2024年11月4日,欧洲数据保护委员会(EDPB)发布对欧盟—美国数据隐私框架(Data Privacy Framework, DPF)的首次定期审查报告。作为跨大西洋数据流动的最新保护机制,DPF自2023年7月生效以来受到广泛关注。此次审查报告详细评估了框架的执行情况,并在隐私保护和数据安全方面提出了进一步的改进建议。
一、报告发布背景
自“施雷姆斯II案”判决以来,欧盟与美国之间的数据跨境流动一度陷入困境。2020年,欧盟法院裁定原本有效的“隐私盾”框架无效,原因是其未能为欧盟公民的数据提供充分的保护,尤其是在应对美国政府出于国家安全目的的数据访问时。判决指出,美国的法律缺乏与《欧盟基本权利宪章》同等水平的隐私保护措施,数据流动存在被政府过度监视的风险。
为填补“隐私盾”框架失效带来的法律空白,欧盟委员会和美国政府展开磋商,并于2023年7月正式生效了新协议——欧盟—美国数据隐私框架(DPF),并对其作出充分性决定,允许符合条件的美国公司接收来自欧盟的数据。DPF旨在确保美国的商业实体在接收并处理欧盟个人数据时,能够达到与《通用数据保护条例》(GDPR)相当的数据保护水平。根据DPF的要求,欧盟委员会需在决定通过一年后进行首次定期审查,以确保框架在实践中能够有效实施。EDPB作为欧盟的数据保护监督机构,派出代表参与了此次定期审查,重点审查了DPF在商业层面的实施和公共机构的数据访问情况。
二、报告的主要内容
(一)商业层面的DPF实施情况
DPF的商业层面实施情况主要涉及美国公司如何在框架下自我认证、合规性监管、投诉和救济机制等方面。
一是自我认证流程与监管。报告指出,美国商务部为推进DPF的自我认证流程,建立了新的网站和程序,并开展了一系列推广活动。在DPF的第一年,已有约2800家公司获得认证,但也有部分公司退出或未保持活跃状态。另外,EDPB认为,尽管商务部和联邦贸易委员会(FTC)在推进自我认证和合规方面投入了大量精力,但仍然缺乏主动性和结构性的合规检查,建议采取抽查、合规性问卷调查以及向认证公司索取信息等手段,以确保企业在数据处理方面严格遵守DPF原则。
二是投诉与救济机制。在DPF框架下,独立救济机制为欧盟个人提供了多种投诉渠道。然而,报告显示DPF框架实施后收到的有效投诉数量非常少,且大多数都是关于删除和访问个人数据的请求。EDPB认为,救济途径的提供必须与美国有关部门对认证公司的合规检查相结合,以确保DPF下的欧盟个人数据得到真正保护。EDPB建议商务部制定年度独立救济机制报告模板,提升投诉机制的透明度。
三是指导与合作。EDPB对美国商务部在发布合规指导方面的努力表示欢迎,鼓励其进一步发布有关“再流动归责原则”(Accountability for Onward Transfer Principle)的指南性文件,帮助美国公司理解如何在向第三国传输数据时符合DPF要求。此外,EDPB建议商务部发布有关人力资源数据处理的实用指南,以解决欧盟和美国对人力资源数据定义的分歧。
(二)美国公共机构对来自欧盟数据的访问与使用
DPF的合规要求不仅适用于商业数据处理活动,还涉及美国公共机构出于国家安全目的对数据的访问。DPF充分性决定的合法性部分基于美国政府颁布的第14086号行政命令,该命令在美国情报活动中引入了“必要性”和“比例性”原则,并建立了新的救济机制。
一是必要性和比例性原则的实施。EDPB对第14086号行政命令在美国信号情报活动中引入的“必要性”和“比例性”原则表示肯定,认为该原则在实践中的落实情况至关重要。报告指出,美国情报机构已经更新了其内部政策和程序,并对相关员工进行了专门培训。然而,EDPB希望未来的审查能够提供更具体的实例,以展示“必要性”和“比例性”原则如何具体影响美国情报界数据收集和个人数据处理的实际操作。
二是大规模数据收集的事先授权问题。报告中提到,美国法律在允许大规模数据收集时,未提供独立机构的事先授权或独立的事后审查。EDPB认为,这种授权和审查机制对保护个人隐私至关重要。尽管第14086号行政命令提升了透明度,EDPB仍然呼吁美国进一步改进相关机制,以确保大规模数据收集活动符合欧洲人权标准。
