《欧盟-美国数据隐私框架 (DPF)》的充分性决定概述

2023年7月10日，欧盟委员会通过了欧盟-美国数据隐私框架(EU-U.S. Data Privacy Framework，下文简称“ DPF”)的充分性决定。该决定认可参与《欧盟-美国数据隐私框架》的美国公司可以提供与欧盟相当的数据保护水平。根据新的充分性决定，个人数据可以安全地从欧盟流向获得DPF认证的美国公司，而无需实施额外的数据保护保障措施或进一步授权。该充分性决定是欧盟和美国自2020年《欧美隐私盾协议》失效后，历时三年的谈判结晶，标志着跨大西洋数据流监管的重大发展。

一、DPF的实施背景

《通用数据保护条例》（GDPR）第45（3）条授予委员会权力，通过实施法案决定非欧盟国家确保“充足的保护水平”——对个人数据的保护水平基本上相当于欧盟内部的保护水平。一旦通过了充分性认定，该国家或地区就无需再为与欧盟的个人数据传输进行单独授权，这对于希望与欧盟开展经贸往来的国家和企业具有很大的吸引力。

实现欧盟和美国之间的数据自由流动一直是当务之急，反映了跨大西洋经济关系的战略重要性。欧盟和美国之间的两个先前数据传输框架“欧美安全港框架”、“欧美隐私盾协议”都已被宣布失效，即2015年欧盟法院（CIEU）通过SchremsI裁决“欧美安全港框架”因违反《95年数据保护指令》以及侵犯了欧盟公民的个人数据根本权利而无效。2020年欧盟法院通过SchremsII裁定欧美隐私盾协议失效。欧盟法院的裁决认为，欧美隐私盾协议所提出的行政及情报系统内控机制并不足以保护欧盟公民的个人信息，因为美国情报机构即使在监控目的完成后也不会告知欧盟公民曾对其实施过监控，而行政监察专员机制也不足以确保欧盟公民的个人信息能得到充分的保护。这些决定给在欧盟和美国之间交换数据的公司带来了很大的法律不确定性。

2022年3月，欧盟委员会主席冯德莱恩和拜登总统宣布，经过雷恩德斯专员和美国国务卿雷蒙多的谈判，双方原则上同意建立新的跨大西洋数据流框架。2022年10月，拜登总统签署了《关于加强美国信号情报活动保障措施的行政命令》（下文简称“E.O”），指示美国将采取的步骤，以落实美国在欧盟-美国数据隐私框架下的承诺。2022年12月，欧盟委员会发布了“欧盟-美国数据隐私框架的充分性决定草案”，并于2023年5月经欧洲议会表决通过。

二、DPF的主要内容

（一）引入新的约束性保障措施

除了在政府获取数据方面引入新的保障措施外，美国还建立了一个数据保护审查法院（下文简称“DPRC”），欧盟公民有权通过DPRC使用独立的赔偿机制，DPRC将对投诉进行独立调查，并实施有约束力的救济措施，如果DPRC发现美国公司在数据处理中违反了欧盟数据保护相关规定，则可以命令其删除该数据。除此之外，DPF还设立了包括自由独立的争议解决机制和仲裁小组等补救机制。

（二）DPF设立新的隐私义务

美国公司通过承诺遵守一系列详细的隐私义务来加入DPF，包括美国公司在处理欧盟公民的个人数据时，一旦不再需要这些数据用于收集目的，应立即将其删除。这一义务旨在确保个人数据不会被无故保留，从而降低数据泄露的风险并保护个人的隐私权。以及在与第三方共享个人数据时应确保保护的连续性，这意味着即使数据的控制者发生改变，也必须确保对个人数据的处理仍然符合DPF的规定，以保护个人数据的隐私和安全。此外，美国公司在传输欧盟个人数据时除了必须遵守一系列数据保护义务，还应采取适当的技术措施与建立相应的组织机构，确保能够有效遵守数据保护义务。

为了解决欧盟法院对先前转移保障措施的担忧，DPF限制美国情报部门获取欧盟数据的权力。根据E.O的规定，美国情报机构对数据的访问被限制在保护国家安全所必需的范围内。

DPF设立了独立且有约束力的两层救济机制。这个机制是为了解决关于获得服务是否符合这一标准的争端，以及处理欧洲公民对美国情报机构使用数据的投诉。在第一层救济机制中，投诉首先会被提交给美国联邦调查局的“公民自由保护官”（Civil Liberties Protection Officer，下文简称“CLPO”）。CLPO接到投诉申请后，可以启动独立的调查程序。若发现当局有违反E.O规定的强化保障措施或其他违规行为，则可以采取适当的救济措施。在第二层救济机制中，如果对CLPO的决定不满，个人将有可能在新成立的DPRC中对CLPO的决定提出上诉。DPRC有权对投诉进行调查，可以从美国情报部门获取相应证据，还可以作出具有约束力的救济决定。

