W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(三):DPF原则
文/ 王捷 黄琼 梁佩盈
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
2023年7月10日,欧盟委员会投票通过了欧盟-美国数据隐私框架 (EU-U.S. Data Privacy Framework,以下简称“ DPF”) 的充分性决定。充分性决定得出的结论是,对于根据DPF从欧盟控制者或处理者传输到美国认证组织的个人数据,美国提供的保护水平基本上与欧盟相同。具体来说,充分性决定的效果是,个人数据可以从欧盟的控制者和处理者转移到美国的认证组织,而无需获得任何进一步的授权。
欧盟-美国隐私框架(DPF)解读系列的前两篇已分别就欧盟-美国隐私框架的发展过程和欧盟-美国间的数据跨境传输机制进行了解读,在介绍如何通过DPF实现欧盟-美国跨境数据传输时,我们多次提到了“DPF原则”,这是DPF的核心内容之一,本篇将就此进行详细解读。
下一篇我们将代入出海企业在实务过程中遇到的复杂数据跨境传输情形进行分析,为企业在出海过程中的疑难要点进行解答,提供一份切实可行的实务指南,敬请期待。
DPF原则是什么?
DPF原则指美国商务部发布的DPF原则与补充原则,这些原则是与欧盟委员会、行业和其他利益相关者协商后制定的。
宏观角度来说,这些原则作为DPF的重要组成部分,旨在促进美国与欧盟之间的贸易和商业,为美国的组织机构提供了一个可靠的机制,用于将个人数据从欧盟传输到美国,同时确保欧盟数据主体在其个人数据被传输到非欧盟国家处理时,继续受益于欧洲立法所要求的有效保障和保护。
具体到需要适用DPF进行欧盟-美国跨境数据传输的主体来说,要理清DPF在适用过程中的疑难问题,首先需要了解DPF的核心内容,即美国组织需要承诺遵守的DPF原则包括哪些。
DPF原则包括哪些?
告知
经过DPF认证的美国公司应向数据主体履行告知义务,相关要求如下:
· 告知内容要求:
公司参与DPF的情况,并提供DPF清单的链接或网址;
收集的个人数据的类型;
承诺公司根据DPF从欧盟接收的所有个人数据均遵守DPF原则;
收集和使用个人数据的目的;
如需咨询或投诉,如何与该公司联系,包括欧盟境内可回应此类咨询或投诉的任何相关机构;
个人数据向第三方披露时,第三方的类型或身份,以及披露的目的;
数据主体访问其个人数据的权利;
公司为数据主体提供的限制公司使用、披露其个人数据的选项及方式;
指定处理投诉并向数据主体免费提供适当追索权的独立争议解决机构;
公司接受美国联邦贸易委员会(Federal Trade Commission,“FTC”)和美国交通部(Department of Transportation,“DoT”)及其他美国授权法定机构的调查和执法管辖;
在某些条件下,数据主体可以援引具有约束力的仲裁;
根据公共机关的合法要求(包括满足国家安全或执法要求)披露个人数据的要求;
公司将个人数据继续传输给第三方的情况下的责任。
· 告知形式要求
以清晰和醒目的语言。
· 告知时间要求
在数据主体首次被要求向公司提供个人信息时,或此后在可行的情况下尽快告知;但无论如何,应在公司将这些信息用于数据传出方最初收集或处理信息的目的之外的目的或首次向第三方披露信息之前告知。
选择
经过DPF认证的美国公司应向数据主体提供以下选择的权利:
选择退出的权利,以选择退出下列数据处理活动:
1. 将个人数据披露给第三方主体;
2. 将个人数据用于与最初收集或随后经数据主体授权的目的有重大区别的目的。
选择加入的权利
对于涉及敏感个人数据的上述处理活动,则必须获得数据主体的明确同意。
继续传输责任
本项原则主要规定了经过DPF认证的美国公司向第三方数据控制者、数据处理者再传输数据的要求。具体内容我们W&W国际法律团队将在本系列的下一篇文章中代入实际跨境传输场景进行解读。
安全性
经过DPF认证的美国公司必须采取合理和适当的措施,保护个人信息免遭丢失、滥用和未经授权的访问、披露、篡改和破坏,同时适当考虑到处理过程中涉及的风险和个人数据的性质。
数据完整性和目的限制
个人数据的收集必须仅限于与处理目的相关的数据。美国公司对个人数据的处理方式不得与收集个人数据的目的或数据主体随后授权的目的不符。
在处理目的所必需的范围内,经过DPF认证的美国公司必须采取合理措施,确保个人数据对其预期用途而言是可靠的、准确的、完整的和最新的。只要美国公司保留这些个人数据,就必须遵守DPF原则。
访问
数据主体必须能够访问经过DPF认证的美国公司所持有的关于其本人的个人数据,并能够在数据不准确或处理过程中违反DPF原则的情况下,对该个人数据享有更正、修改或删除的权利。
追索、执行和责任
这一原则要求经过DPF认证的美国公司设立健全的机制以确保:DPF原则得到遵守;因未遵守DPF原则而受到影响的数据主体的追索权;公司未遵守DPF原则将承担的责任。
这一机制至少应当包括:
随时可用的独立追索机制, 在该机制下每个数据主体的投诉和争议都能依据DPF原则获得调查并迅速解决, 且无需个人承担任何费用, 使数据主体在适用法律或私营部门倡议规定应当获得赔偿的情形下获得相应赔偿;
核实公司就其隐私保护措施所做的证明和声明是否真实、是否确实执行的后续程序;
公司未能遵守DPF原则的补救义务和法律后果, 处罚必须足够严厉,以确保公司遵守DPF原则。
DPF补充原则包括哪些?
在前述原则的基础上,补充原则针对以下主题事项做出了进一步的要求:
敏感数据;
新闻业的例外;
尽职调查与审计;
数据保护机构的作用;
自我认证;
核查;
个人数据访问权;
人力资源数据;
继续传输的强制性合同;
争议解决与执行;
选择退出的时间;
旅行信息;
医药和医疗产品;
公共记录和公开信息;
公共机构的访问请求。
对于涉及欧盟-美国数据传输的出海企业,考虑到DPF认证要求纷繁复杂,建议寻求专业人士的建议。W&W国际法律团队致力于促进数据合规跨境,维护数据跨境安全,欢迎有困惑、有交流需求、有合规实务需求的出海企业与我们联系。
推荐阅读:
以实务为基,有的放矢|《制造业出海合规实务指南50问》重磅发布
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754