北美观察 | 美国司法部对《欧盟-美国数据隐私框架》的充分性决定发表声明,强调合格州的指定有效
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
美国:司法部对《欧盟-美国数据隐私框架》的充分性决定发表声明,强调合格州的指定有效
美国司法部(DoJ)下属的美国隐私和公民自由办公室就欧盟委员会对《欧盟-美国数据隐私框架》(DPF)的充分性决定发表声明。
DoJ强调,欧盟委员会的充分性决定使美国司法部长根据《关于加强美国信号情报活动保障的第14086号行政命令》第3(f)条,对于欧盟以及欧洲经济区(EEA)下的挪威、冰岛和列支敦士登为合格国家的决定生效。
具体而言,DoJ规定,欧盟或欧洲经济区的个人现在可以提交投诉,以获得与美国信号情报活动影响到上述主体转移到美国的个人数据有关的违法行为的救济。
垦丁W&W简评:
美国商务部于2023年7月4日发布关于实施《欧盟-美国数据隐私框架》(DPF)的声明,在美国商务部发布声明的第3日,即2023年7月7日,根据GDPR第93条成立的委员会对《欧盟-美国数据隐私框架》充分性决定修订草案的审议以24个成员国赞成的票数通过。
2023年7月10日,欧盟委员会通过了对欧盟-美国的充分性决定。基于此,企业在符合相关规定的条件下,能够依据DPF将个人数据从欧盟传输到美国,但企业仍应当严格遵守与数据跨境传输的相关要求、继续传输、一般数据处理原则、数据主体权利以及对个人数据所保证的适当程度的保护,避免遭受数据主体的投诉以及监管机构的问询。
02
美国:科罗拉多州总检察长启动CPA执法
2023年7月12日,科罗拉多州总检察长(AG)宣布,科罗拉多州的企业已收到通知:科罗拉多州司法部将开始执行2023年7月1日生效的《科罗拉多州隐私法》(CPA),并向企业提供教育资源以协助企业践行合规。科罗拉多州总检察长指出,本次通知的重点在于使科罗拉多州的企业了解其新的法律义务。如果有企业蔑视或拒绝遵守该法律,科罗拉多州司法部将会采取相关行动。
垦丁W&W简评:
《科罗拉多州隐私法》(CPA)和科罗拉多州总检察长于2023年3月15日提交的《科罗拉多州隐私法条例》(CPA条例)已于2023年7月1日正式生效。出海科罗拉多州的企业应当关注科罗拉多州总检察长发布的关于遵守CPA应当履行的相关法律义务,评估自身是否落入科罗拉多州关于消费者隐私保护立法的监管范围,及时根据已生效的法律进行包括消费者数据权利、数据保护评估、识别分析和数据主体撤回同意机制等规定进行各方面的整改,完善数据合规体系。
03
美国:国际贸易管理局发布关于《欧盟-美国DPF》充分性认定和认证的咨询
2023年7月11日,美国国际贸易管理局(ITA)在欧盟委员会就《欧盟-美国数据隐私框架》(“《欧盟-美国 DPF》”)作出充分性认定后发布了一份咨询公告。
该公告指出,《欧盟-美国 DPF》于同日生效,已自证承诺将遵守DPF的组织必须在2023年10月10日前更新其隐私政策以符合该规定。但是已通过欧盟-美国隐私盾自我认证的组织无需再提交初始的自我认证即可参与《欧盟-美国 DPF》,并可以依据《欧盟-美国 DPF》的充分性决定接收来自欧盟和欧洲经济区的个人数据的传输。
该咨询公告还概述了ITA将于2023年7月17日推出DPF网站,使总部位于美国的组织能够提交首次认证申请以参与《欧盟-美国DPF》、英国对《欧盟-美国 DPF》的扩展条款和《瑞士-美国DPF》,各组织也可在同一天提交上述DPF的年度再认证申请。同时,ITA规定,隐私盾网站将于2023年7月14日下线,但隐私盾计划的有效账户的主体能够使用其现有的凭证登录DPF网站。
另外,希望自我认证符合英国对《欧盟-美国 DPF》扩展条款的组织可以自2023年7月17日起进行自我认证,但应当在上述扩展条款的充分性规定生效之后进行。该公告明确指出,希望参与英国扩展条款的组织也必须同时参与《欧盟-美国DPF》。
《瑞士-美国DPF》原则将于2023年7月17日生效,已自我认证遵守《欧盟-美国 DPF》的组织也必须遵守《瑞士-美国DPF》,即在2023年10月17日之前更新其隐私政策。该公告强调,在瑞士联邦政府承认《瑞士-美国DPF》的充分性认定生效之前,上述组织不得依据《瑞士-美国DPF》接收来自瑞士的个人数据传输。
垦丁W&W简评:
出海企业若依据《欧盟-美国DPF》、英国对《欧盟-美国DPF》的扩展条款或《瑞士-美国DPF》从欧盟、英国或瑞士进行个人数据传输,不仅需要向美国国际贸易管理局自我证明其遵守DPF的相关原则,还必须被列入并保留在DPF的名单上。在这个过程中,出海企业决定根据DPF的规定进行自我认证并参与其合规性是自愿的,但自我认证后的有效合规性是强制的,一旦企业向美国国际贸易管理局进行自我认证,并公开宣布遵守DPF原则的相关承诺,根据美国法律,该承诺可被强制执行,同时,企业的自我认证应当反映在其对个人数据保护的相关隐私政策中。
另外,希望自我认证符合英国对《欧盟-美国DPF》扩展条款和《瑞士-美国DPF》的企业,应当同时符合《欧盟-美国DPF》的相关规定,并在英国对《欧盟-美国DPF》扩展条款和《瑞士-美国DPF》的充分性认定生效后进行。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
『实务分享』:当AIGC遇上数据跨境,该如何应对?| 垦丁W&W国际法律团队创始人王捷律师
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
要点分析 | 企业出海实务之《个人信息出境标准合同备案指南》解读
实务解读 |企业出海产品隐私差距评估服务--处理思路与实施经验
七个重要修改亮点!垦丁W&W独家解读《个人信息出境标准合同办法》
纯干货!十国/地区数据保护主要维度横纵对比(下)(附出境100问)
十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生