GDPR的立法目的是希望可以在欧盟建立一个统一的数据保护标准，从而让个人数据在各个成员国之间以合规的形式自由流动。但由于欧盟以外国家的数据保护立法程度不一，因此在将个人数据向欧盟以外国家进行转移时需要有额外的数据保护方式。

  鉴于GDPR对私隐的保护水平很高，在这方面没有同样严格的立法措施的国家将很难满足数据转移的适当要求。因此，GDPR的这一要素被视为国际贸易的严重障碍。对于一些大型跨国组织来说，这一问题意味着不管数据处理活动实际发生在哪里，在其业务中都一定要采用欧盟数据保护的标准。

  GDPR没有对数据转移的概念进行界定。然而，转移并不等同于单纯的物理过境;完成“转移”的是在第三国的数据处理过程。因此，除非在第三国对个人数据来进行了实质性的处理操作，否则在从欧洲经济区国家出发的途中，个人数据仅仅经过第三国这一事实并不会使这种转移处在GDPR的限制范围内。

  在实践中，有两种常见的情况曾引起关注，但也并非属于GDPR关于跨境数据传输的监管范围：

  1、包交换技术的技术路由，如互联网电子邮件 和网页，可能涉及在世界各地的计算机服务器之间随机传输个人数据，不构成GDPR下的向第三国转移数据。

  2、旅客个人数据的电子化接入，是指旅客在物理上短暂停留在一个没提供足够保护水平的地方，不构成GDPR下的向第三国转移数据。(例如，一个人登录设在欧盟的计算机系统，从外国机场访问数据)

  3、欧盟的个人将个人隐私信息上传到托管在该国或另一成员国的网站上，连接到互联网后以便他人访问这一些信息，并不构成向第三国转移数据。

  GDPR第45(1)条规定，当欧盟委员会认定个人数据传输的目标国家、地区或国际组织有充足的数据保护水平时，可以向这些国家、地区或国际组织传输个人数据。可见，若个人数据传输的目的地的数据保护水平被认定为足够的，那么GDPR对这种类型的数据传输并没有提出额外的要求。

  在评估一个国家、地区或国际组织的数据保护水平时，欧盟委员会一定要考虑以下因素:

  1、立法标准、人权保护水平、公共安全状态、国家安全状态、相关行业准则、以及公权力机关对个人数据的使用和保护态度

  2、该国家、地区或国际组织是否有一个独立的数据保护监督管理的机构或数据保护国际组织的下级机构来监管或确保数据合规性

  当欧盟委员会经过评估认定个人数据传输的目的地满足足够水平的数据保护条件时，将会在相关指导性白名单文件中标明这些目的地已有充足的数据保护水平。一般而言，这些国家、地区和国际组织将会每四年接受一次欧盟委员会的重新评估审核，欧盟委员会还会对这些地区的数据保护状况持续关注，并在必要时将某些地区移出的数据保护认证的白名单。目前，仅有少数国家和地区符合足够数据保护水平的标准，如安道尔，阿根廷，加拿大，法罗群岛， 根西岛，马恩岛，以色列，泽西岛，新西兰，瑞士和乌拉圭。

  考虑到欧盟和美国之间进行的大量数据传输，美国商务部和委员会最初开发了安全港机制。作为一个自我监管框架 ，该机制使得组织在跨大西洋数据传输方面满足欧盟数据保护法律的要求。2000年7月26日，委员会发布了一项决定，声明安全港隐私原则为从欧盟转移的个人数据提供了充分的保护。

  然而，自通过以来，安全港框架一直充饱受质疑。其自我认证的机制让这一规定在实施层面上变得可有可无，参与者不进行必要的年度合规检查，而且与其他国内案件相比，美国联邦贸易委员会(FTC)缺乏积极的执法。这一些因素导致一些欧盟数据保护当局在GDPR出台前一直在质疑安全港框架作为一个充分性机制的有效性。

  2013年爆出的斯诺登事件揭露了美国国家安全局对个人数据的大规模非法监控行为，这一事件让使用安全港机制规范向美国进行人数据传输的有效性产生了重大质疑。虽然考基于美欧关系的考量欧盟委员会并没有立即取消安全港机制，但欧盟委员会确实针对此事与美国当局展开了协商。同时，欧洲法院在2015年判决认定安全港机制无效。无可否认，斯诺登事件给欧美双方对个人数据方面的信任关系打上了重大的问号。

  经过欧盟委员会几年来与美国当局的协商谈判，2016年，欧盟与美国重新达成了隐私之盾数据保护机制。在这一机制下，美国在数据保护方面给予了欧盟非常大的让步，但实际上该机制仍缺少一些欧盟数据保护的关键性规则。并且虽然该规则适用于大部分商业主体，但却将部分美国银行、金融服务机构、电信提供商排除在该机制的适合使用的范围以外。由于该机制依然未能全面解决美国国家机构对个人数据的监控问题，未来隐私之盾机制的合法性可能会在个案中受到欧盟法院的质疑。

