W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ W&W国际法律团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

2023年7月10日，欧盟委员会投票通过了欧盟-美国数据隐私框架 (EU-U.S. Data Privacy Framework，以下简称“ DPF”) 的充分性决定。充分性决定得出的结论是，对于根据DPF从欧盟控制者或处理者传输到美国认证组织的个人数据，美国提供的保护水平基本上与欧盟相同。具体来说，充分性决定的效果是，个人数据可以从欧盟的控制者和处理者转移到美国的认证组织，而无需获得任何进一步的授权。

W&W国际法律团队将针对DPF进行系列的梳理、解读和分析，本篇文章共分为四节

第一节介绍DPF的来龙去脉
第二节介绍DPF下数据跨境传输机制
第三节介绍DPF的原则
第四节介绍DPF下的合规指南

第一节 DPF的来龙去脉

一、欧盟-美国数据跨境传输机制

发展过程

欧盟-美国数据跨境传输机制的发展经历了一系列重要的阶段和事件。在当前的DPF之前，主要可分为安全港时代和隐私盾时代。

2013年6月，Facebook用户Maximillian Schrems（后来创立了知名隐私倡导组织NOYB ）向爱尔兰数据保护专员投诉，要求专员行使职权禁止Facebook爱尔兰子公司将其个人数据传输至美国，他认为美国的法律和实践不能保证对其个人数据的充分保护，使其免受美国当局监控活动的影响。投诉被数据保护专员驳回后，Schrems先生向爱尔兰高等法院提出诉讼，爱尔兰高等法院将部分问题提交欧盟法院进行初步裁决，欧盟法院于2015年判决安全港决议无效。

具体而言，依据指令第25(2)以及25(6)条款的规定，判断第三国对个人数据是否达到充分程度的保护水平，需要结合其国内法及国际承诺，全面考量数据传输活动的所有相关因素，尤其是数据性质、处理目的、处理期限等。而安全港决议只涉及美国根据FAQs实施的安全港原则提供的保护是否充分，却没有包含美国根据其国内法或国际承诺确保充分保护水平的具体措施的充分结论。

并且，安全港协议仅适用于从欧盟接收个人数据并经自我认证的美国组织，而美国行政机构无须遵守，且允许基于国家安全、公共利益或执法要求，而对被转移数据的个人的基本权利进行干涉，却未就美国有无限制该等干涉行为的国内立法进行调查，也没有针对这种干涉行为的任何行政或司法救济手段。同时，美国当局对其获取的欧盟成员国的个人数据进行的处理有些是不符合数据转移目的的，也超出了维护国家安全所需的范围。

综上，安全港决议被裁定无效。

安全港决议被欧盟法院判决无效后，Facebook爱尔兰子公司主张依据欧盟委员会批准的标准合同条款（Standard Contractual Clauses, SCC）将存储在爱尔兰的数据传输至其位于美国的公司总部。2015年12月，Schrems先生再次向爱尔兰数据保护专员投诉，认为SCC也不能提供对个人数据充分的保护。数据保护委员会将案件移交至爱尔兰高等法院，爱尔兰高等法院将部分问题提交欧盟法院进行初步裁决。该案件过程中，欧美通过了代替安全港原则的隐私盾，因此欧盟法院于2020年7月作出的本案判决中对隐私盾决议有效性进行了裁定，认为隐私盾不可作为个人数据从欧盟传输到美国的有效机制。

具体而言，美国公共当局根据《外国情报监视法》（the Foreign Intelligence Surveillance Act，以下简称FISA）第702条和第12333号行政命令，通过 PRISM 和 UPSTREAM 监视计划，获取和使用从欧盟传输到美国的个人数据，构成对宪章第7条和第8条规定的个人基本权利的干涉。

美国国内法律没有对相关行政机构获取外国情报而实施监视计划的权力进行任何限制，无论是FISA还是第12333号行政命令，都不符合欧盟法律相称性原则所规定的最低保障，根据这些规定实施的监视方案不能被视为仅限于严格必要的范围，因此不符合宪章第52条的规定的比例原则。

