bcr 个人信息保护：欧盟个人信息保护体系——BCR体系

在知识和信息时代，个人信息和个人数据已经可以被视为一种新兴的财产类型。信息流可以创造财富，信息流与资金流是平等的。正是在这种背景下，世界各国逐渐重视个人信息保护，并开始了自己的个人信息保护立法里程，欧盟也不例外。

1995年10月，欧盟颁布了《个人数据保护指令》，以保护个人信息。该指令于1998年生效，要求成员国在三年内根据该指令的规定制定或修订自己的个人数据保护法。在该指令的基础上，欧盟内部实现了个人数据的自由流动，而在欧盟以外传输个人数据必须遵守该指令第25条和第26条的规定。

第25条规定，欧盟居民的个人信息只能向具有“充分保护水平”的国家和地区传输。

欧盟目前只承认12个国家和地区有“全面保护水平”，很少有国家符合第25条的要求。因此，涉及欧盟的跨境投资和贸易所需的大部分个人信息跨境流动只能用第26条解决，即如果数据主体明确同意，传输是履行合同所必需的，并且合同是为了数据主体的利益和保护重大公共利益，那么成员国可以将个人数据传输到没有“完全保护级别”的地区。该法规定，没有足够保护水平的地区应提供足够的保护，即应符合欧盟委员会提出的两个相应机制。

首先，欧盟企业向第三国出口个人数据采用标准合同条款，以确保数据接收方能够按照欧盟标准保护个人数据。

第二，有约束力的公司规则，即BCR，这是一种针对总部或子公司在欧盟的跨国企业的规则体系，以确保跨国公司的成员在个人数据处理方面符合欧盟标准，从而可以在集团内部自由传输个人数据。这条规则是欧盟专门为跨国公司制定的，避免了在集团成员之间传递个人数据时每次都要制定“标准合同条款”的麻烦。该规则体系具有严格的申请和审批程序，以及投诉和约束机制，是企业自律和法律规制相结合的规则体系。

申请加入BCR系统的跨国公司应制定适用于公司内部的全球隐私政策。该政策对内约束公司的所有员工，对外约束跨国公司的所有集团成员，包括欧盟国家的数据保护机构和法院。BCR最初只适用于数据控制器。随着云计算服务的发展，数据处理外包和存储日益成为全球商业活动中不可或缺的一部分，因此从2013年起，BCR也适用于数据处理器。

BCR运营十多年来，已有70家跨国公司加入规则体系，其中包括宝马、空中国客车、敦豪、通用电气等知名企业，并取得了显著成效。BCR是欧盟在处理个人数据向国外传输时提出的一种创新规则体系。BCR体系结合了行业自律和法律监管两大要素，解决了跨国公司成员之间频繁传输个人数据的隐私保护问题，符合跨境电子商务的特点。BCR的缺点是只适用于跨国公司，很多从事个人资料跨境传输的国际企业只能采用“标准合同条款”，所以BCR的覆盖面不够大。另外，不同跨国公司的BCR不能通用，这给跨国公司之间的业务往来带来了一些不便。

郑重声明:本文内容为友联商务咨询有限公司的原创作品，LEB享有该作品的全部版权。欢迎转发。如需以任何形式转载，请注明作品来源并注明作者签名。违者将承担相应的法律责任。特此声明。