英美数据桥于 2023 年 10 月 12 日生效
英国政府宣布,自 2023 年 10 月 12 日起,英国机构将可使用欧盟-美国数据隐私框架扩展条款("英美数据桥")。这一法律框架有助于个人数据从英国自由、安全地流向美国,将使英国企业受益。
如何监管从英国向美国的个人数据传输?
根据英国的数据保护法,原则上禁止将个人数据传输到英国以外的地区,除非出现以下情况之一:
- 向国务大臣认为确保数据保护水平高于英国的国家、地区、部门或组织转移(即基于 "充分性法规(决定)"的转移)
- 受 "适当保障措施 "约束的传输
- 英国 GDPR 第 49 条规定的 "特定情况 "下的传输
欧盟委员会于 2023 年 7 月通过了欧盟-美国数据隐私框架(DPF)的适当性决定。由于该决定是在英国脱欧后做出的,因此不适用于从英国向美国的数据传输。因此,英国机构不能将个人数据传输到美国,除非此类数据受到适当的保护,或者仅在特定情况下。
什么是英美数据桥?
英美数据桥是一项充分性法规,规定参与 DPF 的美国机构与英国相比拥有充分的数据保护水平。这允许英国机构向参与的美国机构传输个人数据,而无需依赖适当的保障措施或特定情况。
为什么英美数据桥对英国机构有利?
对于传输个人数据的组织而言,为使其被视为提供了适当保障而适用的要求通常被认为是复杂和难以解决的。此外,"特定情况 "下的数据传输是在没有其他依据的情况下不得已而为之的,而且在实践中,这些类型的传输对处理数据的组织来说并不方便。因此,英美数据桥释放了降低英国企业合规成本的潜力。
英美数据桥接适用于哪些美国机构?
个人数据的接收方必须是根据 DPF 获得英美数据桥扩展认证的美国组织。该扩展可通过经认证的美国组织持有的 DPF 账户进行。由于英美数据桥接基于对 DPF 的参与,因此尚未加入 DPF 的美国组织必须先加入 DPF,然后才能使用这种方法传输个人数据。还应注意的是,某些行业(如银行、保险和电信)的美国企业不在 DPF 的覆盖范围内。参与者,包括英美桥接的选择加入状态,可在此处找到。
ICO 对英美数据桥的立场是什么?
信息专员办公室 (ICO) 指出,采用英美数据桥的决定是合理的,但似乎并非无条件支持。如果确定的保护措施没有得到适当应用,ICO 担心某些特定领域可能会给英国数据主体带来风险。例如,有迹象表明,英国-美国数据桥中可能缺少对自动决定进行审查的权利、被遗忘的权利和无条件撤回同意的权利所提供的保护。
向美国转移数据的框架会再次失败吗?
事实上,欧盟与美国曾有过类似的数据传输计划,但分别于 2015 年(施雷姆斯案 I)和 2020 年(施雷姆斯案 II)被欧盟法院宣布无效。参与这些案件的激进组织已经宣布,他们也打算挑战 DPF。 现阶段,他们的挑战前景尚不明朗,但如果挑战成功,由于 DPF 的基础,英美数据桥的有效性可能会出现复杂的问题。
3CS 如何提供帮助
我们的公司与商业律师和顾问团队拥有国内和国际专业知识,可提供全方位的公司与商业律服务。有关英美数据桥的更多信息或任何商业法律事务的帮助,请联系您的 3CS 联系人。
