奥门金沙(官方认证)-Light the Beam

您当前的位置:   首页 > 新闻中心
关于“欧盟-美国数据隐私框架”的问与答
发布时间:2023-12-19 10:08:10   阅读次数:

Frequently Asked Questions about the New EU-US Data Privacy Framework

2023年7月10日,欧盟委员会通过了欧盟-美国的充分性决定。数据隐私框架。充分性决定的结论是,与欧盟相比,美国确保对从欧盟传输到参与欧盟-美国的美国公司的个人数据提供充分的保护。数据隐私框架。


充分性决定遵循美国的规定签署关于“加强美国信号情报活动保障措施”的行政命令,该命令引入了新的具有约束力的保障措施,以解决美国法院提出的问题欧盟司法部在 2020 年 7 月的 Schrems II 决定中做出了裁决。值得注意的是,新义务旨在确保美国情报机构只能在必要和相称的范围内获取数据,并建立独立和公正的处理和解决欧洲人关于出于国家安全目的收集其数据的投诉的补救机制。


1. 什么是充分性决策?

充分性决策是 通用数据保护条例 提供的工具之一  > (GDPR) 将个人数据从欧盟转移到第三国,根据委员会的评估,这些国家提供的个人数据保护水平与欧盟相当。


根据充分性决定,个人数据可以自由、安全地从欧洲经济区 (EEA)(包括 27 个欧盟成员国以及挪威、冰岛和列支敦士登)流向第三国,而无需受到任何进一步的约束条件或授权。换句话说,向第三国的传输可以按照与欧盟内部数据传输相同的方式处理。


关于欧盟-美国的充分性决定数据隐私框架涵盖从欧洲经济区的任何公共或私人实体到参与欧盟-美国的美国公司的数据传输。数据隐私框架。


2. 评估充分性的标准是什么?

充分性并不要求第三国的数据保护体系与欧盟的数据保护体系相同,而是基于“基本等效”的标准。它涉及对国家数据保护框架的全面评估,包括适用于个人数据的保护以及可用的监督和补救机制。


欧洲数据保护机构制定了一份  ,此评估必须考虑这些要素,例如是否存在核心数据数据保护原则、个人权利、独立监督和有效补救措施。要素列表


3.什么是欧盟-美国数据隐私框架?

在其充分性决定中,委员会仔细评估了欧盟-美国的要求。数据隐私框架,以及美国公共当局访问传输到美国的个人数据时适用的限制和保障措施,特别是出于刑事执法和国家安全目的。


在此基础上,充分性决定得出的结论是,美国确保对从欧盟转移到参与欧盟-美国的公司的个人数据提供充分的保护。数据隐私框架。通过充分性决定后,欧洲实体能够将个人数据传输给美国的参与公司,而无需采取额外的数据保护措施。


该框架为数据将被转移到美国参与公司的欧盟个人提供了多项新权利(例如,获取其数据的访问权限,或者更正或删除不正确或非法处理的数据)。此外,如果数据被错误处理,它还提供不同的补救途径,包括之前免费的独立争议解决机制和仲裁小组。


美国公司可以证明其参与欧盟-美国合作。数据隐私框架,承诺遵守一套详细的隐私义务。例如,这可能包括目的限制、数据最小化和数据保留等隐私原则,以及有关数据安全和与第三方共享数据的具体义务。


该框架将由美国商务部管理,该部将处理认证申请并监督参与公司是否继续满足认证要求。美国公司遵守欧盟-美国义务数据隐私框架将由美国联邦贸易委员会执行。


4. 美国情报机构获取数据有哪些限制和保障措施?

充分性决定所依据的美国法律框架的一个基本要素涉及“加强美国信号情报活动保障”的行政命令,该命令由拜登总统于 10 月 7 日签署,并附有检察官通过的法规一般的。通过这些文书是为了解决法院在 Schrems II 判决中提出的问题。


对于将个人数据传输到美国的欧洲人,该行政命令规定:

  • 具有约束力的保障措施,将美国情报当局对数据的访问限制在保护国家安全所必需且适当的范围内;
  • 加强对美国情报部门活动的监督,以确保遵守监视活动的限制;和
  • 建立独立公正的补救机制,其中包括一个新的数据保护审查法院,负责调查和解决有关美国国家安全当局获取其数据的投诉。


5. 国家安全领域的新补救机制是什么?个人如何利用它?

美国政府建立了一个新的两层补救机制,具有独立且具有约束力的权力,以处理和解决数据从欧洲经济区转移到美国公司的任何个人关于美国收集和使用其数据的投诉情报机构。


为了使投诉得到受理,个人不需要证明他们的数据实际上是由美国情报机构收集的。个人可以向其国家数据保护机构提交投诉,该机构将确保投诉得到正确转达,并向个人提供与程序相关的任何进一步信息(包括结果)。这确保了个人可以用自己的语言向离家较近的权威机构求助。投诉将由欧洲数据保护委员会转发至美国。


首先,投诉将由所谓的“公民自由保护官员”进行调查。美国情报界的。此人负责确保美国情报机构遵守隐私和基本权利。 


其次,个人可以向新成立的数据保护审查法院(DPRC)对公民自由保护官的决定提出上诉。法院由美国政府以外的成员组成,他们是根据特定资格任命的,只能因某种原因被解雇(例如刑事定罪,或被认为精神或身体不适合执行其任务),并且不能接受政府的指示。朝鲜民主主义人民共和国有权调查欧盟个人的投诉,包括从情报机构获取相关信息,并可以采取具有约束力的补救决定。例如,如果 DPRC 发现数据的收集违反了行政命令中规定的保障措施,则可以下令删除数据。


在每个案件中,法院都会选择一位具有相关经验的特别律师为法院提供支持,他将确保申诉人的利益得到代表,并确保法院充分了解案件的事实和法律方面。这将确保双方都有代表,并在公平审判和正当程序方面提供重要保障。


一旦公民自由保护官员或 DPRC 完成调查,投诉人将被告知未发现任何违反美国法律的行为,或者已发现违法行为并已采取补救措施。稍后,当有关 DPRC 程序的任何信息(例如法院的合理决定)不再受保密要求约束并且可以获取时,投诉人也会收到通知。


6. 该决定何时适用?

该充分性决定于 7 月 10 日通过后生效。 


没有时间限制,但委员会将持续关注美国的相关事态发展,并定期审查充分性决定。


第一次审查将在充分性决定生效后一年内进行,以核实美国法律框架的所有相关要素是否在实践中有效运作。随后,根据第一次审查的结果,委员会将与欧盟成员国和数据保护机构协商,决定未来审查的周期,至少每四年进行一次。


如果事态发展影响第三国的保护水平,可以调整甚至撤销充分性决定。


7. 该决定对使用其他工具向美国传输数据的可能性有何影响?

美国政府在国家安全领域实施的所有保障措施(包括补救机制)适用于根据 GDPR 向美国公司传输的所有数据,无论使用何种传输机制。因此,这些保障措施也有利于其他工具的使用,例如标准合同条款和具有约束力的公司规则。


奥门金沙可提供的部分安全产品和解决方案信息

联系奥门金沙,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到奥门金沙所提供的优质服务。

奥门金沙 · 值得您信赖的信息安全顾问!


相关阅读

XML 地图