美国商务部等联合发布个人隐私保护白皮书

9月29日，美国商务部、司法部和国家情报局联合发布个人隐私保护白皮书。主要内容是美国国家安全访问有关法律对个人隐私保护的规定，重点聚焦于欧盟法院在判决隐私盾协议失效（即SchremsⅡ）中提出的有关问题。

白皮书列述了所涉法律执法操作的细节规定，也指出了欧盟法院未考虑到、但企业可纳入跨境传输安全评估的有效措施，还引用了欧盟法院没有关注到的各种材料。主要包括：

一是欧盟质疑美国政府以国家安全为由访问个人数据的情况缺乏实际存在意义。实际情况是，国家安全机构对大多数企业收集的信息不感兴趣，目前企业也未反映收到按照《外国情报监视法》披露数据的命令。

二是SchremsⅡ中质疑美国情报机构单方面获取个人数据只在理论上存在。就这一点，美国与其他政府机构，包括欧盟或私人实体均只有理论上的可能性。

三是遵照欧盟《通用数据保护条例》（GDPR）规定，为公共利益开展信息共享是美国《外国情报监视法》（FISA）的合法依据之一。白皮书还提供了美国与欧盟因信息共享而避免威胁的大量实例。

四是美国的外国情报监视法院（FISC）在监督执法方面具有积极作用。包括要求国家安全局分析员建立选择对象的有关记录，且司法部将对此进行审查；向财政部报告不合规行为，以及采取的补救措施；与财政部开展每半年一次的联合评估。

五是《美国法典》《电子通信隐私法》和《行政程序法》等提供了隐私保护条款，可对质疑政府获取个人数据的违法行为提请诉讼，并要求采取补救措施，如申诉补偿性和惩罚性赔偿等。

六是自2016年隐私盾协议实施以来，FISA第702条增加了额外的隐私保护措施有关要求，包括FISC可终止收集的命令，完善隐私和公民自由监督委员会监督条款的有关内容，收集之前通知国会等。

七是由于FISC在授权和监督执法上更便利，FISA第702条规定了其与欧盟具有同等法律效力，类似应用已得到欧盟人权法院的支持。

八是美国要求公司或个人披露数据的法定机构是FISA第702条和相应的法定机构，第12333号行政命令，包括总统政策指令28（PPD-28）均不是法定机构。且按照行政命令收集个人数据的行为，也需要遵守收集目的、收集程序等方面的隐私保护规定。

美国政府明确表示，白皮书不是为了指导企业了解欧盟法律，也不是为了向欧盟监管机构和法院表明立场。尽管如此，白皮书为采取GDPR规定的标准合同条款或约束性公司规则进行数据跨境传输的企业提供了一系列信息，以协助其满足GDPR的有关规定。

（相关新闻由Hogan Lovells Engage发布）

声明：本文来自互联网新技术新业务安全评估中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。