EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）

欧盟《一般数据保护条例》（“GDPR”）第46条规定了作为数据跨境传输工具的行为守则。作为数据跨境传输工具的行为守则不是对标准合同条款和有约束力的公司规则的简单复制，而是对行业领域而言更有针对性和可行性的数据跨境传输工具。

为了明确和促进行为守则在数据跨境传输中的适用，欧盟数据保护委员会（“EDPB”）曾在《GDPR行为守则适用与监督机构合规1/2019号指南》中指出，将制定关于使用行为守则作为数据传输工具的单独指南。在欧盟法院作出Schrems II 判决后，EDPB于2021年7月14日发布了《关于行为守则作为数据跨境传输工具的04/2021号指南》（“《04/2021指南》”）征求意见稿。

2022年2月22日，EDPB发布了《04/2021指南》的正式通过版。本文简要介绍了GDPR规定的行为守则及《04/2021指南》，并附《04/2021指南》征求意见前后对比稿，供读者参考。

一

GDPR规定的行为守则

行为守则（Codes of Conduct）是欧盟GDPR考虑到不同处理部门的特征以及中小微经济主体的特定需要而规定的一项制度。行为守则通常由代表一系列数据控制者/处理者的行业协会或者其他机构（称为“守则所有者”）制定，以帮助守则的成员确保其在特定部门或特定数据处理活动中的合规性。由于行为守则一般由行业协会或代表某行业的机构发起撰写，可以根据本行业特点实现GDPR合规，因而具有相对灵活性，并可以从实操的角度简化GDPR的复杂性。GDPR规定了行为守则可以适用的事项，包括合理与透明的处理、对个人数据的收集、数据跨境传输等。

行为守则分为两种类型，一是行为守则在形成草案后，须由所在成员国的主管机关批准后方可生效（“国家行为守则”）；二是若行为守则涉及多个成员国的数据处理活动，则成员国监管机构批准之后还需将对该行为守则及其意见书提交给EDPB，并最终由欧盟委员会以颁布实施法案的形式确认该行为守则在欧洲经济区（“EEA”）的一般有效性（“跨成员国行为守则”）。

GDPR还规定了行为守则的监督制度：经成员国主管机关根据法定条件认可的在守则所规定事项方面具有适当专业性的监督机构有权监督行为守则的实施。行为守则经批准后，想要注册的数据控制者必须向守则的监督机构证明其符合守则的要求。

二

《04/2021指南》

《04/2021指南》是对数据跨境传输工具的有益补充，具有较高灵活性。行为守则可以由代表一个行业的机构拟定（比如银行业协会），也可以为具有相同处理特征和需求的不同部门拟定（比如由人力资源专业协会制定的人力资源行为守则），而且，行为守则可以涵盖EEA之外的数据接收方。

《04/2021指南》将有利于数据在EEA内部的流动，增强不同成员国数据保护标准的一致性。现有的行为守则大多仅在各个成员国内部有效，而各成员国数据保护机构批准行为守则的标准常常不一致。《04/2021指南》指出，现有的行为守则经修改后再经过其规定的程序可以转化为“跨成员国行为守则”，从而取得在EEA内的“一般有效性”，这将在促进数据在欧盟内部流动的同时提高不同成员国之间数据保护水平的一致性。

《04/2021指南》征求意见稿于2021年7月14日发出后，EDPB于2022年2月22日发布了正式通过版。相比征求意见稿，本次正式通过版本在正文前增加了执行总结部分，且通过修改细节加强了对EEA之外守则成员的约束力度。此外，正式通过稿加强了EEA之内的守则监督机构将其监督工作委托给EEA之外监督机构时，对EEA之外监督机构的约束力度。

附：《关于行为守则作为数据跨境传输工具的04/2021号指南》征求意见前后对比稿中译本，红色字体为正式稿的修改增删部分。