EDPB 连发两份意见:Europrivacy 如何同时成为隐私认证与跨境传输机制|附两份意见全文翻译

来源:那一片数据星辰

文章摘要
译者案 EDPB今天关于Europrivacy’发布两份意见书,这两份 EDPB 意见应当放在一起理解。 《关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.
译者案
EDPB今天关于Europrivacy’发布两份意见书,这两份 EDPB 意见应当放在一起理解。
《关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.5条之欧洲数据保护印章获委员会批准事宜》解决的是一个基础问题:Europrivacy 第82 版认证标准,作为依据 GDPR 第42 条第5 款的欧洲数据保护印章,是否足以被批准为一项共同认证。EDPB 的答案是肯定的,但批准并不是简单延续 2022 年的旧版本,而是建立在一套更新后的标准之上。EDPB 特别强调了几个变化方向:适用范围扩大到部分受 GDPR 第3 条第2 款约束的境外申请人;对第三国法律潜在冲突的评估被纳入标准;NOCAR、进一步处理、特殊类别数据保障、数据主体权利、次级处理者、数据泄露、风险评估和安全要求均被细化。换句话说,这份《关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.5条之欧洲数据保护印章获委员会批准事宜》确认的是 Europrivacy 作为“欧盟一致认可的数据保护印章”这件事本身已经成立,而且其适用对象和审查深度都比旧版更强。
《关于Europrivacy认证标准的第15/2026号意见:就其作为依据GDPR第42条和第46条之传输工具的欧洲数据保护印章获委员会批准事宜》则进一步解决另一个更敏感的问题:同一套 Europrivacy 体系,是否可以延伸为 GDPR 第46 条项下的跨境传输工具。EDPB 的答案同样是肯定的,但它明确提出,只有在附加的 transfer-extension 标准和具有约束力且可执行的承诺同时到位时,这项认证才可以承担 Chapter V 传输机制的功能。也就是说,认证本身不是“自动放行”的标签,真正起作用的是“认证标准 + 数据进口方承诺 + 出口方核验 + 持续有效性”的组合。
如果只看《关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.5条之欧洲数据保护印章获委员会批准事宜》,会把它理解成一份“认证体系获得批准”的技术性意见;如果只看《关于Europrivacy认证标准的第15/2026号意见:就其作为依据GDPR第42条和第46条之传输工具的欧洲数据保护印章获委员会批准事宜》,又会误以为 EDPB 在为一种新的跨境传输捷径背书。两份一起看,EDPB 的真正口径更清楚:先认可 Europrivacy 作为 Article 42 seal 的基础合规框架,再在这个框架之上,通过额外标准和承诺设计,把它限定性地推到 Article 46 transfer tool 的位置上。

对企业的实际含义
第一,这不是 SCC 的简单替代品,而是一种门槛更高、治理更重的机制化替代方案。企业如果把它理解为“拿个认证就能跨境传输”,会直接误判。EDPB 在《关于Europrivacy认证标准的第15/2026号意见:就其作为依据GDPR第42条和第46条之传输工具的欧洲数据保护印章获委员会批准事宜》中反复强调,数据出口方仍然负有核验义务,需要检查证书是否有效、是否覆盖具体传输、是否涵盖 transit、是否涉及 onward transfer、认证机构是否合格、合同中是否已经写入相关安排,以及是否已履行对数据主体的信息告知义务。
第二,这套机制更适合想把“跨境传输合规能力”产品化、标准化、可审计化的企业,而不是只想一次性补文件的企业。因为 EDPB 实际上要求数据进口方具备成体系的治理能力,包括第三国法律评估、补充措施、数据流映射、记录保存、DPIA、数据泄露处置、DPO、对 EEA 监管合作、对数据主体可执行承诺等。没有成熟隐私治理基础的企业,即使想走认证路径,成本也不会低于合同路径。
第三,这两份意见对境外主体尤其重要。《关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.5条之欧洲数据保护印章获委员会批准事宜》已经把部分受 GDPR 第3 条第2 款约束的境外申请人纳入 Europrivacy 认证视野;《关于Europrivacy认证标准的第15/2026号意见:就其作为依据GDPR第42条和第46条之传输工具的欧洲数据保护印章获委员会批准事宜》则进一步讨论了不受 GDPR 第3 条直接约束的数据进口方,如何通过扩展标准进入 Article 46 工具框架。这说明 EDPB 正在把“境外主体如何被纳入欧盟数据治理秩序”从个案合同治理,逐步推进到认证化、制度化治理。
第四,这并不意味着 transfer risk analysis 被认证取代。相反,EDPB 明确要求第三国法律与实践评估、Transfer Impact Assessment、必要时的 supplementary measures,甚至在认证失效或无法维持承诺时暂停或停止传输。对企业而言,这意味着认证不能替代对目的地法制环境的持续判断,只是把这类判断嵌入进一套更正式的审查和监督结构。
附全文翻译:关于Europrivacy认证标准的第14/2026号意见:就其作为依据GDPR第42.5条之欧洲数据保护印章获委员会批准事宜
EDPB于 2026 年 4 月 15 日通过
欧洲数据保护委员会,
鉴于欧洲议会和欧盟理事会 2016 年 4 月 27 日第(EU) 2016/679 号条例第63 条、第64 条第2 款和第42 条,该条例系关于在个人数据处理方面保护自然人以及此类数据自由流动,并废止第95/46/EC 号指令(以下简称“GDPR”);
鉴于《欧洲经济区协定》(以下简称“EEA 协定”),特别是其附件 XI 和议定书 37,并结合 EEA 联合委员会 2018 年 7 月 6 日第154/2018 号决定所作修订[^1];
鉴于其议事规则第10 条和第22 条,
鉴于如下事项:
成员国、监督机构、欧洲数据保护委员会(以下简称“EDPB”或“委员会”)以及欧盟委员会,应尤其在欧盟层面鼓励建立数据保护认证机制(以下简称“认证机制”)以及数据保护印章和标志,以证明控制者和处理者的处理活动符合 GDPR,同时考虑微型、小型和中型企业的特定需求。此外,建立认证机制还可以提高透明度,并使数据主体能够评估相关产品和服务的数据保护水平。
