欧盟-美国数据隐私框架完全指南(2026年)
欧盟-美国数据隐私框架(Data Privacy Framework,简称DPF)是欧盟委员会于2023年7月10日根据《通用数据保护条例》(GDPR)第45条通过的一项充分性认定决定,授权将个人数据从欧盟合法传输至通过美国商务部完成自我认证的美国机构。
欧盟-美国数据隐私框架(DPF)是欧盟与美国第三次尝试建立一套稳定的跨大西洋个人数据传输法律机制。此前的两个机制,即安全港协议和隐私盾协议,均已被欧盟法院(CJEU)判定无效。理解这些框架失败的原因、DPF在设计上如何应对这些缺陷,以及目前对其构成威胁的各项挑战,对任何在欧盟与美国之间传输个人数据的机构而言都至关重要。
本指南将全面介绍DPF的历史沿革、运作机制、新的救济机制、2024年的首次审查、Latombe诉讼及其尚未审结的欧盟法院上诉、PCLOB危机,以及企业目前应当采取的实际应对措施。
快速解答
欧盟-美国数据隐私框架目前是有效的法律。欧盟委员会2023年7月作出的充分性认定依然有效。欧盟普通法院已于2025年9月维持该认定,DPF仍是欧盟向美国传输个人数据最便捷的法律依据。不过,一项上诉(案号C-703/25 P)正在欧盟法院审理中;负责审查DPF情报保障措施的监督机构(PCLOB)目前处于法律真空状态;而FISA第702条也仅依靠短期延期维持运作,国会仍在就其续期展开辩论。仅依赖DPF的机构应同时保留标准合同条款作为备用方案。
从安全港到隐私盾再到数据隐私框架
通往当前框架的道路跨越了二十多年,途经欧盟法院两项具有里程碑意义的判决。
安全港协议(2000年至2015年)
安全港协议于2000年通过,旨在弥合欧盟与美国在数据保护理念上的根本差异。美国企业可自我认证其符合一套与欧盟标准接轨的隐私原则。约有4500家企业参与该协议。
2015年10月,欧盟法院在Schrems I案(案号C-362/14)中判定安全港协议无效。奥地利隐私倡导人士Max Schrems对Facebook爱尔兰公司的数据传输行为提出质疑,主张爱德华·斯诺登披露的美国国家安全局大规模监控项目表明,美国并未提供充分的数据保护水平。法院支持了这一主张:安全港协议未能充分限制美国政府对欧盟个人数据的访问,也未能为欧盟个人提供有效的司法救济。
隐私盾协议(2016年至2020年)
欧盟-美国隐私盾协议于2016年8月取代安全港协议,其中包含更严格的隐私原则、更强的联邦贸易委员会(FTC)监督,以及由国务院监察专员负责处理欧盟方面关于情报活动的投诉。超过5300家美国企业完成了认证。
2020年7月,欧盟法院在Schrems II案(案号C-311/18)中判定隐私盾协议无效。美国的监控项目,特别是《外国情报监视法》(FISA)第702条以及第12333号行政命令,允许开展超出欧盟法律严格必要范围的大规模数据收集。该监察专员的独立性不足,且对情报机构不具有约束力。
通往DPF的谈判进程(2020年至2023年)
Schrems II判决后,各机构主要依赖标准合同条款并配合传输影响评估来维持数据传输。欧盟与美国之间的谈判几乎立即展开。
2022年3月,拜登总统与欧盟委员会主席冯德莱恩宣布双方已达成原则性协议。2022年10月7日,拜登总统签署第14086号行政命令(《加强美国信号情报活动保障措施》),为新框架所需的实质性法律变革奠定了基础。
欧盟委员会于2022年12月发布了充分性认定决定草案。欧洲数据保护委员会(EDPB)于2023年2月发布意见,在肯定改进之处的同时也提出了若干关切。最终的充分性认定决定于2023年7月10日正式通过。
DPF的运作机制
DPF由两个相辅相成的部分组成:美国企业的自我认证,以及美国政府就情报活动作出的具有约束力的承诺。
