英美資料橋於 2023 年 10 月 12 日生效
英國政府宣布,自 2023 年 10 月 12 日起,英國機構將可使用歐盟-美國資料隱私框架擴展條款("英美資料橋")。這個法律架構有助於個人資料從英國自由、安全地流向美國,將使英國企業受益。
如何監管從英國向美國的個人資料傳輸?
根據英國的資料保護法,原則上禁止將個人資料傳輸到英國以外的地區,除非出現以下情況之一:
- 向國務大臣認為確保資料保護水準高於英國的國家、地區、部門或組織轉移(即基於 "充分性法規(決定)"的轉移)
- 受 "適當保障措施 "約束的傳輸
- 英國 GDPR 第 49 條規定的 "特定情況 "下的傳輸
歐盟委員會於 2023 年 7 月通過了歐盟-美國資料隱私框架(DPF)的適當性決定。由於該決定是在英國脫歐後做出的,因此不適用於從英國向美國的數據傳輸。因此,英國機構不能將個人資料傳輸到美國,除非此類資料受到適當的保護,或僅在特定情況下。
什麼是英美資料橋?
英美資料橋是一項充分性法規,規定參與 DPF 的美國機構與英國相比擁有充分的資料保護水準。這允許英國機構向參與的美國機構傳輸個人數據,而無需依賴適當的保障措施或特定情況。
為什麼英美資料橋對英國機構有利?
對於傳輸個人資料的組織而言,為使其被視為提供了適當保障而適用的要求通常被認為是複雜和難以解決的。此外,"特定情況 "下的資料傳輸是在沒有其他依據的情況下不得已而為之的,而且在實踐中,這些類型的傳輸對處理資料的組織來說並不方便。因此,英美數據橋釋放了降低英國企業合規成本的潛力。
英美資料橋接適用於哪些美國機構?
個人資料的接收方必須是根據 DPF 獲得英美資料橋擴展認證的美國組織。此擴充可透過經認證的美國組織持有的 DPF 帳戶進行。由於英美資料橋接是基於對 DPF 的參與,因此尚未加入 DPF 的美國組織必須先加入 DPF,然後才能使用此方法傳輸個人資料。還應注意的是,某些行業(如銀行、保險和電信)的美國企業不在 DPF 的覆蓋範圍內。參與者,包括英美橋接的選擇加入狀態,可在此處找到。
ICO 對英美資料橋的立場是什麼?
資訊專員辦公室 (ICO) 指出,採用英美資料橋的決定是合理的,但似乎並非無條件支援。如果確定的保護措施沒有適當應用,ICO 擔心某些特定領域可能會對英國資料主體造成風險。例如,有跡象表明,英國-美國資料橋中可能缺少對自動決定進行審查的權利、被遺忘的權利和無條件撤回同意的權利所提供的保護。
向美國轉移數據的框架會再次失敗嗎?
事實上,歐盟與美國曾有類似的資料傳輸計劃,但分別於 2015 年(施雷姆斯案 I)和 2020 年(施雷姆斯案 II)被歐盟法院宣布無效。參與這些案件的激進組織已經宣布,他們也打算挑戰 DPF。現階段,他們的挑戰前景尚不明朗,但如果挑戰成功,由於 DPF 的基礎,英美資料橋的有效性可能會出現複雜的問題。
3CS 如何提供協助
我們的公司與商業律師和顧問團隊擁有國內和國際專業知識,可提供全方位的公司與商業法律服務。有關英美資料橋的更多資訊或任何商業法律事務的協助,請聯絡您的 3CS 聯絡人。