认证标准构成认证机制不可分割的一部分。因此,GDPR 要求由有管辖权的监督机构批准国家认证机制的标准(GDPR 第42 条第5 款和第43 条第2 款第(b)项);如属欧洲数据保护印章,则由 EDPB 批准(GDPR 第42 条第5 款和第70 条第1 款第(o)项)。
当某监督机构(以下简称“SA”)拟根据 GDPR 第42 条第5 款提请 EDPB 批准某一欧洲数据保护印章时,该监督机构应说明机制所有者拟在所有成员国提供该认证机制的意图。在此情形下,EDPB 的主要作用是通过 GDPR 第63 条、第64 条和第65 条所述的一致性机制,确保 GDPR 的一致适用。在这一框架下,根据 GDPR 第64 条第2 款,EDPB 负责批准认证标准。
本意见旨在结合认证机制所必须建立的核心要素,确保 GDPR 的一致适用,包括监督机构、控制者和处理者对 GDPR 的一致适用。特别是,EDPB 的评估系依据《2018/1号指南:根据条例第42条和第43条进行认证及识别认证标准》(以下简称“《指南》”)及其关于“认证标准评估指引”的增补文件(以下简称“《增补文件》”)进行,该增补文件的公开咨询期于 2021 年 5 月 26 日届满。
因此,EDPB 承认,每一项认证机制均应个别审查,本意见不影响对任何其他认证机制的评估。
认证机制应使控制者和处理者能够证明其符合 GDPR。因此,其标准应恰当反映 GDPR 所规定的有关个人数据保护的要求和原则,并有助于 GDPR 的一致适用。
同时,机制所有者应确保该认证机制与所纳入或援引的任何 ISO 标准及认证实践保持一致并相互符合。
因此,认证应通过帮助控制者和处理者实施标准化、具体化的组织和技术措施,为其增加价值;该等措施应能够可证明地促进并增强处理活动对 GDPR 的合规性,同时考虑行业特定要求。
EDPB 欢迎机制所有者为制定认证机制所作出的努力。此类机制是具有实践性且可能较具成本效益的工具,有助于提升与 GDPR 的一致性,并通过提高透明度促进数据主体的隐私权和个人数据保护权。
EDPB 提醒,认证属于自愿性的问责工具,加入某一认证机制并不会减轻控制者或处理者遵守 GDPR 的责任,也不会妨碍监督机构依据 GDPR 及相关国家法律行使其任务和权力。
在本意见中,EDPB 讨论了若干问题,例如标准的范围,以及该等标准在所有成员国中的适用性和相关性。
EDPB 的本意见仅聚焦于认证标准本身。为了能够在其意见背景下充分评估该等标准的可审计性,EDPB 可能要求提供关于评估方法的高层次信息。然而,这并不构成对该等评估方法的任何形式批准。
根据 GDPR 第64 条第2 款并结合 EDPB 议事规则第10 条第2 款,EDPB 的本项意见应自主席与有管辖权监督机构决定案卷完整后的第一个工作日起八周内通过。经主席决定,考虑到事项的复杂性,该期限可再延长六周。若 EDPB 的意见认为有关标准仍不能获得批准,则监督机构可在解决 EDPB 初始意见所指出的问题后,重新提交标准供批准。
EDPB 通过如下意见:
1 事实摘要
根据 GDPR 第42 条第5 款以及《指南》,Europrivacy 认证标准(第82 版)(以下简称“认证标准”)由欧洲认证与隐私中心(European Center for Certification and Privacy,以下简称“机制所有者”)起草。
卢森堡监督机构(以下简称“LU SA”)于 2026 年 1 月 29 日依据 GDPR 第64 条第2 款,将 Europrivacy 认证标准(第82 版)提交 EDPB 审批。
关于案卷完整性的决定于 2026 年 3 月 31 日作出。
EDPB 回顾,其早在 2022 年 10 月 10 日即已通过发布 EDPB 第28/2022 号意见,批准 Europrivacy 认证标准(第60 版)作为依据 GDPR 第42 条第5 款的欧洲数据保护印章(以下简称“前次 EDPB 意见”)。
本意见处理的是 Europrivacy 认证标准的修订版本(第82 版)。委员会首先注意到,在当前提交 EDPB 的这版认证标准中,其适用范围已扩大至包括受 GDPR 第3 条第2 款约束的申请人,并就第三国法律的潜在冲突引入了一项标准。此外,委员会还注意到,EDPB 于 2022 年批准的部分认证标准,在 Europrivacy 认证标准修订版(第82 版)中已被调整、细化和/或澄清。这些修订尤其涉及:在 EEA 指定代表人及配合 EEA 内有管辖权 DPA 请求;国家义务合规评估报告(National Obligations Compliance Assessment Report,NOCAR);进一步处理;处理特殊类别个人数据时所附的保障措施;数据主体权利;聘用次级处理者;数据泄露处置;数据处理风险评估;以及安全政策和要求。
EDPB 强调,对 2022 年已获批准之认证标准的修改,将影响目前已签发的认证以及正在进行中的认证程序。
因此,依据前次 EDPB 意见(第60 版)所批准标准签发的欧洲数据保护印章,与依据本意见所评估之认证标准(第82 版)签发的印章之间,应当以适当且透明的方式管理过渡期。对此,委员会根据机制所有者提供的文件理解,所有正在进行的认证程序必须在 2026 年底前完成,此后,前次 EDPB 意见(第60 版)批准的认证标准将不再用于签发新证书。此前已签发的证书将在其三年有效期届满前继续有效,并将依据认证标准(第82 版)进行续期。因此,在 2029 年底之后,前次 EDPB 意见(第60 版)批准的认证标准将被认证标准(第82 版)完全取代。此外,机制所有者还将公开该过渡计划的相关信息。认证机构的认可可能还需要作出若干调整,但本意见不涉及该问题,因为该问题不属于 EDPB 的权限范围。
一般性的 Europrivacy 认证方案,并不拟依据 GDPR 第42 条第2 款和第46 条第(f)项作为传输工具使用。2026 年 1 月 29 日,LU SA 还依据 GDPR 第64 条第2 款,向 EDPB 提交了另一组认证标准以申请批准,即《依据第46条对数据进口方进行认证的Europrivacy认证方案扩展》。该扩展的适用范围涵盖位于 EEA 之外、根据 GDPR 第3 条第2 款不直接受 GDPR 约束、但处理从另一受 GDPR 约束的数据控制者或处理者处接收之个人数据的控制者和处理者。对于这组拟依据 GDPR 第46 条第2 款第(f)项作为传输工具使用的认证标准,EDPB 已通过第15/2026 号意见。
