欧盟GDPR（又称《通用数据保护条例》）对个人数据的保护涉及到个人数据处理过程中的各个方面。因此，个人数据转移作为数据处理的重要环节之一，也在欧盟GDPR中得到了明确的规定。除常规情形下将个人数据转移至第三国或者其他国际组织的情形外，欧盟GDPR还对个人数据转移的例外情形作出了明确。这在欧盟GDPR中又被称为特殊情形下的克减。

根据欧盟GDPR的规定，在安全措施缺乏的情形下，特定条件下仍可进行个人数据的转移。

在欧盟GDPR的规定中，只有满足充分的安全措施规定，个人数据才能依照相关程序被转移至第三国或者其他国际组织。但在缺乏安全措施的情形下，欧盟GDPR同样规定了允许个人数据转移的例外情况。

首先，若该个人数据的数据主体已经被明确告知此次数据转移不存在充分的安全保障措施，预期的数据转移风险也已经明晰，但其仍同意进行此次数据转移的，欧盟GDPR将同意此次个人数据转移的进行。个人数据与数据主体的合法权益息息相关，欧盟GDPR在缺乏安全保障措施的前提下对数据转移行为进行限制，其目的也旨在保障数据主体的各项权利不受侵犯。若数据主体已经对各项问题予以明晰，不存在误解的可能性，但仍对此次数据转移行为表示同意，则可视为数据主体已经决定自担风险，故出于尊重数据主体个人意愿的考虑，欧盟GDPR将不再阻止此类个人数据转移行为。

其次，若该缺乏安全保障措施的转移行为对于履行数据主体与数据控制者在数据处理行为开始之前签订的合同是必须的，或者该行为对于履行数据主体在签订合同前所提出的要求是必须的，则该数据转移即使存在安全保障措施的缺乏也仍被允许。当然，若该转移行为的约定虽然不是基于数据主体与数据控制者之间的合同约定，但却是在数据主体与其他自然人或者法人签订的合同中，满足数据主体自身合法权益的需要，则该数据转移行为基于对数据主体权利的保护，仍应当进行。同时，若该数据主体出于身体或者其他原因，无法对该次数据转移行为进行表态，而此次数据转移对于保护数据主体或者其他自然人的关键利益又是必要的，那么数据转移行为在欧盟GDPR中被视为合法，应当进行。

再次，若该数据处理行为虽然缺乏安全保障措施，也并非基于数据主体的自主决定或者维护数据主体自身合法权益的需要，但该次数据转移行为对于维护社会公共利益，或者进行法律性主张是必要的，则出于维护公共利益或者法律程序能够顺利进行的需要，仍应当对此次数据转移予以支持。

最后，根据欧盟GDPR的规定，若此次数据转移行为是根据登记而进行的，则数据转移被视为合法。登记在这里是指，欧盟法律或者欧盟成员国的法律，为了向一般公众或者个人提供咨询，且具有正当利益的情形。但由于在此情况下，数据主体完全丧失了对其个人数据是否进行转移的决定权，欧盟GDPR也再次对此种情形下的数据转移作出了要求。在登记的情形下，必须满足欧盟法或者欧盟成员国法律对咨询的必要条件时，此次缺乏安全保障措施的个人数据的转移才可被视为是具有正当性的，方可进行，也只有在此种情形下，个案中的转移才能存在例外情形。

综上，欧盟GDPR中规定的个人数据转移的例外情形，其主要基于尊重数据主体的个人意愿或者维护数据主体的合法权利进行，除非有足够的必要性，否则在缺乏安全保障措施下的数据转移不得进行。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。