查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
欧盟-美国隐私盾框架原则
【英文标题】 EU-U.S. Privacy Shield Framework Peinciples
【作者】 美国商务部【作者单位】 美国商务部
【期刊年份】 2016年【期号】 2
【页码】 46
【全文】法宝引证码CLI.A.1216953    
  I.概述
  1.尽管美国和欧盟有着加强对其公民隐私保护的共同目标,但在对待隐私上,美国采取了不同于欧盟的方法。美国采用的是一种依靠立法、监管和自律相结合的部门方法。考虑到这些差异,并给美国的企业提供一种个人数据由欧盟向美国传递的可靠机制,同时,在对已转移到非欧盟国家的欧盟数据主体的个人数据进行处理时,应确保欧盟数据主体能够继续从有效的保障和欧洲立法保护中受益。商务部依其法定权限发布这些隐私盾原则,包括补充原则(以下统称“隐私原则”),以培育、促进和发展国际贸易(15U.S.C.§1512)。隐私原则是在与欧洲委员会、同行业及其他利益相关者协商后制定的,以促进美国和欧盟之间的贸易和商业往来。它们完全是为美国的企业而制定的,这些企业为了获得隐私盾框架资格而从欧盟获取个人数据,并因此从欧洲委员会的“充分保护决定”(adequate decision)中受益。这些原则并不会影响国家执行95/46/EC指令(以下简称“指令”)规定的适用,该指令适用于在成员国对个人数据的处理。隐私原则也不会限制美国法下适用的隐私义务。
  2.为了依靠隐私盾框架实现来自欧盟的个人数据的转移,企业必须向商务部(或其指定人)(以下统称“商务部”)自我认证其将遵守隐私原则。尽管企业作出的加入隐私盾框架的决定是完全自愿的,有效的合规行为却是强制的:向商务部进行自我认证并公开宣布其遵守隐私原则承诺的企业必须全面遵守隐私原则。想要加入隐私盾框架,企业必须做到:(1)接受美国联邦贸易委员会、交通部或其他能够有效确保企业遵守隐私原则的法定机构的调查和执法(欧盟认可的其他美国法定机构可在将来通过附录收录其中);(2)公开宣布其遵守隐私原则的承诺;(3)根据这些原则公开披露其隐私政策;(4)全面履行上述义务。企业违反上述义务的,根据《联邦贸易委员会法》第五章以及其他法律、法规中关于禁止商业活动中不正当和欺诈行为的规定,可对该企业予以强制执行。
  3.商务部将维护并向公众提供一份权威的、已向商务部自我认证并宣布遵守隐私原则承诺的美国企业名单(以下简称“隐私盾框架名单”)。企业自商务部将其列入隐私盾框架名单之日起方可享受隐私盾框架利益。如果企业自愿退出隐私盾框架,或者未进行每年向商务部的重新自我认证,商务部将会把该企业从隐私名单中除名。企业被从隐私盾框架名单中除名意味着它将不再从欧洲委员会的“充分保护决定”中获益,以获得来自欧盟的个人信息。在加入隐私盾框架的同时,企业必须继续将隐私原则应用于其获取的个人数据,同时只要它还保留有这样的数据,就必须每年向商务部确认其遵守隐私原则的承诺;否则,该企业必须返回或者删除相关数据,或者通过其他授权的方式为该数据提供“充分”保护。商务部还将从隐私盾框架名单中删除那些长期未能遵守这些原则的企业;这些企业不符合隐私盾框架的利益,必须返回或删除它们基于隐私盾框架获取的个人数据。
  4.商务部还将维护并向公众提供一份权威的、曾向商务部自我认证但现已被从隐私盾框架名单除名的美国企业记录。商务部将提供一份明确的警告,声明这些企业不是隐私盾框架的参与者,被从隐私盾框架名单中除名意味着这些企业不能声称自己遵从隐私盾框架,并须避免任何暗示它们参与隐私盾框架的陈述或误导性的做法,而且这些企业不再有资格从欧洲委员会令其能够从欧盟获取个人信息的“充分保护决定”中获益。一个企业在被从隐私盾框架名单除名后,继续声称其为隐私盾框架参与者,或者进行其他隐私盾框架相关的不实陈述的,可能会受到联邦贸易委员会、交通部或其他执法机关的执法行动。