美国国内法律未赋予数据主体就监视活动向法院对美国当局提起诉讼的权利，而隐私盾中隐私保护监察员的引入无法弥补对相关数据主体司法保护方面的缺陷，即数据主体不能向法院提起诉讼以获取其个人数据或者要求对这些数据的更正或者删除。因此，隐私盾不能达到宪章第47条规定的欧盟公民有权在法庭获得有效救济的保护水平。

综上，隐私盾决议被裁定无效。

在隐私盾决议被宣布无效后，欧盟数据控制者和处理者需要使用其他合法的数据转移机制将个人数据从欧盟传输到美国，例如标准合同条款。相比于隐私盾时代，欧盟与美国间的数据传输效率相对降低。但在此期间，欧盟也仍在与美国就新的数据隐私框架进行协商。

2023年7月10日，欧盟委员会通过对欧盟-美国数据隐私框架（DPF）的充分性决定，认为美国在DPF下能够为欧洲经济区（EEA）至美国的数据传输提供与欧盟相当的充分保护水平。由此，美国企业可以通过承诺履行相应的隐私义务加入DPF，在DPF下将数据从EEA境内的实体传输至美国，而无需其他数据保障措施。这也意味着，自2020年7月欧洲法院在Schrems II案中裁定隐私盾决议无效后，欧美之间新的数据跨境传输机制再一次得以建立。

二、新的数据隐私框架的改进点

及风险点

改进点

从上文可以看出，安全港决议与隐私盾决议被无效的主要原因在于，安全港协议和隐私盾无法确保美国具备与欧盟同等的个人数据权益保护水平，具体理由包括对美国政府监视活动的限制措施，以及数据主体的有效救济手段的缺失。为应对这些问题，DPF框架引入了新的约束性保障措施，主要包括：

将美国情报部门对欧盟数据的访问限制在必要和适当的范围内；
设立数据保护审查法院（Data Protection Review Court, “DPRC”），欧盟公民可通过DPRC申请权利救济；
建立对DPF框架的定期审查机制，欧盟委员会、欧洲数据保护委员会及美国相关部门共同组成的机构将对DPF框架进行定期审查；
创设新的数据保护义务，要求美国公司在传输欧盟个人数据时必须遵守一系列数据保护义务，并应采取适当的技术措施与建立相应的组织机构，确保能够有效遵守数据保护义务。

风险点

尽管有上述保障措施，新的隐私框架并未完全解决隐私盾决议被无效的问题，仍存在再次被无效的风险，原因如下：

· EO对比例原则的实质性定义以及在美国法律下可能的解释，不符合其在欧盟的含义与解释。

尽管EO规定了对美国信号情报活动的限制，使比例原则和必要性原则适用于美国关于信号情报的法律框架，但这些原则是欧盟数据保护制度的长期关键要素，而EO对这些原则的实质性定义与欧盟法律对这些原则的定义以及欧盟法院对这些原则的解释并不一致；就DPF框架而言，这些原则将完全根据美国法律和法律传统而不是欧盟法律和法律传统进行解释。

· DPRC缺乏透明度，不符合《宪章》第 47 条规定的独立性和公正性标准。

投诉人不能直接面对DPRC，需通过隶属于美国政府的特别律师表达意见；而且DPRC 的决定将是保密的，不会公开或提供给投诉人，投诉人将仅仅被告知审查没有发现任何涵盖的违规行为，或者DPRC已经发布了需要采取适当行动的决定，从而损害了他们查阅或更正其数据的权利。这意味着投诉人将没有机会获知案件的实质性结果，而决定将是终局的，没有为投诉人提供在联邦法院上诉的渠道。

DPRC仍属于美国行政系统内部的自我纠正机制，并非完全独立的机构；美国总统可以秘密推翻DPRC的决定，也可以在DPRC法官任期内将其解职。因此，其是否可作为欧盟公民隐私权利的有效救济手段还不一定。