  隐私之盾机制依然是一种自我认证机制，要求符合该机制原则的公司采取以下步骤来证明他们能够实现个人数据的有效保护，这些步骤包括:

  1、进行内部合规性评估，以确定公司是不是有能力遵守与认证信息相关的原则。如果在遵守能力方面存在任何差距，公司应采用内部控制、政策和程序来实现遵守。

  2、向第三方仲裁机构注册并支付注册费用，在该公司无法完全解决其数据保护问题时由冲裁机构处理来自欧盟个人的任何数据保护投诉。

  3、采用隐私之盾通知，其中包含关于公司隐私处理的13个方面的详细细节，并在网站上发布公告。

  介于欧盟委员会认证的具有足够数据保护水平的国家和地区的数量依然非常少，数据控制人和数据处理人若需要跨境进行个人数据传输的，需要部署一种为个人数据提供适当保护的机制。GDPR通过列举几种可能适用的机制来为数据传输提供充分的保护，即:

  2、根据GDPR第47条在集团公司内部使用的有约束力的公司规则(BCR)

  3、在合同中使用由欧盟委员会制定的标准数据保障条款，或使用由监管机关制定并经欧盟委员会通过的标准数据保障条款（SCC）

  4、根据GDPR第40条批准的行为准则，以及第三国数据控制人或数据处理人应用适当保障措施的具有约束力和可执行性的承诺，包括关于数据主体权利的承诺

  5、根据GDPR第42条批准的认证机制，以及第三国数据控制人或数据处理人应用适当保障措施的具有约束力和可执行性的承诺，包括关于数据主体权利的承诺

  6、数据控制人或数据处理人与第三国或国际组织的数据控制人、数据处理者或个人数据接收者之间的合同条款，这些条款是基于公权力机关之间的行政安排，并由主管数据保护监督当局专门为此目的而批准。

  为使向被认为不能提供充分保护的国家的国际数据转移合法化，最常用的机制是所谓的标准合同条款或示范条款。2001年，欧盟委员会分别作出两项决议，认定使用标准合同条款的情况下，数据控制人向欧洲经济区外的国家的数据控制人或数据处理人转移个人数据将不被认为是违反数据保护义务。标准合同条款是一种经欧盟委员会预先批准、同时适用于数据控制人和数据处理人以确保数据保护义务实现的合同文本。

  商业主体在使用标准合同条款时，除了条款中留空要求使用人填入信息或要求使用人根据双方的数据处理角色对适用部分做出合理的选择的情况外，条款使用人是不能对条款内容作任何修改的。一般而言，使用这一些条款最好的方式是将双方主合同的数据保护部分单独拆分出来作为合同附件，并对该部分直接适用全套的数据保护标准合同条款。

  除了欧盟委员会直接批准的标准合同条款，在欧盟委员会的批准下，各成员国的监督管理的机构也能自行制作或采用一些特定条款作为标准合同条款，因此在具体适用时可以借鉴各成员国是否有更符合当前商业需求的数据保护标准合同条款可供选择。

  GDPR在跨境个人数据传输领域的一个新特点是明确增加了行为守则和认证机制作为提供充分数据保护的方式。这两种机制能否在未来长期有效运行还有待观察。

  欧洲数据保护委员会(EDPB)在这方面以《行为准则和监督机构指南》的形式发布了指南，旨在帮助明确在欧盟成员国国内和欧盟层面提交、批准和公布准则所涉及的程序和规则。同样，EDPB根据GDPR第43条发布了认证机构的认证指南。

  GDPR在跨境个人数据传输领域最重要的创新是纳入了公司约束规则，作为数据控制人和数据处理人在其公司集团内合法化此类传输的一种机制。

  对于在全世界内运作的依赖个人数据处理的组织来说，使用合同安排实现跨国数据转移合规的成本是相对来说还是比较高的。对于许多跨国公司来说，使用个人数据意味着数据需要跨越国界并在不同司法管辖区共享数据。因此，一种灵活的、量身定做的解决方案可能是唯一从成本上可行的选择，这样各个子公司之间就无须以签订无数带有标准条款的合同这种低效的方式传输个人数据。本质上，BCRs 是一套基于欧洲隐私标准的全球规则， 跨国公司自愿制定并遵循这些标准，同时各国监督管理的机构根据本国法律批准这些标准。

  根据GDPR的规定，数据监督管理的机构必须批准一组遵循所谓的一致性机制的约束规则，这些规则需要具有法律约束力并明确授予数据主体可执行的权利。一套完整有效的bcr必须具体包括以下元素:

