无论是根据GDPR还是中国法律的要求，企业都不能寄托于仅仅通过签署一纸文书就能完成数据出境合规的全部工作。除了缔约各方必须切实履行合同规定的义务之外，各方应当在缔约之前开展传输影响评估（TIA，欧盟法律要求）、个人信息保护影响评估（PPIA，中国《个保法》和《标准合同规定》要求）或者开展自评估后申报数据出境安全评估（中国《出境安全评估办法》要求）。

二、从严建立跨司法辖区数据合规管理体系

无论是在华外资企业、还是走出去或选择海外上市的中国企业，无论是关键信息基础设施运营者或处理100万人以上的企业、还是无需申报安全评估的中小企业，都不可避免的涉及到集团内部数据出境合规体系构建的问题。而随着商业模式的迭代和数据价值的重要性日渐增强，数据也不再是单纯的单向流通，而更多时候可能涉及到不同司法辖区之间的数据交互。不仅如此，随着中国数据隐私保护体系的日趋完善，许多企业既往只关注海外合规、而忽视中国向境外数据流动合规的单向管控模式不再可行。

具体到实践操作中，我们建议集团企业以总部为核心，以各司法辖区的子分公司等分支机构为依托，按照以下步骤建立集团内部数据跨境传输的合规管理体系并撰写相关政策制度：

而对于通过申报安全评估出境的企业，因为无需签署不可修改的标准合同，实践中常常有三种解决方案。

第一种，制定一版全球通用的数据处理协议，其中对于数据发送方和接收方的合同义务分别明确。而具体的合同义务，则参照前述搭建合规管理体系的思路，以所有司法辖区中“负担最重”的义务作为标准，以此约束合同双方或多方。数据处理协议中所约定的数据保护义务，必须兼顾所有数据传输交互所涉及司法辖区的数据保护合规要求。这种办法的好处是，大大节省了合同签署推进的复杂性，可以通过单一文本涵盖复杂的数据交互活动，同时也无需因不同地区而区分识别不同的合规义务，减轻了业务侧的负担。但是，这么做的问题也是很明显的：第一，当新增数据处理活动涉及了原先并未涵盖的司法辖区时，则需要对标准数据处理协议文本进行从头到尾的修改，导致修改的频率和工作量增加；第二，因为从严约定了数据保护合规义务，对于合规义务负担较轻的地区而言，推进与客户签署这样的协议会遇到较大的阻力；第三，对SCCs的大量修改，可能导致无法获得充分保护，因而被认定为无法满足GDPR的合规要求。

第二种，在上述方案的基础上，简化合同正文文本的合规和合同义务负担，而将SCCs、标准合同等约束性标准法律文件以链接的方式，埋入在正文当中，通过转致性的引用，而适用SCCs和标准合同等法律文件。例如，在简化的数据处理协议中约定：“如涉及欧盟向EEA以外、未获充分性认定的第三国传输数据的，则双方同意签署并受以下协议文本约束：https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN。”这种方案的好处也很明显，大大简化了数据处理协议的正文文本，方便了业务侧推进与接收方签署相关的数据处理协议。然而，这种方案的缺陷也与生俱来：实践中，一般认为，通过埋入链接的方式引用标准合同文本并不能满足中方监管机构对于数据传输双方进行有效制约的要求；而且，尽管实践中部分企业通过埋入链接的方式引用SCCs，但这一方法的合规性和有效性，并未得到EDPB的认可。

第三种，也是我们推荐的方案，即企业应当准备一套法律文件工具包，其中包含满足不同司法辖区要求的法律文件（见下图所示）。在企业与境外接收方或发送方签订了主商业协议或简版的数据处理协议之后，将数据传输活动涉及司法辖区相对应的工具作为主协议的附件进行签署。双方对于不同情况应该适用不同的附件，在主协议（商务协议或数据处理协议）中进行约定，例如：“如涉及欧盟向中国传输数据的，数据发送方为AAA，数据接收方为BBB，适用附件一Standard Contractual Clauses，如果附件一与本协议正文约定不一致的，以附件一为准；如涉及中国向欧盟传输数据的，数据发送方为BBB，数据接收方为AAA，适用附件二《数据传输协议》，如果附件二与本协议正文约定不一致的，以附件二为准。”

第三种方案的好处在于：第一，能够较为全面、标准的满足不同司法辖区的数据保护合规要求；第二，不会产生将数据处理协议以及相关法律文件与数据处理行为相关的商业目的分拆的情况；第三，这种方案具备其他几种方案所不具备的灵活性——当新增数据处理活动涉及司法辖区时，仅需调整工具文本库和适用的附件，大大节省了文本修订和再次向业务侧普及、教育的工作和时间成本。