2024年11月4日,欧洲数据保护委员会(EDPB)发布了其关于《数据隐私框架》(Data Privacy Framework,DPF)定期审查的首份报告。该框架由欧盟委员会于2023年7月10日通过,旨在解决欧洲法院在“施雷姆斯案I”和“施雷姆斯案II”裁决中提出的问题,这两起裁决曾宣布此前的《安全港协议》和《隐私盾协议》无效。
DPF第 3 条要求委员会定期审查该决定,首次定期审查应在充分性决定通知成员国之日起一年后进行。根据充分性决定的序言 212 条,欧洲数据保护委员会的五名代表参加了 2024 年 7 月 18 日和 19 日在华盛顿特区举行的审查会议。欧洲数据保护委员会着重评估了欧盟 - 美国数据隐私框架(DPF)的商业方面以及美国公共当局对从欧盟转移到 DPF 认证组织的个人数据的访问情况。欧洲数据保护委员会欢迎美国当局和欧盟委员会为实施 DPF 所做的努力,并积极注意到自充分性决定通过以来发生的一些发展。
关于 DPF 的商业方面
欧洲数据保护委员会注意到,美国商务部采取了所有相关步骤来实施美国公司的认证流程,包括开发新网站、更新程序、与公司合作以及开展提高认识活动。同样,DPF 下的多层次救济系统已经更新和实施,为欧盟个人提供了几种易于获取的投诉途径。在审查时,已有超过2,800家组织获得了DPF认证,而超过1,100家组织已撤销认证,另有2,600家因未续期而被列为非活跃状态。这一情况引发了关于非活跃组织如何管理个人数据的疑问,因为框架要求这些组织必须明确所接收的数据是被退回、删除还是保留,并在后者情况下有义务继续遵守DPF原则。然而,DPF 的独立追索机制(Independent Recourse Mechanisms,IRM)第一年收到的合格投诉数量极低,仅记录了九起案件,主要涉及删除或访问数据的请求。这似乎证实了欧洲数据保护委员会先前的担忧,即个人提出投诉的可能性必须伴随着美国主管当局对 DPF 原则实质性要素合规性的积极检查。因此,欧洲数据保护委员会希望鼓励美国商务部和联邦贸易委员会在不久的将来增加主动对认证组织是否实质性遵守所有 DPF 原则的依职权调查。
关于人力资源(HR)数据的问题仍然是欧美双方解释差异显著的一个关键点:美国商务部传统上将“HR数据”的定义限制为同一企业集团内部员工数据的处理,而EDPB则主张更广泛的解释,即包括在雇佣关系背景下与员工相关的任何个人数据,无论这些数据是在企业集团内部传输还是传输给不同的业务运营商。
欧洲数据保护委员会还希望激励美国商务部就 DPF 的 “转委托责任原则” 制定并发布实用指南。理想情况下,此类指南应澄清从欧盟出口商接收个人数据的 DPF 认证公司在将此类数据转移到其他第三国时需要遵守的要求。欧洲数据保护委员会还认为,有必要解决欧盟和美国当局对 DPF 下 “人力资源数据” 概念长期存在的解释分歧。因此,欧洲数据保护委员会同样鼓励美国商务部迅速制定关于此问题的指南,承认 DPF 下人力资源数据的广泛定义,并列出在 DPF 下处理人力资源数据的实际示例,解释每种情况下哪些 DPF 原则相关。欧洲数据保护委员会随时准备为美国商务部的指南提供反馈。
关于政府访问数据
审查的一个关键方面是《第14086号行政命令》(Executive Order 14086)的实施,该命令为美国公共机构访问数据引入了重要的保障措施。EDPB认可了情报机构内部政策中纳入必要性和比例性原则的更新,但强调通过未来审查中的具体案例来密切监测这些原则的实际应用至关重要。关于美国公共当局对从欧盟转移到 DPF 认证组织的个人数据的访问,欧洲数据保护委员会回顾,充分性决定特别基于委员会对第 14086 号行政命令(Executive Order 14086)的有利评估,该行政命令旨在有效弥补欧洲法院(CJEU)在 C - 311/18 号案件判决中指出的缺陷。为此,第 14086 号行政命令规定了额外的保障措施,最显著的是将必要性和相称性概念引入美国信号情报法律框架,并建立了新的救济机制。在充分性决定通过一年后的首次定期审查中,欧洲数据保护委员会重点关注这些保障措施的有效实施以及关于政府为国家安全目的访问个人数据的新发展。
