【欧盟隐私保护】施雷姆斯II最终指南

此页面会定期更新以确保准确性和全面性。最后更新时间：2022年11月22日。

在这本理解Schrems II的权威指南中，我们涵盖了Schrems二世案件的所有关键发展，包括其背景、判决和下一步行动，以帮助您为理解Schrem II提供一站式资源。

什么是Schrems II？

2020年7月16日，欧盟法院公布了其对数据保护专员诉脸书爱尔兰有限公司Maximilian Schrems案（C-311/18）（Schrems II案）的判决。欧盟法院在其判决中宣布欧盟-美国隐私盾无效，该盾是欧盟和美国组织之间数据安全自由流动的主要数据传输机制之一。该判决确实支持使用标准合同条款，但它对这种在欧盟以外传输个人数据的方法产生了一些怀疑。判决的结果让许多组织不得不重新思考他们处理个人数据传输的方式，以及他们现有的传输机制是否符合欧盟数据保护法。

立即下载：Schrems II电子书最终指南

2020年11月，欧洲数据保护委员会（EDPB）通过了其关于补充传输工具的措施的建议，以及关于监控措施的欧洲基本保证的建议。前者协助数据控制者和数据处理者采取适当措施，确保对转移到第三国的数据提供基本上同等程度的保护，而后者则就第三国国家安全机构或执法当局的监视措施是否可以被视为正当干涉提供了指导。在EDPB发布建议的第二天，欧盟委员会发布了一套修订后的SCC供公众咨询。

欧盟委员会修订SCC的磋商期于2020年12月10日结束。2021 6月4日，欧盟委员会通过了两套现代化SCC。委员会通过的SCC涵盖了两种用例——一种是根据《通用数据保护条例》第28条在控制者和处理者之间使用，另一种是向第三国传输个人数据。据说，这两套新的SCC将与GDPR更加紧密地保持一致，并将“为欧洲企业提供更多的法律可预测性，特别是帮助中小企业确保遵守安全数据传输的要求。”

2021 6月18日，EDPB通过了关于补充传输工具的措施的最终建议，以确保符合欧盟对个人数据的保护水平。最终指南概述了一个六步路线图，以帮助支持数据出口商和进口商在国际传输个人数据时确保与欧盟提供的数据保护水平相当的数据保护，以及包括第三国评估重要性在内的几项重要更新。

目录

• Schrems II的背景和时间表
• Schrems II案
• 施雷姆斯二世的审判
• EDPB最终建议：补充措施
• 什么是转移影响评估（TIA）？
• EDPB建议：基本保证
• 欧盟委员会现代化SCC
• 欧盟-美国数据隐私框架
• Schrems II的下一步行动
• 合格国家名单
• 了解Schrems II的更多资源

Schrems II的背景和时间表

Schrems II是Max Schrems提出的数据保护专员诉脸书爱尔兰有限公司案（C-311/18）最常用的缩写；奥地利律师、隐私倡导者和noyb的创始人，noyb是一个旨在向欧盟法院提起有关GDPR数据保护的法律案件的组织。然而，正如其名字所示，Schrems II案是Schrems就欧盟和美国之间的国际数据传输提出的第二个备受瞩目的案件。

施雷姆斯的工作最初在CJEU案和随后的判决中臭名昭著，该判决使安全港机制（欧盟-美国隐私保护盾的前身）无效，通常被称为“施雷姆斯案”或“施雷姆斯一世”。这起最初的案件是在Schrems于2013年6月25日向爱尔兰数据保护专员（“PC”）提出投诉后引发的，该专员因担心美国国家安全局的数据收集做法，要求对Facebook位于爱尔兰的欧洲总部向其位于美国的服务器传输的数据进行调查。

施雷姆斯案在提交欧盟法院进行初步裁决之前，已提交爱尔兰高等法院。2015年10月6日，欧盟法院发布了备受期待的决定，宣布安全港机制无效。

在该决定的影响下，欧盟委员会和美国商务部开始设计一种数据传输机制，在将个人数据从欧盟传输到美国时，该机制将符合欧盟的数据保护要求。欧盟委员会于2016年7月12日认为，根据欧盟法律，欧盟-美国隐私保护框架足以实现数据传输。

