一、决定主要内容
2023年7月10日,欧盟委员会通过了“欧盟-美国数据隐私框架”(EU-U.S. Data Privacy Framework,DPF)的充分性决定。
主要内容:
1.要求美国对从欧盟传输到美国公司的个人数据提供足够的保护,达到欧盟水平。
2.美国数据跨境输入者必须遵守DPF原则,并根据DPF原则进行自我认证。对于特殊类型的数据,如来自雇佣关系、医学研究或新闻活动的数据,还有一些补充原则和特别规定。自我认证必须每年进行。
3.美国情报机构对欧洲个人数据的访问限制在必要和相称的范围内。
4.建立数据保护审查法院(DPRC),独立调查和解决欧洲个人的投诉,包括采取有约束力的补救措施。
相关背景:
欧盟《通用数据保护条例》(GDPR)规定,向欧洲经济区(EEA)以外的地区传输数据的一个重要依据是“充分性认定”。GDPR第45(3)条授予欧盟评估和决定非欧盟国家是否确保“充分的数据保护水平”,即对个人数据的保护水平基本上等同于欧盟内部的保护水平。2016年7月12日,欧盟通过了“欧盟-美国隐私保护盾”的充分性决定,允许将欧盟数据自由转移到根据隐私盾认证的美国公司。2020年7月16日,欧盟法院在某一案件判决中宣布该充分性决定无效。2022年12月14日,欧盟提交了DPF的充分性认定草案。
二、中国企业应关注本决定中的重点
该决定意味着多年来影响数千家欧美公司的法律困境有了新的进展。建议在欧盟有业务的企业,如在经营活动中存在将欧盟公民个人数据传输到美国的情形,应重点关注此法案。
(信息来源:欧盟委员会官方网站)
《跨境合规》信息内容仅供大家参考,不能视为做决策的唯一依据。如有意见及反馈信息,请与我们联系。
联系人:北京市贸促会法律事务部吕红军
电子邮箱:lvhongjun@ccpitbj.org
联系电话:010-88070494
(法律事务部供稿)