· 美国总统随时可修改EO关键内容，因此其作用并不明确。

EO 为限制美国信号情报活动，提供了一份目标清单，列出了在进行信号情报收集时可以追求的12个合法目标和禁止收集信号情报的5个目标；而美国总统可以修改和扩充合法的国家安全目标清单，却没有义务公布有关更新，也没有义务通知欧盟。因此EO关键性内容存在不确定性，其对美国信号情报活动的限制作用也就相应地不明确。

三、适用范围影响

对于不属于欧盟的英国、瑞士，美国商务部分别与欧盟委员会、英国政府和瑞士政府制定了EU-U.S. DPF、UK Extension to the EU-U.S. DPF和Swiss-U.S. DPF，三者分别为美国企业接受来自欧盟、英国、瑞士的个人数据时可选择的传输路径。

英国

根据DPF Program项目官网中关于UK Extension to the EU-U.S. DPF的问答，如果美国企业希望通过UK Extension to the EU-U.S. DPF接受来自英国的个人数据，必须先加入EU-U.S. DPF；如果美国企业已加入EU-U.S. DPF，可以在2023年7月17日起六个月内登陆其DPF Program账号并将UK Extension to the EU-U.S. DPF添加到现有认证的范围。

瑞士

但若是Swiss-U.S. DPF，根据DPF项目官网中关于Swiss-U.S. DPF的问答，企业可以在DPF Program网站上点击“Self-Certify”，选择加入Swiss-U.S. DPF或EU-U.S. DPF，即无需先加入EU-U.S. DPF。

也就是说美国企业若选择通过加入DPF作为从英国接收个人数据的路径，需要符合EU-U.S. DPF的规定；从瑞士接收则为符合Swiss-U.S. DPF的规定而非EU-U.S. DPF的规定。但需要注意的是，在瑞士联邦管理局（Swiss Federal Administration）宣布对Swiss-U.S. DPF的充分性认定之前，美国企业还不能依据该DPF从瑞士接受个人数据；同样的，在英国政府作出实施英美之间的数据桥（data bridge）的充分性认定之前，仍不能依据UK Extension to the EU-U.S. DPF从英国接收个人数据（2023年6月8日，英美发布声明承诺“数据桥”，以实现英美相关组织之间的数据自由流动。但截至目前，双方尚未出台关于“数据桥”的进一步规定。）

第二节 DPF下的

数据跨境传输机制

一、欧盟数据跨境传输

有哪些路径？

充分性认定是欧洲《通用数据保护条例》（GDPR）中列明的，可作为将个人数据从欧盟成员国转移到第三国的方式之一。获得欧盟委员会充分性认定的国家，即代表该国经过欧盟委员会的评估，在个人数据的保护水平方面与欧盟相当，个人数据即可以自由、安全地从欧洲经济区 (EEA)（包括27个欧盟成员国以及挪威、冰岛和列支敦士登）传输到该国，而无需采取额外的数据保护措施。

欧盟以充分性认定机制作为数据跨境流动的基准，充分性认定规则被称为“欧洲个人数据跨境的签证”。这种方式主要适用于特定国家，欧盟-美国隐私框架（DPF）的充分性决定已获得欧盟委员会的批准。

对上述白名单以外的国家、地区或国际组织的商事主体，如需将欧盟数据向外传输，可通过采取保护措施对传输行为进行适当保障的传输路径，其中最主要的保障措施包括：

· 签订欧盟颁布的标准合同条款（Standard Contractual Clause，SCC）；

· 约束性企业规则（Binding Corporate Rules, BCR），主要适用于跨国企业或组织在其组织体系内部进行数据跨境传输；

· 经批准的行为准则（codes of conduct）、

· 经批准的认证机制（certification mechanism）。

在充分性认定和适当保障措施均不能满足的情况下，数据传出方还可退而求其次，判断其数据跨境传输是否属于以下特定情形下的豁免，但数据传出方不应将此作为常规化数据跨境传输的合法依据。

