欧盟委员会近期批准了新的《欧盟-美国跨大西洋数据隐私框架》，这是在其前身欧盟-美国隐私盾（Privacy Shield）被无效三年后的新举措。需要将欧盟数据出境到美国的各企业（包括在美国开展业务的中国企业）将很快可以于美国商务部登记注册，进而自我认证已遵守了隐私框架的相关要求，并从这项新的数据跨境转移机制中受益。

欧盟委员会于7月10日正式批准了新的《欧盟-美国跨大西洋数据隐私框架》（以下简称“隐私框架”），如多方期待，隐私框架开启了数据在大西洋两岸间自由转移的时代。欧洲主体现在可以将个人数据传输给参与了隐私框架的美国主体，而无需另行采取数据保护措施或签署数据转移标准合同。为落实隐私框架，美国商务部将在未来数日内推出一个新的网站，企业可以通过该网站上自我认证为参与隐私框架的组织。

隐私框架的现实意义为何？

《通用数据保护条例》(GDPR)规范了对欧洲人个人数据的处理活动，禁止在未建立合规体系的情况下将个人数据从欧盟转移到没有提供足够保护水平的国家。为了将美国认定为已提供了足够保护，华盛顿和布鲁塞尔此前曾两次合作，其一是美国-欧盟安全港隐私框架（Safe Harbor Framework），其二则为欧盟-美国隐私盾计划（Privacy Shield）。但这两项努力都在相关争议中，被法院基于美国情报机构的电子监听活动而推翻。

为解决相关方的个中担忧，拜登政府于去年底发布了第14086号行政命令《增强对美国信号情报活动的保护措施》，旨在限制美国情报机构对数据的读取活动、加强对美国情报活动的监督，并建立一套独立的救济机制。救济机制包括新设一个数据保护审查法院，来调查和解决针对美情报机构对数据访问的投诉。行政命令中的这些保护措施不仅适用于隐私框架项下的数据流转，也适用于通过其他GDPR合规方式（如标准合同）进行的数据转移，整体上增强对跨大西洋数据流的保护。

企业如何从隐私框架中受益？

虽然隐私框架的主要受益者将是美国企业，但在美国开展业务或有美国关联公司的中国企业也应考虑是否利用隐私框架从而降低GDPR跨境数据转移的合规成本。

在隐私框架下，参与框架的公司必须自我认证其符合了一系列具体的隐私义务，包括与使用目的限制相关的数据最小化、数据留存义务，以及数据安全、与第三方共享数据的若干具体义务。预计美国商务部将监管参与隐私框架的企业是否符合了必要条件，并将进一步阐释如何在新隐私框架下进行自我认证，包括向那些在欧盟-美国隐私盾被无效后仍遵守隐私盾计划的企业提供指导。与隐私盾计划一致，经认证企业的合规事宜将由美国联邦贸易委员会负责监管。

隐私框架是否会重蹈“安全港”和“隐私盾”计划的覆辙？

此次批准的隐私框架因内容模糊而受到了一些批评，并一定会招致法律挑战。Max Schrems曾成功在法院推翻了此前的欧美数据传输方案，其领导的Nyob（None of Your Business）组织近期表态将对隐私框架提起诉讼，并表示：“欧盟委员会关于实现欧盟-美国数据转移的稳定协议的第三次努力可能在数月内被再一次诉至（欧盟）法院。”然而，欧盟法院审理相关争议的流程可能需要一些时间（或至数年），而且相较于隐私框架的两项前身方案，许多人对隐私框架能够在争讼中胜出持乐观态度。

如何找到关于隐私框架的更多信息？

您可查阅欧盟委员会公布的关于充分性决定、概况介绍和相关问答的相关文件。我们将在美国商务部提供自我认证流程的进一步信息后更新此简报。

如您对此文内容有任何问题或需要协助评估贵方业务的最佳应对路径，请与高锐律师事务所的律师联系。

欧盟委员会公布的相关文件链接：https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en