欧盟GDPR（又称《通用数据保护条例》）自施行以来，被称为史上最严数据保护条例，引起各方重视。作为个人数据处理的参与者，公司往往扮演着数据控制者或者处理者的角色，其对欧盟GDPR的遵守同样至关重要。基于欧盟GDPR对数据处理者及控制者的严格要求，公司内部也相应地制定了一系列规则，用以规范公司内部在个人数据处理问题上的相关行为。

欧盟GDPR在其中也对有约束力的公司规则进行了明晰表述。

根据欧盟GDPR的规定，有约束力的公司规则应当经过有监管权的机关批准。而该机关对规则进行批准的首要前提即为，该有约束力的公司规则必须满足欧盟 GDPR第63条所规定的“一致性机制”的要求。细化来讲，该有约束力的公司规则必须具有约束力，适用于一系列进行联合经济活动的企业集团或者其他经济实体的所有相关成员，也包括雇员在内，且这些主体均执行该有约束力的公司规则。其次，该有约束力的公司规则应当明确赋予数据主体可以执行的权利。

当然，仅满足上述两点并不能构成有约束力的公司规则的全部内容，欧盟GDPR同时进一步细化了该规则必须包含的内容。由于该具有约束力的公司规则其主要目的在于对公司及其一切相关成员的个人数据处理行为进行强有力的约束，因此必须能够准确定位到每一个主体，同时明晰主体行为的合理与否。同时，欧盟GDPR还特别强调了，有约束力的公司规则其法律约束力，应当既包括内部的约束力，也包括外部的约束力。

根据欧盟GDPR规定，有约束力的公司规则需要至少包含以下内容：

第一，无论是何者，只要属于进行联合经济活动的范畴，其必须将企业集团以及一切经济主体，包括其所有成员在内的联系方式予以明示，同时明确该经济实体内部的整体框架，以更好地明晰各个主体的分工及定位。

第二，在涉及到数据转移的问题时，有约束力的公司规则应当对数据转移的类型、处理类型及目的、受到影响的数据主体的类型，以及涉及到对第三国乃至更多国家的确定时，都应当在规则中予以明晰。

第三，对一般数据保护原则的适用也应当在有约束力的公司规则中予以明示。其中特别是将个人数据转移到不受有约束力的公司规则约束的第三方时，如何对该第三方是否合规进行考察，对该个人数据的处理以及保护应当如何进行，都应当在有约束力的公司规则中进行规定。

第四，对于公司内部为了落实有约束力的公司规则所进行的一系列内部细化规章的制定，以及申诉程序，同时需要对公司内部负责申诉处理的人员进行相应的培训，达到在有权监管机构的要求下能够提供响应核查标准及报告的要求。最后，欧盟GDPR还明确要求，对于公司内部经常访问个人数据的员工，在有约束力的公司规则中必须明确对其的培训制度，避免因员工的不当操作导致对个人数据造成不可逆转的损害。

欧盟GDPR中对有约束力的公司规则的明晰，实质上构成了针对特定主体制定的对欧盟GDPR的进一步细化，更有针对性地规范个人数据处理活动的各个程序。因此，对于有约束力的公司规则，各个经济实体以及内部一切成员应当谨慎遵守，满足各项要求，以期更好地在数据处理过程中完成对个人数据的切实保护，推动欧盟GDPR更好地落实。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。