文|王金钧 中国信通院互联网法律研究中心助理研究员
要苏慧 中国信通院互联网法律研究中心实习生
2023年7月10日,欧盟委员会正式通过了《欧盟-美国数据隐私框架(以下简称“DPF”)的充分性决定》,标志着欧盟认可了美国的个人数据保护水平。基于该充分性决定,美国企业可以将欧盟个人数据自由地从欧盟传输至美国,而无需实施额外的数据保护措施。这是继安全港框架(U.S.-EU Safe Harbor Framework)和隐私盾协议(EU-U.S. Privacy Shield)之后,美欧试图建立稳定的跨大西洋数据流动安排的又一次尝试。
一、美欧间数据跨境流动合作历史概述
一是“安全港框架”时期。这一时期的欧盟个人数据保护以《95指令》为依据。2000年7月,欧盟确认美国所提供的个人数据保护措施符合《95指令》要求,在此基础上形成“安全港框架”,明确美国企业可以在此框架下将欧盟公民个人数据传输到美国。受2013年“斯诺登事件”影响,奥地利公民马克思·施雷姆斯向脸书欧洲总部所在地爱尔兰数据保护局发起投诉,要求禁止脸书依据该框架将数据传输至美国,并最终上诉至欧盟法院,被称为Schrems I案。2015年10月,欧盟法院认定“安全港框架”无效。
二是“隐私盾”时期。这一时期GDPR取代《95指令》成为新的数据保护法。2016年7月,欧美就新的“隐私盾协议”达成一致,美国企业可以每年向美国商务部申请进行自我认证,以证明符合GDPR有关数据跨境传输的规定。2015年12月,施雷姆斯更新其投诉事由,对脸书所依赖的数据跨境传输路径提出质疑,主张美国监听计划侵犯了其隐私权、数据保护权以及获得有效司法保护的权利,并再次上诉至欧盟法院,被称为Schrems II案。由于隐私盾协议于案件审理期间通过,因此其有效性问题自然成为判决焦点。2020年7月,欧盟法院认定隐私盾协议无效。
三是后隐私盾时期。自隐私盾协议被判无效之后,美国企业继续使用标准合同作为数据跨境流动路径。2020年8月,爱尔兰数据保护局对Meta展开调查,并初步认定元宇宙公司违反了GDPR有关数据跨境传输的规定。2023年5月,爱尔兰数据保护局发布调查结论,认为美国法律未提供与欧盟法律相同的数据保护水平,采用标准合同无法弥补这一不足,且元宇宙公司也并未采取任何补充保护措施,对其处以12亿欧元罚款。同时,美国在这一时期也积极寻求建立新的跨大西洋数据隐私框架。
二、DPF的主要内容
一是DPF引入了新的约束性保障措施。这一举措主要是为了回应欧盟法院在此前Schrems II案中所提出的担忧,如将美国情报机构对欧盟数据的访问限制在必要和适当的范围;设立数据保护审查法院(DPRC),当美国情报机构收集和使用数据存在问题时,欧盟公民有权通过DPRC使用独立的赔偿机制,DPRC将对投诉进行独立调查,并实施有约束力的救济措施,如果DPRC发现美国企业数据处理违反了欧盟数据保护相关规定,则可以命令删除该数据。相比于隐私盾协议,DPF的数据保护水平有较大程度的改进。
二是DPF创设了新的隐私义务。根据DPF,美国公司在传输欧盟个人数据时必须遵守一系列隐私义务,包括不得以与处理目的不相符的方式处理个人数据,对敏感个人数据采取更强的保障措施,确保所收集个人数据的可靠性、准确性与完整性。美国公司在传输欧盟个人数据时须将是否获得数据隐私保护认证、数据收集类型、处理目的及救济措施等信息告知数据主体。一旦欧盟个人数据被美国公司错误处理,欧盟公民可以通过独立争议解决机制或仲裁小组寻求救济。美国公司应当采取适当的技术措施与组织架构,确保自身能够有效遵守数据保护义务。
三是DPF的运行将受到定期审查。欧洲委员会、欧洲数据保护委员会及美国相关部门共同组成的机构将对DPF进行定期审查。第一次审查将在充分性决定生效后一年内进行,以验证所有相关要素是否已在美国法律框架中得到充分实施,并在实践中有效运作。在美国,DPF框架主要由美国商务部进行管理和监督,联邦贸易委员会(FTC)负责监管美国企业的相关合规事项。
三、DPF简析
总的来说,此次充分性认定为欧盟-美国的数据跨境流动带来了法律确定性,奠定了美欧之间在数据跨境流动合作方面的基本态势。但值得注意的是,DPRC将由美国政府以外的成员组成,但其任命程序仍有瑕疵,其独立性将很快受到施雷姆斯等隐私活动家及相关组织的质疑。此外,美国是否真的能达到其所称的数据保护水平也值得怀疑。欧盟委员会将于2024年7月发布对此次充分性认定的第一次审查结论,届时将了解DPF的实际效果。
参考文献:
1.Adequacy decision EU-US Data Privacy Framework, at https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
2.The new EU-US Data Privacy Framework: Failing forwards towards a ‘Schrems III’? at https://www.epc.eu/en/Publications/The-new-EU-US-Data-Privacy-Framework-Failing-forwards-towards-a-Schr~527754
3.《美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)》,载微信公众号“TMT法律论坛”,2022年3月28日发布。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。