2023年7月10日，歐盟委員會正式通過了《歐盟-美國數據隱私框架（以下簡稱“DPF”）的充分性決定》，標志著歐盟認可了美國的個人數據保護水平?；谠摮浞中詻Q定，美國企業(yè)可以將歐盟個人數據自由地從歐盟傳輸至美國，而無需實施額外的數據保護措施。這是繼安全港框架（U.S.-EU Safe Harbor Framework）和隱私盾協議（EU-U.S. Privacy Shield）之后，美歐試圖建立穩(wěn)定的跨大西洋數據流動安排的又一次嘗試。

(1)美歐間數據跨境流動合作歷史概述

一是“安全港框架”時期。這一時期的歐盟個人數據保護以《95指令》為依據。2000年7月，歐盟確認美國所提供的個人數據保護措施符合《95指令》要求，在此基礎上形成“安全港框架”，明確美國企業(yè)可以在此框架下將歐盟公民個人數據傳輸到美國。受2013年“斯諾登事件”影響，奧地利公民馬克思·施雷姆斯向臉書歐洲總部所在地愛爾蘭數據保護局發(fā)起投訴，要求禁止臉書依據該框架將數據傳輸至美國，并最終上訴至歐盟法院，被稱為Schrems I案。2015年10月，歐盟法院認定“安全港框架”無效。

二是“隱私盾”時期。這一時期GDPR取代《95指令》成為新的數據保護法。2016年7月，歐美就新的“隱私盾協議”達成一致，美國企業(yè)可以每年向美國商務部申請進行自我認證，以證明符合GDPR有關數據跨境傳輸的規(guī)定。2015年12月，施雷姆斯更新其投訴事由，對臉書所依賴的數據跨境傳輸路徑提出質疑，主張美國監(jiān)聽計劃侵犯了其隱私權、數據保護權以及獲得有效司法保護的權利，并再次上訴至歐盟法院，被稱為Schrems II案。由于隱私盾協議于案件審理期間通過，因此其有效性問題自然成為判決焦點。2020年7月，歐盟法院認定隱私盾協議無效。

三是后隱私盾時期。自隱私盾協議被判無效之后，美國企業(yè)繼續(xù)使用標準合同作為數據跨境流動路徑。2020年8月，愛爾蘭數據保護局對Meta展開調查，并初步認定元宇宙公司違反了GDPR有關數據跨境傳輸的規(guī)定。2023年5月，愛爾蘭數據保護局發(fā)布調查結論，認為美國法律未提供與歐盟法律相同的數據保護水平，采用標準合同無法彌補這一不足，且元宇宙公司也并未采取任何補充保護措施，對其處以12億歐元罰款。同時，美國在這一時期也積極尋求建立新的跨大西洋數據隱私框架。

(2)DPF的主要內容

一是DPF引入了新的約束性保障措施。這一舉措主要是為了回應歐盟法院在此前Schrems II案中所提出的擔憂，如將美國情報機構對歐盟數據的訪問限制在必要和適當的范圍；設立數據保護審查法院（DPRC），當美國情報機構收集和使用數據存在問題時，歐盟公民有權通過DPRC使用獨立的賠償機制，DPRC將對投訴進行獨立調查，并實施有約束力的救濟措施，如果DPRC發(fā)現美國企業(yè)數據處理違反了歐盟數據保護相關規(guī)定，則可以命令刪除該數據。相比于隱私盾協議，DPF的數據保護水平有較大程度的改進。

二是DPF創(chuàng)設了新的隱私義務。根據DPF，美國公司在傳輸歐盟個人數據時必須遵守一系列隱私義務，包括不得以與處理目的不相符的方式處理個人數據，對敏感個人數據采取更強的保障措施，確保所收集個人數據的可靠性、準確性與完整性。美國公司在傳輸歐盟個人數據時須將是否獲得數據隱私保護認證、數據收集類型、處理目的及救濟措施等信息告知數據主體。一旦歐盟個人數據被美國公司錯誤處理，歐盟公民可以通過獨立爭議解決機制或仲裁小組尋求救濟。美國公司應當采取適當的技術措施與組織架構，確保自身能夠有效遵守數據保護義務。

三是DPF的運行將受到定期審查。歐洲委員會、歐洲數據保護委員會及美國相關部門共同組成的機構將對DPF進行定期審查。第一次審查將在充分性決定生效后一年內進行，以驗證所有相關要素是否已在美國法律框架中得到充分實施，并在實踐中有效運作。在美國，DPF框架主要由美國商務部進行管理和監(jiān)督，聯邦貿易委員會（FTC）負責監(jiān)管美國企業(yè)的相關合規(guī)事項。

(3)DPF簡析

總的來說，此次充分性認定為歐盟-美國的數據跨境流動帶來了法律確定性，奠定了美歐之間在數據跨境流動合作方面的基本態(tài)勢。但值得注意的是，DPRC將由美國政府以外的成員組成，但其任命程序仍有瑕疵，其獨立性將很快受到施雷姆斯等隱私活動家及相關組織的質疑。此外，美國是否真的能達到其所稱的數據保護水平也值得懷疑。歐盟委員會將于2024年7月發(fā)布對此次充分性認定的第一次審查結論，屆時將了解DPF的實際效果。

關注“廣東技術性貿易措施”，獲取更多服務。