,其功能与欧盟SCC类似,但依照英国法律起草。它采用单一文件、详细表格的形式,而非模块化方式。
英国附录
作为IDTA的替代方案,组织可以使用适用于欧盟SCC的英国附录。该附录附加于一套欧盟SCC之上,将其调整以适用于英国法律。这一方式受到已经签署欧盟SCC的组织的青睐,因为它无需另行签署单独的合同。
传输风险评估
ICO要求组织在依赖IDTA或英国附录之前,开展一项传输风险评估(TRA)。TRA与欧盟的TIA大体相似,但遵循ICO自身的指南。ICO已发布了一份详细的TRA工具,帮助组织完成该评估。
《数据(使用和访问)法案》2025与ICO最新指南
英国的《数据(使用和访问)法案》(DUAA)于2025年6月19日获御准。DUAA附表7修订了国际传输的标准。所要求的保护水平如今被描述为"不实质性低于"英国GDPR及2018年DPA项下标准的水平,称为"数据保护测试",取代了此前"未被削弱"的标准。
ICO于2026年1月15日发布了更新后的国际传输指南,重新整理了现有指南,并纳入了DUAA的新表述。ICO已表示计划在2026年内更新IDTA和附录,以反映DUAA的修订内容。在这些更新发布之前,组织应继续使用现行版本的IDTA和附录。
英美数据桥
针对特别面向美国的传输,英国于2023年10月建立了英美数据桥,提供了一条与欧美DPF平行、基于充分性认定的传输路径。欧盟委员会已于2025年12月19日续期了针对欧洲经济区至英国传输的充分性认定,有效期至2031年12月27日。
关于欧洲经济区至英国传输的说明: 欧盟境内向英国接收方传输个人数据的组织,无需为该等传输使用SCC。欧盟委员会针对英国的充分性认定涵盖欧洲经济区至英国的传输。SCC仍需用于相反方向的传输(英国至欧盟)以及英国至不具充分性认定国家(依据英国法律)的传输。
常见的SCC使用误区
组织在实施SCC时,经常遇到实际操作层面的困难。了解这些挑战有助于避免合规缺口。
多层处理链条
现代数据处理往往涉及跨多个国家的多层处理者和次级处理者。单份SCC协议可能需要纳入多个模块,链条中的不同环节也可能需要分别签署SCC。在选择模块之前准确梳理这些关系至关重要。
保持TIA的时效性
目的地国家的法律环境会不断变化。新的监控立法、法院裁决或政府实践,都可能改变某项传输的风险状况。组织必须建立一套流程,持续跟踪相关法律动态,并相应更新其TIA。EDPB于2025年6月发布的关于GDPR第48条的02/2024号指南,就组织在第三国政府当局要求获取接收方所持有数据时应如何应对提供了指导,这一TIA相关的风险因素如今应当明确纳入评估。
次级处理者管理
模块2和模块3要求认真管理次级处理者关系。当采用一般性授权(而非针对每一次级处理者的特定授权)时,处理者必须将拟对次级处理者所作的任何变更告知控制者,使控制者有机会提出异议。
可执行性方面的顾虑
SCC本质上属于合同性质。如果法治水平较弱国家的数据接收方违反条款,实践中可能难以有效执行。组织在开展TIA时,应将接收方所处法律体系以及合同义务的实际可执行性纳入考量。
向受GDPR约束的接收方进行传输
需要向本身已依据第3(2)条直接受GDPR约束的接收方传输个人数据的组织,会遭遇现行SCC框架的结构性空白。2021年版SCC并非为这一场景设计。在委员会正式通过针对该情形的新条款之前,组织应考虑使用BCR(适用于企业集团内部)、经监管机构依据第46(3)(a)条批准的临时条款,或在适用情形下依赖并记录第49条的减损情形。这并非一个次要风险:荷兰数据保护机构对Uber的处罚,正是涉及在没有获认可机制的情况下进行的这类传输。
近期动态(2024年至2026年)
自2021年版SCC全面生效以来,发生了若干重大动态。
Meta执法案例(2023年5月): 爱尔兰数据保护机构依据EDPB第1/2023号具有约束力的决定,对Meta处以12亿欧元罚款。EDPB认定,Meta基于SCC将Facebook用户数据传输至美国时,所采取的补充措施不足以弥补美国监控法律所造成的保护不足。Meta被责令使其传输行为恢复合规。
Uber执法案例(2024年): 荷兰数据保护机构对Uber处以2.9亿欧元罚款,理由是在没有获认可的传输机制的一段时期内,将司机的个人数据传输至美国。
DPF法律挑战(2025年): 欧盟普通法院于2025年9月3日驳回了针对DPF的Latombe挑战。拉通布于2025年10月31日向欧盟法院提起上诉,该上诉目前仍在审理中。特朗普诉斯劳特案(Trump v. Slaughter)原定于2026年年中前作出裁决,该案可能对支撑DPF的美国隐私框架产生影响。
EDPB第48条指南(2025年6月): EDPB于2025年6月5日通过了关于GDPR第48条的02/2024号最终指南。该指南明确,接收到第三国政府当局要求传输欧盟个人数据的组织,必须逐案评估每项请求,不得将此类请求视为常规合规事项处理。
英国《数据(使用和访问)法案》2025: 该法案于2025年6月19日获御准,将英国的传输标准调整为"数据保护测试"(不实质性低于英国GDPR的标准)。ICO已于2026年1月15日发布更新后的国际传输指南。IDTA和附录预计将于2026年内更新。
英国充分性认定续期(2025年12月): 欧盟委员会于2025年12月19日续期了针对英国的充分性认定,有效期至2031年12月27日。
第3(2)条SCC(待定): 委员会计划针对GDPR约束型接收方制定的新SCC,截至2026年5月尚未正式通过。面临这一场景的组织,应持续关注委员会的SCC页面以获取最新动态。
本文属于一般性法律信息,并非法律意见。实施SCC或其他跨境传输机制的组织,应就其具体情况咨询在其所在司法辖区持牌的律师。本文所反映的法规和指南内容,已核实至2026年5月19日。
Frequently Asked Questions
什么是标准合同条款(SCC)?
