欧盟EDPB通过欧-美数据隐私框架首次报告

并就执法获取数据的建议发表声明

吴沈括

北京师范大学法学院博士生导师

中国互联网协会研究中心副主任

陈笠恒

北京师范大学研究助理

布鲁塞尔,2024年11月5日 - 在最近的全体会议上,欧洲数据保护委员会(EDPB)通过了关于欧盟-美国数据隐私框架(DPF)首次审查的报告,并发布了关于高层小组(HLG)提出的有效执法数据访问建议的声明。

EDPB欢迎美国当局和欧盟委员会为推进DPF所做的努力,关注到自2023年7月通过适当性决定以来的多项进展。

在商业领域,EDPB指出,美国商务部为实施DPF认证流程已采取一系列措施,包括开发新网站、更新相关流程、与企业互动及宣传活动,以确保符合自我认证公司所需的要求。

此外,针对欧盟个人的申诉机制已经建立,并在大西洋两岸发布了详细的申诉处理指南。然而,目前DPF框架下收到的投诉数量较少,表明美国当局有必要加强对DPF认证公司遵守DPF原则的实质性合规监控。

EDPB鼓励美国当局制定具体指南,以明确DPF认证公司在接收来自欧盟的个人数据后应遵守的相关要求,并欢迎美国提供人力资源数据方面的指导。EDPB表示,愿意就这些指南提供反馈意见。

关于美国公共当局访问从欧盟传输的个人数据,EDPB重点关注了行政命令14086所引入的保障措施的实际执行情况,包括必要性和比例性原则以及新的申诉机制。委员会认为,尽管申诉机制的各要素已到位,但仍呼吁欧盟委员会监控这些保障措施的实际成效,如必要性和比例性原则的执行。EDPB建议委员会关注《美国外国情报监视法》(特别是第702条重新授权后)的未来发展,以应对其可能的广泛影响。

EDPB副主席兹德拉夫科·武基奇表示:“自适当性决定通过以来,在美国当局、欧盟委员会和EDPB之间开展的良好合作推动了多项进展。同时,我们仍有改进空间,应继续携手努力,确保高水平的数据保护,保障欧盟公民的权利和自由。”

EDPB建议,下一次欧盟-美国适当性决定的审查应在三年或更短的时间内完成。

在HLG关于有效执法数据访问的建议声明中,EDPB强调,执法机构在获取个人数据时必须保障基本权利。虽然EDPB支持有效执法的目标,但其指出,HLG的一些建议可能会对隐私权和家庭生活的尊重造成严重侵扰。

尽管EDPB认可在数据保留方面的建议有助于建立公平竞争环境,但其认为要求所有服务提供商普遍保留数据的义务将严重干涉个人权利,因此质疑这是否符合《欧盟基本权利宪章》和欧盟法院判例法中的必要性和比例性要求。

声明中,EDPB还指出,有关加密的建议不应限制加密的使用或削弱其保护效果。例如,引入一种允许在数据被加密之前或在接收方解密之后远程访问数据的客户端流程,在实践中将削弱加密的有效性。保持加密的保护性和有效性对于保障个人生活隐私和保密性、确保言论自由及依赖可信技术的经济增长至关重要。

备注:

1、根据欧盟-美国适当性决定第3条的规定,欧盟委员会在该决定通过一年后需要进行审查。审查会议于2024年7月18-19日在华盛顿特区举行,欧盟委员会由EDPB的五名代表陪同。

2、HLG由欧盟委员会于2023年6月发起,并由欧盟委员会和轮值主席国联合主持。其目标是探讨执法人员在获取数据时面临的挑战,并提出解决方案和建议。

2024年6月,HLG发布了关于进一步发展欧盟政策和立法的42项建议,主要分为“能力建设措施”、“与行业的合作及标准化”及“立法措施”。这些建议特别涵盖了加密、与行业及执法机构间的合作、以及数据保留的统一规则的需求。

声明:本文来自数字治理全球洞察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。