2 评估
EDPB 已依据《指南》附件 2(以下简称“附件”)及其《增补文件》所规定的结构,对认证标准进行了评估,以决定是否依据 GDPR 第42 条第5 款批准该等标准。
在本意见框架下,为批准该认证标准,EDPB 已评估以下内容:申请与评估目标之初步检查和控制(A);Europrivacy GDPR 核心标准(G);以及随认证标准一并提交的技术和组织措施检查和控制(T)。
此外,委员会还注意到,连同前次 EDPB 意见(第60 版)所批准认证标准一并提供的“补充性情境检查和控制”[^2],旨在确保 ToE 所涉数据处理符合特定领域和特定技术要求[^3],但 EDPB 并未在其前次意见中批准该等“补充性情境检查和控制”;而且,在本次意见背景下提交的更新文件中,该等内容已不再出现。
委员会注意到,正如该方案的定义所澄清的,方案全文中对“有管辖权的数据保护机构”的提述,应理解为 EEA 内的数据保护机构[^4]。
关于第三国法律的定义,委员会理解,其系指适用于申请人和/或评估目标中所处理个人数据的法律,前提是该等法律对数据保护权利施加的限制,不超过民主社会中为保障 GDPR 第23 条第1 款所列目标之一所必需且合比例的范围,并且该等法律尊重数据保护权的本质,并规定了保障数据主体基本权利和利益的具体措施。
2.1 认证机制的范围与评估目标(ToE)
EDPB 回顾[^5],Europrivacy 认证方案属于一般性方案,因为其面向各类不同处理活动,适用于来自不同行业的控制者和处理者。
委员会欢迎 LU SA 就该认证方案范围所提供文件中所述:修订后的 Europrivacy 方案适用于:(i)设立于欧盟(EU)或欧洲经济区(EEA)的控制者和处理者;(ii)设立于 EEA 之外、但因向 EEA 内数据主体提供商品或服务,或因监测 EEA 内数据主体行为,而根据 GDPR 第3 条第2 款受 GDPR 约束的控制者和处理者[^6]。
标准的适用性,系根据申请人的角色和责任进行界定。
对于位于第三国、受 GDPR 第3 条第2 款约束、但其所在国不受充分性决定覆盖的申请人,委员会欢迎认证标准在一般 Europrivacy 方案中引入了关于第三国法律潜在冲突的标准。
委员会还欢迎,认证标准明确排除了共同控制关系的情形,即在联合控制情形下,不签发认证。
2.2 处理活动
EDPB 注意到,认证标准涵盖了 ToE 范围内数据处理活动的相关组成部分,并针对特殊类别个人数据的处理提供了适当保障。
委员会尤其欢迎,在更新后的标准中,就特殊类别个人数据处理所应适用的附加保障措施作出了进一步完善。
2.3 处理的合法性
EDPB 欢迎认证标准进一步细化了处理合法性的要求,特别是要求在相关情况下证明存在有效法律基础,并针对受 GDPR 第3 条第2 款约束、位于第三国的申请人,评估第三国法律是否可能与 GDPR 义务发生冲突。
委员会欢迎认证标准要求申请人提供书面评估,以确保第三国的法律和实践不会阻止其遵守标准,不会削弱数据主体基本权利与自由的实质,且不会超出民主社会中为保障 GDPR 第23 条第1 款所列目标之一所必需且合比例的范围;如监管或组织变化可能影响对标准的遵守、影响 ToE 或影响数据主体权利,则应重新评估并通知认证机构(G.1.1.5 标准)。
在此背景下,更新后的认证标准在指引中进一步澄清:“当申请人设立于 EEA 之外,且就 ToE 所涉处理享有适用的充分性决定时,可通过简化报告证明符合该要求。”根据该等标准,此类报告应评估有关充分性决定是否仍然有效,并记录 ToE 为何属于该充分性决定的适用范围(G.1.1.5 标准 F 项)。
2.4 数据处理原则
EDPB 回顾,认证标准已充分涵盖 GDPR 第5 条规定的数据保护原则。特别是,更新后的认证标准扩展并进一步细化了目的限制原则,增设一项专门标准,要求证明个人数据不会以与原定目的不相容的方式被进一步处理,并要求对任何进一步处理单独评估其合法性,同时对进一步处理的数据开展目的相容性评估并予以适当记录(G.1.1.6 标准)。
2.5 控制者和处理者的一般义务
EDPB 提醒,认证标准[^7]反映了控制者依据 GDPR 第24 条承担的义务(关于数据控制者责任的 G.4 节),并要求依据 GDPR 第28 条评估处理者与控制者之间的合同安排(标准中关于数据处理者或次级处理者的 G.5 节)。
此外,委员会欢迎新增规定:要求受 GDPR 第3 条第2 款约束的申请人依据 GDPR 第27 条在 EEA 内指定办事处或代表,并在申请人网站上提供其联系方式(G.4.1.4 标准)。委员会注意到该等认证标准,并提醒,根据 GDPR,这并非对控制者和处理者始终适用的强制义务,因此仍应考虑 GDPR 第27 条所规定的条件。
此外,正如 EDPB 在前次意见中所指出的,认证标准要求所有申请人均任命数据保护官(DPO),即使申请人根据 GDPR 第37 条本无义务指定 DPO。该标准会检查 DPO 是否满足 GDPR 第37 条至第39 条规定的要求(关于数据保护官的 G.9 节)。
同样,认证标准要求根据 GDPR 第30 条核查处理活动记录的内容(标准中关于处理活动记录的 G.5.3 节)。对此,委员会欢迎更新后的认证标准要求,凡受 GDPR 第3 条第2 款约束的申请人,均应配合 EEA 内有管辖权 DPA 所提出的请求,并在其要求下向其提供处理活动记录(G.5.3.5 标准)。
以同样逻辑,EDPB 还注意到,针对申请人作为控制者或作为处理者时聘用次级处理者的问题,认证标准新增了若干额外标准(关于聘用次级处理者的 G.5.1.2 节)。这种区分更好地反映了处理链中各方角色与责任的分离。
2.6 数据主体的权利
与其前次意见一致,EDPB 回顾,认证标准已根据 GDPR 第三章充分涵盖数据主体知情权,并要求配置相应措施[^8]。认证标准还要求设置能够介入处理活动的措施,以保障数据主体权利,并允许更正、删除或限制处理(标准中关于数据主体权利的 G.3 节)。
此外,EDPB 欢迎认证标准在向数据主体提供信息方面所作出的改进(G.3.2 节:从数据主体处收集个人数据时应提供的信息;G.3.3 节:个人数据并非直接从数据主体获取时应提供的信息),以及在与数据主体沟通的方式[^9]、数据主体行使权利的方式[^10](G.3.1 节:透明信息、沟通及数据主体权利行使方式)、访问权(G.3.4 节)、删除权(G.3.6 节“删除权,即‘被遗忘权’”)、限制处理权(G.3.7.1 标准)、关于更正、删除或限制处理的通知义务(G.3.8.2 标准)、反对权(G.3.10 节),以及不受自动化个体决策(包括画像)约束之权利(G.3.11 节)等方面所作出的完善。
