欧洲数据保护委员会发布《关于GDPR第48条的指南》

当地时间6月5日，欧洲数据保护委员会（EDPB）在公众咨询程序后，通过了《关于GDPR第48条的指南》（以下简称“指南”）最终版本。

数字化时代，数据成为重要的资产和交流媒介，其跨境流动愈发频繁。然而，数据自由流动与数据保护之间的矛盾日益突出，尤其是当第三国（非欧洲国家）当局要求欧洲区域的数据控制者或处理者转移或披露个人数据时，如何确保数据主体的权益不受侵害，同时维护法律主权，是EDPB关注的重点。

EDPB聚焦GDPR第48条，明确个人数据传输至第三国的规范，阐述了在何种条件下可以合法响应来自第三国当局的个人数据传输请求的最佳评估方法，为欧洲数据控制者和处理者提供实操建议，帮助其应对跨境数据请求，确保数据传输的合规性和安全性。

一、适用范围

指南主要针对第三方国家机构与欧盟内的私人实体之间的直接合作请求，欧盟内部公共机构与第三国公共机构之间直接交换个人数据的情况，如基于相互法律协助条约的情报共享等，不属于指南的覆盖范畴。

值得注意的是，指南并未涵盖实践中可能出现的另一种情形，即第三国当局向位于其境内的实体（母公司）请求个人数据，随后母公司要求其在欧盟的子公司提供数据以回应请求。在此情形下，从欧盟子公司向第三国母公司的数据流动构成跨境传输，作为数据输出方的欧盟子公司必须遵守GDPR，确保其向第三国或国际组织传输数据时满足GDPR规定的跨境传输条件。

二、出台目的

一是维护欧洲法律主权，确保第三国当局要求数据控制者或处理者传输、披露个人数据的判决和决定，在基于适用的国际协议（如司法协助条约）时得到承认和执行，以此明确数据保护的法律主权，防止第三国法律域外适用侵害欧盟内个人数据保护，避免削弱欧盟对数据主体的保护水平。二是规范跨境数据传输秩序，在欧盟境内处理的数据若因第三国当局的直接要求而被转移或披露，需要遵循GDPR的相关规定，须基于第6条所规定的法律依据以及第五章所规定的转移理由。为涉及第三国当局数据请求的跨境传输建立清晰的规则框架，有助于平衡数据的跨境流动需求与数据保护之间的关系，保障个人隐私和数据安全。

三、适用情形

当数据控制者或处理者收到第三国法院或法庭的判决，或第三国行政当局的决定，且该判决或决定要求其转移或披露个人数据时，第48条开始适用。在此，“法院”“法庭”及“行政当局”均特指第三国的公共机构，无论其采用何种称谓，只要其具备公共权力属性且发出的决定具有强制性，即受第48条的“管辖”。此外，第48条对第三国当局请求数据的目的未设限制，无论是执法、国家安全、金融监管，还是药品、医疗器械审批等公共当局在不同情境下提出的请求，均属其适用范围。

四、响应第三国当局请求的条件

第48条作为《通用数据保护条例》第五章关于个人数据向第三国或国际组织传输的组成部分，须与第44条联合解读。第44条是本章传输一般原则的引入，规定任何正在处理或拟在传输后进行处理的个人数据，只有在遵守本条例其他规定的情况下，且控制者和处理者满足本章规定的条件时，才允许从第三国或国际组织向另一第三国或另一国际组织进一步传输。

此外，根据GDPR规定，任何传输个人数据的行为都必须严格遵守条例所设定的条件，以确保数据主体的权利得到保护。除确保遵守《通用数据保护条例》外，数据控制者或处理者可能还需遵循其他法律文书规定的额外要求，例如国家程序规则或规定与第三国当局合作的国际协议。当数据处理者为请求接收方时，须即刻通知数据控制者并按其指示行事，除非欧盟法律或成员国法律因“重大公共利益理由”禁止通知。

注：当数据控制者或处理者收到第三国当局的个人数据请求时，应根据以下流程图，决定是否可以响应请求：

（图源：智法专研）

在跨境数据传输的复杂法律环境中，GDPR第48条为数据控制者和处理者提供了明确的方向。随着数字经济的快速发展，全球数据跨境流动量在过去几年几何增长，数据保护与合规的重要性日益凸显。企业和相关机构需要密切关注法规的动态变化，持续优化自身的数据管理策略和合规体系，以适应日益严格的监管要求。

查看文件全文：https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf

文章来源｜欧洲数据保护委员会

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。