数据跨境|欧盟委员会批准“欧盟-美国数据隐私框架” 作出新的充分性决定

2023年7月10日星期一

欧盟委员会

今天，欧盟委员会通过了欧盟-美国数据隐私框架的充分性决定。该决定的结论是，美国确保在新框架下对从欧盟转移到美国公司的个人数据提供足够水平的保护（与欧盟的保护水平相当）。根据新的充分性决定，个人数据可以安全地从欧盟流向参与该框架的美国公司，而无需采取额外的数据保护措施。

欧盟-美国数据隐私框架引入了新的具有约束力的保障措施，以解决欧洲法院提出的所有担忧，包括将美国情报部门对欧盟数据的访问限制在必要和适当的范围内，并建立一个数据保护审查法院（DPRC），欧盟个人将有权寻求救济。与隐私盾下现有的机制相比，新框架引入了重大改进。例如，如果DPRC发现数据的收集违反了新的保障措施，它将能够下令删除数据。政府获取数据领域的新保障措施将补充美国公司从欧盟进口数据必须遵守的义务。

乌尔苏拉·冯德莱恩主席表示：“新的欧盟-美国数据隐私框架将确保欧洲人的数据流动安全，并为大西洋两岸的公司带来法律确定性。继去年我同拜登总统达成原则协议后，美方对建立新框架做出了前所未有的承诺。今天，我们迈出了重要的一步，让公民相信他们的数据是安全的，加深欧盟和美国之间的经济联系，同时重申我们的共同价值观。这表明，通过共同努力，我们可以解决最复杂的问题。”

美国公司将能够加入欧盟-美国数据隐私框架，承诺遵守一系列详细的隐私义务，例如要求在不再需要个人数据来实现收集目的时删除个人数据，并确保在与他人共享个人数据时提供连续性的保护第三方。

如果美国公司错误处理欧盟个人的数据，他们将受益于多种补救途径。这包括免费的独立争议解决机制和仲裁小组。

此外，美国法律框架针对美国公共当局访问该框架下传输的数据提供了许多保障措施，特别是出于刑事执法和国家安全目的。对数据的访问仅限于保护国家安全所必需且适当的范围。

欧盟个人将可以就美国情报机构收集和使用其数据的情况获得独立、公正的补救机制，其中包括新成立的数据保护审查法院（DPRC）。法院将独立调查并解决投诉，包括采取有约束力的补救措施。

美国实施的保障措施也将促进更广泛的跨大西洋数据流动，因为它们也适用于使用其他工具（例如标准合同条款和具有约束力的公司规则）传输数据的情况。

下一步

欧盟-美国数据隐私框架的运作将接受欧盟委员会与欧洲数据保护机构和美国主管机构代表的定期审查。

第一次审查将在充分性决定生效后一年内进行，以验证所有相关要素是否已在美国法律框架中得到充分实施并在实践中有效发挥作用。

背景

《通用数据保护条例》(GDPR) 第45(3)条授权委员会通过实施法案决定非欧盟国家确保“充分的保护水平”——对个人数据的保护水平基本上相当于欧盟内部的保护水平。充分性决定的效果是个人数据可以自由地从欧盟（以及挪威、列支敦士登和冰岛）流向第三国，而不会遇到进一步的障碍。

在欧盟法院宣布先前关于欧盟-美国隐私盾的充分性裁决无效后，欧盟委员会和美国政府就解决法院提出的问题的新框架进行了讨论。

2022 年 3 月，冯德莱恩主席和拜登总统宣布，在雷德尔斯专员和美国国务卿雷蒙多进行谈判后，他们已就新的跨大西洋数据流框架达成原则协议。2022年10月，拜登总统签署了一项关于“加强美国信号情报活动保障”的行政命令，美国司法部长加兰颁布的法规对该命令进行了补充。这两项文书原则上将美国根据协议达成的承诺落实到美国法律中，并补充了美国公司在欧盟-美国数据隐私框架协议下的义务。

包含这些保障措施的美国法律框架的一个基本要素是美国关于“加强对美国信号情报活动的保障措施”的行政命令，该命令解决了欧盟法院在2020年7月的Schrems II裁决中提出的担忧。该框架由美国商务部管理和监督。美国联邦贸易委员会将强制美国公司遵守规定。