1. 在得知由于缺乏充分性认定和适当的保障措施，数据主体可能面临此类传输的风险后，数据主体明确同意拟进行的传输；

2. 为履行数据主体和控制者之间的合同，或为实施应数据主体要求采取的合同前措施所必需的传输；

3. 控制者与另一自然人或法人为了数据主体的利益订立或履行合同所必需的传输；

4. 出于重大公共利益而必要的传输；

5. 为确立、行使或辩护法律主张而必要的传输；

6. 当数据主体在生理上或法律上无法给予同意时，为保护数据主体或其他人的重大利益而必要的传输；

7. 从公共登记册进行的传输；

8. 强制性合法权益。

二、欧盟-美国如何通过DPF

实现跨境数据传输？

适用DPF进行欧盟-美国跨境数据传输，需要注意以下要点：

（一）向谁申请DPF认证

美国公司应向美国商务部国际贸易管理局（Department of Commerce’s International Trade Administration，以下简称“ITA”）申请认证。

（二）认证有哪些要求

在获得DPF认证前，美国公司需至少满足美国商务部发布的《补充原则》中自我认证的相关要求，包括但不限于：

1.同意接受美国联邦贸易委员会（FTC）、美国交通部（DoT）及其他经欧盟认可的美国机构的调查与执法；

2.公开承诺其将遵守DPF原则；

3.按照DPF原则修订其隐私政策并公开；

4. 建立独立的追索机制，以处理根据DPF原则提出的相关投诉。

（三）提供什么认证材料

美国公司需向ITA提供的自我认证材料至少应包括以下信息:

1.美国公司的主体名称;

2.美国公司将在DPF下从欧盟接收个人数据的项目内容;

3.美国公司对个人数据保护相关的隐私政策;

4.美国公司内部负责处理与DPF原则相关的投诉、访问请求和其他问题的联系人及联系方式;

5.有权审理美国公司可能存在的不公平或欺骗性行为、违反有关隐私的法律法规的任何索赔的法定机构;

6.美国公司参与的任何隐私计划的名称;

7.美国公司的自我核查方法（自我评估或外部合规审查）;

8.用以调查DPF原则相关投诉的独立追索机制内容。

三、适用DPF进行跨境传输

相较于SCC有哪些优势？

在隐私盾决议被裁定无效后，DPF的充分性决定通过之前，由欧盟成员国向美国传输的个人数据主要是使用标准合同条款（SCC）进行传输。尽管目前DPF的充分性决定已获通过，但跨境数据传输者仍可以选择适用SCC进行跨境传输。

SCC适用流程

1. 欧盟成员国的公司根据标准格式合同（SCC）与欧盟成员国以外的公司达成跨境数据传输协议，必须采用欧盟发布的标准格式合同SCC，且企业必须将这些条款传递给多层服务提供商。

2. 一些欧盟成员国需要额外的手续，如监督机构对SCC的备案和批准。

DPF相对SCC的优势

· 对于存在复杂处理活动的公司，使用DPF将免于将这些复杂处理活动在合同文本中进行精细梳理的繁琐工作，而如果使用SCC则必须按要求进行大量梳理工作，且一旦存在疏漏则可能存在被处罚的风险。

· 对于大型集团公司而言，这些公司可能会有多个子公司，当这些子公司需要从欧盟接收数据时，可以采取子公司在美国商务部进行DPF认证的方式进行，对比于签署多个SCC，可能会更为便捷。

· 对于一些对SCC的适用规定了额外的手续的欧盟成员国，如监督机构对SCC的备案和批准，这使得实施SCC的过程既漫长又昂贵。

· 在依赖DPF路径的时候，不需要被要求强制进行传输影响评估（TIA），而采用SCC路径的话，则必须进行TIA。具体而言，如果公司在向进行了DPF认证的公司传输数据时，公司不是完全依赖DPF路径的话，则他们必须按照欧洲法院Schrems II裁决的要求继续执行TIA。但实务中，进行TIA会更有利于帮助企业证明传输的合规性，会更佳。

值得注意的是，DPF仅适用于向美国传输数据的情况的，而SCC可以适用于向包括美国在内的任何第三国传输数据的情况。

四、美国-欧盟数据传输

是否会受DPF的影响？

虽然DPF仅适用于欧盟成员国传输数据至美国，但DPF属于GDPR下规定的“充分性决定”跨境传输路径，“充分性决定”旨在确保美国的数据保护与欧盟达到同等充分的水平，因此充分性决定的通过必须基于对第三国数据保护相关法律的全面分析。

