根据欧盟GDPR规定，有约束力的公司规则需要至少包含以下内容：第一，无论是何者，只要属于进行联合经济活动的范畴，其必须将企业集团以及一切经济主体，包括其所有成员在内的联系方式予以明示，同时明确该经济实体内部的整体框架，以更好地明晰各个主体的分工及定位。第二，在涉及到数据转移的问题时，有约束力的公司规则应当对数据转移的类型、处理类型及目的、受到影响的数据主体的类型，以及涉及到对第三国乃至更多国家的确定时，都应当在规则中予以明晰。第三，对一般数据保护原则的适用也应当在有约束力的公司规则中予以明示。其中特别是将个人数据转移到不受有约束力的公司规则约束的第三方时，如何对该第三方是否合规进行考察，对该个人数据的处理以及保护应当如何进行，都应当在有约束力的公司规则中进行规定。第四，对于公司内部为了落实有约束力的公司规则所进行的一系列内部细化规章的制定，以及申诉程序，同时需要对公司内部负责申诉处理的人员进行相应的培训，达到在有权监管机构的要求下能够提供响应核查标准及报告的要求。最后，欧盟GDPR还明确要求，对于公司内部经常访问个人数据的员工，在有约束力的公司规则中必须明确对其的培训制度，避免因员工的不当操作导致对个人数据造成不可逆转的损害。

      （此信息由商务部研究院国际服务贸易研究所所长李俊提供）