2023年7月10日，欧盟委员会通过了一项关于数据隐私框架（“DPF”）的新充分性决定。在此之前，欧盟法院于 2020 年 7 月 16 日宣布《欧盟-美国隐私护盾》无效。该充分性裁决实质上规定，与欧盟的保护水平相当，对以下内容提供了充分的保护水平：从欧盟传输到参与 DPF 的美国公司的个人数据。

许多文章将充分性决定描述为最终允许欧盟和美国公司之间自由的个人数据流动，而无需实施额外的数据保护措施。

但真的是这样吗？寻求援引 DPF 作为向美国传输个人数据的法律工具的公司仍需要进行全面的影响评估，以了解其好处和可能的局限性。

了解数据保护框架（“DPF”）的局限性

DPF 对于隐私和个人数据保护来说是个好消息：只要美国公司提供实施某些法律保障措施的证据，它就可以让美国公司获得美国当局的初步自我认证，以遵守 DPF。

然而，欧洲组织在根据 DPF 向美国传输个人数据时需要睁大眼睛。以下是一些需要考虑的因素。

适用范围

首先要记住的重要一点是，DPF 仅适用于必须是美国公司的注册组织。因此，欧洲公司无法向 DPF 注册以导出数据等。对于在美国运营的美国组织或欧盟企业的子公司来说，数据隐私框架并不是自动的。

事实上，DPF 规定：“受联邦贸易委员会 (FTC) 或美国交通部 (DOT) 管辖的美国组织可以参与 DPF 计划”。

行业限制

DPF 并非适用于所有行业：只有受联邦贸易委员会 (FTC) 或交通部 (DOT) 联邦级监管的行业才可以进行自我认证。正如国际隐私专业协会 ( IAPP )所言，金融服务等关键行业因此被明显排除在外，导致组织没有明确的数据保护合规途径，并可能使其面临重大风险。

无效的云认证

尽管美国主要云服务提供商已根据 DPF 进行了自我认证，但重要的是要了解，这一认证并不延伸到主要云服务提供商提交的隐私声明中明确提到的存储在其服务中的客户数据。因此，欧洲组织可能不会利用或依赖其主要云服务提供商的自我认证。这种细微差别是云责任模型的一个关键方面，提醒组织他们承担保护数据的最终责任，无论数据位于何处。

地理限制

DPF 仅影响欧洲个人数据流入美国。这种地理限制意味着该框架无法解决这些区域之外的组织的数据保护实践，从而产生潜在的安全和隐私漏洞。这对于在多个国家开展业务的跨国组织来说尤其具有挑战性。

监管复杂性

虽然 DPF 可能会满足 GDPR（第 45 条）中“数据传输”的某些要求，但不涵盖《数字运营弹性法案》（ “DORA”）和《网络与信息安全指令》（“NIS2” ）等其他法规并进一步要求组织保护敏感数据，尤其是在云服务中处理时。除 DPF 之外的其他法规也可能要求采取补充措施来保护敏感数据的隐私和完整性。

数据保护框架的不确定未来

除了上面列出的限制之外，组织还需要注意与 DPF 源自欧盟（欧盟委员会的决定）和美国（总统的行政命令）两个执行机构这一事实相关的不确定性。这一事实，以及之前失效的隐私护盾带来的挑战仍然存在，预示着 DPF 的未来不稳定。

FISA 702 的持续存在

DPF 关注的主要问题之一是《外国情报监视法》(FISA) 702 规则继续允许美国政府/机构进行广泛的监视行为。这些规则是安全港和隐私护盾失效的根源，与 GDPR 倡导的以隐私为中心的价值观形成鲜明对比，并可能损害 DPF 的可信度和有效性。

依赖行政命令

在美国，DPF 的基础取决于总统的行政命令。它不是基于美国基本法的改变（国会法案或最高法院判决）。这种依赖性带来了脆弱性，因为管理或政策的变化可能导致框架在无需国会批准的情况下被撤销。

欧洲议会的立场

提到的美国行政命令的不稳定性可能同样适用于欧盟委员会的充分性决定。

2023年5月，欧洲议会就DPF投票通过决议（2023/2501 ）。特别是，欧盟议会“得出结论认为，欧盟-美国数据隐私框架未能在保护水平上创造基本对等”。虽然这次投票不具约束力，也没有阻止充分性决定，但这一意见不亚于欧盟议会本身，反映了欧盟内部对数据隐私和跨大西洋数据保护机制有效性的更广泛担忧。

欧洲数据保护委员会 (EDPB) 的立场

2023 年 2 月，欧洲整体数据保护监管机构 EDPB 发布了一份关于DPF 的意见文件（ 5/2023 ），实质上指出，除了取得的进展之外，“EDPB 注意到之前提出的一些与 DPF 有关的问题”。隐私护盾原则仍然有效。”

发起法律挑战

DPF 已经在欧盟法院面临法律挑战。Max Schrems 的NOYB等团体表达了他们的担忧，特别是“FISA 702 的根本问题没有得到解决”。立法者已经向欧洲法院提出挑战。如果成功，这些诉讼可能会导致 DPF 无效并恢复到充分性决定之前的状态。

抱最好的希望，做最坏的准备

欧盟和美国之间的数据隐私框架是在互联世界中保护数据的关键一步。然而，它的局限性和漏洞需要仔细导航。最终，组织应该考虑他们的数字主权：他们完全控制自己的数字命运的能力——他们赖以运行业务的数据、硬件和软件。

为了实现数字主权，以下是一些基本建议：

• 进行风险评估
• 保护敏感数据的整个生命周期
• 强制职责分离
• 自动化数据安全治理

在此了解Thales CipherTrust 数据安全平台（CDSP）如何帮助组织通过最先进的加密发现和保护其数据，并通过自动化和集中的密钥和策略管理维护其主权状态。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代