  2、数据传输的基本情况，包括个人数据的类别、处理的类型及其目的、数据主体的类型，以及第三国或相关国家的情况

  4、一般数据保护原则的应用情况，特别是关于目的限制、数据最小化、有限存储期、数据质量、设计和默认情况下的数据保护、 数据处理的法律基础、处理特殊类别的个人数据、确保数据安全的措施 ，以及有关向不受bcr约束的机构转移数据的后续要求

  5、数据主体在处理方面的权利和行使这些权利的手段，包括不受基于自动处理的决定的权利，向主管监督管理的机构和在主管法院提出投诉的权利并获得补救，以及在适当的情况下，对违反bcr的赔偿

  6、建立在欧盟成员国领土上的数据控制人或数据处理人同意承担对任何未建立在欧盟的有关企业成员违反bcr的责任

  8、数据保护官(DPO)或任何其他负责监控bcr实施情况的个人或实体的具体职责和责任

  13、向主管监督管理的机构报告集团公司成员在第三国可能对bcr提供的保护产生重大不利影响的任何法律要求的机制

  14、向需要长期或定期使用个人数据的人员提供适当的数据保护培训的情况和计划

  这些要求在两套bcr批准标准中得到了欧洲数据保护主管部门的进一步说明(WP 256用于数据控制人bcr和WP 257用于数据处理人bcr)，这些标准(将被负责审查bcr申请的监管机构用作严格的检查清单，因此，对于任何寻求获得bcr地位的申请人来说，这些具体标准都是很有用的参考资料。

  即便数据传输的目的地是一个在缺乏足够数据保护水平的地区，并且有关数据控制人或数据处理人也没提供上述的适当保障措施的情况下，如果在GDPR所涵盖的特殊情况的范围内，仍旧能合法地进行跨境数据转移。以下是可以发生跨境数据转移的情况：

  数据跨境转移可以在数据主体明确同意的情况下合法进行。与之前介绍的同意的属性一样，同意仍然必须是具体的和令数据主体知情的。这在某种程度上预示着，由于缺乏适当的决定和适当的保障措施，必须告知相关个人这种转移的可能风险。至关重要的是，GDPR还要求这种同意必须是“明确的”，这表明需要向数据主体明示将数据转移到海外涉及到高数据保护风险。另外根据GDPR第49(3)条的规定，公权力机关不能依据数据主体的同意作出这种高风险的数据转移行为。

  GDPR允许在特定类型的合同已签署或正在考虑进行签署的情况下进行数据传输。就数据传输人与数据主体之间的合同而言，如果跨境数据转移是履行合同所必需的，或者跨境数据转移是数据控制人应数据主体要求采取的订约前措施的必要部分，则可以在没有前述数据保障措施的情况下进行数据转移。

  如果数据控制人出与数据主体以外的其他人签订合同，如果合同是依据数据主体的要求或为了他们的利益而签订的，而且跨境数据转移是履行或签订合同所必需的，则数据控制人进行跨境数据转移也是合法的。

  这一例外所涵盖的合同类型不限于供货或服务合同，并可适用于雇佣合同。然而，数据转移是否为履行合同所必需，将取决于合同提供的货物或服务的性质，而不是数据控制人经营的组织方式。换句话说，如果数据转移的唯一原因是数据控制人因业务考量自主选择了一种涉及向海外转移数据的方式来组织其业务，那么转移则是不必要的。例如，如果客户通过位于欧盟的旅行社预订国外度假酒店，旅行社必须将预订详情信息转给外国酒店，以履行与客户的合同。然而，如果纯粹是为了省钱或减少相关成本，旅行社决定将客户的数据库放在欧洲经济区以外的计算机上，就不能说将个人数据转移到位于海外的计算机对履行与客户的合同是必要的。

  如果出于重大公共利益的原因，能够直接进行跨境数据转移。最可能适用于这一例外情况，包括由于预防和侦查犯罪、国家安全和税收等原因而必须转让的情况。

  如有需要，可合法地向境外输出个人数据，以保障数据主体或其他人士的切身利益。在实践中，这一般是指涉及到生命安全问题，例如在国外重病或发生严重事故的个人的医疗记录的转移。

  跨境转移个人数据，亦可使用公开登记册内的资料，但须遵守任何有关查阅或使用登记册内资料的限制。例如，转让董事、股东或专业从业人员的公开登记册的摘录，但不允许转让完整的登记册。此外，如果负责编订登记册的团体或组织所施加的使用条件，数据接收人一定要遵守这些条件。

  最后，作为最后手段，如果跨境数据转移不是重复发生的，只涉及有限数量的数据主体，并且数据转移是数据控制人追求的合法利益目的所必需的，则可以发生跨境转移，前提是该数据控制人已经评估了有关数据转移的所有情况，并在评估的基础上提供了有关保护个人数据的适当保障措施。在这种情况下，数据控制人一定要通知监管部门和数据主体。数据也必须被告知数据控制人进行这种数据传输的充分合法理由