《关于欧盟-美国数据隐私框架的充分性决定草案》发布
译者按:
12月13日,欧盟委员会启动了通过欧盟-美国数据隐私框架充分性决定的程序,这将促进跨大西洋的数据流动,并解决欧盟法院在其2020年7月的Schrems II决定中提出的关切。【相关情况见文末,本公众号对此背景有系列跟踪和分析。】
充分性决定草案的结论是,美国确保了对从欧盟转移到美国的个人数据的充分保护水平。这是基于对数据隐私框架本身及其对公司的义务的深入评估,以及对美国公共当局访问转移到美国的数据的限制和保障措施,特别是为刑事执法和国家安全目的。
在拜登总统于2022年10月7日签署行政命令后,提出了充分性决定草案的建议。【全文翻译见:白宫《关于加强美国信号情报活动保障措施的行政命令》全文翻译】与司法部长发布的条例一起,该行政命令将冯德莱恩总统和拜登总统于2022年3月宣布的关于新的欧盟-美国数据隐私框架的原则协议落实到美国法律中【数据跨境流动 | 美欧就新的跨大西洋数据隐私框架达成原则性协议】。该行政命令引入了新的具有约束力的保障措施,以解决欧盟法院在其Schrems II判决中提出的问题。它对美国情报机构获取数据施加了限制和保障措施,并建立了一个独立和公正的补救机制,以处理和解决欧洲人关于为国家安全目的收集其数据的投诉。
1、什么是充分性决定?
充分性决定是《通用数据保护条例》(GDPR)提供的工具之一,用于将个人数据从欧盟转移到第三国,根据委员会的评估,这些国家对个人数据的保护水平与欧盟相当。
由于充分性决定,个人数据可以自由和安全地从欧洲经济区(EEA)流向第三国,而不受任何进一步条件或授权的限制。换句话说,向第三国的转移可以用与欧盟内部数据传输相同的方式处理。
一旦充分性决定获得通过,欧洲实体将能够向美国的参与公司转移个人数据,而不需要设置额外的数据保护保障措施。
美国公司将能够通过承诺遵守一套详细的隐私义务(如目的限制和数据保留,以及有关数据安全和与第三方共享数据的具体义务)来证明它们参与了欧盟-美国数据隐私框架。
2、充分性的认定标准是什么?
充分性并不要求第三国的数据保护系统与欧盟的系统完全相同,而是基于"实质等同"的标准。它涉及对一个国家的数据保护框架的全面评估,包括适用于个人数据的保护和可用的监督和补救机制。
欧洲数据保护机构已经制定了一份评估必须考虑的要素清单,例如是否存在核心数据保护原则、个人权利、独立监督和有效补救措施。
3、关于美国情报机构获取数据的限制和保障措施有哪些?
充分性决定草案所依据的美国法律框架的一个基本要素涉及拜登总统10月7日签署的行政命令。该命令以及相应的条例执行了美国在冯德莱恩总统和拜登总统3月宣布的原则协议中做出的承诺。
对于个人数据被转移到美国的欧洲人,该行政命令规定了:
具有约束力的保障措施,将美国情报机构对数据的访问限制在保护国家安全的必要和相称的范围内。 加强对美国情报部门活动的监督,确保遵守对监视活动的限制;以及 建立一个独立和公正的补救机制,其中包括一个新的数据保护审查法庭,以调查和解决有关美国国家安全当局获取其数据的投诉。
4、国家安全领域的新补救机制与之前的隐私盾监察员有什么不同?
该行政命令以及相应的条例建立了一个新的两层补救机制,具有独立和有约束力的权力。
根据第一层,欧盟个人将能够向美国情报界所谓的"公民自由保护官"(‘Civil Liberties Protection Officer')提出投诉。这个人负责确保美国情报机构遵守隐私和基本权利。
在第二层,个人将有可能就公民自由保护官的决定向新设立的数据保护审查法院提出上诉。该法院将由来自美国政府以外的成员组成,他们根据特定的资格被任命,只能因故被解雇(如刑事定罪,或被认为在精神或身体上不适合执行任务),不能接受政府的指示。数据保护审查法庭将有权调查欧盟个人的投诉,包括从情报机构获取相关信息,并能做出具有约束力的补救决定。例如,如果数据保护审查法院将发现,数据的收集违反了行政命令中规定的保障措施,它将能够命令删除这些数据。
为了进一步加强法院的审查,在每个案件中,法院将选择一个具有相关经验的特别辩护人来支持法院,他将确保投诉人的利益得到代表,并确保法院充分了解案件的事实和法律方面的情况。这将确保双方都有代表,并在公平审判和正当程序方面引入重要保障。
与隐私盾协议下存在的机制相比,这些都是重大改进。
5、该进程的下一步是什么?
充分性决定草案已转交给欧洲数据保护委员会(EDPB)征求意见。
之后,委员会将需要从一个由欧盟成员国代表组成的委员会获得绿灯。此外,欧洲议会对适当性决定有审查权。
只有在这之后,欧盟委员会才能通过最终的充分性决定,这将允许数据在欧盟和美国商务部在新框架下认证的美国公司之间自由和安全地流动。
6、在此期间,公司有哪些选择?
重要的是要记住,充分性决定不是国际数据转移的唯一工具。
公司可以在其商业合同中引入的示范条款,是最常用的从欧盟转移数据的机制。去年,欧盟委员会通过了现代化的"标准合同条款",以促进其使用,包括考虑到法院在Schrems II判决中提出的要求。还为依靠标准合同条款传输数据的公司提供了实际指导。
美国政府在国家安全领域制定的所有保障措施(包括补救机制)将适用于根据GDPR向美国公司的所有转移,无论使用何种转移机制。
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
关于健康医疗数据方面的文章有:
关于数据的安全、个人信息保护、不正当竞争等方面的重大案例:
因隐私政策不合规,西班牙对Facebook开出巨额罚单 英法两国对 AdTech和广告类SDK的监管案例分析 Facebook事件多层次影响 及中美欧三地监管展望 FTC vs Facebook:50亿美元和解令的来龙去脉 FTC与Facebook“2019和解令”全文翻译 案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制 GDPR与相关数据保护法律处罚案例调研 他山之石:美国20年间33个儿童信息保护违法案例分析 重大案件 | 分析WhatsApp的2.25亿欧元罚款决定:合法利益事项 “脸书文件” | 爆料人的美国会听证会开场白、欧盟“数字服务法”推动人的表态 重大案件 | WhatsApp被罚2.25亿欧元一案核心事实与争点述评 重大案件 | CNIL对脸书、谷歌的Cookies实践的处罚:官方公告译文 欧盟法院允许消费者保护协会自主发起GDPR诉讼 个人信息处理者可以合法留存信息用于测试和纠偏吗?| 欧盟法院最新判决Digi解析 脸书可能被罚二十亿欧元一案前瞻分析
供应链安全的文章:
供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令 供应链安全 | 美国从科技供应链中剔除中国行动的内幕(外媒编译) 供应链安全 | 英国政府推进《电信(安全)法案》以确保供应链安全 《关于推进生物技术和生物制造创新以实现可持续、安全和可靠的美国生物经济的行政命令》(全文翻译)
出口管制的文章:
美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则 美国出口管制制度系列文章之二:适用EAR的步骤 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件 美国出口管制制度 | 允许华为和美国公司共同制定5G标准 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知” 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈 美国出口管制 | ARM+美国公司收购=更强的出口管制? 日本、荷兰拟同意与美国就芯片相关出口管制规则采取一致行动(外媒编译)