12月13日,欧盟委员会启动了“欧盟-美国数据隐私框架充分性决定”(Adequacy decision for the EU-US Data Privacy Framework)的进程,并发布充分性决定草案。该框架将促进跨大西洋数据的安全流动,并试图解决欧盟法院在2020年7月Schrems II裁决中提出的担忧。
该决定草案反映了欧盟委员会对美国法律框架的评估,其结论认为,美国采取了与欧盟类似的保障措施,为欧盟公民提供了与欧盟法律规定相当的保护水平,确保了对从欧盟转移到美国公司的个人数据的充分保护。
关键要素
未来,美国公司将能够通过承诺遵守一套详细的隐私义务,来加入欧盟-美国数据隐私框架。
例如,要求在收集个人资料的目的不再需要时删除个人资料,以及在与第三方分享个人资料时确保持续的保护。如果在违反该框架的情况下处理欧盟公民的个人数据,这些公民将获得多种补救途径。
此外,美国法律框架对美国公共当局访问数据(尤其是出于刑事执法和国家安全目的)的行为规定了限制和保障措施,解决了欧盟法院在Schrems II判决中提出的问题:
-
美国情报机构对欧盟数据的访问将仅限于保护国家安全所必需和相称的范围;
-
欧盟公民个人将有可能就美国情报机构收集和使用他们数据的行为,寻求独立和公正的补救机制,包括向新成立的数据保护审查法院寻求救济。欧盟法院将独立调查,并在确有必要时采取有约束力的补救措施解决欧盟公民的投诉。
欧盟公司也将能够依靠这些保护措施进行跨大西洋数据传输,在使用其他传输机制(例如标准合同条款和具有约束力的公司规则)时也是如此。
主要内容
充分性决定草案主要围绕“欧盟-美国数据隐私框架”、“美国公共当局访问和使用从欧盟传输的个人数据”两大部分展开。
首先,“欧盟-美国数据隐私框架”部分介绍了个人数据及认证机构的界定,原则,行政、监督和执法以及补救措施4个章节。其中欧盟-美国数据隐私框架的原则包括:
-
目的限制与选择
-
特殊类别个人数据的处理
-
数据准确性、最小化和安全性
-
透明度
-
个人权利
-
对数据流动的限制
-
问责制
其次,“美国公共当局访问和使用从欧盟传输的个人数据”部分,对美国公共当局出于刑事执法和国家安全目的个人数据访问与使用提出规范,尤其侧重于构建对欧盟个人数据的保障体系,设置了一系列监督和补救措施。
下一步行动
充分性决定草案目前将进入通过程序。作为第一步,决定草案已提交欧盟数据保护委员会(EDPB)征求意见。之后,委员会将寻求由欧盟成员国代表组成的组织批准。此外,欧盟议会有权对充分性决定进行审查。一旦此程序完成,欧盟委员会就可以着手通过最终的充分性决定。
欧盟-美国数据隐私框架的运作将受到定期审查,由欧盟委员会、欧盟数据保护各机构和美国主管当局共同进行。第一次审查将在充分性决定生效后一年内进行,以验证美国法律框架的所有相关要素是否已充分实施并在实践中有效运作。
背景
GDPR第45条第3款赋予欧盟委员会权力,通过实施法案,确保对个人数据的“充分性保护”——即对个人数据的保护水平本质上与欧盟内部水平相当。该充分性决定的效果是个人数据可以从欧盟自由流动到第三国,而没有进一步的障碍。
在欧盟法院宣布先前关于欧盟-美国隐私盾的充分性决定无效后,欧盟委员会和美国政府就开始讨论解决问题的新框架。
2022年3月,在主要谈判代表(欧盟司法专员雷德尔斯和美国商务部部长雷蒙多)之间的紧张谈判之后,欧盟主席冯德莱恩和拜登宣布就新的跨大西洋数据传输框架达成原则性协议。
2022年10月,拜登签署了一项关于“加强对美国信号情报活动的保障”的行政命令,并由美国司法部通过法规予以补充。这两项文书共同将美国的承诺落实到美国法律中,并完善了美国公司的义务性规定。在此基础上,欧盟委员会因此提出了该项关于欧盟-美国数据隐私框架的充分性决定草案。
一旦该充分性决定最终通过,欧盟实体企业就能够将个人数据传输到美国公司,而无需采取额外的数据保护措施。
*来源:欧盟官网
原文始发于微信公众号(赛博研究院):发布!《关于欧盟-美国数据隐私框架的充分性决定草案》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论