该决定认为,根据新框架,从欧盟转移至美国公司的个人数据,美国确保了足够的保护水平 —— 可以与欧盟相提并论。基于新的充分性决定,个人数据可以安全地从欧盟流向参与此框架的美国公司,无需实施额外的数据保护措施。
欧盟-美国数据隐私框架引入了新的具有约束力的保障措施,以解决欧洲法院提出的所有问题,包括限制美国情报服务对欧盟数据的访问到必要且成比例的程度,以及设立数据保护审查法庭(DPRC),欧盟个人可以起诉至此法庭。与隐私盾下存在的机制相比,新框架带来了显著的改进。例如,如果DPRC发现数据是违反新保障措施收集的,它将可以命令删除该数据。政府访问数据方面的新保障措施将补充美国公司从欧盟导入数据时必须遵守的义务。欧盟委员会主席乌苏拉·冯德莱恩表示:“新的欧盟-美国数据隐私框架将确保欧洲人的数据流安全,并为大西洋两岸的公司带来法律确定性。我去年与拜登总统达成的原则性协议之后,美国已实施了前所未有的承诺来建立新框架。今天我们迈出了一个重要的步骤,以确保公民相信他们的数据是安全的,深化欧盟与美国之间的经济联系,并同时重申我们的共享价值观。这表明,通过共同努力,我们可以解决最复杂的问题。”美国公司将能够加入欧盟-美国数据隐私框架,通过承诺遵守一套详细的隐私义务,例如当个人数据不再需要用于收集它的目的时,需要删除个人数据,以及在与第三方分享个人数据时确保保护的连续性。如果欧盟个人的数据被美国公司错误处理,他们将受益于几个救济途径。这包括免费的独立争议解决机制和仲裁小组。此外,美国的法律框架针对美国公共机构在框架下访问数据,尤其是为了刑事执法和国家安全目的,提供了一系列保障措施。数据的访问受到限制,仅限于保护国家安全所必需和成比例的部分。欧盟个人将可以利用一个独立公正的救济机制,关于美国情报机构对他们数据的收集和使用,这包括一个新建立的数据保护审查法庭(DPRC)。法院将独立进行调查并解决投诉,包括采取有约束力的救济措施。美国所采取的保障措施也将更普遍地促进跨大西洋的数据流动,因为这些措施也适用于使用其他工具传输数据的情况,例如标准合同条款和具有约束力的公司规则。
下一步行动欧盟-美国数据隐私框架的运作将受到定期审查,由欧盟委员会与欧盟数据保护机构和美国有权机构的代表共同进行。
充分性决定生效后的一年内,将进行第一次审查,以验证所有相关要素是否已在美国法律框架中得到充分实施,并在实践中有效运作。
背景通用数据保护条例(GDPR)第45(3)条赋予委员会权力,通过执行法案决定,非欧盟国家能否确保“足够的保护水平”——个人数据的保护水平基本等同于欧盟内部的保护水平。充分性决定的效果是,个人数据可以自由地从欧盟(以及挪威,列支敦士登和冰岛)流向第三国,无需进一步的障碍。
在欧盟法院撤销了之前关于欧盟-美国隐私盾的充分性决定后,欧洲委员会和美国政府开始就新框架进行讨论,以解决法院提出的问题。
2022年3月,冯德莱恩主席和拜登总统宣布,他们在新的跨大西洋数据流框架上达成了原则上的协议,这是在雷纳德斯专员与美国商务部长雷蒙多之间的谈判之后达成的。2022年10月,拜登总统签署了关于“增强美国信号情报活动的保障”的行政命令《关于加强美国信号情报活动保障措施的行政命令》,美国总检察长加兰德发布的规定对其进行了补充。这两个工具一起实施了原则协议下达成的美国承诺,并补充了欧盟-美国数据隐私框架下美国公司的义务。
将这些保障措施写入美国法律框架的一个关键要素是美国的行政命令“增强美国信号情报活动的保障”,该命令解决了欧洲联盟法院在其2020年7月的Schrems II判决中提出的问题。
该框架由美国商务部管理和监督。美国联邦贸易委员会将负责执行美国公司的合规性。
文章来源:https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en,关注“开放隐私计算”,后台回复“20230711”获取《充分性决定》全文PDF