认证流程
美国企业通过美国商务部国际贸易管理局(ITA)完成自我认证,从而加入DPF。认证虽属自愿,但一经完成即产生具有法律约束力的义务。
企业申请认证须完成以下步骤:
- 确认其受联邦贸易委员会(FTC)或交通部(DOT)的执法管辖
- 制定符合DPF原则的隐私政策
- 指定一个独立的申诉处理机制,用于受理个人投诉
- 根据年度营收缴纳相应的年费
- 通过数据隐私框架官方网站提交认证申请
截至2026年,超过2800家机构持有有效认证。ITA维护着一份公开的已认证机构名单,欧盟的数据出口方在进行任何数据传输前都应先行核实。
DPF原则
已认证机构必须遵守一套与GDPR核心理念相呼应的隐私原则:
- 告知:向个人说明数据收集的目的、做法及其享有的权利
- 选择:允许个人对实质不同的使用方式或向第三方披露的行为选择退出
- 后续传输问责:通过要求同等保护水平的合同,保护向第三方共享的数据
- 安全:针对数据丢失、滥用及未经授权的访问,采取合理适当的措施
- 数据完整性与目的限制:将个人数据限制在为既定目的所必需的范围内
- 访问权:允许个人访问、更正或删除其个人数据
- 救济、执行与责任:维持健全的合规机制与救济渠道
执法机制
FTC是主要的执法机构。未能履行DPF承诺的企业,将依据《联邦贸易委员会法》第5条(禁止不公平或欺骗性商业行为)受到执法追究。美国商务部负责监督合规情况、开展抽查,并可将不合规的机构从认证名单中移除。
第14086号行政命令:法律基础
第14086号行政命令直接回应了欧盟法院在Schrems II判决中指出的两大缺陷:美国情报收集活动缺乏比例原则约束,以及缺乏独立的救济机制。
情报收集活动的限制
该命令将信号情报收集活动限定在12项明确的国家安全目标范围之内,包括反恐、反间谍以及关键基础设施保护等。这是美国行政命令首次将比例原则作为具有约束力的限制条件:相关活动必须与经核准的情报优先事项相称,并须权衡该优先事项与所有个人(而不仅是美国公民)隐私权益之间的关系。
隐私与公民自由方面的要求
各情报机构须更新其内部政策,以纳入上述保障措施。隐私与公民自由监督委员会(PCLOB)在其中承担核心职责:审查各机构的程序是否合规、就数据保护审查法院(DPRC)法官的任命提供咨询意见,并对各救济机构处理投诉的情况进行年度审查。
制度脆弱性:行政命令的本质
由于第14086号命令属于行政命令而非成文法律,任何总统均可在无需国会批准的情况下对其加以修改或撤销。这一结构性脆弱之处一直是隐私倡导人士和EDPB持续提出批评的焦点。特朗普政府在2025年对PCLOB采取的行动,恰恰说明该框架中属于行政部门管辖的组成部分极易受到干扰。
数据保护审查法院
DPF中最具突破性的创新,是由第14086号行政命令设立、并通过司法部长条例加以落实的数据保护审查法院(DPRC)。
DPRC的运作方式
若欧盟个人认为其数据被美国情报机构非法收集,可向其所在国的数据保护机构提出投诉。该机构会将投诉转交至国家情报总监办公室下设的美国公民自由保护官(CLPO),由其展开初步调查。
若投诉人对处理结果不满,可向DPRC提起上诉。该法院的法官由司法部长自美国政府以外遴选任命,且均持有相应的安全许可。由于相关程序涉密,投诉人无法直接参与,因此会指定一名特别代理人代表投诉人的利益。DPRC对情报机构具有约束力,这正是相较于隐私盾协议下监察专员机制的关键结构性改进之处。
普通法院在Latombe案中的认定
在T-553/23号案提交欧盟普通法院审理时,Latombe的核心主张之一是DPRC并非一个足够独立的裁判机构。普通法院在2025年9月3日的判决中驳回了这一主张,认定DPRC的组成方式、监督机制及约束力均符合欧盟法律的要求。法院同时认定,美国法律已充分限制了大规模数据收集行为,且其在数据安全与自动化决策方面的保护措施与欧盟标准实质相当。