（三）DPF定期审查机制

在美国，美国商务部负责管理和监督该框架，美国联邦贸易委员会将强制美国公司遵守该框架，监管美国企业相关合规事项。欧洲委员会、欧洲数据保护委员会及美国相关部门共同组成的机构将对DPF进行定期审查，第一次审查将在充分性决定生效后一年内进行。

三、获取DPF认证的步骤

DPF认证机制由美国商务部国际贸易管理局（Department of Commerce’s International Trade Administration，下文简称“ITA”）管理，由美国联邦贸易委员会（Federal Trade Commission，下文简称“FTC”）和美国交通部（Department of Transportation，下文简称“DOT”）负责执行。

想要获得DPF认证的组织可以通过DPF网站（www.dataprivacyframework.gov）进行自我认证，具体认证步骤如下：

1、资格：申请认证的组织须确认他们具有相应的资格能够加入框架。目前，受联邦贸易委员会（FTC）或美国交通部（DOT）管辖的美国法律实体有资格参与。

2、指定联络人：申请认证的组织应指定一名内部联系人来处理所有框架事项，此人的联系方式必须提供给ITA和自我认证过程中的各个阶段，以确保流程的顺利进行。

3、曾获隐私盾认证：对于此前已获得隐私盾认证的组织，希望加入框架计划的组织必须明确退出隐私护盾，并从其隐私政策中删除对隐私护盾的承诺。但这些组织不必再单独申请DPF的自我认证，而是须在2023年10月10日之前根据DPF的要求更新其隐私政策。

4、发布符合DPF原则的隐私政策：组织应通过隐私政策向个人提供有关其数据处理活动的清晰且可访问的信息，包括收集数据的目的以及个人对其数据拥有的权利，以符合DPF的透明度要求。在更新隐私政策时，组织需要确保其政策中包含了指向美国商务部DPF计划网站的链接，以及可用于调查投诉的机制的网站或投诉提交表的链接或网址。此外，隐私政策还需要描述在美国可能收到的个人数据类别，以及使用这些个人数据的目的。

5、追索程序：组织在申请DPF认证过程中，必须制定和执行内部追索程序，以便及时发现并纠正任何可能出现的合规性问题。这些程序应涵盖数据处理的所有环节，包括但不限于数据收集、存储、使用、共享、披露和销毁等。此外，为确保新隐私政策的真实性和符合性，组织需要建立一套验证措施。这些措施可能包括定期的内部审计、外部审计、第三方评估等。通过这些验证活动，组织可以确保其数据处理活动始终符合DPF的原则和要求。

ITA批准政策后，组织应最终确定并发布批准的政策。组织可以提交自我认证表格。ITA随后会将该组织添加到数据隐私框架清单中，该组织将能够在欧盟和美国之间安全地转移个人数据。

四、DPF的影响与挑战

通过近三年的长久谈判和强力的政治行政手段，欧盟和美国关于数据跨境流动最终达成充分性决定，恢复了欧美跨境数据流动的规制体系。这无疑对于维护欧美之间的经贸关系、推动跨大西洋商业往来具有深远影响。DPF是确保欧盟和美国之间个人数据合法有效传输的重要一步，进一步促进了欧盟与美国的合作，并允许在欧盟和美国都有业务的组织更容易地进行数据传输。由于其具有约束力的保障措施和多元化的个人权利救济机制，相比标准合同条款（Standard Contractual Clause）或具有约束力的公司规则，提供了更多的法律确定性。

然而，尽管欧盟和美国已经就数据隐私保护框架达成一致，但仍有一些挑战需要面对。例如，如何确保美国对两国之间传输的个人数据的保护与欧盟提供的保护真正相当，以及如何处理未来可能出现的新的法律问题等。此外，尽管充分性决定为美欧之间的数据跨境流动带来了法律确定性，但DPRC的独立性可能会受到Max Schrems等隐私权活动家及相关组织的质疑。Max Schrems认为，新的充分性决定并没有解决他之前提出的所有问题，包括美国情报机构对欧盟公民数据的访问问题。他表示，尽管DPF引入了新的约束性保障措施，但这些措施并不足以防止美国政府过度监控欧盟公民。他计划向欧洲法院提起诉讼，挑战DPF充分性决定的合法性和有效性。因此，在未来DPF实施过程中，还需要持续关注并解决上述问题。

刘乐馨 | 清华大学智能法治研究院实习生

选题、指导 | 刘云

编辑 | 刘懿阳

注：本公众号原创文章的著作权均归属于清华大学智能法治研究院，需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn，申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。