2.7 对权利和自由的风险
EDPB 在其前次意见中已指出,认证标准要求依据 GDPR 第35 条,对 ToE 所涉数据处理对自然人权利与自由的风险进行评估(标准中关于“是否需要开展数据保护影响评估(DPIA)的义务”的 G.8 节)^11。
EDPB 欢迎认证标准作出修改,明确规定“申请人应采用可重复的方法,评估处理活动所带来的、可能影响自然人权利和自由的风险”(G.6.2.4 节:数据处理风险评估)。
此外,EDPB 欢迎认证标准进一步增加并细化了若干内容。例如,EDPB 注意到在 DPIA 流程中新增了一项内容,涉及申请人无须开展 DPIA 的情形(G.8.2.1 节:DPIA 流程要求)。
2.8 保障保护的技术和组织措施
正如 EDPB 前次意见所述,认证标准要求采取技术和组织措施,以确保处理活动的保密性、完整性和可用性。该标准还要求依据 GDPR 第25 条和第32 条,采取技术措施实施“设计和默认中的数据保护”(标准中关于设计和默认中的数据保护及处理安全的 G.6 节、关于处理安全的 G.6.2 节,以及 T 标准部分)[^12]。对此,委员会欢迎修订后的认证标准进一步细化了申请人为遵守该等标准所应适用的规则和程序(G.6.1.2 节:默认情况下的数据最小化)。
正如 EDPB 前次意见所强调,认证标准要求采取措施,以确保个人数据泄露通知义务按照 GDPR 第33 条和第34 条的要求,在适当时间和范围内履行(标准中关于数据泄露管理的 G.7 节)。
在此方面,委员会注意到,认证标准已被进一步改进和细化。更具体地说,认证标准现已包含一份更为详尽的清单(G.7.1.1 节:记录数据泄露的义务),列明在发生数据泄露时申请人必须记录的信息,例如:已经或可能受影响的个人数据类别、已经或可能受影响的数据主体的大致人数、所涉及或可能涉及的个人数据记录类别及大致数量,以及个人数据泄露的可能后果。
2.9 为证明个人数据传输存在适当保障措施之目的所设标准
正如委员会在前次意见中所确认的,认证标准要求识别 ToE (评估目标)中涉及的所有向第三国和国际组织进行的个人数据传输,并根据 GDPR 第五章,就所选择的数据传输机制是否提供适当保障作出说明(标准中关于“向第三国或国际组织传输个人数据”的 G.10 节)。
EDPB 认可,对于受 GDPR 第3 条第2 款约束的申请人,这些认证标准既适用于将 ToE 所涉个人数据传输至申请人所在同一第三国的实体,也适用于传输至另一第三国实体的情形。
此外,委员会欢迎,关于个人数据传输的认证标准现已被进一步细化,并更清晰地规定了申请人在此事项上的义务(G.10.1 节:向第三国或国际组织进行国际个人数据传输的一般义务)。
3 欧洲数据保护印章的附加标准
根据《指南》,评估应包括“标准是否能够考虑成员国数据保护法律或相关情境”这一问题。正如 EDPB 在前次意见中所确认的,认证标准 G.1.1.3 节要求申请人在国家义务合规评估报告(NOCAR)中提供此类评估。该报告应包括对适用于 ToE 的国家义务进行评估,并记录申请人为遵守适用规则所采取的措施,以及可能仍在进行中的纠正行动。申请人不得将机制所有者为各国提供的关键补充国家要求清单,作为与 ToE 相关国家义务的穷尽性清单。机制所有者提供的最低补充检查和控制要求指示性清单,并非本意见范围内的认证标准。
委员会欢迎在更新后的标准中对 NOCAR 所作出的调整(G.1.1.3 节:国家义务合规评估)。特别是,标准现已澄清,申请人应在 NOCAR 中记录其就“适用于申请人的、与个人数据保护有关的补充性 EEA 国家义务”所作的合规性评估。尤其是,NOCAR 至少应包含:已接受评估的 ToE 的明确识别、适用于 ToE 的已识别补充性 EEA 国家数据保护义务清单,以及 ToE 对该等已识别补充性 EEA 国家数据保护义务的合规性评估。委员会认为,如申请人设立于 EEA 之外且受 GDPR 第3 条第2 款约束,则适用于 ToE 的 EEA 国家数据保护义务,应根据申请人向其提供商品或服务,或其行为受监测之数据主体所在地来确定。
4 结论 / 建议
综上,EDPB 认为,Europrivacy 认证标准与 GDPR 保持一致,并依据 GDPR 第70 条第1 款第(o)项所界定的委员会任务,对其予以批准,从而形成一项共同认证(欧洲数据保护印章)。
EDPB 认为,认证标准构成认证方案不可分割的一部分,并将依据 GDPR 第42 条第8 款,在认证机制和数据保护印章与标志公共登记册中登记 Europrivacy 认证方案,并公开相关标准。
5 结语
本意见发给 LU SA,并将依据 GDPR 第64 条第5 款第(b)项予以公开。
欧洲数据保护委员会
主席
Anu Talus
脚注
[^1]: 本文件全文中对“成员国”的提述,应理解为对“EEA 成员国”的提述。 [^2]: EDPB 并未在其前次意见中批准“补充性情境检查和控制”。 [^3]: 前次 EDPB 意见,第7 段和第8 段。 [^4]: Europrivacy 标准对“有管辖权的 SA”的定义如下:“‘有管辖权的数据保护机构’系指 EEA 内的数据保护机构。总体而言,其系指对评估目标中所处理个人数据的合规性具有执法权限的国家数据保护机构。在依据 GDPR 第46 条向数据进口方签发 GDPR 认证的情形下,有管辖权的数据保护机构系 EEA 内数据出口方所在地的数据保护机构;但就投诉受理而言,EEA 内任何机构均有权限。” [^5]: 前次 EDPB 意见,第6 段。 [^6]: 见 EDPB《GDPR域外适用范围指南(第3条)》2.1 版,2019 年 11 月 12 日通过,第2 节。 [^7]: 前次 EDPB 意见,第15 段。 [^8]: 前次 EDPB 意见,第19 段。 [^9]: 例如,G.3.1.1 标准“以清晰语言进行告知的义务”进一步细化了申请人向数据主体提供的数据处理信息,现要求该等信息:(i)应以书面或其他方式提供;(ii)应提供申请人官方语言版本;(iii)应提供目标数据主体所使用语言版本。 [^10]: 例如,G.3.1.3 标准“确保妥善管理和记录数据主体权利”现要求申请人建立程序或机制,不仅要向数据主体确认已收到其请求,还要记录数据主体请求本身及其接收日期。 ^11: 前次 EDPB 意见,第20 段。 [^12]: 前次 EDPB 意见,第21 段。
