2023年7月10日，欧盟委员会通过了欧盟-美国数据隐私框架（DPA）的充分性决定。欧盟确信，该框架能确保美国对两国之间传输的个人数据的保护与欧盟提供的保护相当。

欧盟司法委员迪迪埃·雷德尔斯（Didier Reynders）在7月10日的新闻发布会上表示：“个人数据现在可以自由、安全地从欧洲经济区流向美国，无需任何进一步的条件或授权……充分性决定确保数据可以在稳定和可信的安排的基础上在欧盟和美国之间传输，从而保护个人并为公司提供法律确定性。”

▲ 欧盟委员会关于在欧盟-美国数据隐私框架决定的封面

就在这项协议达成几天前，美国司法部和美国国家情报总监办公室宣布完成了总统乔·拜登关于该框架的行政命令中的承诺。代表超过 4.24 亿人口的 24 个欧盟成员国于 7 月 7 日投票支持 DPF，而 3 个匿名的成员国投了弃权票。

美国国际贸易管理局推出了数据隐私框架网站，其中包括有关自我认证、参与组织、执行等信息。

▲ 美国数据隐私框架网站首页

该决定于次日2023年7 月 11 日生效，但新框架仍将面临法律挑战。

欧盟-美国数据隐私框架（DPA）：一个受欧美高层欢迎的决定

欧盟委员会发布的一份新闻稿称：“欧盟-美国数据隐私框架引入了新的具有约束力的保障措施，以解决欧盟法院提出的所有担忧，包括将美国情报部门对欧盟数据的访问限制在‘必要和适当的范围’内，并建立数据保护审查法院。”

欧盟司法委员迪迪埃•雷德尔斯（Didier Reynders）表示，该框架明确阐明了“必要性和相称性要求”以及“可执行的保障措施”和“用户友好”的补救机制。他指出，如果发现数据的收集违反了新的保障措施，新的数据保护审查法院将有权下令删除数据。欧洲人将能够向当地数据保护机构免费提出投诉，而无需证明他们的数据已被美国情报机构访问。他称这一改进“对于确保有效获得补救至关重要”。

欧盟委员会主席乌苏拉·冯德莱恩表示，新框架“将确保欧洲人的数据流动安全，并为大西洋两岸的公司带来法律确定性。”她说，美国“已经履行了前所未有的建立新框架的承诺”。

根据美国的承诺，欧盟成员国以及冰岛、列支敦士登和挪威都是“有资质的国家”（qualifying states），其公民将能够通过数据保护审查法院申请补救，同时获得美国强化的隐私保护。

美国大学华盛顿法学院常驻学者、国家情报总监办公室前负责人亚历山大·乔尔 (Alexander Joel)表示，美国采取了“前所未有的步骤”来解决欧盟法院提出的问题，“根据美国法律和法律传统来解读，新的行政命令为欧盟法院提供了充足的理由——认定美国提供的保护基本上等同于欧盟法律规定的保护。”

▲ Alexander Joel：美国大学华盛顿法学院常驻学者，曾担任国家情报总监办公室 (ODNI) 的高级官员

欧洲数据保护委员会主席 Anu Talus 表示，将在未来几周内为利益相关者制定一份有关 DPF 影响的信息说明，欧洲数据保护委员会（EDPB）“期待欧盟委员会参加下一次全体会议，届时将阐明充分性决定的最终文本以及 EDPB 意见后的变化。”

“施雷姆斯 III”（Schrems III）：新一轮挑战即将上演

欧盟-美国数据隐私框架（DPF）取代了欧盟-美国隐私护盾（Privacy Shield），后者于 2020 年 7 月被欧盟法院宣布无效。欧盟司法委员迪迪埃·雷德尔斯（Didier Reynders）表示，从那时起，恢复对跨越大西洋的欧洲数据的稳定和持续保护一直是欧盟委员会的“首要任务”。

尽管 迪迪埃·雷德尔斯（Didier Reynders） 表示该框架“与欧盟-美国隐私护盾有很大不同”，但在法律上对隐私护盾及其前身安全港框架提出挑战的隐私倡导组织 NOYB（欧盟数字权利中心，由奥地利律师和隐私活动家Max Schrems创立）表示，该框架“很大程度上只是一个副本”。

隐私倡导组织NOYB 表示将对框架提出上诉，并指出欧盟委员会为就欧盟-美国数据传输达成稳定协议而进行的第三次尝试可能会在几个月内回到欧盟法院。该组织表示，美国没有解决“根本性”的监视问题。

NOYB名誉主席马克斯•施雷姆斯说：“‘精神错乱’的定义是一遍又一遍地做同样的事情，却期待不同的结果。就像‘隐私盾’一样，最新的协议不是基于实质性变化，而是基于政治利益。现在的委员会似乎又一次认为，混乱将是下一届委员会的问题。”

“我们现在有了‘港湾’（Harbors）、‘雨伞’（Umbrellas）、‘盾牌’（Shields）和‘框架’（Frameworks），但美国的监控法律没有实质性变化。仅仅宣布某样东西是‘新的’、‘强大的’或‘有效的’并不能在法院面前削减它。我们需要修改美国的监控法律来实现这一目标，而我们根本没有这样做。”

▲ 美欧数据传输大事件（“互联网法律评论”整理）

欧盟司法委员迪迪埃·雷德尔斯（Didier Reynders）在周一的新闻发布会上对 NOYB 的声明做出了回应，称新系统应该在宣布法律挑战之前进行测试：

“我确信我们有非常有力的论据来表明，我们现在拥有一个与安全港和隐私盾截然不同的系统……我们非常有信心不仅能够执行这样一项协议，而且能够在我们必须面对的所有不同程序中捍卫这样一项协议。再说一遍，这只是一个建议，但为什么不在批评这种系统之前测试一下新系统呢”

美国大学华盛顿法学院的亚历山大•乔尔 (Alexander Joel)表示，该框架在欧盟法院面前如何是“一个价值百万美元的问题”：

“在未来几年内，欧盟法院可能会就欧盟-美国数据隐私框架是否提供与欧盟法律要求的保障措施基本相同的保障措施做出裁决。与此同时，充分性决定应该能够使数据流动将继续，包括通过‘标准合同条款’和‘具有约束力的公司规则’等机制。”

乔尔表示，随着欧盟充分性决定的最终确定和随后的诉讼的展开，他希望“将有空间通过提高透明度和相互理解，甚至政策改变来找出如何解决这些问题的空间。”

但如果新框架内的美国保护不足以应对法律挑战，会发生什么？

乔尔表示：“正如律师们喜欢说的那样，这要看情况（it depends）。如果（美国数据保护审查）法院将有权下令删除数据，做出的决定从根本上与美国最高法院的裁决不一致，因此需要修改宪法，那么我认为我们将面临一场潜在的无法解决的危机……对于欧盟而言，修改欧盟法律，例如《通用数据保护条例》（GDPR），以帮助解决这类数据流挑战，根本不在讨论范围之内。按照这些思路，我认为美国专家会一致认为，修改（美国）宪法是不可能的。”