标准合同条款是欧盟委员会依据GDPR第46(2)(c)条通过的一套预先批准的合同条款。它们在欧洲经济区的数据输出方与欧洲经济区以外的数据接收方之间建立了具有约束力的数据保护义务。现行版本于2021年6月通过(第2021/914号实施决定),取代了2001/2004年和2010年的旧版条款。SCC是从欧盟进行国际数据传输时最广泛使用的法律机制。
四个SCC模块分别是什么?各自适用于什么场景?
模块1(控制者对控制者)适用于欧盟控制者向欧洲经济区以外控制者传输数据的情形。模块2(控制者对处理者)涵盖欧盟控制者聘用欧洲经济区以外处理者(如云服务提供商)的情形。模块3(处理者对处理者)适用于欧盟境内处理者聘用欧洲经济区以外次级处理者的情形。模块4(处理者对控制者)涵盖欧盟处理者将数据返还给欧洲经济区以外控制者的情形。若各方在不同处理活动中角色不同,同一份SCC协议可以纳入多个模块。
什么是传输影响评估(TIA)?
传输影响评估用于评估目的地国家的法律和实践,是否提供与欧盟标准本质上相当的保护。2021年版SCC第14条要求各方在传输数据之前完成TIA。该评估审查目的地国家的监控法律、政府访问框架,以及可用的法律救济途径。若TIA识别出风险,组织必须实施补充措施(技术性、合同性或组织性),以弥合保护方面的差距。
旧版SCC是否仍然有效?
不再有效。欧盟委员会设定了2022年12月27日的强制过渡截止日期,要求所有组织在该日期前将旧版SCC(2001/2004年控制者对控制者条款以及2010年控制者对处理者条款)替换为2021年版本。在该日期之后仍依赖旧版SCC的任何数据传输,均缺乏GDPR项下有效的法律依据。
SCC能否用于向美国进行的传输?
可以。无论接收方是否已依据欧美数据隐私框架(DPF)获得认证,SCC都仍是向美国传输的一种有效机制。对于向已获DPF认证的组织进行的传输,SCC可以作为备用方案。对于向未获认证的美国组织进行的传输,SCC通常是主要的传输机制。传输影响评估必须评估美国的监控法律,尤其是《涉外情报监视法》第702条和第12333号行政令,并须实施适当的补充措施。
英国对应欧盟SCC的机制是什么?
英国提供两种选择:国际数据传输协议(IDTA),一份由ICO于2022年3月批准的独立合同;以及适用于欧盟SCC的英国附录,用于调整现有欧盟SCC以适用于英国法律。仅凭欧盟SCC本身无法用于受英国GDPR管辖的传输。组织还必须依照ICO指南完成一项传输风险评估。英国《数据(使用和访问)法案》2025(2025年6月19日获御准)调整了英国的传输标准;ICO已于2026年1月15日发布最新指南,并计划在2026年内更新IDTA和附录。
组织可以配合SCC实施哪些补充措施?
补充措施分为三类。技术措施包括端到端加密(仅由输出方持有解密密钥)、假名化,以及拆分处理。合同措施要求接收方质疑政府的数据访问请求,并提供透明度报告。组织措施包括访问控制、数据最小化,以及定期审计。EDPB强调,能够阻止接触可读数据的技术措施,在高风险司法辖区中是最有效的保障手段。若目的地国家的法律框架允许政府强制获取数据,仅靠合同和组织措施本身无法弥补这一不足。
传输影响评估需要多久更新一次?
SCC要求持续合规,而非一次性评估。当情况发生重大变化时,例如目的地国家出台新的监控立法、次级处理安排发生变化、出现新的政府实践,或有相关法院裁决出台,组织必须重新评估其TIA。EDPB建议针对所有目的地国家的法律动态建立常规监测流程。EDPB于2025年发布的关于GDPR第48条的02/2024号指南,新增了一项需要评估的风险因素:当第三国政府当局要求获取个人数据时,接收方所承担的法律义务。
针对受GDPR约束的接收方的新SCC是什么?何时可以使用?