DPF在实行过程中也需要接受定期审查。在当前DPF之前，欧盟-美国间曾达成的两次隐私框架，其充分性决定均被欧盟法院裁决无效。故为保持目前DPF充分性决定的有效性，美国可能会调整、加强其数据隐私保护法律体系，其中亦包括美国对外进行数据跨境传输。

因此，针对业务涉及或将来可能涉及从美国传输数据到欧盟成员国的公司，W&W国际法律团队建议持续关注美国以及相关州的数据跨境传输相关政策和法规是否有调整，定期复核目前采用或拟采用的数据传输路径是否符合最新的政策和法规要求；如不符合，则需要尽快作出调整，针对最新要求补强已有传输路径的有效性，或者改用其他的传输路径。

第三节 DPF原则

一、DPF原则是什么？

DPF原则指美国商务部发布的DPF原则与补充原则，这些原则是与欧盟委员会、行业和其他利益相关者协商后制定的。

宏观角度来说，这些原则作为DPF的重要组成部分，旨在促进美国与欧盟之间的贸易和商业，为美国的组织机构提供了一个可靠的机制，用于将个人数据从欧盟传输到美国，同时确保欧盟数据主体在其个人数据被传输到非欧盟国家处理时，继续受益于欧洲立法所要求的有效保障和保护。

具体到需要适用DPF进行欧盟-美国跨境数据传输的主体来说，要理清DPF在适用过程中的疑难问题，首先需要了解DPF的核心内容，即美国组织需要承诺遵守的DPF原则包括哪些。

二、DPF原则包括哪些？

告知

经过DPF认证的美国公司应向数据主体履行告知义务，相关要求如下：

· 告知内容要求：

公司参与DPF的情况，并提供DPF清单的链接或网址；
收集的个人数据的类型；
承诺公司根据DPF从欧盟接收的所有个人数据均遵守DPF原则；
收集和使用个人数据的目的；
如需咨询或投诉，如何与该公司联系，包括欧盟境内可回应此类咨询或投诉的任何相关机构；
个人数据向第三方披露时，第三方的类型或身份，以及披露的目的；
数据主体访问其个人数据的权利；
公司为数据主体提供的限制公司使用、披露其个人数据的选项及方式；
指定处理投诉并向数据主体免费提供适当追索权的独立争议解决机构；
公司接受美国联邦贸易委员会（Federal Trade Commission，“FTC”）和美国交通部（Department of Transportation，“DoT”）及其他美国授权法定机构的调查和执法管辖;
在某些条件下，数据主体可以援引具有约束力的仲裁；
根据公共机关的合法要求（包括满足国家安全或执法要求）披露个人数据的要求；
公司将个人数据继续传输给第三方的情况下的责任。

· 告知形式要求

以清晰和醒目的语言。

· 告知时间要求

在数据主体首次被要求向公司提供个人信息时，或此后在可行的情况下尽快告知；但无论如何，应在公司将这些信息用于数据传出方最初收集或处理信息的目的之外的目的或首次向第三方披露信息之前告知。

选择

经过DPF认证的美国公司应向数据主体提供以下选择的权利：

选择退出的权利，以选择退出下列数据处理活动：
1. 将个人数据披露给第三方主体；
2. 将个人数据用于与最初收集或随后经数据主体授权的目的有重大区别的目的。
选择加入的权利：
对于涉及敏感个人数据的上述处理活动，则必须获得数据主体的明确同意。

继续传输责任

本项原则主要规定了经过DPF认证的美国公司向第三方数据控制者、数据处理者再传输数据的要求。具体内容我们W&W国际法律团队将在本系列的下一篇文章中代入实际跨境传输场景进行解读。

安全性

经过DPF认证的美国公司必须采取合理和适当的措施，保护个人信息免遭丢失、滥用和未经授权的访问、披露、篡改和破坏，同时适当考虑到处理过程中涉及的风险和个人数据的性质。