Schrems II案

安全港机制失效后，Max Schrems向爱尔兰DPC重新提交了投诉，理由是Facebook继续将个人数据从其位于爱尔兰的欧洲总部转移到美国，现在依赖SCC。2018年4月12日，爱尔兰高等法院将此案提交给欧盟法院，并向法院提出了11个问题。

2020年7月16日，欧盟法院在Schrems II案中发布判决，宣布欧盟-美国隐私保护决定无效，但维持SCC的有效性。Hogan Lovells隐私和网络安全业务合伙人兼全球联席主管Eduardo Ustaran当时在接受OneTrust DataGuidance采访时表示，“这一决定的影响是直接的、全球性的。它比隐私盾的失效更进一步，因为它要求公司在参与全球数据流时考虑到其他国家对数据访问的权力。”

施雷姆斯II的判决

在诉讼过程中，欧盟法院根据《通用数据保护条例》的要求审查了欧盟-美国隐私保护盾的有效性。 欧盟法院发现，由于美国国内法以及美国公共当局对从欧盟转移的个人数据的访问和使用，对个人数据的保护受到限制。有人裁定，美国法律的规定不符合基本上等同于欧盟法律要求的要求。

欧盟法院在裁决中指出：

• 美国公共当局对欧盟数据的使用和访问不受相称性原则的限制；和
• 监察员机制不会向数据主体提供任何诉讼理由，而该机构提供的担保与欧盟法律要求的担保基本相同。

关于SCC，CJEU强调，对所提供的保护水平的评估必须考虑：

• 在欧盟建立的数据出口商和在第三国建立的转让接收方之间商定的合同条款；和
• 该第三国法律制度的有关方面，与该第三国公共当局的任何访问有关。

欧盟法院还坚持其立场，即当监管机构认为无法通过其他方式确保欧盟法律所要求的保护时，监管机构必须暂停或禁止向第三国传输数据。此外，欧盟法院法官强调，SCC是一种机制，在实践中，它可以确保遵守欧盟法律规定的保护水平，并保证在违反此类条款或无法遵守这些条款时，暂停或禁止个人数据的传输。

欧盟委员会发布了修订后的SCC供公众咨询，随后欧洲数据保护委员会和欧洲数据保护监督机构就修订后的SCCs草案发表了联合声明。2021 6月4日，欧盟委员会通过了两套新的SCC，用于控制器和处理器之间的使用以及向第三国传输个人数据。

2021 6月18日，EDPB通过了关于转让工具补充措施的最终建议，强调了六步路线图，以协助评估第三国，并确定和实施适当的补充措施。

EDPB最终建议：补充措施

欧盟法院支持使用SCC，但强调依赖SCC的数据控制者或数据处理者有义务“根据具体情况，并在适当情况下与数据接收方合作，核实目的地第三国的法律是否确保根据欧盟法律提供充分保护，根据标准数据保护条款传输的个人数据，在必要时为这些条款提供额外的保障。”

EDPB于2020年11月12日发布了补充措施建议，并于2021 6月18日通过了最终建议。最终建议概述了一个六步路线图，以帮助评估第三国，以及可以采取的措施来保护个人数据的传输。

1. 了解您的转账
2. 确定您所依赖的转移工具
   1. 充分性决策
   2. 第46条GDPR转移工具（包括SCC和BCR）
   3. 减损(Derogations)
3. 根据转让的所有情况，评估您所依赖的GDPR第46条转让工具是否有效
   1. 转移系数
   2. 评估法律
   3. 评估结果
4. 采取补充措施
5. 如果您已经确定了有效的补充措施，请采取程序步骤
6. 每隔适当时间重新评估