持续存在的批评意见
以Max Schrems领导的NOYB为代表的隐私倡导团体,持续主张DPRC未能达到欧盟法院所要求的有效司法保护标准,理由是投诉人所获得的仅是一份泛泛确认审查已完成的通知,而非对结果的实质性说明。相关程序的保密性质是一项结构性特征,而非可以修正的疏漏。
英国延伸机制与瑞士-美国DPF
DPF并不自动涵盖英国或瑞士的数据传输,两者均须经过各自独立的充分性认定程序。
英国-美国数据桥(英国延伸机制)
英国于2023年10月建立了DPF的英国延伸机制,通常称为英国-美国数据桥。持有有效DPF认证的美国企业,可通过同一ITA平台选择加入该机制,以涵盖英国方面的数据传输。英国延伸机制适用的是英国GDPR,而非欧盟GDPR,这体现了英国脱欧后独立运作的数据保护体制。该延伸机制还配有专门的补充规则,用以处理英国与欧盟数据保护法律之间的差异。
瑞士-美国数据隐私框架
瑞士采取了单独的路径。2024年8月14日,瑞士联邦委员会认定经DPF认证的美国企业所提供的数据保护水平具有充分性。该决定于2024年9月15日生效。瑞士联邦委员会的新闻公告确认,美国已被列入瑞士的充分保护国家名单,但仅限于经DPF认证的机构。美国企业可通过同一ITA平台,将其DPF认证扩展至涵盖瑞士方面的数据传输。
瑞士-美国DPF面临着与欧盟-美国版本相同的、源于第14086号行政命令的脆弱性。瑞士的隐私倡导人士已指出,2025年PCLOB运作受阻的情况,为瑞士充分性评估所依赖的监督机制带来了不确定性。
首次定期审查(2024年10月)
GDPR第45条第3款要求欧盟委员会对充分性认定进行定期审查。DPF的首次审查于2024年10月完成。
欧盟委员会的审查结论
欧盟委员会的首次审查报告认为,DPF仍持续确保了充分的保护水平。美国各机构已落实第14086号行政命令,DPRC已投入运作,商务部也在积极监督各已认证机构。
欧盟委员会指出了一项重大关切:在审查期内的大部分时间里,PCLOB均未能达到法定人数。欧盟委员会表示,恢复PCLOB的完整运作能力,对该框架的持续有效运行至关重要。
EDPB的审查结论
EDPB的首次审查报告肯定了相关改进之处,但呼吁DPRC在处理投诉的方式上提高透明度,并建议进一步厘清美国情报机构在实践中如何适用比例原则标准。
法律挑战与风险
Latombe案:T-553/23号案及尚未审结的欧盟法院上诉案C-703/25 P
法国国民议会议员Philippe Latombe向欧盟普通法院提起诉讼,请求撤销欧盟委员会的充分性认定决定。这是DPF首次面临直接的司法挑战。
2025年9月3日,普通法院驳回了该诉讼请求。法院认定DPRC具有充分的独立性与公正性,美国法律已充分限制了大规模数据收集行为,且美国在数据安全与自动化决策方面的保护措施与欧盟法律实质相当。
Latombe已于2025年10月31日提起上诉,该案在欧盟法院立案编号为C-703/25 P。此次上诉仅限于法律问题的审理。截至2026年5月,尚未公布开庭日期。若欧盟法院最终作出不利于DPF的实体判决,这将是跨大西洋数据传输框架连续第三次被判无效。
NOYB与"Schrems III"的潜在威胁
NOYB尚未就DPF提起自己的诉讼,但一直对其持批评态度。其核心主张包括:该框架以行政命令而非成文立法为基础;DPRC未能向投诉人提供充分的透明度;FISA第702条并未得到根本性改革。NOYB正密切关注Latombe上诉案及PCLOB的最新动态,以寻找可能支持另行提起诉讼的契机。
PCLOB危机
