数据跨境认证机制：欧美数据隐私框架 (DPF)

近年来，随着互联网的发展和全球数字化进程的推进，数据跨境传输逐渐成为国际贸易、科技创新和国家安全等领域中最为关键的议题之一，而美欧之间的数据传输也一直备受关注。自2000年至今，美国与欧盟之间已有先后通过“欧美安全港框架”、“欧美隐私盾协议”和“欧美数据隐私框架”达成跨大西洋数据传输协议。

2000年-2015年：欧美安全港框架（EU-US Safe Harbor Framework）。欧盟委员会在2000年通过“充分保护决定”，承认"欧美安全港框架"对个人数据的保护程度达到了欧盟的要求，允许组织通过该框架传输欧盟个人数据。然而，2015年欧洲法院在Maximillian Schrems诉数据保护专员案（Schrems I案）中宣布该框架为无效机制。

2016年-2020年：欧美隐私盾协议（EU-US Privacy Shield）。为解决“安全港框架”的无效问题，欧盟委员会于2016年再次通过“充分性决定”，批准了“欧美隐私盾协议”。该协议要求美国确保对欧盟数据主体提供足够的数据隐私保护。然而，2020年欧洲法院在Schrems II案中宣布“隐私盾协议”同样无效。

2022年至今：欧美数据隐私框架（EU-U.S. Data Privacy Framework， “DPF”）。在2022年3月，美国和欧盟宣布双方原则上同意建立新的跨大西洋数据隐私框架，以解决欧洲法院在Schrems II案中提出的问题。2022年12月，欧盟委员会发布了“欧美数据隐私框架的充分性决定草案”，并于2023年5月经欧洲议会表决通过。本文介绍了该DPF的作用、运行及其认证实施等相关内容。

与此同时，认证也是全球各国和地区之间开展数据跨境流动合作的重要机制。在实践中，认证不仅可以作为具备良好的个人信息保护水平的证明，也可以作为遵守法律法规和相关规定的证明，这将有利于便利企业在数字经济时代下的业务开展，优化国际营商环境。

新的数据隐私框架（DPF）有何作用？

欧美DPF由美国商务部和欧洲委员会制定，是基于“欧盟-美国数据隐私框架原则”的认证体系。DPF旨在推动跨大西洋商业往来，并确保与欧盟法律一致水平的数据保护，为美国组织从欧盟/欧洲经济区向美国进行数据传输提供可靠的机制。

DPF自2023年7月10日欧盟委员会通过“欧盟-美国数据隐私框架的充分性决定”之日起生效。欧盟对DPF做出的充分性决定将在很大程度上减轻跨大西洋数据传输的合规难度：

1. 根据DPF取得认证的组织无需再采取任何其他数据跨境传输合规机制（例如标准合同条款或具有约束力的组织规则），即可将个人数据从欧盟转移至美国；

2. 位于欧盟的数据出口方（data exporter）在将个人数据跨境传输至取得DPF认证的接收方时，开展转移风险评估（transfer impact assessment）将不再是强制义务。

数据隐私框架（DPF）如何运行？

DPF认证机制由美国商务部国际贸易管理局（Department of Commerce’s International Trade Administration，以下简称“美国ITA”）管理，由美国联邦贸易委员会（Federal Trade Commission，以下简称“美国FTC”）和美国交通部（Department of Transportation，以下简称“美国DOT”）负责执行。

欧洲委员会将通过定期检查监督数据隐私框架，并确保美国方面执行的合规性。欧盟和美国还设有定期联合审查的条款。如果美国未能履行承诺，欧洲委员会可以暂停数据隐私框架。

在实施层面，美国已经建立了一个两层机制，旨在处理个人根据欧洲经济区的情况下向美国传输的数据对美国情报机构访问的投诉。个人可以向其所在欧盟成员国的国家数据保护机构提交投诉，然后通过欧洲数据保护委员会（European Data Protection Board，“EDPB”）转交给美国。投诉的初步调查由美国公民自由保护官员进行。如有需要，个人可以向新成立的数据保护审查法庭（Data Protection Review Court，“DPRC”）提出申诉，该法庭是一个独立机构，由不属于美国政府的个人组成。DPRC可以做出具有约束力的法律决定。

如何获得数据隐私框架（DPF）认证？

组织可以通过DPF网站（www.dataprivacyframework.gov）进行自我认证。

图：DPF认证网站

申请认证的组织需满足以下要求：

1.证明其将遵守DPF原则：

DPF的核心原则包括数据处理的目的限制，处理特殊类别数据的保障措施，保障数据的准确性、最小化和安全性，透明度，个人权利保障，转移至第三方/美国境外的限制、问责制。

与隐私盾时期相比，新的DPF在认证的内容上有所变化。比如：要求组织提供更加详细的信息（如列出所有美国实体或子组织的名称和更多的联系方式），加入了更加详细的退出程序（规定了组织必须说明在其打算退出认证时是否计划保留、返还或删除数据）等。

2.发布符合DPF原则的隐私政策：

组织应通过隐私政策向个人提供有关其数据处理活动的清晰且可访问的信息，包括收集数据的目的以及个人对其数据拥有的权利，以符合DPF的透明度要求。

对于此前已获得隐私盾认证的组织，需要遵守DPF进行数据跨境传输，但这些组织不必再单独申请DPF的自我认证，而是须在2023年10月10日之前根据DPF的要求更新其隐私政策。

3.提供独立的追索机制，以用于调查有关组织不遵守DPF的投诉：

组织必须为数据主体提供简单易行的投诉方式，在不给个人带来任何费用的情况下快速、公平地解决问题，且必须在45天内回复数据主体。

4.同意接受调查和执法：

一旦符合条件的组织向美国ITA进行自我认证，并公开声明其致力于遵守数据隐私框架的原则，该承诺就在美国法律下可强制执行，相关执法机构包括美国FTC、美国DOT或其他相关政府机构。

欧美DPF的扩展适用

通过 DPF认证的组织还可以根据瑞士-美国数据隐私框架（以下简称“瑞士-美国 DPF”）和欧盟-美国 DPF 的英国扩展（以下简称“英国扩展DPF”）进行认证。

瑞士-美国 DPF：

在瑞士宣布对瑞士-美国数据隐私框架的充分性认定之前，还不能依据该DPF从瑞士接收个人数据。

英国扩展DPF：

在英美实施数据桥的充分性认定生效日期之前，还不能依据该DPF从英国接收个人数据：2023年6月9日，英美发布声明，承诺建立“数据桥”，以实现英美相关组织之间的数据自由流动。截至目前，双方尚未出台关于“数据桥”的进一步规定。

参考资料：

[1] https://www.dataprivacyframework.gov/，2023年8月30日访问。[2]https://www.commerce.gov/news/press-releases/2023/07/data-privacy-framework-program-launches-new-website-enabling-us，2023年8月31日访问。

[3]https://www.gov.uk/government/news/uk-and-us-reach-commitment-in-principle-over-data-bridge，2023年8月31日访问。

声明：本文来自数据信任与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。