欧洲数据保护委员会(The European Data Protection Board ，EDPB)建议采取措施补充个人信息数据传输工具，以确保在向非欧盟“第三国”传输数据时符合欧盟标准。

今年7月，Schrems II裁决推翻了美国和欧盟之间的“隐私盾”。此后，许多控制者一直依赖标准合同条款(Standard Contractual Clauses，SCCs)，将其作为在欧盟以外传输数据的工具。

若单靠SCC保障措施尚且不够，为了保证具有等效的个人数据保护，则可采取补充措施。

EDPB于11月10日发布为数据出口商制定的“路线图”，现已定为供公众咨询的建议，以确定是否有需要采取补充措施，并确定措施是否有效（见下步骤）。指导包含用例场景的选择辅助措施和必要条件。但是最终的责任仍然在于数据出口商自己，而且这些措施可能并不总是可行的。

在同一天，EDPB还提供了“欧洲基本保障”的建议，以确定允许出于监视目的访问数据的第三国法律是否构成对隐私和个人数据保护的“合理干涉”，因此，将符合 GDPR。

自7月份做出决定以来，使用SCCs的控制者必须确定，第三国法律是否具有与欧洲经济区法律等效的个人数据保护。核查必须酌情与第三国受援国合作，在个案基础上进行。

EDPB路线图步骤：

第一步建议出口商绘制地图并了解其传输情况，并确保传输数据的目的是“足够的、相关的，并且仅限于必要的”。

第二步是验证传输所依赖的传输工具。如果预期数据目的地的充分性决策不到位，出口商必须依赖GDPR第46条所列的转移工具之一进行定期和重复的转移。

第三步是确定第三国的任何法律或做法，在具体转让的情况下，可能影响到所依赖的转让工具的适当保障措施的有效性。

如果评估显示，第三国立法影响了用于转移的第46条GDPR转移工具的有效性，那么第四步是确定并采取补充措施，使数据保护水平达到欧盟的基本等效标准。

第五步是根据GDPR第46条转移工具，采取必要的正式程序步骤，通过所选的补充措施可能需要这些步骤。

第六步是以适当的时间间隔重新评估传输数据的保护以及可能影响传输数据的任何发展。（本文出自SCA安全通信联盟，转载请注明出处。）