【欧盟-美国数据隐私框架】问答：欧盟-美国数据隐私框架

2022年3月25日，冯·德莱恩总统和拜登总统宣布，他们已就新的欧盟-美国数据隐私框架达成原则协议。该框架将促进跨大西洋数据流，并解决欧盟法院在2020年7月Schrems II裁决中提出的问题。此后，欧盟和美国团队进行了数月的工作，以最终确定该协议的细节，并将其转化为法律框架。

10月7日，拜登总统签署了一项关于“加强美国信号情报活动的保障措施”的行政命令。除了司法部长发布的条例外，行政命令还将三月份宣布的原则协议落实到美国法律中。行政命令引入了新的具有约束力的保障措施，以解决欧盟法院提出的所有问题，限制美国情报部门访问欧盟数据，并设立了数据保护审查法院。

在此基础上，欧盟委员会现在将起草一份充分性决定草案，并启动其通过程序。

新的行政命令是关于什么的？

拜登总统于10月7日签署的《行政命令》以及随附的《条例》执行了美国在3月份宣布的原则协议中所作的承诺。

对于个人数据转移到美国的欧洲人，新的行政命令规定：

• 具有约束力的保障措施，将美国情报机构对数据的访问限制在保护国家安全所必需和相称的范围内；
• 建立独立、公正的补救机制，其中包括一个新的数据保护审查法院（“DPRC”）；调查并解决有关美国国家安全部门访问其数据的投诉；
• 行政命令要求美国情报机构审查其政策和程序，以实施这些新的保障措施。
• 与隐私保护相比，这些都是显著的改进。政府数据访问领域的新保障措施将补充从欧盟进口数据的美国公司必须履行的义务。

该过程的下一步是什么？

随着行政命令及其所附条例的通过，委员会现在可以进入下一步，包括提出一项充分性决定草案和启动其通过程序。

充分性决策的采纳程序包括不同的步骤：从欧洲数据保护委员会（EDPB）获得意见，并从由欧盟成员国代表组成的委员会获得批准。此外，欧洲议会有权审查适当性决定。

只有在那之后，欧盟委员会才能通过与美国相关的最终充分性决定。从那一刻起，数据将能够在新框架下由商务部认证的欧盟和美国公司之间自由、安全地流动。美国公司将能够通过承诺遵守一系列详细的隐私义务来加入该框架。

新的补救机制与以前的隐私保护监察员有什么不同？

新的行政命令以及附带的条例建立了一个新的两层补救机制，具有独立和具有约束力的权力。

在第一层之下，欧盟个人将能够向美国情报界所谓的“公民自由保护官员”提出投诉。此人负责确保美国情报机构遵守隐私和基本权利。

在第二级，个人将有可能向新成立的数据保护审查法院上诉公民自由保护官员的决定。法院将由根据特定资格从美国政府以外挑选的成员组成，只能因严重原因（如被定罪，或被认为精神或身体不适合执行任务）而被解雇，不能接受政府的指示。数据保护审查法院将有权调查欧盟个人的投诉，包括从情报机构获取相关信息，并将能够作出具有约束力的补救决定。例如，如果DPRC发现数据收集违反了行政命令中规定的保障措施，它将能够命令删除数据。

为了进一步加强法院对每一案件的审查，法院将挑选一名具有相关经验的特别律师来支持法院，他将确保申诉人的利益在法院得到代表，并确保法院充分了解案件的事实和法律方面。这将确保双方都有代表，并在公平审判、补救和正当程序方面引入更多保障。

与隐私保护下存在的机制相比，这些都是显著的改进。当时，个人可以求助于监察员，监察员是美国国务院的一部分，没有类似的调查或约束决策权。

为什么委员会认为欧盟法院不会再次否决该协议？

委员会在这些谈判中的目标是解决欧盟法院在Schrems II判决中提出的关切，并为跨大西洋数据流提供持久和可靠的法律依据。这反映在《行政命令》中所包含的保障措施中，既涉及对美国国家安全当局获取数据的实质性限制（必要性和相称性），也涉及建立新的补救机制。

与此同时，公司有哪些选择？

重要的是要记住，适当性决定并不是国际转让的唯一工具。

公司可以在其商业合同中引入的示范条款是从欧盟传输数据的最常用机制。去年，委员会通过了现代化的“标准合同条款”，以方便其使用，包括根据法院在Schrems II判决中规定的要求。还为依赖标准合同条款传输数据的公司提供了实用指南。

委员会与美国政府在国家安全领域达成一致的所有保障措施（包括补救机制）将适用于根据GDPR向美国进行的所有转移，无论使用何种转移工具。

本文：