2016年2月2日,欧盟委员会宣布与美国达成了一个取代“欧盟-美国安全港框架”的协议,欧盟法院(CJEU)去年宣布欧盟-美国安全港框架无效。名为“欧盟-美国隐私卫士”的新框架将指导企业将欧盟公民的个人信息安全传递到美国。
背景
2015年10月6日,CJEU宣布旧的安全港框架无效。根据《欧盟数据保护指令》,欧盟公民的个人信息只能从欧盟传递到具备充足的数据保护标准的国家。欧盟委员会与美国商务部谈判达成的安全港框架是欧盟企业确保在将欧盟公民的个人数据传递到美国时美国提供充分保护的措施之一。CJEU对旧框架的一大担忧是美国对欧盟公民个人信息的大规模任意监控,此举被认为侵犯欧盟公民的基本权利。
为了商谈新协议,监管者规定了一个宽限期,截止日期为2016年1月31日,在宽限期内欧盟数据保护机构将不会对非法将欧盟公民的个人信息从欧盟传递到美国的企业实施惩罚。
新框架的特征
尽管新协议的条款还未确定,但欧盟委员会公布了欧盟-美国隐私卫士的一些细节。
在欧盟公民的个人信息以及执法机制方面,美国企业应履行的义务:与原来的安全港一样,美国企业要承担处理个人信息和保障个人权利方面的义务。美国商务部将确保企业公布其承诺,联邦贸易委员会将落实这些承诺。
美国政府获取信息的透明度和安全措施:美国政府保证传递到美国的欧盟公民的个人信息不会受到政府大规模监控计划的影响,而且出于执法和国家安全目的获取此类个人信息将受限制、保障和监督机制约束。
救济:根据新框架,企业对投诉的回复有截止日期。欧盟数据保护机构可将投诉移交给美国商务部和联邦贸易委员会。欧盟-美国隐私卫士下的任何纠纷解决机制不收取任何费用。在投诉美国国家情报局获取情报时,欧盟公民可以向美国的特定督查员投诉。
未来措施
欧盟委员会必须准备一份充分性决策报告,以批准欧盟-美国隐私卫士并将其作为《欧盟数据保护指令》下的一个有效的数据传递机制,准备过程需要几周。一旦准备好,欧盟委员会在收到第29条工作组的意见后将采纳充分性决策。美国官方也要采取各种行动,包括确定督查员和实施监督机制。(编译自canadiantechnologyiplaw.com)
11011502003002