美欧数据跨境流通的第三次尝试：《欧盟-美国数据隐私框架的充分性决定草案》发布

数字生产力研究 2024-04-11

当地时间12月13日，欧盟委员会启动了《欧盟-美国数据隐私框架充分性决定草案》（EU-U.S. Data Privacy Framework）（以下简称《草案》）的推进进程。

据欧盟委员会介绍，《草案》反映了其对美国法律框架的评估，并得出结论——美国确保了对从欧盟转移到美国的个人数据的充分保护。而该《草案》的推进，将促进跨大西洋数据流动的安全性并推动解决欧盟法院在Schrems系列诉讼裁决中提出的对欧美间数据传输机制的担忧。

值得注意的是，这是美欧之间就数据跨境流通第三次尝试。就在今年10月，美国总统拜登已签署《关于加强美国信号情报活动保障措施的行政命令》，以采取步骤履行今年3月宣布的《跨大西洋数据隐私框架》下的承诺。

无附加条件的安全传输

什么是充分性决定？

根据欧盟《通用数据保护条例》（GDPR）第45（3）条规定，欧盟委员会被授权可通过实施法案认定非欧盟国家是否具备个人数据的“充分保护水平”，即其数据保护水平是否与欧盟内部基本等同。

当欧盟委员会评估认定非欧盟国家提供的个人数据保护水平与欧盟相当后，个人数据可以自由安全地从欧洲经济区（EEA）流向第三国，而不受任何附加条件或授权的约束。换言之，向第三国的数据传输与欧盟内部数据传输可以相同的方式处理。

在欧盟对是否充分保护的评估标准中，“充分性”并不要求第三国的数据保护系统与欧盟相同，而是基于“基本等同”的标准。它涉及对一个国家的数据保护框架的全面评估，包括适用于个人数据的保护以及现有的监督和补救机制。欧洲数据保护当局已制定评估过程中必须考虑的要素清单，例如核心数据保护原则、个人权利、独立监督和有效补救措施等。

因此，可以认为充分性决定正是GDPR规定的将个人数据从欧盟转移到第三国的工具之一。

回归此次《草案》，据欧盟委员会介绍，《草案》是基于对欧盟-美国数据隐私框架本身及其对相关企业义务的深入评估，以及美国当局出于执法和国家安全目的访问数据的限制和保障措施而制定。

根据《草案》，对于美国相关企业来说，其必须遵守详细的隐私保护义务，例如目的限制和数据保留相关问题，以及有关数据安全和与第三方共享数据的具体义务。当用户个人数据无需再被收集时，应删除数据，并确保与第三方共享数据时保护的连续性。如果欧盟公民的个人数据被违规收集处理，他们可依据《草案》中的补救途径维护权益。

对于美国当局及情报机构来说，《草案》规定了其获取数据的若干限制和保障措施，特别是出于刑事执法和国家安全等目的的数据收集、使用行为。例如，美国情报机构对欧洲数据的访问将仅限于保护国家安全所必需和相称的内容；欧盟公民可以在独立公正的补救机制（包括新设立的数据保护审查法院）前，就美国情报机构收集、使用其数据的行为维护自身合法权益；法院将独立调查和解决欧盟公民的投诉，包括采取有约束力的补救措施；欧洲公司在使用其他数据流通机制（如标准的合同条款等）时，也可以依靠这些保障措施进行跨大西洋数据的传输。

《草案》通过后，欧洲将在向美国相关公司传输个人数据时，无需实施额外的数据保护保障措施。

目前，该欧盟与美国之间的隐私框架仍在推进过程中。作为第一步，委员会已向欧洲数据保护委员会（EDPB）提交了《草案》。之后，由欧盟成员国代表组成的委员会将决议是否批准。此外，欧洲议会有权对该充分性决定进行审查。该程序完成后，委员会将着手通过最终的充分性决定。委员会希望在2023年夏天前实现这一目标。

未来，欧盟委员会、欧洲数据保护机构和美国主管机构将定期审查欧盟-美国数据隐私框架的运行情况。第一次审查将在充分性决定生效后一年内进行，以验证美国法律框架的所有相关要素是否已充分实施并在实践中有效运行。

推进跨大西洋数据流通的新框架

美国大型互联网科技企业的触角遍布全球，这也带来跨国、跨地区个人数据流动和监管的多重问题。对此，欧盟与美国已进行了多年博弈。

此前，欧美曾经两度签订跨大西洋数据流动的相关文件。2000年和2016年欧盟与美国先后签订《安全港协议》和《隐私盾协议》，这两部协议的核心目的均是确认美国可以给欧盟用户提供同欧盟法律相适应的个人信息保护水平，从而有利于个人信息在大西洋两岸自由流动。

但在2013年，斯诺登“棱镜门”事件曝出，同年，就读于维也纳大学法学院的奥地利公民Maximilian Schrems在当地法院提起诉讼（Schrems系列诉讼），认为美国关于个人信息保护的保护强度远低于欧盟，请求禁止Facebook将其个人信息传输至美国境内。随着整个诉讼的推进，欧盟法院先于2015年认定《安全港协议》无效，数月后又同美国政府重新签订了保护水平高于前者的《隐私盾协议》。

即便如此，2020年欧盟法院仍认定《隐私盾协议》因违反《欧盟基本权利宪章》和《欧盟一般数据保护条例》而无效，美国企业不得基于该协议将欧盟用户信息传输至美国。

在欧盟法院宣布《隐私盾协议》决定无效后，欧盟委员会和美国政府就解决法院关切和提出新框架展开了讨论。

2022年3月，在激烈谈判后，欧盟委员会主席冯德莱恩和美国总统拜登宣布原则上就新的《跨大西洋数据隐私框架》达成协议。2022年10月7日，拜登签署了一项关于“加强美国情报活动保障措施”的行政命令。此后，美国司法部长梅里克·加兰德（Merrick Garland）发布相关条例，对行政命令进行补充。这两项内容共同将美国的承诺落实到美国法律中，完善了美国相关企业的义务，对美国情报机构获取数据施加了新的限制和保障，并建立了独立公正的补救机制，以处理和解决数据跨大西洋流动的相关争议。

“在过去几个月里，我们评估了行政命令提供的有关个人数据保护的美国法律框架。我们现在有信心进入程序的下一步。”欧盟司法专员迪迪埃·雷恩德斯（Didier Reynders）在一份声明中表示。（文 / 李润泽子高艺）

推荐阅读：

摩擦不断、美作出妥协......美欧能在第三次博弈中确定数据跨境规则吗？

“新石油”开发记之一：第五生产要素市场化之路，一场旷日持久的确权大讨论

“新石油”开发记之二：数据分类分级--数据资产走进市场的关键一役

“新石油”开发记之三：“旧瓶装旧酒”还是摸索中前进？

“新石油”开发记之四：数据跨境，鼓励流动无法以让渡安全为代价

“新石油“开发记之五：隐私计算，离改变“游戏规则”还差耐心与时间

END

继续滑动看下一个