PCLOB运作受阻,是DPF基础保障措施当前面临的最直接的运作风险。
2025年1月27日,特朗普总统通过一封仅一句话的电子邮件,无理由解聘了PCLOB五名委员中的三名(均为民主党籍),导致该委员会失去法定人数。其中两名被解聘的委员,Edward Felten和Travis LeBlanc,随后向联邦法院提起诉讼。2025年5月21日,一家联邦地区法院裁定该解聘行为违法,并下令恢复二人职务。
特朗普政府对此提起上诉。2025年7月1日,哥伦比亚特区巡回上诉法院中止执行该复职裁定,等待上诉审理,此后该案又被搁置,以等候最高法院对Trump v. Slaughter案(案号25-332)作出判决,该判决将确定总统解除独立监督委员会成员职务的宪法权力界限。在这一问题得到解决之前,PCLOB无法全面恢复运作。
这对DPF造成的实际影响是:PCLOB无法开展该命令本身所要求的第14086号行政命令合规年度审查;其在DPRC法官任命方面的咨询职能已暂停;EDPB与欧盟委员会均已将PCLOB的运作瘫痪列为影响该框架持续充分性评估的关切事项。
FISA第702条
FISA第702条授权针对美国境外非美国人开展外国情报收集。2024年4月通过的为期两年的续期立法(《情报改革与美国安全法》,RISAA)已于2026年4月到期。国会已通过一项为期45天的短期延期,使第702条得以维持运作至2026年6月中旬,与此同时,关于长期续期的辩论仍在继续。
RISAA对电子通信服务提供商定义的扩大,招致欧洲隐私倡导人士的批评,他们认为这一举措扩大了受监控义务约束的企业范围。2026年续期辩论的最终结果,将受到欧盟委员会与EDPB的密切关注,以评估DPF的充分性认定条件是否仍然得到满足。
若DPF失效:标准合同条款作为备用方案
鉴于安全港和隐私盾协议此前均已被判无效,各机构应当预先制定应急预案。
标准合同条款(SCCs)是最主要的备用方案。SCCs是经欧盟委员会依据GDPR第46条批准的标准合同条款文本,可约束美国数据接收方提供与欧盟同等水平的保护,并赋予数据主体可直接向接收方主张的合同性权利。
使用SCCs并不会使欧盟向美国的数据传输自动合法化,数据出口方还须开展传输影响评估(TIA),评估美国的法律与实践是否允许接收方在实际中履行SCCs项下的义务。Schrems II判决后,各机构已开发出相应的TIA方法论;这些评估目前大多仍然有效,一旦DPF失效即可加以更新。
GDPR第46条项下的其他传输机制还包括适用于集团内部传输的有约束力的公司规则(BCRs)、经批准的行为准则,以及适用范围较窄的第49条克减情形(同意、合同履行、重大公共利益等)。克减情形不适合作为常规性的传输依据。
若在依赖DPF的同时也维持了SCCs的机构,一旦DPF被判无效,可以最小的干扰继续开展数据传输。而仅依赖DPF的机构则将面临更为艰难的过渡期,正如在Schrems II判决后的数周内忙于签署SCC附录的机构所深有体会的那样。
DPF与隐私盾协议的区别
情报收集的限制:隐私盾协议依赖第28号总统政策指令(PPD-28),该指令仅要求大规模数据收集"尽可能地有针对性"。欧盟法院认为这一标准过于宽松。第14086号行政命令则以具有约束力的比例原则要求及12项明确列举的允许目标取而代之。
救济机制:隐私盾协议下的国务院监察专员缺乏相对于行政部门的独立性,且不具有约束力。DPRC在结构上具有更强的独立性(法官来自政府以外),且其裁决对情报机构具有约束力。
监督机制:PCLOB的职责在第14086号行政命令中有明确规定,包含具体的审查与报告义务,不过正如2025年所表明的那样,属于行政部门的监督环节仍易受政治因素干扰。
面向各机构的实操指引
面向接收欧盟数据的美国企业
核实贵机构是否受FTC或DOT的管辖。通过dataprivacyframework.gov网站完成或续签自我认证。更新贵机构公开的隐私政策,使其涵盖全部DPF原则。指定一个独立的争议解决机构。建立处理数据访问请求与投诉的内部流程。每年续签认证,认证一旦过期,在此期间接收数据的传输依据将随之失效。
若贵机构同时接收英国数据,应通过ITA平台选择加入英国延伸机制。若接收瑞士数据,则应选择加入瑞士-美国DPF延伸机制。
面向传输数据的欧盟机构
在进行任何数据传输前,应在官方参与机构名单中核实接收方是否持有有效的DPF认证。认证状态可能发生变化,在启动重大新数据流之前应先行抽查。应在GDPR第30条要求的处理活动记录中,将该充分性认定记录为相应的法律依据。
应持续关注接收方的年度续签日期。一旦认证过期,充分性依据即不再适用于新发生的数据传输。
应急规划
鉴于此前已有框架被判无效的先例,以及C-703/25 P号案上诉尚未审结,审慎的机构应当:
- 针对高流量或敏感性数据传输,在依赖DPF认证的同时并行签署SCCs
- 维持一份可在DPF被判无效时随即启用的传输影响评估
- 制定并记录过渡方案,明确哪些数据流依赖DPF,以及在DPF失效后各自将如何转由SCCs覆盖
- 密切关注C-703/25 P号案在欧盟法院的最新进展,以及最高法院对Trump v. Slaughter案的判决
本文仅提供一般性法律信息,不构成法律意见。处理跨境数据传输事务的机构,应就其具体情况咨询具备相应资质的律师。
Frequently Asked Questions
什么是欧盟-美国数据隐私框架?
欧盟-美国数据隐私框架(DPF)是允许个人数据从欧盟流向经认证的美国机构的法律机制。欧盟委员会于2023年7月10日通过了相应的充分性认定决定,取代了此前已于2020年被欧盟法院判定无效的隐私盾协议。DPF将美国企业自愿进行的自我认证,与美国政府作出的具有约束力的承诺相结合,后者旨在限制情报机构访问欧盟个人数据,并通过数据保护审查法院提供独立救济。
DPF是否曾在法院受到挑战?
是的。法国国民议会议员Philippe Latombe曾在欧盟普通法院对欧盟委员会的充分性认定决定提出挑战(案号T-553/23)。普通法院已于2025年9月3日驳回其诉讼请求,维持了DPF的有效性。Latombe已于2025年10月31日向欧盟法院提起上诉(案号C-703/25 P),截至2026年5月该上诉仍未审结。鉴于欧盟法院此前曾判定该框架的两代前身均属无效,若其此次就实体问题作出不利于DPF的判决,这将成为该框架迄今面临的最严重威胁。
什么是数据保护审查法院?
数据保护审查法院(DPRC)是根据第14086号行政命令设立的独立机构,负责审查欧盟个人就其数据被美国情报机构非法收集所提出的投诉。其法官均从美国政府以外遴选任命,裁决对情报机构具有约束力。该法院取代了此前隐私盾协议下由国务院监察专员承担的职能,欧盟法院曾认定后者独立性不足。欧盟普通法院已于2025年9月确认了DPRC的独立性与公正性。
PCLOB发生了什么?
2025年1月27日,特朗普总统通过一封仅一句话的电子邮件,解聘了隐私与公民自由监督委员会五名委员中的三名民主党籍委员,导致该委员会失去法定人数。两名被解聘的委员提起诉讼,并在联邦地区法院层面胜诉、获得复职。特朗普政府随即提起上诉,哥伦比亚特区巡回上诉法院中止执行复职裁定。该案被搁置,等候最高法院对Trump v. Slaughter案(案号25-332)作出判决。在法定人数问题解决之前,PCLOB既无法开展对DPF的年度监督审查,也无法履行其在DPRC法官任命方面的咨询职能。
什么是第14086号行政命令?