  5.企业在以下情形下可以不遵守隐私盾原则:(1)为了满足必要的国家利益、公共利益或者执法需求;(2)法律、政府法规或者判例法存在冲突规定,但前提是,在行使任何此类授权时,企业能够证明其不遵守隐私原则的行为是为了满足必要的通过该授权产生的高于一切的法律权益;(3)该指令或者成员国法律存在例外或减损规定,规定这种例外或者减损可被应用于类似的情况。同加强隐私保护的目标相一致,企业应力求全面、透明地履行这些原则,包括在其隐私政策中表明上述第(2)条中所允许的例外情形将会定期适用。基于同样的原因,在隐私原则和/或美国法律允许的情况下,企业有望在可能的情况下选择更高的保护。
  6.企业在加入隐私盾框架之后,有义务将隐私原则适用于所有依赖隐私盾框架传输的个人数据。企业如果选择将隐私盾框架利益拓展到从欧盟获取的人力资源个人信息,以在雇佣关系的背景下使用,就必须在向商务部自我认证的时候指明这一点,并须符合补充原则中规定的有关自我认证的要求。
  7.隐私原则及相关隐私政策的解释问题,以及隐私盾框架企业对隐私原则及相关隐私政策的合规性问题,适用美国法律,除非相关企业已作出同欧洲数据保护机构合作的承诺。除非另有说明,隐私原则中的所有规定都适用于与之相关的地方。
  8.定义:
  a.“个人数据”和“个人信息”是指与该指令效力范围内某一特定的或与可特定的个人有关,某一美国企业从欧盟获取并通过任何形式记录的数据。
  b.个人数据的“处理”是指对个人数据进行的任何操作或操作集合,无论是否通过自动化的方法,比如收集、记录、企业、存储、改编或变更、检索、咨询、使用、披露或传播。
  c.“控制人”是指单独或与他人共同决定个人数据处理目的和方法的个人或企业。
  9.隐私原则的生效日期为欧洲委员会的“充分保护决定”的最终批准之日。
  II.原则
  1.通知原则
  a.企业必须向个人告知以下信息:
  i.其参加隐私盾框架的情况,并提供到隐私盾框架名单的链接或网址;
  ii.所收集的个人数据的类型,以及同样遵守隐私原则的该企业的实体及附属机构的类型(如适用);
  iii.其会将隐私原则适用于所有依赖隐私盾框架从欧盟获取的个人数据的承诺;
  iv.其收集和使用相关个人信息的目的;
  v.如有任何质询或投诉,应如何联系该企业,包括欧盟中能够回应这些质询或投诉的所有相关机构;
  vi.被其披露个人数据的第三方的类型或身份,以及该企业进行信息披露的目的;
  Vii.个人访问其个人数据的权利;
  viii.该企业向个人提供的限制对其个人数据使用和披露的选择和方式;
  ix.被指定处理投诉并向个人免费提供适当救济的独立的纠纷解决机构,不论该机构是(1)数据保护机构成立的专家组,(2)常驻欧盟的替代性纠纷解决机构,还是(3)常驻美国的替代性纠纷解决机构;
  X.正受美国联邦贸易委员会、美国交通部或其他任何美国授权法定机构的调查和执法;
  xi.在特定情况下,个人诉诸约束性仲裁的可能性;
  xii.应公共机构的合法要求披露个人信息的请求,包括要求满足国家安全或执法需要的请求;
  xiii.其向第三方转移数据的责任;
  b.本通知须在个人最初被要求向该企业提供个人信息之时,或在可行后的最短时间内,以清晰易懂的语言提供给个人,但无论如何,都应早于该企业将信息用于最初收集或处理该信息以外的其他目的之时,或者早于第一次向第三方披露该信息之时。
  2.选择原则
  a.企业必须向个人提供选择加入(退出机制)的机会,以决定其个人信息是披露给第三方,还是用于其他远不同于最初收集或随后经个人授权该信息的使用目的。必须向个人提供清晰、明确、随时可用的机制来行使选择权。
  b.通过减损前款规定,当向作为受该企业指示并代表该企业执行任务的第三方机构进行披露时,无需提供选择权。不过,企业应始终与机构订立合同。
  c.对于敏感数据(即特定的医疗或健康状况数据,涉及种族或人种起源、政治意见、宗教和哲学信仰、商会会员、个人性生活的信息),如果该数据将会披露给第三方,或者用于最初收集或随后经个人通过行使加入选择权授权该数据之外的目的,企业必须获得个人的明确同意(进入机制)。