除了路线图之外，最终建议还提供了一些更新，包括：；

• 重点是出口商认识到在其法律评估中审查第三国公共当局做法的重要性，以帮助确定立法或做法是否阻碍了第46条转让工具的有效性。
• 鼓励出口商在进行评估时考虑进口商的实际经验
• 该指南强调，数据传输工具的有效性可能会受到第三国目的地立法的影响，该立法允许其当局访问传输的数据，即使没有进口商的干预。

什么是转移影响评估（TIA）？

EDPB六步路线图的第三步要求组织评估数据传输所依赖的第46条传输工具在传输的特定情况下是否仍然有效。这意味着应根据具体情况进行评估，以检查个人数据出口到的任何第三国的法律实践。在进行转移影响评估（TIA）时，组织应评估：

• 第三国的法律框架
• 法律框架在第三国的实际应用
• 第三国政府机构提出访问请求的情况
• 组织是否有拒绝政府访问请求的机制
• 是否已缔结具有法律约束力的国际公约（如第108号公约）
• 是否建立了独立的隐私和数据保护监督机构
• 数据主体的法律补救措施的存在以及这些补救措施的域外范围

执行TIA可以帮助组织评估他们所依赖的传输工具在传输情况下是否有效，但它也将强调是否有必要采取补充措施，以确保与GDPR下的数据保护水平基本相同。

EDPB建议：基本保证

除了补充措施建议外，EDPB还通过了基本保证建议。欧洲基本保证是欧盟法院在Schrems I案中确定的参考标准，旨在确保国家监控措施不会影响数据传输过程中对个人数据的保护。

EEG建议强调，“根据对判例的分析，EDPB认为，使《宪章》承认的数据保护和隐私权的限制合理的适用法律要求可以总结为四项欧洲基本保障”：

• 保证A-处理应基于清晰、精确和可访问的规则
• 保证B-需要证明所追求的合法目标的必要性和相称性
• 保证C-应存在独立的监督机制
• 保证D-需要为个人提供有效的补救措施

EDPB在建议中强调，尽管EEG可能构成对第三国数据传输立法评估的一部分，但它们不是排他性的，也不构成证明一个司法管辖区基本等效所需的完整清单。

欧盟委员会现代化SCC

《通用数据保护条例》第46条规定了一系列工具，可用于确保在欧洲经济区以外传输数据时有足够的保障措施来保护个人数据。根据Schrems II的决定，欧盟委员会发布了修订后的SCC草案供公众咨询，该草案已根据《通用数据保护条例》的生效进行了一段时间的审查。修订后的SCC采用模块化方法，以适应转移场景的多样性。在欧盟委员会的草案中，委员会提供了四种不同的用例：

• 模块1：控制器到控制器
• 模块2：控制器到处理器
• 模块3：处理器到处理器
• 模块4：处理器到控制器

此外，欧盟委员会修订后的SCC具有更广泛的范围，以反映《通用数据保护条例》的域外影响，并具有更大的灵活性，以促进在复杂和不断发展的关系中使用SCC。修订后的SCC还反映了GDPR下加强的数据保护框架和具体条款，以适应Schrems II决定带来的担忧。

2021 1月15日，EDPB和EDPS发布声明，宣布他们已就两套欧盟委员会的SCC草案通过了联合意见。其中一项意见侧重于控制者和处理者之间合同的SCC草案，另一项意见则侧重于向第三国转移个人数据的SCC草案。

2021 6月，欧盟委员会通过了两套新的SCC，用于控制器和处理器之间，另一套用于向第三国传输个人数据。据说，新的SCC反映了现代数据传输的挑战，同时为使用该机制的组织提供了灵活性和更大的法律可预测性。

关于这一通过，欧盟委员会负责价值观和透明度的副主席Vera Jourová表示：“在欧洲，我们希望保持开放，允许数据流动，前提是保护措施与数据一起流动。现代化的标准合同条款将有助于实现这一目标：它们为企业提供了一个有用的工具，以确保它们在欧盟内的活动和国际传输都遵守数据保护法。在相互连接的数字世界中，这是一个需要点击一两次才能传输数据的解决方案。”

