译者按:

欧盟时间12月13日,欧盟委员会发布了《关于欧盟-美国数据隐私框架的充分性决定草案》。全文134页。现第一时间通过翻译欧盟官方的Q&A,将相关情况给大家介绍。

12月13日,欧盟委员会启动了通过欧盟-美国数据隐私框架充分性决定的程序,这将促进跨大西洋的数据流动,并解决欧盟法院在其2020年7月的Schrems II决定中提出的关切。【相关情况见文末,本公众号对此背景有系列跟踪和分析。】

充分性决定草案的结论是,美国确保了对从欧盟转移到美国的个人数据的充分保护水平。这是基于对数据隐私框架本身及其对公司的义务的深入评估,以及对美国公共当局访问转移到美国的数据的限制和保障措施,特别是为刑事执法和国家安全目的。

在拜登总统于2022年10月7日签署行政命令后,提出了充分性决定草案的建议。【全文翻译见:白宫《关于加强美国信号情报活动保障措施的行政命令》全文翻译】与司法部长发布的条例一起,该行政命令将冯德莱恩总统和拜登总统于2022年3月宣布的关于新的欧盟-美国数据隐私框架的原则协议落实到美国法律中【数据跨境流动 | 美欧就新的跨大西洋数据隐私框架达成原则性协议】。该行政命令引入了新的具有约束力的保障措施,以解决欧盟法院在其Schrems II判决中提出的问题。它对美国情报机构获取数据施加了限制和保障措施,并建立了一个独立和公正的补救机制,以处理和解决欧洲人关于为国家安全目的收集其数据的投诉。

1、什么是适当性决定?

充分性决定是《通用数据保护条例》(GDPR)提供的工具之一,用于将个人数据从欧盟转移到第三国,根据委员会的评估,这些国家对个人数据的保护水平与欧盟相当。

由于充分性决定,个人数据可以自由和安全地从欧洲经济区(EEA)流向第三国,而不受任何进一步条件或授权的限制。换句话说,向第三国的转移可以用与欧盟内部数据传输相同的方式处理。

一旦充分性决定获得通过,欧洲实体将能够向美国的参与公司转移个人数据,而不需要设置额外的数据保护保障措施。

美国公司将能够通过承诺遵守一套详细的隐私义务(如目的限制和数据保留,以及有关数据安全和与第三方共享数据的具体义务)来证明它们参与了欧盟-美国数据隐私框架。

2、充分性的认定标准是什么?

充分性并不要求第三国的数据保护系统与欧盟的系统完全相同,而是基于"实质等同"的标准。它涉及对一个国家的数据保护框架的全面评估,包括适用于个人数据的保护和可用的监督和补救机制。

欧洲数据保护机构已经制定了一份评估必须考虑的要素清单,例如是否存在核心数据保护原则、个人权利、独立监督和有效补救措施。

3、关于美国情报机构获取数据的限制和保障措施有哪些?

充分性决定草案所依据的美国法律框架的一个基本要素涉及拜登总统10月7日签署的行政命令。该命令以及相应的条例执行了美国在冯德莱恩总统和拜登总统3月宣布的原则协议中做出的承诺。

对于个人数据被转移到美国的欧洲人,该行政命令规定了:

  • 具有约束力的保障措施,将美国情报机构对数据的访问限制在保护国家安全的必要和相称的范围内。

  • 加强对美国情报部门活动的监督,确保遵守对监视活动的限制;以及

  • 建立一个独立和公正的补救机制,其中包括一个新的数据保护审查法庭,以调查和解决有关美国国家安全当局获取其数据的投诉。

行政命令要求美国情报机构审查其政策和程序,以实施这些新的保障措施。

4、国家安全领域的新补救机制与之前的隐私盾监察员有什么不同?

该行政命令以及相应的条例建立了一个新的两层补救机制,具有独立和有约束力的权力。

根据第一层,欧盟个人将能够向美国情报界所谓的"公民自由保护官"(‘Civil Liberties Protection Officer")提出投诉。这个人负责确保美国情报机构遵守隐私和基本权利。

在第二层,个人将有可能就公民自由保护官的决定向新设立的数据保护审查法院提出上诉。该法院将由来自美国政府以外的成员组成,他们根据特定的资格被任命,只能因故被解雇(如刑事定罪,或被认为在精神或身体上不适合执行任务),不能接受政府的指示。数据保护审查法庭将有权调查欧盟个人的投诉,包括从情报机构获取相关信息,并能做出具有约束力的补救决定。例如,如果数据保护审查法院将发现,数据的收集违反了行政命令中规定的保障措施,它将能够命令删除这些数据。

为了进一步加强法院的审查,在每个案件中,法院将选择一个具有相关经验的特别辩护人来支持法院,他将确保投诉人的利益得到代表,并确保法院充分了解案件的事实和法律方面的情况。这将确保双方都有代表,并在公平审判和正当程序方面引入重要保障。

与隐私盾协议下存在的机制相比,这些都是重大改进。

5、该进程的下一步是什么?

充分性决定草案已转交给欧洲数据保护委员会(EDPB)征求意见。

之后,委员会将需要从一个由欧盟成员国代表组成的委员会获得绿灯。此外,欧洲议会对适当性决定有审查权。

只有在这之后,欧盟委员会才能通过最终的充分性决定,这将允许数据在欧盟和美国商务部在新框架下认证的美国公司之间自由和安全地流动。

6、在此期间,公司有哪些选择?

重要的是要记住,充分性决定不是国际数据转移的唯一工具。

公司可以在其商业合同中引入的示范条款,是最常用的从欧盟转移数据的机制。去年,欧盟委员会通过了现代化的"标准合同条款",以促进其使用,包括考虑到法院在Schrems II判决中提出的要求。还为依靠标准合同条款传输数据的公司提供了实际指导。

美国政府在国家安全领域制定的所有保障措施(包括补救机制)将适用于根据GDPR向美国公司的所有转移,无论使用何种转移机制。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。