欧盟委员会正在专门针对以下情形制定一套新的SCC:向欧洲经济区以外的控制者和处理者传输数据,而该接收方的处理活动本身已因依据第3(2)条(例如其面向欧盟居民)而直接受GDPR约束。2021年版SCC不适用于这一场景,因为它们假定接收方不受GDPR约束。委员会原计划于2024年第四季度开展公众咨询,并于2025年第二季度形成待通过草案。截至2026年5月,官方公报尚未公布正式的实施决定。组织应持续关注委员会的SCC页面,以获知正式通过的公告。
SCC与具有约束力的公司规则(BCR)相比如何?
SCC是用于个别传输关系的合同条款,任何组织均可使用,且无需事先获得监管机构批准。具有约束力的公司规则是依据GDPR第47条经主导监管机构批准的集团内部政策。BCR可覆盖批准范围内的所有集团内部传输,无需逐案签署SCC协议,这使其对大型跨国企业而言效率较高,但获得批准通常需要一到三年时间,并需投入大量法律资源。BCR不能用于向外部方进行的传输,对此仍需使用SCC。这两种机制是互补的。
从欧洲经济区向英国传输数据是否需要SCC?
不需要。欧盟委员会针对英国的充分性认定涵盖欧洲经济区至英国的传输,这意味着此类传输无需使用SCC或其他第46条机制。该充分性认定已于2025年12月19日续期,有效期至2031年12月27日。不过,英国境内的组织若将数据传输至英国以外不具充分性认定的国家,针对此类对外传输仍需使用英国IDTA或英国附录(欧盟SCC的英国对应机制)。
Sources and References
- 现行欧盟SCC由2021年6月4日第(EU)2021/914号委员会实施决定通过。(eur-lex.europa.eu).gov
- CJEU在数据保护专员诉Facebook Ireland Limited及Maximillian Schrems案(Case C-311/18,ECLI:EU:C:2020:559,2020年7月16日,Schrems II)中裁定,原则上维持SCC作为有效传输机制,但要求输出方核实输入国的法律框架是否会削弱该保护。(eur-lex.europa.eu).gov
- EDPB关于补充措施的01/2020号建议(于2021年6月定稿)概述了开展TIA的六步流程。(edpb.europa.eu).gov
- Meta/Facebook的12亿欧元罚款,由爱尔兰数据保护机构依据EDPB第1/2023号具有约束力的决定(2023年4月13日)作出。该数据保护机构认定,Meta通过SCC将Facebook用户数据传输至美国时,所采取的补充措施不足以弥补美国监控法律带来的影响。(edpb.europa.eu).gov
- 荷兰数据保护机构(Autoriteit Persoonsgegevens)就司机个人数据在没有有效传输机制的情况下被传输至美国一事,对Uber处以2.9亿欧元罚款。这是荷兰数据保护机构对Uber作出的第三次处罚。(edpb.europa.eu).gov
- 欧盟普通法院于2025年9月3日驳回了针对欧美数据隐私框架的Latombe撤销诉讼挑战。拉通布已于2025年10月31日向欧盟法院提起上诉,该上诉目前仍在审理中。(noyb.eu)
- 英国《数据(使用和访问)法案》于2025年6月19日获御准。该法案附表7将国际传输标准由“未被削弱”调整为“不实质性低于”英国GDPR的保护水平(即“数据保护测试”)。ICO已发布更新后的国际传输指南。(ico.org.uk).gov
- ICO计划在2026年内更新IDTA和附录,以反映DUAA的修订内容。在此之前,组织应继续使用现行版本的IDTA和附录。(ico.org.uk).gov
- 欧盟委员会正在制定新的SCC,适用于处理活动已直接依据第3(2)条受GDPR约束的欧洲经济区以外控制者和处理者。原计划于2024年第四季度开展公众咨询,2025年第二季度形成草案。截至2026年5月,委员会尚未正式公布。(commission.europa.eu).gov
- EDPB于2025年6月5日通过了关于GDPR第48条(向第三国当局传输数据)的02/2024号最终指南。该指南明确,第三国当局作出的判决或决定不能在欧盟自动获得承认或执行,组织必须逐案进行评估。(edpb.europa.eu).gov
- 现行2021年版SCC仅限于数据接收方处理活动不受GDPR约束的传输场景。该条款不适用于输出方和接收方均受GDPR约束的场景,因为条款会与接收方已承担的义务部分重复、部分冲突。(commission.europa.eu).gov
- EDPB敦促欧盟委员会针对数据输出方和数据接收方均受GDPR约束的场景制定新的SCC,并强调这些SCC不应重复GDPR义务,而应聚焦于与接收方风险特别相关的要素。(edpb.europa.eu).gov
- 英国ICO:传输风险评估(ico.org.uk).gov
- 英国《2018年数据保护法》(legislation.gov.uk).gov
- 欧盟委员会:国际传输标准合同条款(commission.europa.eu).gov
- EDPB:关于Meta Platforms Ireland(Facebook向美国传输数据)的第1/2023号具有约束力的决定(edpb.europa.eu)