附全文翻译:关于Europrivacy认证标准的第15/2026号意见:就其作为依据GDPR第42条和第46条之传输工具的欧洲数据保护印章获委员会批准事宜
于 2026 年 4 月 15 日通过
欧洲数据保护委员会
欧洲数据保护委员会,
鉴于欧洲议会和欧盟理事会 2016 年 4 月 27 日第2016/679/EU 号条例第63 条、第64 条第2 款、第42 条和第46 条,该条例系关于在个人数据处理方面保护自然人以及此类数据自由流动,并废止第95/46/EC 号指令(以下简称“GDPR”);
鉴于《欧洲经济区协定》(以下简称“EEA 协定”),特别是其附件 XI 和议定书 37,并结合 EEA 联合委员会 2018 年 7 月 6 日第154/2018 号决定所作修订[^1];
鉴于其议事规则第10 条和第22 条。
1 成员国、监督机构、欧洲数据保护委员会(以下简称“EDPB”或“委员会”)以及欧盟委员会,应尤其在欧盟层面鼓励建立数据保护认证机制(以下简称“认证机制”)以及数据保护印章和标志,以证明控制者和处理者的处理活动符合 GDPR,同时考虑微型、小型和中型企业的特定需求[^2]。此外,建立认证机制还可以提高透明度,并使数据主体能够评估相关产品和服务的数据保护水平[^3]。
2 除适用于受 GDPR 约束的控制者或处理者之外,根据 GDPR 第42 条第5 款获批准的数据保护认证机制、印章或标志,还可用于证明在向第三国或国际组织传输个人数据的框架内,不受 GDPR 第3 条约束的控制者或处理者(以下简称“数据进口方”)所提供的适当保障措施存在,具体依据为 GDPR 第46 条第2 款第(f)项所述条件[^4]。
3 用作传输工具的认证,是 GDPR 第46 条引入的一种新的传输机制,旨在确保:在不存在依据 GDPR 第45 条第3 款作出的决定时,受 GDPR 约束的控制者或处理者(以下简称“EEA 数据出口方”)仅在已提供适当保障措施,且数据主体享有可执行的权利和有效法律救济的条件下,方可向第三国或国际组织传输个人数据。特别是,根据 GDPR 第46 条第2 款第(f)项,如依据 GDPR 第42 条获批准的认证机制附有数据进口方作出的具有约束力且可执行的承诺,以适用适当保障措施,包括关于数据主体权利的保障,则该认证机制可提供此类适当保障。认证标准构成认证机制不可分割的一部分。因此,GDPR 要求由有管辖权的监督机构批准国家认证机制的标准(GDPR 第42 条第5 款和第43 条第2 款第(b)项);如属欧洲数据保护印章,则由 EDPB 批准(GDPR 第42 条第5 款和第70 条第1 款第(o)项)。
4 当某监督机构(以下简称“SA”)拟根据 GDPR 第42 条第5 款提请 EDPB 批准某一欧洲数据保护印章时,该监督机构应说明机制所有者拟在所有成员国提供该认证机制的意图。在此情形下,EDPB 的主要作用是确保 GDPR 的一致适用,即通过 GDPR 第63 条、第64 条和第65 条所述的一致性机制实现。在这一框架下,根据 GDPR 第64 条第2 款,EDPB 负责批准认证标准。
5 根据 GDPR 第42 条第5 款获批准、旨在证明数据进口方已提供适当保障措施并附有具有约束力且可执行承诺的欧洲数据保护印章,可作为覆盖从所有 EEA 成员国向第三国或国际组织进行数据传输的工具[^5]。
6 在评估拟作为传输工具使用的认证机制时,EDPB 依据《2018/1号指南:根据条例第42条和第43条进行认证及识别认证标准》(以下简称“《指南》”)及其关于“认证标准评估指引”的增补文件(以下简称“《增补文件》”),以及《2022/07号指南:作为传输工具的认证》(以下简称“《作为传输工具的认证指南》”)进行评估。
7 EDPB 承认,每一项认证机制均应个别审查,本意见不影响对任何其他认证机制的评估。
8 拟作为传输工具使用的认证机制,应使数据进口方能够证明适当保障措施的存在,从而确保自然人依据 GDPR 享有的保护水平,在个人数据被传输至EEA 之外处理时不会被削弱[^6]。因此,其标准应恰当反映 GDPR 所规定的个人数据保护要求和原则,以确保 GDPR 提供的保护能够随个人数据一并“出境”[^7]。
9 同时,机制所有者应确保该认证机制与所纳入或援引的任何 ISO 标准及认证实践保持一致并相互符合。
10 因此,认证还应通过帮助数据进口方实施标准化、具体化的组织和技术措施,证明在处理从 EEA 数据出口方接收的个人数据时已具备适当保障,从而为数据进口方增加价值。就此而言,EDPB 提醒,认证对象在认证过程中与评估目标(Target of Evaluation,ToE)相一致,原则上应当是位于第三国的数据进口方对所传输数据的处理,以及如该运输环节由同一进口方控制时的传输过程本身[^8]。
11 对数据出口方而言,认证同样具有附加价值。数据出口方可以决定依赖数据进口方所取得的认证,将其作为依据 GDPR 第46 条第2 款第(f)项传输个人数据的工具,并将其作为证明履行相关义务的一个要素,例如 GDPR 第24 条第3 款或第28 条第5 款项下的义务[^9]。
12 就此,EDPB 提醒,拟将认证作为 GDPR 第46 条第2 款第(f)项下适当保障措施使用的数据出口方,有义务核实其拟依赖的认证,是否结合预期处理活动的具体特征而具有实际效力。为此,数据出口方必须查验已签发的认证,以核实证书是否有效且未过期,是否覆盖拟进行的具体传输,以及个人数据传输过程是否属于认证范围之内,是否涉及后续转传,以及是否就此提供了充分文件[^10]。
13 此外,数据出口方还必须核实签发该认证的认证机构是否已获得国家认可机构或有管辖权监督机构的认可。并且,在控制者向处理者传输的情形下,数据出口方应在依据 GDPR 第28 条订立的数据处理合同中写明使用认证作为传输工具;在控制者向控制者传输的情形下,则应在与数据进口方订立的数据共享合同中写明。数据出口方还必须遵守 GDPR 第13 条第1 款第(f)项规定的特定义务,特别是应告知数据主体所使用的适当保障措施;即在依据 GDPR 第46 条第2 款第(f)项使用认证的情形下,应告知数据主体进口方依据特定认证机制取得的证书,以及获取该证书副本和认证标准中所载保障措施副本的方式,或告知其已公开提供之处。
14 EDPB 欢迎机制所有者为制定认证机制所作出的努力。此类机制是具有实践性且可能较具成本效益的工具,有助于提升与 GDPR 的一致性,并通过提高透明度促进数据主体的隐私权和个人数据保护权。
