《欧盟-美国数据隐私框架的充分性决定》简析

文|王金钧 中国信通院互联网法律研究中心助理研究员

要苏慧 中国信通院互联网法律研究中心实习生

2023年7月10日，欧盟委员会正式通过了《欧盟-美国数据隐私框架（以下简称“DPF”）的充分性决定》，标志着欧盟认可了美国的个人数据保护水平。基于该充分性决定，美国企业可以将欧盟个人数据自由地从欧盟传输至美国，而无需实施额外的数据保护措施。这是继安全港框架（U.S.-EU Safe Harbor Framework）和隐私盾协议（EU-U.S. Privacy Shield）之后，美欧试图建立稳定的跨大西洋数据流动安排的又一次尝试。

【资料图】

一、美欧间数据跨境流动合作历史概述

一是“安全港框架”时期。这一时期的欧盟个人数据保护以《95指令》为依据。2000年7月，欧盟确认美国所提供的个人数据保护措施符合《95指令》要求，在此基础上形成“安全港框架”，明确美国企业可以在此框架下将欧盟公民个人数据传输到美国。受2013年“斯诺登事件”影响，奥地利公民马克思·施雷姆斯向脸书欧洲总部所在地爱尔兰数据保护局发起投诉，要求禁止脸书依据该框架将数据传输至美国，并最终上诉至欧盟法院，被称为Schrems I案。2015年10月，欧盟法院认定“安全港框架”无效。

二是“隐私盾”时期。这一时期GDPR取代《95指令》成为新的数据保护法。2016年7月，欧美就新的“隐私盾协议”达成一致，美国企业可以每年向美国商务部申请进行自我认证，以证明符合GDPR有关数据跨境传输的规定。2015年12月，施雷姆斯更新其投诉事由，对脸书所依赖的数据跨境传输路径提出质疑，主张美国监听计划侵犯了其隐私权、数据保护权以及获得有效司法保护的权利，并再次上诉至欧盟法院，被称为Schrems II案。由于隐私盾协议于案件审理期间通过，因此其有效性问题自然成为判决焦点。2020年7月，欧盟法院认定隐私盾协议无效。

三是后隐私盾时期。自隐私盾协议被判无效之后，美国企业继续使用标准合同作为数据跨境流动路径。2020年8月，爱尔兰数据保护局对Meta展开调查，并初步认定元宇宙公司违反了GDPR有关数据跨境传输的规定。2023年5月，爱尔兰数据保护局发布调查结论，认为美国法律未提供与欧盟法律相同的数据保护水平，采用标准合同无法弥补这一不足，且元宇宙公司也并未采取任何补充保护措施，对其处以12亿欧元罚款。同时，美国在这一时期也积极寻求建立新的跨大西洋数据隐私框架。

二、DPF的主要内容

一是DPF引入了新的约束性保障措施。这一举措主要是为了回应欧盟法院在此前Schrems II案中所提出的担忧，如将美国情报机构对欧盟数据的访问限制在必要和适当的范围；设立数据保护审查法院（DPRC），当美国情报机构收集和使用数据存在问题时，欧盟公民有权通过DPRC使用独立的赔偿机制，DPRC将对投诉进行独立调查，并实施有约束力的救济措施，如果DPRC发现美国企业数据处理违反了欧盟数据保护相关规定，则可以命令删除该数据。相比于隐私盾协议，DPF的数据保护水平有较大程度的改进。

二是DPF创设了新的隐私义务。根据DPF，美国公司在传输欧盟个人数据时必须遵守一系列隐私义务，包括不得以与处理目的不相符的方式处理个人数据，对敏感个人数据采取更强的保障措施，确保所收集个人数据的可靠性、准确性与完整性。美国公司在传输欧盟个人数据时须将是否获得数据隐私保护认证、数据收集类型、处理目的及救济措施等信息告知数据主体。一旦欧盟个人数据被美国公司错误处理，欧盟公民可以通过独立争议解决机制或仲裁小组寻求救济。美国公司应当采取适当的技术措施与组织架构，确保自身能够有效遵守数据保护义务。

三是DPF的运行将受到定期审查。欧洲委员会、欧洲数据保护委员会及美国相关部门共同组成的机构将对DPF进行定期审查。第一次审查将在充分性决定生效后一年内进行，以验证所有相关要素是否已在美国法律框架中得到充分实施，并在实践中有效运作。在美国，DPF框架主要由美国商务部进行管理和监督，联邦贸易委员会（FTC）负责监管美国企业的相关合规事项。

三、DPF简析

总的来说，此次充分性认定为欧盟-美国的数据跨境流动带来了法律确定性，奠定了美欧之间在数据跨境流动合作方面的基本态势。但值得注意的是，DPRC将由美国政府以外的成员组成，但其任命程序仍有瑕疵，其独立性将很快受到施雷姆斯等隐私活动家及相关组织的质疑。此外，美国是否真的能达到其所称的数据保护水平也值得怀疑。欧盟委员会将于2024年7月发布对此次充分性认定的第一次审查结论，届时将了解DPF的实际效果。

参考文献：

1.Adequacy decision EU-US Data Privacy Framework, at https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

2.The new EU-US Data Privacy Framework: Failing forwards towards a ‘Schrems III’?at https://www.epc.eu/en/Publications/The-new-EU-US-Data-Privacy-Framework-Failing-forwards-towards-a-Schr~527754

3.《美欧就跨大西洋数据隐私框架达成原则性协议（含监管历史演进梳理）》，载微信公众号“TMT法律论坛”，2022年3月28日发布。

标签：