数据完整性和目的限制

个人数据的收集必须仅限于与处理目的相关的数据。美国公司对个人数据的处理方式不得与收集个人数据的目的或数据主体随后授权的目的不符。

在处理目的所必需的范围内，经过DPF认证的美国公司必须采取合理措施，确保个人数据对其预期用途而言是可靠的、准确的、完整的和最新的。只要美国公司保留这些个人数据，就必须遵守DPF原则。

访问

数据主体必须能够访问经过DPF认证的美国公司所持有的关于其本人的个人数据，并能够在数据不准确或处理过程中违反DPF原则的情况下，对该个人数据享有更正、修改或删除的权利。

追索、执行和责任

这一原则要求经过DPF认证的美国公司设立健全的机制以确保：DPF原则得到遵守；因未遵守DPF原则而受到影响的数据主体的追索权；公司未遵守DPF原则将承担的责任。

这一机制至少应当包括:

随时可用的独立追索机制, 在该机制下每个数据主体的投诉和争议都能依据DPF原则获得调查并迅速解决, 且无需个人承担任何费用, 使数据主体在适用法律或私营部门倡议规定应当获得赔偿的情形下获得相应赔偿；
核实公司就其隐私保护措施所做的证明和声明是否真实、是否确实执行的后续程序;
公司未能遵守DPF原则的补救义务和法律后果, 处罚必须足够严厉，以确保公司遵守DPF原则。

三、DPF补充原则包括哪些？

在前述原则的基础上，补充原则针对以下主题事项做出了进一步的要求:

敏感数据;
新闻业的例外;
尽职调查与审计;
数据保护机构的作用;
自我认证;
核查;
个人数据访问权;
人力资源数据;
继续传输的强制性合同;
争议解决与执行;
选择退出的时间;
旅行信息;
医药和医疗产品;
公共记录和公开信息;
公共机构的访问请求。

第四节 DPF下的

数据合规指南

一、特殊路径指南 1 ：

欧盟-美国-美国/第三国

图1

如图1所示，出海企业可能存在这样的数据跨境传输情形：

第一步：将数据从欧盟的数据控制者/处理者跨境传输到经DPF认证的美国公司A；

第二步：该美国公司A再将数据传输至第三国（非欧盟国家）的数据控制者或处理者，或者美国境内另一未经DPF认证的美国公司B。

此时，该美国公司A将数据继续传输时需要采取哪些合规措施？

在上一篇DPF原则解读中，我们有提到继续传输责任的原则，“继续传输”需要适用特殊规则，无论继续传输中的接收方是位于美国还是美国（或者欧盟）外的第三方。

任何的继续传输都需要同时满足以下三个条件：

1. 出于有限和特定的目的；

2. 基于已进行DPF认证的组织和第三方之间的合同或公司集团内的类似安排（但存在无需合同或类似安排的例外情形）；

3. 该合同要求第三方提供与DPF中的原则同等水平的保护。

另外，除了责任原则之外，该美国公司还需要遵循DPF中的“数据完整性和目的限制原则”（Data Integrity and Purpose Limitation Principle）、“告知原则”（Notice Principle），若传输给第三方的控制者，还需要遵循“选择原则”（Choice Principle）等DPF原则。

二、继续传输原则

以上提及的传输情形的依据，均为DPF下的“继续传输”原则，该原则适用于所有从欧盟-美国DPF组织传输个人数据到第三方控制者或者处理者的情形，具体适用的规则根据数据接收方作为控制者或作为处理者进一步区分。

• 当一组织将个人信息传输至作为控制者的第三方（“数据接收方”）时，该组织（“数据传输方”）应当与第三方控制者达成协议，约定数据将用于有限、特定目的的处理，该目的应当与数据主体提供的同意一致，且数据接收方应当提供与DPF原则（The Principles）同等的保护水平；若数据接收方确定其无法再提供与DPF原则同等水平的保护，应当通知数据传输方。同时，数据传输方与数据接收方之间的合同应规定，在数据接收方无法再提供与DPF原则同等水平的保护后，其应停止处理或采取其他合理且适当的措施进行补救。

