欧盟通过欧盟-美国数据隐私框架充分性决定，欧美数据跨境传输迈入新阶段

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

DPF实则是欧美之间就个人数据跨境传输机制的第三次尝试，其间数度波澜均与Max Schrems有关。2013年，基于对脸书数据传输至美国的担忧，Schrems提出对安全港协议有效性的质疑，2015年欧盟法院在审查后判决安全港协议无效。2016年7月，欧盟通过《关于欧盟-美国隐私盾的充分性决定》（以下简称“隐私盾协议”），认定其满足95指令所要求的充分性保护水平。但在隐私盾协议生效前，Schrems在2015年便进一步提出申诉，将矛头指向美国能否为跨境传输的欧盟个人数据提供充分保护。2017年，第29条工作组就隐私盾协议执行情况发表总体意见，认为虽然相较于安全港协议有所进步，但仍然存在需要欧美当局共同解决的重大问题，并分别就商业、国家安全和执法场景提出16项关切。2020年7月，鉴于美国就情报监视等权力限制并不充分、情报机构大规模数据收集范围不明确、欧盟主体欠缺针对美国执法机构的可用司法救济等原因，欧盟法院裁定隐私盾协议无效。

（一）主要机制

DPF仍基于自我认证程序展开。在此框架下，美国公司自愿向美国商务部申请DPF认证，承诺遵守美国商务部发布的DPF原则及补充原则，包括告知、选择、再转移责任、安全性、数据完整性、目的限制、问责制等原则。参与DPF认证的组织须向美商务部或其指定机构自证其遵守DPF原则，美国商务部将在《数据隐私框架名单》中公开经认证的美国组织名称。自被列入《数据隐私框架名单》之日起，组织便可借助DPF进行数据跨境传输。同时，参与认证的美国组织还需要每年重新认证，对未遵守DPF的美国组织，除了商务部可将其移出《数据隐私框架名单》外，还可能面临联邦贸易委员会基于不公平或欺骗性商业行为的问责。

（二）重要改进

针对隐私盾协议无效的痛点问题，隐私框架的重要改进集中体现在两个方面：

一方面，针对美国情报部门信号情报活动整体加以规范，包括进行信号情报活动的原则、合法目的、禁止目的以及具体的数据处理活动等作出明确规定，将情报机构对数据的访问限制在国家安全目的必要和相称的范围内。具体说来，信号情报活动需要基于保护国家安全、评估国家或全球安全威胁、防范外国军事活动、网络安全威胁等合法目的进行，并且存在具体的情报优先事项。在此基础上，信号情报活动还必须基于必要性和相称性原则，确定数据收集的范围。同时，DPF要求在美国境内的信号情报活动中数据收集仅可适用于明确特定目标的有针对性收集，大规模数据收集行为仅限于临时性的特殊情形。

另一方面，针对欧盟数据主体的司法救济，除了进一步细化隐私盾已有的救济手段外，DPF明确引入数据保护审查法庭，通过双层设计完善欧盟数据主体救济机制。数据保护审查法庭（Data Protection Review Court，DPRC）是根据EO 14086新成立的机构，由6名法官组成。在双层救济机制中，欧盟数据主体认为美国信号情报活动有关的违法行为对其隐私和公民基本权利自由存在不利影响的，可以提出投诉。首先，从便利欧盟数据主体维权角度，数据主体向有管辖权的欧盟成员国国家安全机构或数据保护机构提出投诉，后者将投诉转达至美国国家情报总监办公室下设的公民自由保护官（Civil Liberties Protection Officer，CLPO），由其遵循法定程序在对投诉进行调查、审查的基础上作出处理决定。其次，就CLPO的处理决定，欧盟数据主体或涉诉情报部门人员均可进一步就投诉决定请求DPRC复审。DPRC组成法官复审小组进行复审，其中有一名主审法官，并由一名代表投诉人利益、具有相关经验的特别辩护人协助复审。整体上DPRC法官并非美国政府雇员，并且仅因涉嫌犯罪、身体或精神状态不适合履职等情况下才可被解聘，因此其审查具有独立性而不受行政部门如情报机构等干预。如DPRC审查后通过多数票认为相关机构存在违规行为，可采取删除非法收集的数据、删除不适当的查询结果、限制访问、召回含有未经合法授权或非法传播数据的情报报告等救济措施。最后，该救济机制的有效性还将接受隐私和公民自由监督委员会（Privacy and Civil Liberties Oversight Board，PCLOB）的年度审查。作为保障公民权益的独立机制，PCLOB将评估CLPO和DPRC是否及时处理了投诉、是否及时获得了必要信息、情报机构是否遵守了相应决定，并向总统、司法部长、国家情报局局长、情报机构负责人、CLPO和国会情报委员会提交审查结果报告，有关部门必须执行或以其他方式处理PCLOB提出的建议。此外，PCLOB还会每年向社会公示证明该救济机制是否按照EO 14086的要求处理相关投诉。