據外媒報導，繼CJEU在7月做出具有里程碑意義的Schrems II裁決–宣告成立四年的歐盟-美國隱私盾(EU-US Privacy Shield)無效之後，歐洲數據保護監管機構於日前發布了38頁的文件–為針對那些因不確定如何合法將個人數據轉移出歐盟而陷入困境的企業提供指導f。

歐洲數據保護委員會(EDPB)的建議重點關注數據控制人員可以採取的措施以補充另一種轉移機制的使用：即所謂的標準合同條款(SCC)，以確保他們遵守了歐盟的《通用數據保護條例(GDPR)》。

跟Privacy Shield不同的是，SCC並沒有被法院駁回，但其使用仍被法律上的不確定性籠罩著。法院明確表示，只有在歐盟公民數據的安全能得到保證的情況下，SCC才能用於國際轉移。另外，它還表示，當歐盟監管機構懷疑數據流向不安全的地方時他們有責任進行干預–這意味著數據向歐盟以外轉移的選擇既減少了數量也增加了複雜性。

Facebook是一家表示正在等待EDPB指導意見的公司。該公司已經面臨著一項初步命令，即要求其停止向美國傳輸歐盟用戶的數據。該公司請求愛爾蘭法院暫緩對其數據保護監管機構的程序進行司法審查。另外，這家公司還派出了自己的遊說大腕–前英國副首相、前歐洲議會議員Nick Clegg–試圖就這一問題向歐盟立法者施壓。

最有可能的是，這家科技巨頭希望能拼湊出一個“Privacy Shield 2.0”，然後落實到位以彌補歐盟基本權利和美國監控法律之間的差距。

但歐盟委員會警告稱，這一次不會有快速的解決辦法。

對美國監視法的修改被認為是必要的–這意味著在拜登政府明年上任之前發生任何事情的可能性為零。因此，圍繞歐盟跟美國的數據轉移法律不確定性至少將延續到明年。

與此同時，歐盟與美國之間正在進行的數據轉移面臨越來越多的法律挑戰–另外，歐盟監管機構知道，他們有法律義務在數據存在風險時進行干預。

EDP​​B在一份執行摘要中警告稱：“（歐盟）法院仍允許出口商實施補充措施以填補保護中的這些空白，並將其提高到歐盟法律要求的水平。法院沒有具體說明可以採取哪些措施。不過該法院強調，出口商將需要根據具體情況確定它們的身份。這符合《GDPR》Article 5.2的問責原則，該原則要求管制員負責並能證明遵守了《GDPR》有關處理個人數據的原則。 ”

EDP​​B的建議為數據出口商制定了一系列步驟以便它們在完成一項複雜的任務時確定自己的特定轉移是否符合歐盟數據保護法。