【欧盟数据跨境传输】欧盟-美国数据隐私框架

欧盟-美国。美国数据隐私框架。美国DPF是一项旨在促进欧盟和美国之间跨境数据传输的新协议。

随着安全港的垮台，以及随后的欧盟-美国。美国隐私保护，欧盟-美国。美国DPF将最终解决导致先前框架无效的问题。

本文将带您了解新的跨大西洋框架的关键条款。我们将研究它需要什么，哪些企业可以参与，企业如何遵守，等等。让我们深入了解。

我们的隐私政策生成器可以方便地为您的企业创建隐私政策。只需遵循以下步骤：

• 在步骤1中，选择“网站”选项或“应用程序”选项，或同时选择两者。

• 回答一些关于您的网站或应用程序的问题。

• 回答一些有关您业务的问题。

• 输入您希望发送隐私政策的电子邮件地址，然后单击“生成”

  

  您将能够立即访问并下载您的新隐私政策。

• 1.什么是欧盟-美国。S.数据隐私框架？
• 2.欧盟-美国的背景。S.数据隐私框架
• 3.欧盟-美国的主要定义。S.数据隐私框架
  • 3.1欧盟数据隐私框架下的个人数据
  • 3.2欧盟数据隐私框架下的控制器和处理器
• 4.谁可以参加欧盟-美国。S.数据隐私框架？
• 5.欧盟与美国。S.数据隐私框架要求？
  • 5.1目的限制和选择
  • 5.2.处理特殊类别的个人数据
  • 5.3数据准确性、最小化和安全性
  • 5.4.透明度
  • 5.5.个人权利
  • 5.6.对转入的限制
  • 5.7.责任
• 6.欧盟-美国的执行。S.数据隐私框架
• 7.总结

什么是欧盟-美国数据隐私框架？

欧盟-美国。美国数据隐私框架是为欧盟和美国之间的跨大西洋数据流设计的第三个也是最新的计划。它于2022年3月25日首次宣布，并于2023年7月10日获得批准。

欧盟-美国。美国DPF取代了Privacy Shield，并有效地授予美国欧盟充分性决策地位。换言之，企业可以利用新框架确保欧盟居民的个人数据在转移到美国时得到“充分”保护。

欧盟-美国。美国DPF代表了欧盟和美国重建和稳定跨境数据流的共同努力。欧盟委员会主席乌尔苏拉·冯德莱恩表示：

“新的欧盟-美国数据隐私框架将确保欧洲人的数据安全流动，并为大西洋两岸的公司带来法律确定性……”

在实践中，欧盟-美国DPF执行以下操作：

• 解决了欧洲法院在宣布欧盟-美国隐私保护无效时提出的所有担忧
• 确保美国情报机构的活动是为了既定的国家安全目标而进行的，同时尊重隐私和公民自由
• 更新隐私保护下规范数据传输的隐私原则
• 建立数据保护审查法庭（DPRC），以加强问责制和审查程序
• 为认为自己的个人数据被滥用的欧盟居民建立独立公正的补救机制

欧盟-美国数据隐私框架的背景

故事始于当欧盟居民的个人数据被转移到数据保护标准“不足”的非欧盟国家时，需要保护他们的个人数据。美国当时属于这一类，因此必须做出其他安排。

• 首先，2000年7月推出了“安全港”计划。它允许美国公司自我证明，他们在处理欧盟数据时会遵守某些隐私原则。但是，由于担心美国政府的监控行为，它被欧盟法院宣布无效。
• 接下来，隐私盾在2016年2月取代了安全港。它更加稳健，有望在转移过程中提供更好的保护。然而，在2020年Schrems II案中，由于与安全港类似的原因，该法案也被宣布无效。
• 在没有有效框架的情况下，美国公司转向了替代性的转让机制，如标准合同条款（SCC）和有约束力的公司规则（BCR）。但是，这些措施也被批评为难以实施。
• 现在，欧盟-美国引入DPF是为了确保数据传输的安全，同时加强经济联系。然而，该框架仍然相对较新，只有时间才能证明它是否能经受住未来的法律挑战。

欧盟-美国数据隐私框架的主要定义

欧盟-美国。S.DPF在由认证的控制者或处理者转移到美国时保护欧盟个人的个人数据。让我们研究一下框架是如何定义这些关键术语的。

欧盟数据隐私框架下的个人数据

欧盟-美国。S.DPF通过参考《通用数据保护条例》（GDPR）下的定义来定义个人数据。

根据该框架的官方文本，个人数据为：

“美国某个组织从欧盟收到并以任何形式记录的GDPR范围内的已识别或可识别个人的数据”

