团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
引言
2024年10月9日,欧盟委员会发布了关于欧盟-美国数据隐私框架充分性决定运作情况的首次定期审查报告。本文将梳理欧盟和美国充分性认定的过程,仅供大家参考。
(来源:欧盟委员会官网)
01
充分性认定的提出
《通用数据保护条例》(GDPR)第 45(3)条赋予委员会通过实施法案决定非欧盟国家是否确保“充分的保护水平”的权力,即个人数据的保护水平与欧盟内部的保护水平基本相同。充分性决定的效果是,个人数据可以自由地从欧盟(以及挪威、列支敦士登和冰岛)流向第三国,而不会受到进一步的阻碍。
在欧盟法院裁定先前有关欧盟-美国隐私护盾充分性的决定无效后,欧盟委员会与美国政府开始就解决法院提出的问题的新框架展开讨论。
详见过往文章:欧盟-美国隐私框架「DPF」解读
2022 年 3 月,冯德莱恩和拜登宣布,在雷恩德斯和美国国务卿雷蒙多的谈判之后,他们已就新的跨大西洋数据流框架达成原则协议。2022年10月,拜登签署了“加强对美国信号情报活动保障措施”的行政命令,美国司法部长加兰德发布的法规对此进行了补充。这两项文书共同将美国在原则协议下达成的承诺落实到美国法律中。该命令也解决了欧洲联盟法院在 2020 年 7 月的 Schrems II 裁决中提出的担忧。
该框架由美国商务部负责管理和监督。美国联邦贸易委员会将负责强制美国公司遵守该框架。
02
充分性认定的确立
2023年7月10日,欧盟委员会通过了《欧盟-美国数据隐私框架》的充分性决定。美国在新框架下从欧盟转移到美国公司的个人数据具有与欧盟相当的充分保护水平。个人数据可以安全地从欧盟流向参与该框架的美国公司,而无需实施额外的数据保护保障措施。
(来源:欧盟委员会官网文件)
2023年7月10日,欧盟委员会通过了《欧盟-美国数据隐私框架》的充分性决定。美国在新框架下从欧盟转移到美国公司的个人数据具有与欧盟相当的充分保护水平。个人数据可以安全地从欧盟流向参与该框架的美国公司,而无需实施额外的数据保护保障措施。
欧盟-美国数据隐私框架引入了新的具有约束力的保障措施,包括:将美国情报机构对欧盟数据的访问限制在必要和适当的范围内;设立欧盟个人可以访问的数据保护审查法院 (DPRC)。
与隐私护盾下的旧机制相比,新框架引入了重大改进。例如,如果 DPRC 发现数据的收集违反了新的保障措施,它将能够下令删除这些数据。政府访问数据方面的新保障措施也将补充美国公司从欧盟进口数据的义务。
美国法律框架还规定了一系列保障措施,以保护美国公共机构访问根据该框架传输的数据,特别是出于刑事执法和国家安全目的。数据访问仅限于保护国家安全所必需和适当的范围。
欧盟个人将有权获得独立的救济机制,以解决美国情报机构收集和使用其数据的问题,其中包括新成立的数据保护审查法院(DPRC)。该法院将独立调查和解决投诉,包括采取具有约束力的补救措施。
03
欧盟公布该充分性认定的首次审查报告
根据充分性认定报告第211段的要求,在新框架运作第一年后进行的第一次审查侧重于核实框架中规定的所有要素实施情况和有效性。审查涵盖了该框架运作的各个方面,包括自充分性决定通过以来发生的法律发展。
根据第一次审查期间收集的信息,委员会得出结论,美国当局已经建立了必要的结构和程序,以确保数据隐私框架有效运作。
欧盟委员会还提出,将密切关注未来几个月和几年的相关发展,特别关注:
(1)美国隐私和公民自由监督委员会(PCLOB)即将发布的关于第14086号行政命令执行情况和信号情报补救机制(特别是DPRC)运作情况的报告
(2) 对《外国情报监视法》第702条的可能进一步修订
(3)提名和任命PCLOB成员以填补即将出现的空缺
此外,为确保持续有效地运作,欧盟委员会认为重要的是:
(1)正如审查会议上宣布的那样,商务部更充分地利用DPF中提供的不同工具来监测公司对原则的遵守情况,并检测是否存在虚假参与声明
(2)联邦贸易委员会进一步发展了其积极主动的方法,对认证公司遵守DPF原则的情况进行调查和执法
(3)美国商务部、联邦贸易委员会和欧盟数据保护机构就DPF原则下的关键要求制定的共同的指导文书,例如人力资源数据和后续传输
根据这一审查结果,委员会认为将在三年后进行下一次定期审查。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
是广东数据资产登记合规委员会评审专家、联合国世界丝绸之路委员会专家、中国国际贸易促进委员会深圳调解中心专家调解员、广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