关于必要性和相称性原则的实施,欧洲数据保护委员会认识到美国情报界的内部政策和程序已经更新并公布。《外国情报监视法》(Foreign Intelligence Surveillance Act,FISA)第702条的最新再授权通过《情报改革与保障美国法》(Reform Intelligence And Securing America Act,RISAA)扩大了“电子通信服务提供商”的定义。据美国当局称,这一变化旨在纳入此前被排除在外的特定类别公司,但其宽泛的措辞引发了人们对监视范围可能扩大的担忧。然而,欧洲数据保护委员会希望在定期审查期间有机会讨论明确的示例,以清楚地确定这些原则在机构层面是如何具体解释和应用的。欧洲数据保护委员会期望未来的审查将解决这一点。欧洲数据保护委员会无法全面评估必要性和相称性在实践中的实施情况,并强调需要继续仔细监测这一方面,包括在未来的审查中。
关于《外国情报监控法》(Foreign Intelligence Surveillance Act,FISA)第 702 条的重新授权,欧洲数据保护委员会积极注意到立法变化增加了隐私保护,并回顾在根据《外国情报监控法》第 702 条请求访问数据时,第 14086 号行政命令仍然完全适用。然而,欧洲数据保护委员会感到遗憾的是,改革没有纳入隐私和公民自由监督委员会关于将第 14086 号行政命令的某些保障措施编纂进《外国情报监控法》第 702 条的建议,因此没有抓住机会引入欧洲数据保护委员会先前建议的额外保障措施。欧洲数据保护委员会担心《外国情报监控法》第 702 条下 “电子通信服务提供商” 定义的修正不符合明确、精确和可获取法律的要求。尽管有第 14086 号行政命令的保障措施,但这一变化对第 702 条监控的实际范围造成了不确定性。欧洲数据保护委员会认为,委员会跟踪《外国情报监控法》第 702 条的未来发展非常重要,并鼓励隐私和公民自由监督委员会监测这些发展。
关于有效救济,欧洲数据保护委员会已经认识到重大改进,特别是与数据保护审查法院(Data Protection Review Court,DPRC)的权力有关。美国当局随后采取措施实施 DPF 的救济机制。欧洲数据保护委员会欢迎这些重要步骤,其中不仅包括指定欧盟、冰岛、列支敦士登和挪威为救济机制的合格国家,还包括任命八名法官和两名特别辩护人到数据保护审查法院。欧洲数据保护委员会认为,第 14086 号行政命令规定的救济机制要素已经到位。然而,在审查时,欧盟个人尚未有投诉通过这一新的救济机制提出,因此无法评估其实际有效性;隐私和公民自由监督委员会(Privacy And Civil Liberties Oversight Board,PCLOB)对该机制的年度审查也尚未进行。欧洲数据保护委员会希望再次呼吁委员会监测第 14086 号行政命令中旨在确保基本等效保护水平的不同保障措施的实际运作情况。救济机制应在未来的定期审查中继续作为优先事项。
欧洲数据保护委员会强调,对于美国情报机构从数据经纪人和其他商业实体获取未被第 14086 号行政命令涵盖的个人数据,也必须确保充分的保护水平。委员会应进一步评估和监测这种特定形式的政府访问及其实际用例。欧洲数据保护委员会认为,考虑到充分性决定的众多重要方面以及 DPF 实施中欧洲数据保护委员会建议委员会密切监测的内容,下一次对 DPF 的审查在不到四年的时间内进行是合适的。这将使委员会和欧洲数据保护委员会能够比法定最长审查期限更早地以结构化方式跟进美国当局和其他利益相关者关于 DPF 实际应用的全面信息,以便及时评估合规检查的有效性和处理投诉的实际经验。应特别关注与FISA第702条相关的发展动态,该条的下一次再授权预计在两年后进行。
展望未来
对于使用DPF的组织而言,这些结论表明,它们需要为更严格的合规检查做好准备,并特别注意下游数据传输实践和HR数据的处理。
《数据隐私框架》的首次审查凸显了隐私领域一个熟悉的动态:个人数据保护在理论与实践之间存在差距。从表面上看,该框架相比其前身有了显著的改进,拥有形式上健全的保障措施体系。然而,数字却讲述了另一个故事:成千上万的公司放弃了认证,投诉寥寥无几,一个法院(DPRC)仍未投入使用。
人们不禁要问,我们是否正在见证一个日益复杂的法律架构的建立,而这个架构可能与企业的实际运营现实和数据主体的实际保护需求脱节。DPF的真正成功不在于纸面上的规定,而在于它能否成为保护跨大西洋数据流中基本权利的有效工具:希望三年后的下一次审查能告诉我们,这一挑战是否已经得到应对,或者我们是否又面临另一个“纸面隐私”的案例。
