欧盟委员会于 2023 年 7 月 10 日通过关于欧盟-美国数据隐私框架(EU-US DPF)的充分性决定,认可参与该框架的美国商业组织能提供与欧盟相当的数据保护水平。据此,欧盟个人数据可无需额外保护措施,自由传输至参与框架的美国实体。这是欧美之间跨境数据传输机制的第三次尝试,前两次(安全港、隐私盾)均被欧盟法院判定无效。
TL;DR
DPF 的历史与非营利隐私组织 NOYB 创始人 Max Schrems 密切相关。2013 年,基于对 Facebook 数据传美的担忧,Schrems 质疑安全港协议的有效性,2015 年欧盟法院判其无效;2016 年 7 月欧盟通过“隐私盾”框架。但 Schrems 进一步申诉,2020 年 7 月欧盟法院以美国未充分限制情报监视权力、且欧盟主体缺乏可用司法救济为由,裁定隐私盾无效(Schrems II)。
Schrems II 对高度依赖隐私盾的跨大西洋数字贸易冲击很大,解决数据流动成为欧美“高度优先事项”。2022 年 3 月双方宣布跨大西洋数据隐私框架;同年 10 月,拜登签署《加强美国信号情报活动安全保障》行政令(EO 14086),并以美国司法部《数据保护审查法庭条例》作为补充;2022 年 12 月欧盟委员会启动充分性决定程序;2023 年 7 月 3 日美国商务部长声明已履行承诺;7 月 10 日欧盟委员会正式通过充分性决定。

新的约束性保障措施包括:确保数据只在必要且成比例的范围内被美国情报机构获取,并建立独立公正的救济机制——引入数据保护审查法庭(DPRC),处理欧盟个人关于其数据被用于国家安全目的的投诉。这正是针对 Schrems II 指出的问题。
DPF 是一种法律框架,适用于任何列入“数据隐私框架清单”的数据控制者或处理者。希望据此传输数据的公司,需向美国商务部(DoC)获得认证,确保符合“欧盟-美国数据隐私框架原则”,并同意接受联邦贸易委员会(FTC)或美国交通部(DoT)的调查与执法权。认证后,公司被加入清单,须通知数据主体、公开隐私政策并提供指向 DoC 的链接;此后每年需申请重新认证,DoC 会与 FTC 或 DoT 交叉核查,发现问题须在 45 天内回应。
DPF 八项原则基于欧美隐私立法共有的处理原则:目的限制、自由同意、数据准确性、数据最小化、数据安全、透明度、数据主体权利、对敏感数据的特殊保护,以及问责制。
关于进一步转移,框架设有限制:只有列入白名单并获认证的实体才有资格从欧盟获取个人数据;进一步接收欧盟数据的公司也须在清单上,且满足其他传输要求。投诉的最终处理责任在美国当局(FTC 或 DoT);若欧盟当局收到投诉,会先提交欧洲数据保护委员会(EDPB),再由其转交相应美国当局。
对尚未加入清单的公司,DPF 并非唯一路径。企业仍可使用此前的跨境传输规则,如标准合同条款(SCC)或有约束力的公司准则(BCR)来传输或接收欧盟个人数据。SCC 路径为何仍需配套评估,可参考Meta 被罚 12 亿欧元:SCC 为何不再够用 与巴西数据保护机构发布的 SCC 与数据跨境传输条例 ;此前因数据传美受罚的案例,见瑞典因使用 Google Analytics 传美数据被罚 。
DPF 为欧美传输提供了新路径,但它仍处于早期阶段,实施中存在不确定因素——毕竟前两次机制都被欧盟法院推翻。企业可据此在“加入 DPF 清单”与“继续使用 SCC/BCR 并叠加评估”之间做选择,同时关注框架的稳定性与后续司法挑战。中美方向的数据脱钩趋势与美方的对向规则,可对照美国司法部发布数据跨境传输最终规定 与EO 14117 生效一周年的执法动向 ;转移影响评估的操作,参考CNIL 的数据转移影响评估(TIA)指南 。