  3.向第三方转移的责任原则
  a.要将个人信息转移给作为控制人的第三方,企业必须遵守通知原则和选择原则。企业还必须同第三方控制人订立合同,规定该数据只能用于有限的、特定的处理目的,要与个人同意的内容相一致,同时规定数据接受者要提供跟隐私原则同等水平的保护。
  b.要将个人数据转移给作为机构的第三方,企业必须:(1)基于有限、特定的目的转移该数据;(2)确保机构有义务提供至少与隐私原则同等水平的隐私保护;(3)采取合理适当的措施,以确保机构有效处理以与该企业在隐私原则下的义务相一致的方式转移的个人信息;(4)经通知,釆取合理和适当的措施,停止并纠正未经授权的数据处理行为;(5)根据要求,向商务部提供一份该企业同机构合同中相关隐私条款的概要或者代表副本。
  4.安全原则
  a.考虑到处理个人数据以及数据性质所涉及的风险,创建、维持、使用或传播个人信息的企业,必须采取合理和适当的措施,以保护其免于丢失、滥用和擅自获取、披露、变更和毁损。
  5.数据完整与目的限定原则
  a.同隐私原则相一致,收集、处理的个人信息必须限于与处理目的相关的信息。企业处理个人信息,必须符合收集或随后经个人授权该信息的使用目的。在上述目的的必要范围内,企业必须采取合理的措施,以确保个人数据可信、准确、完整、未过时。只要还保留有这些数据,企业就必须遵守隐私原则。
  6.获取原则
  a.个人必须能够访问获取企业掌握的与该个人有关的个人信息,对于不准确或者违反隐私原则进行处理的信息,数据主体有权更正、补充或者删除,除非提供获取的负担和费用与相关个人的隐私风险不相称,或者该个人之外的其他人的权利将会遭受侵害。
  7.救济、执行和责任原则
  a.有效的隐私保护必须包含确保隐私原则得到遵守的健全机制、受到违反隐私原则影响的个人的救济机制以及企业不遵守原则的后果。这一机制至少须包括:
  i.随时可用的独立救济机制,能够让每一个数据主体都能依照隐私原则或者适用法或者私营部门倡议中的损害赔偿规定,使其投诉和纠纷都能得到免费、迅速的调查解决。
  ii.跟踪程序,以验证企业作出的有关其隐私保护措施的证明和声明是否真实,以及企业是否切实执行了所提出的隐私保护措施,特别是对于违反原则的情况;
  iii.声明遵守隐私原则的企业对其违反隐私原则的行为所造成的问题的补救义务,以及该企业应承担的后果。制裁必须足够严格,以确保企业遵守隐私原则。
  b.对于商务部就隐私盾框架相关数据作出的问询和要求,企业及其选择的独立的救济机制将迅速作出回应。对于欧盟成员国当局通过商务部就隐私原则的合规性问题提出的投诉,所有企业都应迅速作出回应。选择同数据保护机构进行合作的企业,包括处理人力资源数据的企业,必须对上述当局关于投诉的调查和解决问题直接作出回应。
  c.如果个人通过向该企业提供通知,遵循附件一所规定的程序,满足附件一所规定的情形,提起约束性仲裁,那么企业就有仲裁索赔和遵循附件一所规定的条款的义务。
  d.在向第三方转移数据的情况下,隐私盾框架企业有义务对其基于隐私盾框架获取并随后转移给作为其机构的第三方的个人信息进行处理。如果其机构处理相关信息的方式有违隐私原则,那么该隐私盾框架企业仍应根据隐私原则承担责任,除非该企业能够证明它对造成损害的事件不承担责任。
  e.当企业因其违反隐私原则的行为接到联邦贸易委员会或法院的指令,企业应当公开其向联邦贸易委员会提交的所有合规或评估报告中所有隐私盾框架相关的部分,直到符合保密要求的程度。针对隐私盾框架企业的合规问题,商务部已经为数据保护机构设立了一个专门的联系点。联邦贸易委员会将对商务部和欧盟成员国当局转交的违反隐私原则的行为给予优先考虑,并将与相关国家当局及时进行交流,受现行保密限制。
  III.补充原则
  1.敏感数据原则
  a.对于敏感数据的下列处理行为,不要求企业获得个人的明确同意(进入机制):
  1.为了数据主体或其他人的重要利益的处理行为;