三是关于FISA第702条的重新授权。《外国情报监视法》(FISA)第702条允许美国政府在未经事先授权的情况下,对非美国公民进行电子监控。2024年,美国通过了《情报改革与确保美国安全法案》(RISAA),将第702条的效力延长两年。EDPB对该法案中一些隐私保护措施表示肯定,但仍然对一些关键条款(例如对电子通信服务提供商定义的扩展)持保留意见,认为这些变更可能扩大政府数据收集的范围。EDPB建议对该法律的适用范围进行更明确的限制,并建议将“法庭之友(amici curiae)”参与的范围扩大,以确保数据主体的隐私权不受不必要的影响。
四是救济机制的改进与实施。为回应欧盟公民对美国情报机构数据访问行为的担忧,DPF引入了新设立的数据保护审查法院(DPRC)、特设辩护人制度以及隐私与公民自由监督委员会(PCLOB)对救济机制的年度审查,以提供更加独立、透明的救济机制。EDPB认为,这些机制在结构上有所改善,特别是DPRC在独立性和专业性方面得到增强。美国已任命了八名DPRC法官和两名特设辩护人,确保欧盟公民的投诉得到充分审查。目前尚无欧盟公民根据DPF框架提交正式投诉,EDPB建议欧盟委员会在未来审查中持续监控该机制的实际运行效果,以确保新机制的充分性。
五是政府对商业可获得数据的访问。EDPB关注了美国政府通过数据经纪商、社交媒体平台等商业渠道获取欧盟公民个人数据的隐私风险。这种方式并不在DPF和第14086号行政命令的保护范围之内,因此缺少隐私保护措施。美国当局在审查期间解释,尽管DPF不涵盖这种数据获取,但仍有法律框架(如第12333号行政命令和《情报共同体政策框架》)对情报机构使用商业可获得信息进行标准化管理。EDPB认为该框架在一定程度上考虑了隐私保护,但不如第14086号行政命令严格,缺乏必要性和比例性原则以及法律救济。EDPB建议欧盟委员会在未来继续评估并监督美国政府的这类数据获取方式,并强调应确保适当的隐私保护水平。EDPB还关注PCLOB在此问题上的分析工作,认为PCLOB的报告有助于改善情报机构通过商业渠道获取数据的监管框架。
三、EDPB的结论与建议
在此次定期审查后,EDPB总体上认可了DPF框架在保护个人数据方面的改进,并对未来发展充满期待。同时,EDPB也提出了一些重要建议,旨在进一步完善DPF的合规性和有效性。
一是DPF的认证监督。EDPB对DPF的商业部分的认证总体满意,但仍然建议美国商务部加强对获得认证的组织的监督和执法,确保他们遵守DPF的隐私原则。此外,由于投诉数量较少,EDPB强调应加强对合规的主动监测。
二是数据再流动责任和人力资源数据。EDPB希望美国商务部制定再流动归责原则指南,帮助DPF认证公司了解将数据合法传输至非充分保护的第三国的要求。此外,EDPB希望美国商务部明确DPF下“人力资源数据”概念的定义,以确保公司了解处理人力资源数据时的实际要求。
三是政府获取数据的必要性和比例性。EDPB希望有机会进一步讨论EO 14086行政命令中必要性和比例性原则的具体解释和应用,尤其是在情报数据的收集过程中,并持续检查补救机制的有效性。
四是对FISA 702条的关注。EDPB对RISAA没有采纳PCLOB建议表示遗憾,特别是没有将行政命令的保障措施纳入FISA 702条,可能导致公司在遵循隐私规定时缺乏透明性。EDPB建议密切关注FISA 702条的未来动态,尤其是“电子通信服务提供商”定义的扩大应用。
五是未来的审查安排。EDPB支持三年后对DPF进行下一次定期审查,并建议此审查周期可以让欧洲委员会和EDPB迅速了解DPF的实际效果,尤其是认证公司的合规情况。
四、结语
欧盟—美国数据隐私框架的首次审查报告为跨大西洋数据隐私保护机制提供了重要的反馈。报告肯定了DPF框架在隐私保护方面的进展,也为未来的改进指明了方向。EDPB将在未来的审查中继续关注DPF的各项保障措施,为欧盟公民的数据隐私权利提供保障。
来源:CAICT互联网法律研究中心
作者:
- 王金钧,中国信通院互联网法律研究中心工程师
- 侯文兴,中国信通院互联网法律研究中心实习生