15 EDPB 提醒,认证属于自愿性的问责工具,加入某一认证机制并不妨碍监督机构依据 GDPR 及相关国家法律行使其任务和权力。在将认证作为传输工具的背景下,这一点同样适用于数据进口方向数据出口方作出的、关于适用认证机制所规定适当保障措施(包括与数据主体权利有关保障)的具有约束力且可执行承诺,无论该等承诺系通过合同还是其他具有法律约束力的文书作出。
16 本意见旨在确保 GDPR 的一致适用,包括监督机构、控制者和处理者在认证机制必须建立的核心要素方面的一致适用。尤其是,本意见旨在评估拟由数据进口方作为传输工具使用的认证标准。因此,EDPB 在本意见中讨论了诸如标准的范围、适用性及相关性等问题,特别是在传输可能来自所有 EEA 成员国和/或来自任何属于 GDPR 适用范围的数据出口方的情况下。
17 EDPB 的意见仅聚焦于认证标准本身。为了能够在其意见背景下充分评估该等标准的可审计性,EDPB 可能要求提供关于评估方法的高层次信息。然而,这并不构成对该等评估方法的任何形式批准。
18 根据 GDPR 第64 条第2 款并结合 EDPB 议事规则第10 条第2 款,EDPB 的本项意见应自主席与有管辖权监督机构决定案卷完整后的第一个工作日起八周内通过。
经主席决定,考虑到事项的复杂性,该期限可再延长六周。若 EDPB 的意见认为有关标准仍不能获得批准,则监督机构可在解决 EDPB 初始意见所指出的问题后,重新提交标准供批准。
EDPB 通过如下意见:
1 事实摘要
19 根据 GDPR 第42 条第2 款和第46 条第2 款第(f)项、《2018/1号指南》以及《2022/7号指南:作为传输工具的认证》,Europrivacy 第82 版(以下简称“认证标准”)由欧洲认证与隐私中心(European Center for Certification and Privacy,以下简称“机制所有者”)起草。
20 EDPB 回顾,其早在 2022 年 10 月 10 日即已通过发布 EDPB 第28/2022 号意见,批准 Europrivacy 认证标准(第60 版)作为依据 GDPR 第42 条第5 款的欧洲数据保护印章,用于根据 GDPR 第42 条第1 款证明符合 GDPR。该机制当时并非依据 GDPR 第46 条第2 款第(f)项、用于数据传输的认证。
21 2026 年 1 月 29 日,卢森堡监督机构(以下简称“LU SA”)向 EDPB 提交了已获批准的 Europrivacy 欧盟数据保护印章认证标准的更新版本,扩大了适用范围,尤其纳入了受 GDPR 第3 条第2 款约束的申请人,并对核心认证标准作出其他修改(第82 版)。EDPB 已就该更新版本(第82 版)通过第14/2026 号意见,确认其作为依据 GDPR 第42 条第5 款、旨在证明符合 GDPR 的 Europrivacy 认证标准。
22 同日,LU SA 还向 EDPB 提交了另一组认证标准,即《依据第46条对数据进口方进行认证的Europrivacy认证方案扩展》,拟依据 GDPR 第46 条第2 款第(f)项作为传输工具使用,并依据 GDPR 第64 条第2 款申请批准。
23 关于该案卷完整性的决定于 2026 年 3 月 31 日作出。
2 评估
24 EDPB 已依据《2018/1号指南》附件 2(以下简称“附件”)、其《增补文件》以及《作为传输工具的认证指南》[^12]所规定的结构,对拟由数据进口方作为传输工具使用、并依据 GDPR 第42 条第5 款结合第46 条第2 款第(f)项申请批准的认证标准进行了评估。
25 委员会强调,根据 GDPR 第42 条第2 款和第46 条第2 款第(f)项规定的条件,当前方案拟作为传输工具使用,因此依据该方案签发的认证,可由 GDPR 第五章意义上的数据出口方依赖,即由受 GDPR 约束、就相关处理活动承担责任的控制者或处理者[^13],向不受 GDPR 第3 条约束、但已获认证的数据进口方传输个人数据[^14]。这意味着,只有在该数据进口方已获得认证,并已向 EEA 数据出口方签署具有约束力且可执行的承诺,保证在 ToE 范围内处理所传输个人数据时适用认证标准所规定的适当保障措施(包括涉及数据主体权利的保障)后,方可向该第三国中的数据进口方传输个人数据。
26 在本意见框架内,为批准拟作为传输工具使用的 Europrivacy 认证标准,EDPB 已评估以下内容:针对数据进口方的申请与评估目标之初步检查和控制(Application and Target of Evaluation - Preliminary Checks and Controls for Data Importers,ADI);Europrivacy 针对数据进口方的 GDPR 核心标准(GI);以及技术与组织措施检查和控制(T)。
27 关于认证程序,鉴于将认证用作传输工具的特殊性,EDPB 强调有必要实现高度透明,并欢迎 Europrivacy 认证方案在此方面作出的澄清,即“在认证交付之前,不得开始传输”。对此,EDPB 注意到,在个人数据传输实际发生之前,“评估可以使用不受 GDPR 约束的个人数据或非个人数据进行;如有需要,也可以使用虚拟数据来评估特定标准”;并且,一旦数据传输已经开始,“审计员应在下一次监督审计时重新评估这些标准”[^15]。
28 EDPB 回顾,根据《作为传输工具的认证指南》,认证机构的认可在涉及将认证作为传输工具时,可能需要作出若干调整[^16]。然而,本意见不涉及该问题,因为该问题不属于 EDPB 的权限范围。
29 EDPB 还提醒,应按照 GDPR 第42 条第8 款公开认证标准;特别是在将认证作为传输工具使用时,还应依据 GDPR 第13 条第1 款第(f)项,向其个人数据将基于该数据进口方所持认证而被传输的数据主体提供该等标准。
30 委员会注意到,正如该方案的定义所澄清的,方案全文中对“有管辖权的数据保护机构”的提述,应理解为 EEA 内的数据保护机构[^17]。
31 同样,委员会注意到,对“适用法律”和“第三国法律”的提述,“系指适用于申请人和/或评估目标中所处理个人数据的法律,前提是该等法律对数据保护权利施加的限制,不超过民主社会中为保障 GDPR 第23 条第1 款所列目标之一所必需且合比例的范围,并且该等法律尊重数据保护权的本质,并规定了保障数据主体基本权利和利益的具体措施”。
2.1 认证机制的范围与评估目标(ToE)
