2024 年 11 月 5 日 https://www.boringcompliance.com
欧洲数据保护委员会(EDPB)在最近的全体会议上通过了关于欧盟-美国数据隐私框架(DPF)首次审查的报告,以及关于高级小组(HLG)关于获取数据以有效执法的建议的声明。
关于商业方面,即根据该框架对自我认证公司适用的要求的应用和执行,EDPB 指出,美国商务部已采取一切相关措施来实施认证流程。其中包括开发新网站、更新程序、与公司合作以及开展提高认识的活动。
此外,欧盟个人的补救机制已经实施,大西洋两岸都发布了全面的投诉处理指南。然而,迄今为止根据 DPF 收到的投诉数量很少,这凸显了美国当局启动对 DPF 认证公司遵守实质性 DPF 原则的监督活动的重要性。
EDPB 鼓励美国当局制定指导方针,明确 DPF 认证公司在转移从欧盟出口商处收到的个人数据时需要遵守的要求。我们也欢迎美国当局就人力资源数据制定指导方针。EDPB 表示愿意就这些指导文件提供反馈。
关于美国公共当局对欧盟向认证组织转移的个人数据的访问,EDPB 重点关注了美国法律框架中行政命令 14086 引入的保障措施的有效实施,例如必要性和相称性原则以及新的补救机制。委员会认为补救机制的要素已经到位;同时,它再次呼吁欧盟委员会监督不同保障措施的实际运作,例如必要性和相称性原则的实施。EDPB 还建议委员会监督与美国《外国情报监视法》相关的未来发展,特别是考虑到第 702 条在今年早些时候获得美国国会重新授权后范围扩大。
最后,董事会建议下一次欧盟-美国充分性决定审查应在三年或更短的时间内进行。
关于 HLG 为有效执法而获取数据的建议的声明强调,执法机构在获取个人的个人数据时必须保障基本权利。EDPB 虽然支持有效执法的目标,但它指出,HLG 的一些建议可能会对基本权利造成严重侵犯,特别是对隐私和家庭生活的尊重。
尽管 EDPB 积极地指出该建议可能会促成在数据保留方面建立公平的竞争环境,但它认为,所有服务提供商都普遍有义务以电子形式保留数据,这将严重干涉个人权利。因此,EDPB 质疑这是否符合《欧盟基本权利宪章》和欧盟法院判例的必要性和相称性要求。
EDPB 在声明中还强调,有关加密的建议不应妨碍其使用或削弱其提供的保护的有效性。例如,在数据加密并通过通信渠道发送之前或在接收方解密之后,引入允许远程访问数据的客户端流程实际上会削弱加密。保持加密的保护性和有效性非常重要,这样可以避免对私人生活和保密性的尊重受到负面影响,并确保言论自由和经济增长(这依赖于值得信赖的技术)得到保障。