2016年8月1日,美国商务部部长宣布启动各个参与欧盟-美国《隐私保护框架》组织的自我认证程序,《欧盟-美国隐私保护框架》是一个新的向美国转让欧盟个人数据的自愿框架,取代了之前的《欧盟安全港》计划。
根据《隐私保护框架》通过自我认证,美国的各个组织就能收到来自欧盟组织的个人数据,无需欧盟数据出口商的特别同意或与其签订特别协议。
《隐私保护框架》由美国商务部下的国际贸易委员会(ITC)通过其在线自我认证程序管理。加入《隐私保护框架》是自愿的,但是一旦一个组织公开承诺通过自我认证遵守《隐私保护框架》的原则,该承诺就可以根据美国法律强制执行。其实,向美国转让个人数据也有其他的方案,包括明确同意以及使用有约束力的公司规则(BindingCorporateRules)或欧盟批准的模范条款协议等,不过目前在欧盟使用模范条款存在法律的问题。
要想根据《隐私保护框架》进行自我认证,一个组织必须受到联邦贸易委员(FTC)或交通部(DOT)的管辖,且需要满足以下要求,这些要求在《隐私保护框架》计划网站有详细描述:
制定遵守《隐私保护框架》的政策声明。自我认证的组织必须采用符合《隐私保护框架》的政策,该政策必须符合《隐私保护框架》的要求,包括遵守隐私保护原则。
建立该组织的独立救济机制。自我认证的组织必须提供一个独立的救济机制,可以用来调查需要解决的纠纷,且申请人无需支付任何费用,或者该组织也可以与欧盟数据保护机构(DPA)合作。
建立该组织的验证机制。自我认证的组织必须制定验证是否遵守了《隐私保护框架》的程序,为了满足此要求,各个组织可以使用自我评估或第三方评估机制。
在组织内部指定一个有关《隐私保护框架》的联系人。自我认证的组织必须提供一个处理这些问题、纠纷或其他因《隐私保护框架》而产生的事项的联系人。组织必须在收到纠纷处理申请45天内作出回应。
此外,《隐私保护框架》也可以会受到英国退欧的影响,比如,英国在将数据转让给美国时可能采取一个类似的模式。