32 《依据第46条对数据进口方进行认证的Europrivacy认证方案扩展》拟由位于 EEA 之外、且根据 GDPR 第3 条不受 GDPR 约束的数据进口方,依据 GDPR 第42 条第2 款和第46 条第2 款第(f)项使用,以证明在向第三国或国际组织传输个人数据的框架内存在适当保障措施。因此,其适用范围不同于本意见第3 段所述、依据 GDPR 第42 条第1 款的 Europrivacy 认证,因为它针对位于 EEA 之外、拟作为数据进口方的申请人(控制者或处理者)获得 Europrivacy 认证时,规定了应适用并应遵守的特定标准。
33 Europrivacy 作为传输工具的认证方案,既适用于单一传输,也适用于彼此密切相关的一组传输。
该认证方案包含的认证标准,适用于 ToE 范围内由数据进口方对所传输个人数据进行的处理活动,包括在该传输过程受同一进口方控制时的运输环节[^18]。
34 EDPB 注意到,该认证方案的范围不涵盖共同控制者,并且如果“共同控制关系被纳入 ToE,则认证机构应拒绝颁发认证”[^19]。
2.2 处理活动
35 认证标准涵盖了 ToE 范围内所传输个人数据处理活动的相关组成部分。特别是,认证标准针对特殊类别个人数据的处理设置了保障措施(标准中关于“特殊数据处理”的 GI.2 节)。对此,委员会欢迎认证标准(GI.2.1.3 标准“处理特殊类别个人数据的附加保障措施”)进一步要求,当处理活动涉及特殊类别个人数据时,申请人应根据该等数据的具体性质及相应风险,实施额外限制和保障措施。
2.3 数据处理原则
36 在 GI.1 节中,认证标准以与 GDPR 第5 条所规定原则一致的方式,充分涵盖了数据保护原则,目的是确保 ToE 范围内的数据处理合法且合比例。
37 特别是,在 GI.1.1.2 标准下,目的限制原则及申请人为遵守该原则所承担的相关义务已被充分展开。EDPB 指出,所传输的个人数据只能为其被传输之目的而处理。GI.1.1.3 标准与欧盟委员会现行通过的标准合同条款[^20]保持一致,明确了仅有的几种例外情形,在这些情形下,数据可为最初收集目的之外的其他目的进一步处理,即:事先知情同意、法定义务、数据主体的重大利益以及法律请求。
38 EDPB 还注意到,申请人被要求提供书面评估,以确保第三国的法律和实践不会阻止申请人遵守 Europrivacy 标准,尊重数据主体基本权利与自由的实质,并且不会超出民主社会中为保障 GDPR 第23 条第1 款所列目标之一所必需且合比例的范围。获认证实体还必须在监管或组织发生变化、可能妨碍其遵守标准或影响 ToE 或数据主体权利时,重新审查该项评估,并应通知认证机构(GI 1.1.1 标准)。
其中还明确指出:“对于依据第46 条申请的申请人,共同控制不属于该方案的范围。”
2.4 控制者和处理者的一般义务
39 认证标准反映了控制者依据 GDPR 第24 条承担的义务(标准 GI.4 节),并要求依据 GDPR 第28 条评估处理者与控制者之间的合同安排(认证标准中“数据处理者或次级处理者”GI.5 节),其目的在于确保参与 ToE 数据处理的数据处理者,能够提供与 Europrivacy 标准要求相同水平的数据保护。对此,EDPB 欢迎认证标准根据申请人作为控制者或处理者的不同身份,分别规定关于聘用次级处理者的不同标准,因为这种区分更好地反映了处理链中各方角色与责任的分离(GI.5.1 节)。
40 认证标准要求所有申请人均任命数据保护官(DPO),即使申请人根据 GDPR 第37 条本无义务指定 DPO。认证标准还检查 DPO 是否满足 GDPR 第37 条至第39 条所设想的相同要求(认证标准中关于“指定数据保护官”的 GI.9 节),以确保负责监督 ToE 范围内数据处理合规性的 DPO,其角色、职能和资格符合“必要要求”。在这一点上,委员会指出,除非满足 GDPR 第37 条第1 款所规定的条件,否则任命 DPO 并非 GDPR 对控制者和处理者设定的强制义务。
41 认证标准要求核查处理活动记录的内容是否符合 GDPR 第30 条(标准中关于“处理活动记录”的 GI.5.3 节)。对此,委员会欢迎认证标准明确要求申请人应配合 EEA 内对相关出口方具有管辖权的数据保护机构提出的请求,并在其要求下向其提供处理活动记录(GI.5.3.5 标准)。
2.5 数据主体的权利
42 认证标准以与 GDPR 第三章一致的方式处理数据主体权利,并要求采取相应措施,以确保 ToE 范围内的处理尊重并能够实现数据主体权利的有效行使。
认证标准中关于“向数据主体提供透明信息、沟通以及行使权利方式”的 GI.3 节规定,在其他保障措施之外,数据主体有权获知相关数据处理以及其如何行使自身权利。EDPB 尤其欢迎认证标准要求申请人建立程序或机制处理数据主体请求;并且,在未对数据主体请求采取行动时,应告知其不采取行动的原因、向 EEA 数据保护机构提出投诉的权利以及寻求司法救济的权利。
2.6 技术和组织措施以及对数据主体权利与自由风险的评估
43 认证标准要求采取技术和组织措施,以证明处理活动所对应的安全水平与风险相适应,并按照 GDPR 第25 条和第32 条实施“默认和设计中的数据保护”(认证标准中关于“设计和默认数据保护及处理安全”的 GI.6 节),其目的在于确保 ToE 范围内所处理的数据获得充分安全保障以及设计和默认中的数据保护。此外,认证标准还包含一节专门内容(即技术和组织措施、检查与控制的 T 标准),对技术和组织措施作了详尽规定。
44 认证标准要求采取措施,确保个人数据泄露通知义务以与 GDPR 第33 条和第34 条一致的时间和范围得到履行(认证标准中关于“数据泄露管理”的 GI.7 节)。
45 在此方面,委员会注意到,认证标准包含一份详细清单(GI.7.1.1 标准“记录数据泄露的义务”),列明在发生数据泄露时申请人必须记录的信息,例如:已经或可能受影响的个人数据类别、已经或可能受影响的数据主体的大致人数、所涉及或可能涉及的个人数据记录类别及大致数量,以及个人数据泄露的可能后果。此外,EDPB 欢迎认证标准明确规定:当个人数据泄露可能对自然人的权利和自由造成风险时,申请人应建立规则、程序或机制,以按照 GDPR 第33 条和第34 条要求,通知对出口方具有管辖权的 EEA 数据保护机构以及数据主体(GI.7.1.2 标准“控制者通知和传达数据泄露的义务”及 GI 7.2 “向数据主体传达个人数据泄露”)。
46 EDPB 还欢迎认证标准要求,对 ToE 所涵盖的数据处理对自然人权利与自由所带来的风险进行评估,并依照 GDPR 第35 条设想 EEA 内对出口方有管辖权的数据保护机构参与其中(认证标准中关于“是否需要开展数据保护影响评估(DPIA)的义务”的 GI.8 节)。