• 当一组织将个人信息传输至作为处理者的第三方（“数据接收方”），该组织（“数据传输方”）:

a. 仅为有限、特定目的转移数据；

b. 确定数据接收方有义务提供至少与DPF原则同等水平的隐私保护；

c. 采取合理、适当的措施，确保数据接收方以符合DPF原则下数据传输方义务的方式有效处理所传输的个人信息；

d. 要求数据接收方在确定其无法再履行提供与DPF原则同等水平保护的义务时，通知数据传输方；

e. 在收到通知（包括上述情形的通知）后，采取合理且适当的措施以停止和补救未经授权的处理；

f. 根据要求向监管部门提供其与该数据接收方签订的合同中相关隐私条款的摘要或代表性副本。

三、特殊路径指南 2 ：

欧盟-第三国-美国

除了欧盟-美国-美国/第三国的数据传输外，出海企业还可能遇到数据从欧盟传输到A国，再继续传输到美国的情形，在实务中可能存在以下两种细分情形：

1. A国的数据接收者/传输者对个人数据经过实质处理；

2. A国的数据接收者/传输者仅作为数据中转方，未对数据进行实质处理。

图2

如图2所示，该情形下的数据跨境传输包括以下两步：

第一步：将数据从欧盟的数据控制者/处理者跨境传输到A国的公司；

第二步：将数据从A国的公司继续传输至美国的处理者/控制者。

在第一步中，根据GDPR以及欧盟数据保护委员会Guidelines 05/2021的相关规定，无论A国的公司是否对数据进行实质的处理，均属于数据跨境传输，需要在符合GDPR的规定下进行。

由于本系列文章主要为探讨DPF，故我们将第一步场景均设定为欧盟的数据控制者/处理者将数据合规地传输到A国公司，并以此为基础探讨第二步。此时，该美国公司是否需要遵守GDPR针对跨境传输的要求，以及是否可以使用DPF认证作为跨境传输的路径呢？

如上述，根据GDPR的规定，数据跨境传输以及数据继续传输均需要遵守GDPR针对跨境传输的要求，即在该种情形下，将数据从A国继续传输至美国，需要依据GDPR有关数据跨境传输的规定进行，即需要满足以下条件：

1. 前提条件：明确告知数据主体有关数据跨境传输的情形，并获得同意。

2. 选择适合的传输路径：

a. 充分性认定

b. 安全保障措施：

i. SCCs

ii. BCRs

iii. 行为准则

iv. 认证机制

c. 减损

有关DPF的充分性决定已获得欧盟委员会的批准，因此将数据从A国继续传输至美国公司，可以使用DPF认证作为向美国公司进行数据传输的路径。

但需要提醒的是，将来自欧盟的数据从A国继续传输至美国公司，除了需要符合GDPR的要求外，还需要充分调研A国对于此类情形下的数据传输是否有额外要求。

结语

欧盟-美国数据隐私框架DPF已正式生效，完善了欧盟-美国间的跨大西洋数据传输效率和数据安全保护。在这个数字化世界中，物理边界不再那么重要，对个人数据的严格保护是我们在无形的、相互关联的数字世界中守卫个人权利的盾牌。

W&W国际法律团队深耕海内外多条业务线，已向众多头部互联网企业、大中型外资企业、高成长型企业及大型国企提供出海合规服务，就各出海美国的企业提供落地解决方案，欢迎各位有困惑、有交流需求、有合规实务需求的法律界同仁与出海企业与我们联系。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 算法备案实务干货（一）：备案常见问题

W&W国际法律团队 | 算法备案实务干货（二）：特殊八问Q&A

W&W国际法律团队 | 算法备案实务干货（三）：算法自评估报告

W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
 亚太观察 | 印度：印度总统批准通过《2023年数字个人数据保护法案》

亚太观察 | 印度：个人数据保护法案（草案）提交下议院

域外重点动态 | 印度撤回《个人数据保护法案（草案）》

印度个人数据保护法案（草案）解读

漫谈《印度2019个人数据保护法案》之一：新法案的“小前传”