2020年7月16日，欧盟法院（"CJEU"，或 "ECJ"）对Schrems II案【即数据保护专员诉Facebook爱尔兰和Maximillian Schrems案，C-311/18】作出裁决。

Schrems II的裁决否决了欧盟-美国隐私盾作为向美国转移欧盟个人数据的依据，因为法院认为美国国家安全法没有提供与欧盟同等的隐私保护。【详见：数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】虽然欧盟法院支持欧盟委员会批准的标准合同条款("SCCs")作为向美国转移欧盟个人数据的基础，但法院对SCCs的使用设置了新的重大障碍。【详见：数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）】

因此，美国公司现在面临一个难题，即他们是否可以合法地继续向美国转移欧盟个人数据。【详见：数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输，以及数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输】

9月28日，美国政府发布了一份 "白皮书"，论述了Schrems II案后，公司如何证明其继续向美国跨境传输欧盟居民个人数据的合理性。【详见：数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决】美国政府的白皮书旨在通过提供论据和引用法律权威，帮助公司应对这一跨大西洋数据传输的难题，供美国公司在进行新要求的美国国家安全法如何保护欧盟个人数据的法律评估时考虑。【详见：数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”，以及数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略】。

再把视线转回欧洲，按照欧盟法院的逻辑，FACEBOOK需要在SCC之外，采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境（美国首当其中）中后，还能享有充分保护。现在问题的核心在于，什么是欧盟法院提出的“额外的保障措施”？在9月3日的会议上，EDPB主席Andrea Jelinek确认，EDPB正在编制指南和建议，以协助数据控制者和处理者在使用标准合同条款或具有约束力的公司规则向法律制度不能充分保护个人数据的第三国出口个人数据时，识别、确定和实施适当的额外保障措施。

终于，11月11日，EDPB拿出了关于“补充措施的建议”，即

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data（关于为确保遵守欧盟个人数据保护水平而采用的对数据跨境转移工具补充措施的建议01/2020）。公号君第一时间对全文进行了翻译，供大家参考。【全文见：数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世】

与该份文件一同发布的还有另一份指南——Recommendations 02/2020 on the European Essential Guarantees for surveillance measures（关于针对监控措施的欧洲基本保障的第02/2020号建议）

公号君第一时间也对该指南进行了全文翻译，供大家参考。

剧透：从此文本的逻辑来看，并按照外国对中国的认识，EDPB几乎肯定认为我国目前相关的法律法规不符合该指南提出的四项基本保障。结合此前的“补充措施”指南，对我国法律环境评估的结论将进一步降低从欧盟向中国的数据跨境转移的合法性。