2023年9月21日,英国正式确认“英美数据桥”(UK-US data bridge)即将于10月21日生效,届时将允许组织通过“欧盟-美国隐私框架的英国扩展”进行美英间数据跨境传输。2023年6月9日,英美发布声明,在原则上承诺建立“数据桥”,以实现英美相关组织之间的数据自由流动。

数据桥生效后,英国的组织将能够将个人数据传输到获得“欧盟-美国数据隐私框架的英国扩展”认证的美国组织,而无需进一步的保护措施,例如英国GDPR中规定的国际数据跨境传输协议或有约束力的公司规则。

欧盟-美国隐私框架的英国扩展

欧盟-美国隐私框架由美国商务部和欧洲委员会制定,是基于“欧盟-美国数据隐私框架原则”的认证体系,自2023年7月10日欧盟委员会通过“欧盟-美国数据隐私框架的充分性决定”之日起生效。由于英国退出欧盟,因此不能直接适用该认证体系,而需要与美国另行达成协议。与此同时,欧盟-美国隐私框架又具有可扩展性,其中包括“英国扩展”(另外还有瑞士扩展),即在欧盟-美国隐私框架下获得认证的美国公司可以据此接收英国数据。

更多相关内容请见数治君此前发布的“数据跨境认证机制—欧美数据隐私框架(DPF)”。

数据桥生效的另一个好处是,英国组织向美国的数据跨境传输将不再必须进行传输风险评估(Transfer Risk Assessment)。

传输影响评估:

英国《通用数据保护条例》(“英国GDPR”)规定,数据出口方在适用英国GDPR第46条规定的跨境传输工具(比如“国际数据跨境传输协议”)之前需要进行传输风险评估,该制度旨在评估目的地国或地区是否与英国“共享某些支撑法律和实践的关键原则”。为落实传输影响评估,英国信息专员办公室曾于2021年8月11日出台了《国际转移风险评估和工具(草案)》(Draft International transfer risk assessment and tool)。

英国政府估算其于2021年向美国出口了价值790亿英镑的数据服务,英国希望新的数据流协议将进一步刺激两国经济增长,并鼓励更多企业国际化运营发展。

英国脱欧后一直积极开展国际数据跨境流动合作,其将韩国与美国、澳大利亚、迪拜国际金融中心、哥伦比亚和新加坡列了为签署数据充分性协议的优先国家,还计划在长期内与巴西、印度、印度尼西亚和肯尼亚达成伙伴关系。

除了此次生效的英美数据桥外,英国已于2022年11月23日与韩国达成了“英韩数据桥”,并已于2022年12月19日生效。

参考资料:

[1]https://www.gov.uk/government/publications/uk-us-data-bridge-supporting-documents

[2]https://www.gov.uk/government/publications/uk-us-data-bridge-supporting-documents/uk-us-data-bridge-explainer

[3]https://www.gov.uk/government/news/uk-finalises-landmark-data-decision-with-south-korea-to-help-unlock-millions-in-economic-growth

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。