  ii.为提出合法要求或辩护所必需的处理行为;
  iii.为提供医疗护理或诊断所要求的处理行为;
  iv.在基金会、协会或其他任何具有政治、哲学、宗教或商会目的的非营利机构的合法活动过程中进行的数据处理行为,前提是该处理行为仅涉及该机构成员,或者仅涉及就该机构宗旨而经常与该机构联系的人员,同时如果没有数据主体的明确同意,数据不得披露给第三方;
  v.在劳动法领域中履行企业义务所必需的处理行为;
  vi.有关明显由个人公开的数据的处理行为。
  2.新闻例外原则
  a.鉴于美国宪法对新闻自由的保护和该指令对新闻材料的豁免,当美国宪法第一修正案中体现的新闻自由权同隐私保护利益相冲突时,第一修正案必须调节使得这两种利益在美国个人和企业活动中保持平衡。
  b.为出版、广播或者新闻资料其他传播形式而收集的个人信息(无论是否使用),以及媒体档案先前公布的材料中的数据,不受隐私盾原则的约束。
  3.次级责任原则
  a.仅为其他企业提供数据传输、发送、转换或缓存服务的互联网服务供应商(ISPs)、电信运营商和其他企业不承担隐私盾原则下的责任。同该指令一样,隐私盾框架并不会产生间接责任。如果一个企业仅仅作为第三方之间进行数据传输的数据管道,而不会决定这些个人数据的处理目的和处理方式,该企业不承担责任。
  4.从事尽职调查和审计例外原则
  a.审计人员和投资银行家可在未经个人同意或知情的情况下处理个人数据。在下列情形下,上述行为被通知原则、选择原则和获取原则所允许。
  b.对上市公司和非上市公司,包括隐私盾框架企业,要定期进行审计。这样的审计,特别是调查潜在不法行为的审计,如果被过早披露,其审计效果将会受到损害。同样,涉及潜在并购交易的隐私盾框架企业需要执行或被执行“尽职调查”。这往往会导致个人数据的收集和处理,比如对高管和其他关键人员数据的收集和处理。过早的披露可能会阻碍该交易,甚至违反相关证券法规。只有在满足法定或社会公共利益的限度和时间范围内,以及在应用隐私原则会损害该企业合法权益的其它情况下,投资银行家、从事尽职调查的律师或者进行审计的审计人员才可以不经个人的同意或知情进行数据处理。这些合法权益包括对企业遵守其法律义务、进行合法会计活动的监督,以及对可能的收购、兼并、合资企业设立和投资银行家和审计人员进行的其他类似交易进行保密的需求。
  5.数据保护机构的角色
  a.企业须履行其如下所述的同欧盟数据保护机构进行合作的承诺。根据隐私盾框架,从欧盟获取个人数据的美国必须承诺采取有效的措施以确保遵守隐私盾原则。正如在救济、执行和责任原则中具体规定的那样,加入隐私盾框架的企业必须提供:(1)对相关数据主体的救济;(2)验证企业所作出的有关其隐私保护措施的证明和声明真实性的跟踪程序;(3)对其违反隐私原则的行为所造成的问题的补救义务,以及该企业应承担的后果。如果企业遵守此处的数据保护机构合作要求,则只需再满足救济、执行和责任原则中的第(1)、(2)项要求。
  b.承诺与数据保护机构合作的企业,须在其向商务部提交的隐私盾框架自我认证书(参见补充规则中自我认证程序部分)中声明该企业:
  i.通过承诺与数据保护机构进行合作来满足隐私盾框架救济、执行和责任原则中第(1)、(3)点的要求;
  ii.将与数据保护机构合作调查、解决基于隐私盾框架提出的投诉;
  iii.当数据保护机构认为该企业需要采取具体措施遵守隐私盾原则时,遵守数据保护机构提出的所有建议,包括为受到违反隐私原则行为影响的数据主体提供救济或补偿措施,并向数据保护机构书面确认已经采取相关行动。
  c.数据保护机构专家组运作
  i.数据保护机构的合作将通过下列方式以信息和建议的形式进行规定:
  1.数据保护机构的建议将通过建立于欧盟层面的数据保护机构非正式专家组提出,这将特别有助于确保协调一致。
  2.针对那些亟待解决的个人就依赖隐私盾框架从欧盟转移的个人信息的处理提出的投诉,专家组将会给美国企业提出建议。该建议旨在确保隐私盾原则得以准确适用,并包括向数据主体提供的数据保护机构认为合适的救济措施。