欧盟委员会在其新闻稿中强调，使用先前标准合同条款的控制器和处理器有18个月的过渡期。

2021 6月7日，欧盟委员会的现代化SCC发表在《欧盟官方公报》上，这是行政程序的最后一步。随后，2021 6月27日开始了18个月的过渡期，各组织必须修改其对SCC的使用。

欧盟-美国数据隐私框架

2022年3月25日，欧盟委员会主席乌尔苏拉·冯德莱恩通过一系列推文宣布，已就跨大西洋数据流的新框架达成原则性协议。

白宫还公布了一份原则上与该协议有关的情况说明书，概述了美国承诺实施新的保障措施，以确保为追求国家安全而进行的监视活动是必要和相称的。

2022年10月7日，拜登总统发布了一项关于欧盟-美国数据隐私框架的行政命令以及一份情况说明书。该行政命令强调了该框架的几个领域，旨在缓解欧盟法院在Schrems II案中的决定中提出的担忧。

如果得到欧盟委员会的批准，该框架将要求美国的信号情报活动只能在追求既定的国家安全目标的情况下进行，并且只有在必要和相称的情况下才能进行。该框架还将为通过美国信号情报收集的个人信息被美国违反适用的隐私法收集或处理的情况下的个人创建一个多层次的补救机制。这一机制授权国家情报总监办公室的公民自由保护官员对投诉进行调查，以确定违规行为，并授予司法部长设立数据保护审查法院的权力，该法院将独立审查国家情报总监的决定。美国情报界将被要求更新其政策和程序，以反映框架中概述的新保障措施。

该行政命令目前有待欧盟批准。欧盟委员会可能需要长达六个月的时间才能就该框架发布充分性决定，这意味着该框架可能在2023年3月前生效。

Schrems II的下一步行动

总之，Schrems II的决定迫使各组织重新审视其处理国际数据传输的方式。2021 6月，欧盟委员会采用了现代化的SCC，为目前使用委员会先前版本SCC的组织提供了18个月的过渡期，以更新其合同。

EDPB的最终指导意见提供了明确的路线图和可操作的步骤，以确保个人数据传输合法，并满足GDPR第5（2）条规定的问责原则。虽然重新评估数据传输的过程可能是一个复杂的过程，但OneTrust提供了多种解决方案，包括预先构建的模板，出口商可以评估第三国，进行传输影响评估（TIA），并评估其补充措施的有效性。

最后，欧盟-美国数据隐私框架如果获得通过，将为从欧盟向美国转移个人数据的组织提供更多的法律确定性，并使欧盟公民有权使用补救机制——然而，该框架的地位仍掌握在欧盟委员会手中。

合格国家名单

到目前为止，以下司法管辖区已被公认为为为个人数据提供了充分的保护（即，作为充分性决定的一方）：

• 安道尔
• 阿根廷
• 加拿大（商业组织）
• 法罗群岛
• 根西岛
• 以色列
• 马恩岛
• 日本
• 运动衫
• 新西兰
• 大韩民国
• 瑞士
• 乌拉圭
• 大不列颠联合王国

了解Schrems II的更多资源：

• OneTrust DataGuidance Portal: Schrems II 
• OneTrust DataGuidance Insight: EU: What can be learnt from the EDPS' strategy on Schrems II 
• OneTrust Blog: European Commission Adopts New Standard Contractual Clauses (SCCs)

• European Commission Press Release: European Commission adopts new tools for safe exchanges of personal data

• OneTrust DataGuidance Webinar: Schrems II Fallout - Dealing With International Transfers Post-Schrems II & Reaction to the EDPB's Recommendations 
• OneTrust DataGuidance Webinar: Schrems II Fallout Continued: Reaction and Analysis to NEW Standard Contractual Clauses and EDPB Schrems II Recommendations 
• OneTrust DataGuidance Blog: Schrems II FAQs