2024 年 11 月 5 日 https://www.boringcompliance.com

欧洲数据保护委员会（EDPB）在最近的全体会议上通过了关于欧盟-美国数据隐私框架（DPF）首次审查的报告，以及关于高级小组（HLG）关于获取数据以有效执法的建议的声明。

关于商业方面，即根据该框架对自我认证公司适用的要求的应用和执行，EDPB 指出，美国商务部已采取一切相关措施来实施认证流程。其中包括开发新网站、更新程序、与公司合作以及开展提高认识的活动。

此外，欧盟个人的补救机制已经实施，大西洋两岸都发布了全面的投诉处理指南。然而，迄今为止根据 DPF 收到的投诉数量很少，这凸显了美国当局启动对 DPF 认证公司遵守实质性 DPF 原则的监督活动的重要性。

EDP​​B 鼓励美国当局制定指导方针，明确 DPF 认证公司在转移从欧盟出口商处收到的个人数据时需要遵守的要求。我们也欢迎美国当局就人力资源数据制定指导方针。EDPB 表示愿意就这些指导文件提供反馈。

关于美国公共当局对欧盟向认证组织转移的个人数据的访问，EDPB 重点关注了美国法律框架中行政命令 14086 引入的保障措施的有效实施，例如必要性和相称性原则以及新的补救机制。委员会认为补救机制的要素已经到位；同时，它再次呼吁欧盟委员会监督不同保障措施的实际运作，例如必要性和相称性原则的实施。EDPB 还建议委员会监督与美国《外国情报监视法》相关的未来发展，特别是考虑到第 702 条在今年早些时候获得美国国会重新授权后范围扩大。

最后，董事会建议下一次欧盟-美国充分性决定审查应在三年或更短的时间内进行。

 关于 HLG 为有效执法而获取数据的建议的声明强调，执法机构在获取个人的个人数据时必须保障基本权利。EDPB 虽然支持有效执法的目标，但它指出，HLG 的一些建议可能会对基本权利造成严重侵犯，特别是对隐私和家庭生活的尊重。

尽管 EDPB 积极地指出该建议可能会促成在数据保留方面建立公平的竞争环境，但它认为，所有服务提供商都普遍有义务以电子形式保留数据，这将严重干涉个人权利。因此，EDPB 质疑这是否符合《欧盟基本权利宪章》和欧盟法院判例的必要性和相称性要求。 

EDP​​B 在声明中还强调，有关加密的建议不应妨碍其使用或削弱其提供的保护的有效性。例如，在数据加密并通过通信渠道发送之前或在接收方解密之后，引入允许远程访问数据的客户端流程实际上会削弱加密。保持加密的保护性和有效性非常重要，这样可以避免对私人生活和保密性的尊重受到负面影响，并确保言论自由和经济增长（这依赖于值得信赖的技术）得到保障。 

https://www.edpb.europa.eu/news/news/2024/edpb-adopts-its-first-report-under-eu-us-data-privacy-framework-and-statement_en