在知识与信息时代，个人信息、个人数据已经可以被视为一种正在崛起的新型财产。信息的流动就可以创造财富，信息流大有与资金流平起平坐之势。也正是在此背景下，世界各国逐渐重视个人信息保护，纷纷开启了各自的个人信息保护立法里程，欧盟也不例外。

1995年10月，欧盟颁布了个人数据保护指令以实现个人信息保护。该指令于1998年生效，并要求成员国在3年内根据指令的规定制定或修改本国的个人数据保护法。以指令为基础，欧盟区域内实现了个人数据的自由流动，而对于个人数据向欧盟境外传输，则要符合指令中第25、26条之规定。

而目前欧盟仅认定 12 个国家和地区具有“充分保护水平，满足25条规定的国家寥寥无几，因此大部分涉及欧盟的跨国投资与贸易所需的个人信息跨境流动只能求解与26条，即如果在数据主体明确表示同意、传输为合同履行所必需、且该合同是为了数据主体的利益、为了保护重大公共利益等 6 种情况下，则成员国可以向不具备“充分保护水平”的地区传输个人数据。而该法令规定不具备充分保护水平的地区应当提供充分的保障，即要满足欧盟委员会提出的两种对应机制。

一是通过标准合同条款，供欧盟企业向第三国出口个人数据时使用，以保障数据接收方能够按照欧盟的标准保护个人数据。

二是约束性公司规则，也即我们要讲的BCR（Binding Corporate Rules），针对总部或者子公司在欧盟的跨国企业而制定的规则体系，以保障跨国公司集团成员在个人数据处理方面都达到欧盟的标准，从而可以在集团内部自由传输个人数据。该规则是欧盟为跨国公司而特设，免除了集团成员间个人数据传输时每次都要订立“标准合同条款”的麻烦。该规则体系有严格的申请和审批程序，以及投诉和约束机制，是结合了企业自制和法律规制的规则体系。

申请加入 BCR 体系的跨国公司应制定一个公司内部适用的全球隐私政策。该政策对内约束所有公司雇员，对外约束跨国公司所有集团成员，包括接受欧盟国家的数据保护当局以及法庭的约束。 BCR 最初只适用于数据控制者。随着云计算服务的发展，数据加工外包和存储越来越成为全球商务活动中不可缺少的组成部分，因此从 2013 年开始 BCR 也适用于数据加工者。

BCR 运行十多年以来，已经先后有 70 家跨国公司加入了该规则体系，其中包括宝马、空中客车、DHL、通用电气等著名企业，取得了较为显著的成果。 BCR 是欧盟在处理个人数据向境外传输问题时提出的一个具有创新性的规则体系。BCR 体系融合了行业自律与法律规制两种要素，解决了跨国公司集团成员之间频繁传输个人数据的隐私保护问题，顺应了跨境电子商务的特点。 BCR 的缺点是仅适用于跨国公司，很多从事个人数据跨境传输业务的国际性企业只能采用“标准合同条款”，因此 BCR 的覆盖面不够大。另外，不同跨国公司的 BCR 之间不能通用，给跨国公司之间的业务往来造成了一定的不便。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称：LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。