中译文|欧盟委员会关于“欧盟-美国数据隐私框架”的执行决定（引言）

2023年7月10日星期一

欧盟委员会

(1)(EU)2016/679法规规定了在该类转移属于其适用范围时，将个人数据从欧盟控制者或处理者转移到第三国和国际组织的规则。该条例第五章规定了国际数据传输的规则。虽然与欧盟以外国家之间的个人数据流动对于扩大跨境贸易和国际合作至关重要，但欧盟对个人数据的保护水平不得因传输到第三国或国际组织而受到损害。

(2)根据(EU)2016/679号法规第45(3)条，委员会可通过实施法案决定第三国、某一领土或第三国境内的一个或多个特定部门确保了足够的保护水平。在此情况下，根据(EU) 2016/679法规第45(1)条和前言第103条的规定，将个人数据传输至第三国无需获得任何进一步授权即可。

(3)根据法规(EU) 2016/679第45(2)条的规定，充分性决定的通过必须基于对第三国法律秩序的全面分析，包括适用于数据进口方的规则以及公共机构获取个人数据的限制和保障措施。在评估中，委员会必须确定相关第三国是否保证与欧盟内部所确保的保护水平“基本相同”（条例 (EU)2016/679的前言第104条说明）。是否属于这种情况需要根据欧盟立法，特别是法规(EU)2016/679以及欧盟法院（the Court of Justice）的判例法进行评估。

(4)正如欧洲法院在2015年10月6日对案件C-362/14 Maximillian Schrems v Data Protection Commissioner (Schrems)的判决中所澄清的那样，这并不需要找到相同级别的保护。特别是，有关第三国保护个人数据的手段可能与欧盟所采用的手段不同，只要这些手段在实践中证明能够有效确保充分的保护水平。因此，充分性标准不需要欧盟规则的点对点复制。相反，考验在于，通过隐私权的实质内容及其有效实施、监督和执行，外国体系作为一个整体是否提供了所需的保护水平。此外，根据该判决，在适用这一标准时，委员会应特别评估有关第三国的法律框架是否规定了旨在限制对从欧盟传输数据的人的基本权利的干扰的规则， 该国的国家实体在追求国家安全等合法目标时将有权介入，并提供有效的法律保护以防止此类干扰。欧洲数据保护委员会的“充分性参考”旨在进一步阐明该标准，也提供了这方面的指导。

(5)欧洲法院在2020年7月16日对案件 C-311/18（数据保护专员诉 Facebook Ireland Limited 和 Maximillian Schrems）的判决中进一步澄清了与此类干扰隐私和数据保护基本权利有关的适用标准 (Schrems II)，该决定使委员会关于之前的跨大西洋数据流框架的实施决定 (EU) 2016/125010 无效，即欧盟-美国隐私盾（Privacy Shield）。法院认为，美国国内法对美国公共当局为国家安全目的从欧盟转移到美国的数据的访问和使用所产生的个人数据保护的限制，就此类干预数据保护权利的必要性和相称性而言，并没有以满足基本等同于欧盟法律规定的要求的方式加以限制。欧洲法院还认为，向数据被转移到美国的个人提供实质上相当于《宪章》第四十七条关于获得有效补救的权利所要求的保证的机构，没有任何诉讼理由。

(6)在Schrems II判决之后，委员会与美国政府进行了谈判，以期达成可能的新的充分性决定，以满足法院解释的(EU) 2016/679条例第45(2)条的要求。经过这些讨论，美国于2022年 10月7日通过了第14086号行政命令“加强对美国信号情报活动的保障”(EO 14086)，并由美国司法部长颁布的《数据保护审查法院条例》(AG 法规)作为补充。此外，适用于根据本决定处理从欧盟传输的数据的商业实体的框架——“欧盟-美国”数据隐私框架（欧盟-美国 DPF 或 DPF）——已更新。

(7)委员会仔细分析了美国法律和实践，包括EO14086和AG法规。基于在前9-200中列出的调查结果，委员会得出结论，美国确保在欧盟-美国DPF下从欧盟的控制者或处理者转移到美国的认证组织的个人数据有足够的保护水平。

(8)该决定的影响是，个人数据可以从欧盟的控制者和处理者转移到美国的被认证组织，而无需获得任何进一步的授权。它不影响条例(EU) 2016/679直接适用于满足条例第3条规定的领土范围条件的组织。