2.7 为证明个人数据传输存在适当保障措施之目的所设标准
47 认证标准要求识别 ToE 中涉及的所有向第三国和国际组织进行的个人数据传输,并就所选择的数据传输机制作出说明,以证明其提供了与 GDPR 第五章所设想保障一致的适当保障措施(标准中关于“向第三国或国际组织传输个人数据”的 GI.10 节)。EDPB 认可,这些认证标准亦适用于 ToE 涉及的个人数据“后续转传”,无论其是转传至申请人所在的同一第三国,还是另一第三国。
委员会欢迎认证标准特别要求,申请人应就 ToE 范围内的所有个人数据流、向第三国和国际组织的已识别传输建立清晰映射或记录,并根据 GDPR 第五章所设想的依据,采用适当的个人数据传输法律基础,同时考虑不得削弱 EEA 内个人数据所享保护水平这一义务。
48 EDPB 还注意到,认证标准要求申请人开展传输影响评估(Transfer Impact Assessment),并在必要时采取补充措施,以确保所传输数据的保护水平不被削弱(GI.10.1.5 标准)。
3 作为传输工具使用的欧洲数据保护印章之附加标准
49 根据《作为传输工具的认证指南》,认证方案应确保数据进口方“已经评估其经营所在地第三国的规则和实践,或这些规则和实践是否妨碍数据进口方履行其在认证项下的承诺”。在这方面,委员会注意到,ADI.2.1.5 标准规定了申请人在定义 ToE 并接受认证申请审查时必须满足的条件。特别是,在进入认证审计之前,该标准要求认证机构核查申请人是否能够证明“第三国的法律和实践不会妨碍其遵守认证要求”。若无法证明,则认证程序应在申请阶段停止。
50 委员会还注意到,根据 GI.11.1.3 标准,申请人应分析第三国的法律和实践,识别其可能对数据主体权利和自由造成的影响,并应具备“规则、程序或政策,以便在要求时向认证机构和有管辖权的数据保护机构提供其关于当地法律和实践的书面分析”。
51 此外,按照《作为传输工具的认证指南》,认证标准规定,在必要时,申请人应采取补充措施,以确保所传输个人数据的保护水平不被削弱;如果无法做到这一点,数据进口方必须通知数据出口方,并应暂停或停止个人数据传输(GI 11.1.3 标准)。
52 此外,委员会注意到,Europrivacy 方案与 GDPR 第42 条第2 款一致,要求数据进口方与数据出口方之间在任何传输发生之前签署一份包含相关具有约束力且可执行承诺的合同,并提供了该类合同模板。在这方面,EDPB 注意到,与《作为传输工具的认证指南》一致,认证标准列出了申请人应向 EEA 内每一位出口方作出的具有约束力和可执行承诺的详细内容,其中包括:承认数据主体作为第三方受益人,有权针对持有认证的数据进口方执行认证项下规则;与 EEA 内对数据出口方具有管辖权的数据保护机构合作(包括接受其审计和检查、考虑其意见并遵守其决定);遵守 EEA 成员国司法辖区和法院就该认证作出的任何具有约束力的决定;仅在证书有效期间处理所接收的数据;以及在证书被撤销时返还和/或删除所接收的数据。认证标准还规定,申请人应保证,其没有理由相信适用于 ToE 所涉处理活动的第三国法律和实践,包括任何要求披露个人数据的规定或授权公共机构获取数据的措施,会妨碍其履行其在认证项下的承诺;并且如相关立法或实践发生任何变化,应通知数据出口方(GI.11.1.1 标准“数据进口方的具有约束力且可执行的承诺”)。
4 结论 / 建议
53 综上,EDPB 认为,拟作为传输工具使用的 Europrivacy 认证标准与 GDPR 保持一致,并依据 GDPR 第70 条第1 款第(o)项所界定的委员会任务,对其予以批准,从而形成一项可作为传输工具使用的共同认证(欧洲数据保护印章)。
54 EDPB 认为,认证标准构成认证方案不可分割的一部分,并将依据 GDPR 第42 条第8 款,在认证机制和数据保护印章与标志公共登记册中登记 Europrivacy 认证方案,并公开相关标准。
5 结语
55 本意见发给 LU SA,并将依据 GDPR 第64 条第5 款第(b)项予以公开。
欧洲数据保护委员会
主席
Anu Talus
脚注
[^1]: 本意见全文中对“成员国”的提述,应理解为对“EEA 成员国”的提述。
[^2]: GDPR 第42 条第1 款。
[^3]: GDPR 序言第100 段。
[^4]: 见 GDPR 第42 条第2 款。
[^5]: EDPB《2022/07号指南:作为传输工具的认证》2.0 版,2023 年 2 月 14 日通过,第30 段。
[^6]: GDPR 第44 条。
[^7]: 见欧盟委员会向欧洲议会和理事会的通信《在全球化世界中交换和保护个人数据》,COM/2017/07 final,第4 页。
[^8]: 见 EDPB《2022/07号指南:作为传输工具的认证》2.0 版,2023 年 2 月 14 日通过,第16 段。
[^9]: 《2022/7号指南:作为传输工具的认证》,第5 段。
[^10]: 《2022/7号指南:作为传输工具的认证》,第20 段。
[^12]: 尤其见《2022/07号指南》第3 节和第4 节。
[^13]: 见 EDPB《2021/05号指南:第3条适用与GDPR第五章国际传输规定之间的相互关系》2.0 版,2023 年 2 月 14 日通过,第9 段。
[^14]: GDPR 第42 条第2 款。
[^15]: 见《依据第46条对数据进口方进行认证的Europrivacy认证方案扩展》,EP-CS.1.DI,第6.1 段。
[^16]: 《2022/07号指南》第2 节。
[^17]: Europrivacy 标准对“有管辖权的 SA”的定义如下:“‘有管辖权的数据保护机构’系指 EEA 内的数据保护机构。总体而言,其系指对评估目标中所处理个人数据的合规性具有执法权限的国家数据保护机构。在依据 GDPR 第46 条向数据进口方签发 GDPR 认证的情形下,有管辖权的数据保护机构系 EEA 内数据出口方所在地的数据保护机构;但就投诉受理而言,EEA 内任何机构均有权限。”
[^18]: 见认证标准 GI.11.1.5 和 GI.11.1.6。
[^19]: 见《依据第46条对数据进口方进行认证的Europrivacy认证方案扩展》,EP-CS.1.DI,第3.2.2 段。
[^20]: 欧盟委员会 2021 年 6 月 4 日第2021/914 号执行决定:关于依据欧洲议会和理事会第2016/679 号条例向第三国传输个人数据的标准合同条款。
技术驱动法律,专业成就未来