2020年7月16日，欧盟法院（"CJEU"，或 "ECJ"）对Schrems II案【即数据保护专员诉Facebook爱尔兰和Maximillian Schrems案，C-311/18】作出裁决。Schrems II的裁决否决了欧盟-美国隐私盾作为向美国转移欧盟个人数据的依据，因为法院认为美国国家安全法没有提供与欧盟同等的隐私保护。【详见：数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】虽然欧盟法院支持欧盟委员会批准的标准合同条款("SCCs")作为向美国转移欧盟个人数据的基础，但法院对SCCs的使用设置了新的重大障碍。【详见：数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）】

因此，美国公司现在面临一个难题，即他们是否可以合法地继续向美国转移欧盟个人数据。【详见：数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输，以及数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输】

9月28日，美国政府发布了一份 "白皮书"，论述了Schrems II案后，公司如何证明其继续向美国跨境传输欧盟居民个人数据的合理性。【详见：数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决】美国政府的白皮书旨在通过提供论据和引用法律权威，帮助公司应对这一跨大西洋数据传输的难题，供美国公司在进行新要求的美国国家安全法如何保护欧盟个人数据的法律评估时考虑。【详见：数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”，以及数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略】。

再把视线转回欧洲，按照欧盟法院的逻辑，FACEBOOK需要在SCC之外，采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境（美国首当其中）中后，还能享有充分保护。现在问题的核心在于，什么是欧盟法院提出的“额外的保障措施”？在2020年9月3日的会议上，EDPB主席Andrea Jelinek确认，EDPB正在编制指南和建议，以协助数据控制者和处理者在使用标准合同条款或具有约束力的公司规则向法律制度不能充分保护个人数据的第三国出口个人数据时，识别、确定和实施适当的额外保障措施。

终于，2020年11月11日，EDPB拿出了关于“补充措施的建议”，即

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data（关于为确保遵守欧盟个人数据保护水平而采用的对数据跨境转移工具补充措施的建议01/2020）。本公号第一时间做了全文翻译，详见【数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世】

随着2021年6月4日，欧盟委员会公布了将个人数据从欧盟转移到第三国的新标准合同条款（新SCCs）的最终版本【全文翻译见：数据跨境流动 | 欧盟新版标准合同条款（最终版）全文翻译】，EDPB也更新了关于补充措施的指南，并于近日公布。DPO社群第一时间组织对最新版本的补充措施指南全文翻译工作。本份文件的译者是北京德和衡律师事务所集团合伙人辛小天、史蕾、周杨、郑茂峰律师。