欧洲数据保护委员会发布《关于GDPR第48条的指南》

　　【预警资讯】

　　2025年6月5日，欧盟数据保护委员会（EDPB）《关于向第三国当局传输数据的GDPR第48条指南》（以下简称《指南》）。《指南》聚焦GDPR第48条，明确了个人数据传输至第三国的规范，阐述在何种条件下可以合法响应来自第三国当局的个人数据传输请求的最佳评估方法，为欧洲数据控制者和处理者提供实操建议，帮助其应对跨境数据请求，确保数据传输的合规性和安全性。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：欧盟数据保护委员会）

　　【要点提示】

　　建议企业关注《指南》以下要点：一是向欧盟外第三国当局传输个人数据时，需以GDPR第48条为核心，首先核查是否存在适用的国际协议（如司法协助条约）作为法律依据。若缺乏有效协议，仅可在例外情形下逐案评估传输合法性，且需证明存在“必要安全保障措施”。二是针对母公司在第三国收到当局数据请求后转由欧洲子公司提供数据的场景，子公司需独立评估请求是否符合GDPR第48条要件，拒绝无法律依据的跨境数据提供。若接收方为数据处理器，需在合同中额外明确其仅能依指令处理数据，禁止擅自响应第三国当局请求。

[ 期号：20250601-20250615]