附事件梳理 | 欧盟委员会通过欧盟-美国数据隐私框架的充分性决定
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间2023年7月10日,欧盟委员会通过对欧盟-美国数据隐私框架(EU-U.S. Data Privacy Framework,以下或称“DPF框架”)的充分性决定,认为美国在此框架下能够为欧洲经济区(EEA)至美国的数据传输提供与欧盟相当的充分保护水平。由此,美国企业可以通过承诺履行一揽子隐私义务加入DPF框架,在DPF框架下将数据从EEA境内的实体传输至美国,而无需其他数据保障措施。这也意味着,自2020年7月欧盟法院在Schrems II案中裁定“隐私盾”协议无效后,欧美之间新的数据跨境传输机制再一次得以建立。
“充分性决定”(adequacy decision)是欧盟GDPR所规定的个人数据跨境传输保障机制之一,该机制旨在对欧盟以外国家的数据保护水平进行综合性评估,该国需达到与GDPR建立的数据保护水平“本质等同”(essential equivalence)的标准才可获充分性决定,实现与欧盟之间的合法数据跨境传输。截至目前,已有15个国家获得欧盟的充分性决定。
欧盟与美国之间的数据跨境传输合法性问题拉锯已久,著名的Schrems系列案件接连推翻欧美之间关于数据跨境传输的“安全港”框架(U.S.-EU Safe Harbor Framework)和“隐私盾”协议(EU-U.S. Privacy Shield)。2020年Schrems II案裁定“隐私盾”协议无效后,欧盟与美国对双方数据跨境传输的安排进行了一系列调整,新拟定DPF框架,并持续推进框架的落地和评估。期间的重大进展梳理可见下表:
此次通过充分性决定的DPF框架包含新的约束性措施,且引入了美国第14086号行政命令的内容,以回应欧盟法院在先前裁决中提出的关切,包括限制美国情报机构对欧盟数据的访问、建立数据保护审查法院(Data Protection Review Court,以下简称“DPRC”)等。就美国情报机构获取和使用从欧盟传输至美国的数据而言,欧盟居民可以向当地的数据保护机构投诉,由EDPB将投诉转递至美国,而后由DPF框架下的两级救济机制对该投诉进行处理。具体而言,该等投诉首先将由美国情报机构的“公民自由保护官”(Civil Liberties Protection Officer)进行调查并作出决定,该决定可被上诉至DPRC进行审查。作为DPF框架下重要的争议解决及救济措施,DPRC将独立调查和解决该等投诉,并采取有约束力的救济措施,在发现违反数据保护要求的行为时有权要求删除数据。上述措施旨在就美国情报机构访问和获取传输至美国的欧盟数据的情形,建立便捷、有效的个人投诉和救济渠道,其实际落地效果可待观察。
此外,欧盟委员会进一步表示,DPF框架将受到欧盟委员会、欧盟数据保护机构代表以及美国主管部门的定期审查,第一次审查将在充分性决定生效后一年内进行。在美国,DPF框架主要由美国商务部进行管理和监督,由联邦贸易委员会(FTC)负责监管美国企业的相关合规事项。
下载充分性决定全文,请点击文末“阅读原文”。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 陈瑞庭