152022-12
美欧数据跨境流通的第三次尝试:《欧盟-美国数据隐私框架的充分性决定草案》发布
南方财经全媒体记者 李润泽子 实习生 高艺 广州报道当地时间12月13日,欧盟委员会启动了《欧盟-美国数据隐私框架充分性决定草案》(EU-U.S. Data Privacy Framework)(以下简称《草案》)的推进进程。据欧盟委员会介绍,《草案》反映了其对美国法律框架的评估,并得出结论——美国确保了对从欧盟转移到美国的个人数据的充分保护。而该《草案》的推进,将促进跨大西洋数据流动的安全性并推动解决欧盟法院在Schrems系列诉讼裁决中提出的对欧美间数据传输机制的担忧。值得注意的是,这是美欧之间就数据跨境流通第三次尝试。就在今年10月,美国总统拜登已签署《关于加强美国信号情报活动保障措施的行政命令》,以采取步骤履行今年3月宣布的《跨大西洋数据隐私框架》下的承诺。无附加条件的安全传输什么是充分性决定?根据欧盟《通用数据保护条例》(GDPR)第45(3)条规定,欧盟委员会被授权可通过实施法案认定非欧盟国家是否具备个人数据的“充分保护水平”,即其数据保护水平是否与欧盟内部基本等同。当欧盟委员会评估认定非欧盟国家提供的个人数据保护水平与欧盟相当后,个人数据可以自由安全地从欧洲经济区(EEA)流向第三国,而不受任何附加条件或授权的约束。换言之,向第三国的数据传输与欧盟内部数据传输可以相同的方式处理。在欧盟对是否充分保护的评估标准中,“充分性”并不要求第三国的数据保护系统与欧盟相同,而是基于“基本等同”的标准。它涉及对一个国家的数据保护框架的全面评估,包括适用于个人数据的保护以及现有的监督和补救机制。欧洲数据保护当局已制定评估过程中必须考虑的要素清单,例如核心数据保护原则、个人权利、独立监督和有效补救措施等。因此,可以认为充分性决定正是GDPR规定的将个人数据从欧盟转移到第三国的工具之一。回归此次《草案》,据欧盟委员会介绍,《草案》是基于对欧盟-美国数据隐私框架本身及其对相关企业义务的深入评估,以及美国当局出于执法和国家安全目的访问数据的限制和保障措施而制定。根据《草案》,对于美国相关企业来说,其必须遵守详细的隐私保护义务,例如目的限制和数据保留相关问题,以及有关数据安全和与第三方共享数据的具体义务。当用户个人数据无需再被收集时,应删除数据,并确保与第三方共享数据时保护的连续性。如果欧盟公民的个人数据被违规收集处理,他们可依据《草案》中的补救途径维护权益。对于美国当局及情
北京中恒华盈投资有限公司 Beijing Grand Wall-In Investment CO.ltd