  3.对于企业关心的问题和/或个人直接针对基于隐私盾框架目的承诺与数据保护机构合作的企业提出的投诉,专家组将为其提供意见,但是鼓励并且在必要时帮助相关个人首先诉诸企业可能提供的内部投诉处理程序。
  4.在争执双方有合理的机会发表意见,并提供他们希望的任何证据后,专家组才会提出建议。专家组将争取在正当程序允许的范围内尽快提供意见。作为一般规则,专家组将在收到投诉或转交后60天内提出建议,并在可能的情况下更快地提出建议。
  5.如果专家组认为合适,它将会公开其受理的投诉的审议结论。
  6.在专家组中递送建议不得给专家组或者个人数据保护机构产生任何责任。
  ii.如上所述,选择此种纠纷解决的企业必须承诺遵守数据保护机构提出的建议。如果企业在建议交付之日起25日内未予遵守数据保护机构提出的建议,也没有给出让人满意的解释的话,专家组将会将该事项提请联邦贸易委员会、交通部或者其他美国联邦或州法定权力机构请求对企业欺骗和不实陈述的行为采取强制措施,或者决定双方的合作协议已被严重违反并因此应视为无效。在后一种情况下,专家组会通知商务部,使其及时修改隐私盾框架名单。任何未能履行与数据保护机构合作承诺以及任何违反隐私盾原则的行为,都会被视为《联邦贸易委员会法》第五章及其他类似法规中规定的欺诈行为,并会被釆取相应的处罚措施。
  d.企业如果希望将隐私盾框架利益覆盖其在雇佣关系中从欧盟获取的人力资源数据,就必须就该数据与数据保护机构进行合作(参见补充原则人力资源数据部分)。
  e.选择该项的企业将被要求支付一笔年费,该年费将被用来支付专家组的运行费用,它们还可能会被要求支付专家组针审议转交投诉或审议对企业提起的投诉而产生的必要的翻译费用。年费不会超过500美元,且公司规模越小,年费越少。
  6.自我认证程序
  a.企业自商务部确认材料提交完成并将其列入隐私盾框架名单之日起方可享受隐私盾框架利益。
  b.为进行隐私盾框架自我认证,企业须向商务部提交一份自我认证书,并由申请加入隐私盾框架企业的公司代表签署,自我认证书至少应包含以下信息:
  i.企业名称、企业名称、通讯地址、电子邮件地址、电话和传真号码;
  ii.对于从欧盟获取的个人信息的企业活动说明;
  iii.对该个人信息的隐私保护政策的说明,包括:
  1.如果该企业有公共网站,要说明可以查看隐私保护政策的相关网址,如果企业没有公共网站,要说明公众可以查看隐私保护政策的渠道;
  2.隐私保护政策施行日期;
  3.处理投诉、数据获取请求以及基于隐私盾框架产生的任何其他问题的联络机构;
  4.有权对针对企业可能的不公或者欺骗行为及其违反法律法规相关隐私规定(列在隐私原则或其以后的附件当中)的行为所提出的投诉请求进行审理的具体法定机构;
  5.该企业参加的所有隐私项目的名称;
  6.验证方法(例如,内部验证/第三方验证)(参见补充原则验证部分)
  7.可用来调查未解决投诉的独立的救济机制。
  c.企业希望将隐私盾框架利益覆盖其在雇佣关系中从欧盟获取的人力资源数据的,如果隐私原则或其今后的附件中所列的法定机构有权审理处理人力资源信息产生的对该企业的投诉请求,那么该企业就可以这样做。此外,企业必须在其自我认证书中注明这一点,并声明其承诺遵照有关人力资源数据的补充原则以及数据保护机构适用的角色同欧盟当局和有关当局进行合作,并声明将遵守这些当局给出的建议。
  d.商务部将维护业已提交完成自我认证书的企业组成的隐私盾框架名单,从而确保障私盾框架利益的可用性,商务部将在年度自我认证书提交情况的基础上,依据纠纷解决和执行的补充原则,对该隐私盾框架名单进行更新。自我认证书必须至少每年提交一次,否则该企业就会被从隐私盾框架名单中除名并再也不能加入隐私盾框架。无论是隐私盾框架名单还是企业提交的自我认证书都会向公众公开。所有被商务部列入隐私盾框架名单的企业还必须在其相关隐私政策公开声明中声明,他们讲遵守隐私盾原则。如果可以在线获取,企业的隐私政策中必须包含一个链接到商务部的隐私盾框架网站的超链接,以及一个链接到可用来调查未解决投诉的独立的救济机制网站或投诉提交表的超链接。