值得注意的是，在这种情况下，个人数据包括假名或“密钥编码”的研究数据，即使密钥没有向接收的美国公司披露。典型示例包括姓名、电子邮件地址、家庭/IP地址、电话号码、身份号码等。

欧盟数据隐私框架下的控制器和处理器

根据GDPR，欧盟-美国DPF将参与组织分为两种常见类型：控制器和处理器。

• 在该框架下，数据控制者是“单独或与他人共同决定处理个人数据的目的和方式的个人或组织。”
• 另一方面，数据处理器被定义为“代表控制器行事的代理”。换句话说，处理器是控制器的第三方服务提供商。

有关更多信息，请查看我们的文章：GDPR数据控制者与数据处理者

谁可以参加欧盟-美国数据隐私框架？

与两个前任一样，欧盟-美国。美国DPF通过认证系统工作。这意味着，希望参与新框架的美国组织必须从2023年7月17日起通过新的欧盟-美国进行自我认证。美国商务部（DoC）推出的美国DPF网站。

有资格获得欧盟-美国的认证。美国DPF，您的公司必须“服从联邦贸易委员会（FTC）或美国交通部（DoT）的调查和执法权力。”

希望根据欧盟-美国进行自我认证的企业。S.DPF必须采取以下步骤：

1. 遵守欧盟-美国DPF提供的隐私原则（本文稍后将对此进行详细介绍）
2. 公开声明您遵守欧盟-美国DPF隐私原则的承诺
3. 在欧盟-美国DPF网站上提交申请，其中包括您公司的名称、您处理个人数据的目的以及您调查投诉的独立追索机制
4. 提供反映欧盟-美国DPF原则的可公开访问的隐私政策或更新您的现有政策
5. 请在您的隐私政策中特别注意，您遵守欧盟-美国DPF原则
6. 每年重新认证您对欧盟-美国DPF原则的承诺，并支付认证费

值得注意的是，已经获得隐私保护认证的企业可以立即依靠欧盟-美国DPF进行跨境转账。然而，他们必须根据欧盟-美国DPF原则进行自我认证，并在2023年10月10日前相应更新其隐私政策和实践。

有关欧盟-美国DPF下自我认证的更多信息，请查看DoC发布的官方指南和常见问题解答。

欧盟-美国数据隐私框架要求？

如前所述，欧盟-美国DPF要求参与企业遵守一些隐私原则，以便在跨境数据传输过程中得到充分保护。

这些原则明显让人想起了《通用数据保护条例》的隐私原则，尽管略有改动，但基本上与《隐私保护条例》下的原则相同。

让我们依次研究每一个原理。

目的限制与选择

简单地说，当你收集个人数据时，只将其用于你最初告诉消费者的特定原因。

如果你想将消费者的数据用于不同的目的或与第三方共享，你需要让他们选择通过“一个明确、显眼且随时可用的机制”拒绝

例如，如果您计划将客户的电子邮件地址用于与最初确定的目的不同的目的，请首先征得他们的同意，并为他们提供一种随时选择退出的突出方式。

一个典型的例子是在你的电子邮件底部添加一个“取消订阅”链接，就像企业家总部在这里所做的那样：

另一种常见的退出机制是cookie横幅上的“拒绝/拒绝”按钮。

以下是凯捷的一个例子：

处理特殊类别的个人数据

根据GDPR，某些数据类型被认为是敏感的，因此需要额外的保护。它们包括与以下内容有关的任何数据：

• 健康或医疗状况
• 种族或民族血统
• 政治观点
• 宗教或哲学信仰
• 工会会员
• 性取向或性生活

如果您处理这些数据类型，您将遵守欧盟-美国DPF下更严格的标准。例如，在收集或处理消费者的敏感信息之前，您需要获得消费者的选择加入同意。

选择加入同意通常通过点击包装协议进行，该协议要求消费者选中空的“我同意”复选框或单击突出的“我赞成”按钮，以表明他们批准数据处理活动。

以下是Yelp如何通过其注册页面上的空复选框获得选择加入同意：

数据准确性、最小化和安全性

这项原则显然是一项由三部分组成的义务。简而言之，您必须注意以下几点：

• 确保您持有的有关消费者的数据是正确的，并保持最新。
• 不要将个人数据储存超过必要时间。只收集和保存你真正需要的东西。
• 维护适当的技术和组织安全措施，以保护个人数据免受非法访问、破坏和损害。您的安全措施应与所涉及的风险和您处理的数据类型相称。

透明度

透明度原则本质上是发布反映欧盟-美国DPF原则的公告（也称为隐私政策）的要求。这一要求与隐私保护下的通知原则相当。

根据司法部的规定，合规的隐私政策必须包括以下内容：

• 您参加欧盟-美国DPF计划的声明
• 贵公司收集的个人数据类型
• 您处理数据的目的
• 您可能与之共享个人数据的第三方类别以及您这样做的目的
• 消费者的个人权利
• 您公司的联系信息
• 您可用的补救机制
• 您受联邦贸易委员会、美国运输部或任何其他美国授权法定机构约束的声明
• 在向第三方转移的情况下，您的责任

您的隐私政策还必须包括以下链接：

• 商务部网站
• 欧盟-美国DPF下的参与组织名单
• 适当的替代争端解决服务的网站

例如，Brightmetrics在其隐私政策的介绍部分公开声明，它遵守欧盟-美国。美国DPF，包括英国和瑞士的扩展。Brightmetrics还指出，它受联邦贸易委员会的约束，并包括一个指向国防部网站的链接：

重要的是，您的隐私政策必须用“清晰显眼的语言”书写。当您第一次向消费者索要数据时，在将其用于不同目的之前，以及在与第三方共享之前，您还必须包含一个指向您的政策的链接。

下面是23andMe的一个很好的例子：

有关欧盟-美国DPF下隐私政策要求的更多信息，请查看DoC发布的隐私政策常见问题解答。。

个人权利

与GDPR一样，欧盟-美国。美国DPF赋予数据主体对其个人信息的若干权利。

根据框架：

“数据主体应有某些权利，可以对控制者或处理者强制执行，特别是访问数据的权利、反对处理的权利，以及纠正和删除数据的权利。”

作为欧盟-美国的认证参与者。在处理消费者的数据时，您必须遵守这些权利（以及其他适用的权利）。当消费者要求行使他们的权利时，你还必须“在合理的时间内”做出回应。

此外，您的隐私政策必须提及这些权利，并为消费者提供一个简单的机制来行使这些权利，就像Upwork在这里所做的那样：

对转入的限制

作为欧盟-美国的认证组织。S.DPF，您必须确保在与代表您工作的任何第三方或代理共享个人数据时受到保护。

因此，只有在以下情况下，您才能执行后续转账：

• 您的转账是“出于有限和特定目的”
• 您已与接收方签订了合同（即数据处理协议）
• 确保您的隐私政策持续反映欧盟-美国DPF原则（例如，通过随机检查）

责任

根据这一原则，您必须实施“适当的技术和组织措施”，以有效履行您的职责，并向相关监管机构证明您的合规性。

因此，您需要执行以下操作：

• 定期进行内部评估和外部审计，以确保持续合规
• 维护您的数据处理活动的全面记录，以根据要求验证您的合规性
• 确保您的隐私政策持续反映欧盟-美国DPF原理（例如，通过随机检查）

您还应该考虑任命一名数据保护官（DPO）来监督您的合规性，即使法律上没有要求您这样做。

欧盟-美国的执行。S.数据隐私框架

美国商务部（DoC）的任务是执行欧盟-美国DPF通过监测参与组织对上述原则的遵守情况。

如果出现潜在问题，商务部将采用不同的机制，包括“对随机选择的组织进行抽查”和“对特定组织进行特别抽查”。

作为一个认证组织，DoC将检查是否：

• 您有有效且响应迅速的联络点来处理数据主体的请求和投诉
• 您的隐私政策可在您的网站上通过商务部网站上的超链接轻松访问
• 您的隐私政策符合认证要求
• 您有一个独立的投诉纠纷解决机制

如果国防部有可信的证据表明一个组织没有遵守这些原则，该组织将被要求填写一份全面的问卷。未能做出令人满意的回应可能会导致联邦贸易委员会或国防部等相关部门采取执法行动。

一贯不遵守这些原则的组织可能会被从DPF名单中删除，并且必须返回或删除他们在该框架下收到的个人数据。

总结

欧盟-美国DPF是一个新的数据传输框架，旨在为以前不稳定的环境中的跨境数据流提供法律稳定性。

向欧盟-美国发表讲话。司法专员Didier Reynders说：

“这一充分性决定的通过是确保跨大西洋安全自由传输数据的最后一步。它确保了在我们无形和相互关联的数字世界中保护个人权利，在这个世界中，物理边界不再重要……”

概括一下，希望参加欧盟-美国DPF必须自我认证并遵守多项隐私原则，包括以下原则：

• 目的限制与选择
• 处理特殊类别的个人数据
• 数据准确性、最小化和安全性
• 透明度
• 个人权利
• 继续转账的限制
• 责任

随着欧盟-美国DPF的生效，参与组织可以合法传输个人数据，而无需依赖其他传输机制。

最终，欧盟-美国DPF反映了保护个人隐私的共同承诺，同时在数字经济中实现数据驱动的机会