欧洲数据保护委员会（EDPB）发布《GDPR第48条指南》2.0版：强化跨境数据流动监管框架​

欧洲数据保护委员会（EDPB）于今日正式通过《通用数据保护条例》（GDPR）第48条指南2.0版（以下简称《指南》），旨在明确第三国当局要求欧盟企业传输个人数据时的法律边界与合规路径。该指南以2016年GDPR第48条为核心，结合近年来跨境数据争议案例，为欧盟数据控制者与处理者提供了一套详尽的合规操作框架。

一、背景与核心目标：捍卫欧盟数据主权

GDPR第48条规定，第三国法院或行政机关要求欧盟企业传输或披露个人数据的判决或决定，仅在与欧盟或成员国存在生效国际协议（如司法协助条约）时方可被承认或执行。EDPB在《指南》中强调，此条款的核心是防止第三国法律通过域外管辖损害欧盟数据主体的权利，同时维护欧盟法律体系的独立性。

EDPB主席指出：“随着全球数据流动复杂性增加，第48条是欧盟数据主权的重要防线。企业必须明确，外国当局的请求本身不构成合法传输依据。”

二、适用范围：聚焦私人实体与直接请求

《指南》明确其适用范围为：

1. 请求主体：第三国的法院、行政机关（如执法机构、金融监管部门等）；

2. 接收方：受GDPR约束的欧盟私人企业（如科技公司、金融机构）；

3. 排除情形：公共机构间通过国际协议的直接数据交换（如司法互助条约）不适用本指南。

值得注意的是，若第三国母公司要求欧盟子公司提供数据以回应本国当局请求，此类传输仍需遵守GDPR第五章规定，但不属于第48条的直接适用范围。

三、合规“两步测试”：法律依据与传输理由缺一不可

EDPB提出，企业回应第三国请求前必须通过“两步测试”：

• 国际协议优先：若请求基于欧盟与第三国的有效协议（如司法协助条约），企业可依据第6(1)(c)条（法定义务）处理数据。

• 其他情形：

  • 公共利益任务（第6(1)(e)条）：需欧盟或成员国法律授权；

  • 合法利益（第6(1)(f)条）：需与数据主体权利进行严格权衡，且不得用于预防性数据收集；

  • 同意（第6(1)(a)条）：仅限非权威性场景，且需自由、明确。

  
  

• 国际协议保障：若协议包含EDPB认可的适当措施（如数据主体权利、限制二次传输），可依据第46(2)(a)条传输；

• 无协议时的替代方案：

  • 欧盟充分性决定（第45条）；

  • 标准合同条款（SCCs）或约束性企业规则（BCRs）（第46条）；

  • 例外情形下适用第49条减损（如重大公共利益）。

  
  

EDPB特别警告，第49条减损需严格解释，仅适用于“非重复性、必要且比例性”的传输。

四、企业实操建议：风险评估与协作机制

《指南》附件列出企业应对请求的具体步骤：

1. 验证请求性质：确认是否来自第三国官方机构，并评估其法律效力；

2. 审查国际协议：咨询本国主管部门（如司法部）确认协议适用性；

3. 数据最小化：仅传输请求明确要求的个人数据；

4. 记录与报告：留存拒绝或合规的决策记录，并向监管机构报备争议案例。

五、行业影响与全球意义

此次《指南》的发布被视为欧盟对近期跨境数据冲突的直接回应。例如，2024年美国《云法案》要求科技公司提供境外数据，曾引发与GDPR的管辖权争议。EDPB通过细化第48条，为企业划定了明确的合规红线，同时向第三国传递了“欧盟数据保护无妥协”的信号。