第14086号行政命令由拜登总统于2022年10月7日签署,是DPF的法律基础。该命令将美国信号情报收集活动限定在12项明确的国家安全目标范围内,首次在美国行政命令中引入监控活动的比例原则要求,并设立了数据保护审查法院。由于该命令属于行政命令而非成文法律,此后任何总统均可在无需国会批准的情况下对其加以修改或撤销,这一直是外界对DPF提出结构性批评的焦点所在。
DPF是否涵盖英国或瑞士的数据传输?
并非自动涵盖。英国已于2023年10月建立了单独的安排,即DPF的英国延伸机制,通常称为英国-美国数据桥。瑞士则于2024年8月14日认定经DPF认证的美国企业具有充分保护水平,相应的瑞士充分性认定决定已于2024年9月15日生效。持有有效DPF认证的美国企业,均可通过同一ITA平台选择加入,以涵盖英国及瑞士方面的数据传输。
若DPF被判无效,标准合同条款作为备用方案是如何运作的?
标准合同条款(SCCs)是GDPR第46条项下最主要的备用传输机制,是经欧盟委员会批准的标准合同条款文本,可约束美国数据接收方提供与欧盟同等水平的保护。使用SCCs的机构还须开展传输影响评估。已提前部署SCCs的机构,即便DPF被判无效,也能立即继续开展欧盟向美国的数据传输;而仅依赖DPF的机构,则将面临更为剧烈的过渡冲击。
FISA第702条目前的状态如何?
《外国情报监视法》第702条授权针对美国境外非美国人开展外国情报收集。2024年4月生效的为期两年的续期立法已于2026年4月到期。国会已通过一项为期45天的短期延期,使第702条得以维持运作至2026年6月中旬,与此同时关于长期续期的辩论仍在继续。这一结果之所以对DPF具有重要意义,是因为第702条正是Schrems II判决中提及的美国监控依据之一,欧洲监管机构也在密切关注其适用范围。
美国企业如何在DPF下完成认证?
企业需通过dataprivacyframework.gov网站向国际贸易管理局提交申请以完成认证。企业必须受FTC或DOT的执法管辖,须制定符合DPF要求的隐私政策,指定一个独立的争议解决机制,并缴纳年费。认证须每年续签。截至2026年,已有超过2800家机构持有有效认证。
Sources and References
- 欧盟委员会 欧盟-美国数据传输(commission.europa.eu).gov
- 欧盟委员会 充分性认定新闻稿(ec.europa.eu).gov
- 第14086号行政命令(whitehouse.gov).gov
- 数据隐私框架项目(dataprivacyframework.gov).gov
- DPF原则(dataprivacyframework.gov).gov
- 数据保护审查法院(justice.gov).gov
- 司法部长关于DPRC的条例(justice.gov).gov
- EDPB关于DPF的5/2023号意见(edpb.europa.eu).gov
- 欧盟委员会DPF首次审查报告(commission.europa.eu).gov
- EDPB关于DPF首次审查的报告(edpb.europa.eu).gov
- 欧盟普通法院新闻稿 T-553/23号Latombe案(curia.europa.eu).gov
- EUR-Lex C-703/25 P号Latombe上诉案(eur-lex.europa.eu).gov
- NOYB关于DPF的分析(noyb.eu)
- 瑞士联邦委员会 瑞士-美国DPF充分性认定决定(admin.ch).gov
- DPF瑞士概览(dataprivacyframework.gov).gov
- 英国-美国数据桥(gov.uk).gov
- 安全港协议概览(trade.gov).gov
- FTC隐私盾相关案件(ftc.gov).gov
- 布伦南中心 PCLOB LeBlanc案(brennancenter.org)
- FISA第702条2026年资料页面(brennancenter.org)
- EDPB面向企业的DPF常见问题v2.0版(edpb.europa.eu).gov