  e.自我认证一经完成隐私盾原则立即适用。认识到隐私原则将会影响同第三方之间的商业关系,在隐私盾框架生效后的头两个月内进行隐私盾框架认证的企业,应当尽快使其与第三方的现有商业关系符合向第三方转移的责任原则,并且在任何情况下都不得晚于其认证隐私盾框架之日起九个月。在此过渡期间,企业要向第三方转移数据的,应当(1)适用通知和选择原则,(2)向作为机构的第三方转移个人数据的,须确保机构有义务提供至少与隐私原则同等水平的隐私保护。
  f.企业必须将其依赖隐私盾框架从欧盟获取的所有个人数据适用于隐私盾原则。对于企业在享有隐私盾框架利益的期间内获取的个人数据,遵守隐私盾原则的承诺不受时间限制。其承诺意味着只要该企业还在储存、使用、披露相关数据,就必须继续适用隐私原则,即使该企业后来因任何原因退出了隐私盾框架。退出隐私盾框架但仍想继续保留相关数据的企业,必须每年向商务部承诺其将继续适用隐私原则或通过其他授权方式(例如,利用充分反映由欧洲委员会通过的相关标准合同条款的合同方式)提供“充分的”信息保护,否则,企业必须返回或删除相关信息。退出隐私盾框架的企业必须从其相关隐私政策中删除所有涉及隐私盾框架隐含其仍继续参加隐私盾框架并享有其利益的内容。
  g.由于合并或收购,将不再作为单独的法律实体而存在的企业,必须将这一事实提前告知商务部。该通知也应指出收购方或者合并后的企业是否将(i)通过控制收购或合并的法律运作,继续受到隐私盾原则的约束;(ii)选择对隐私盾原则的遵守情况进行自我评估、或者落实其他保护措施,例如以书面协议的方式保证遵守隐私盾框架。不满足上述任一条件的,任何在隐私盾框架下获得的个人信息都必须及时删除。
  h.企业因为任何原因脱离隐私盾框架,则其必须删除暗示其继续参加隐私盾框架的所有言论,或者其有权享有隐私盾框架中的利益。也必须停止使用欧美隐私盾框架的认证标志。针对任何就企业是否遵守隐私盾原则向公众作出不实陈述的行为,联邦贸易委员会(FTC)或者其他相关的政府主体保留其诉权。根据不实陈述法案(《美国法典》第18卷第1001条),对商务部作不实陈述的行为是可诉的。
  7.认证
  a.企业必须提供跟踪程序,证明他们对隐私盾框架的实践活动的认证和主张的真实性、这些隐私实践能够落实、并符合隐私盾框架原则。
  b.为了满足救济、执法以及责任规则的认证要求,企业必须通过自我评估或者外部审查的方式,对这种认证和主张进行验证。
  c.进行自我评估时,企业必须证明,其针对来自欧盟的个人信息制定的隐私政策,具备精确性、综合性、显著性、落实彻底性和可供访问的特点。也必须指出其隐私政策符合隐私盾原则;并告知个人对其投诉进行处理的所有内部安排和独立的投诉机制;在实施过程中有针对员工进行培训、规范员工怠于遵守行为的适当程序;有对上述行为进行周期性客观审查的适当内部程序。公司官员或者其他有权的代表人员对自我评估的论述每年必须至少签署一次,并且可以依据个人请求、调查、或者针对不遵守行为的投诉获得。
  d.企业如果选择外部审查方式,则这种审查必须表明关于来自欧盟的个人信息的隐私政策与隐私盾原则一致,并且正在进行适用,且将投诉机制告知个人。审查方式包括但不限于审计、抽查、“引诱”以及使用合理的技术工具等方式。验证外部合规性审查已经成功落实的文件必须由审查人员或者公司官员或者其他经授权的代表签署,每年至少一次,并且可以根据个人请求、调查或者投诉供他人进行查阅。
  e.该企业必须保存其符合隐私盾原则的隐私政策的落实记录,使之可以通过个人要求、调查或者向负有调查义务的独立的主体、对于不正当或者欺诈行为享有管辖权的机构进行投诉的方式而被他人获取。企业也必须对来自商务部的质询、或者其他涉及该企业对于隐私

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1216953      关注法宝动态: