欧盟-美国数据隐私框架 (DPF) 代表了欧盟委员会与美国行政部门之间的一项协议,旨在促进跨大西洋数据流动,同时确保欧洲个人的数据保护。 该框架已通过“关于加强美国信号情报活动保障措施的行政命令”进一步强化。
Esri 的合规性
Esri 的实践符合欧盟-美国数据隐私框架 (DPF)、欧盟-美国 DPF 的英国扩展以及瑞士-美国数据隐私框架 (Swiss-U.S. DPF),这些框架均由美国商务部制定。 Esri 已正式获得美国商务部认证,其遵循这些框架规定的个人数据处理原则。
我们的认证涵盖我们根据 DPF 从欧盟接收的个人数据、根据 DPF 的英国扩展从英国接收的个人数据,以及根据瑞士-美国 DPF 从瑞士接收的个人数据。 这些承诺体现了我们对保护并负责任地处理来自这些地区的个人数据的坚定承诺。
在 Esri 将此类数据转移给代表我们行事的第三方代理时,我们仍对其数据处理承担责任。 若这些代理以不符合 DPF 的方式处理个人信息,Esri 需承担 DPF 下的相应责任,除非 Esri 能证明自身对导致损害的事件不负有责任。
在监管监督方面,Esri 受美国联邦贸易委员会 (FTC) 的调查和执法权限约束,这进一步确认了我们对隐私标准的承诺。
Esri 服务范围
欧盟-美国数据隐私框架 (DPF) 建立了关键保障措施,以便在欧盟与美国之间传输个人数据 (PII)。 该框架的核心原则包括透明性、目的限制、数据最小化、安全性、访问与更正权利,以及对后续数据转移的责任,这些原则对于保持跨境隐私合规至关重要。 Esri 在 ArcGIS 产品中遵循 DPF 原则的合规方法涉及多个方面:
- 通知与选择权:ArcGIS 遵循隐私声明和数据处理附录中明确的数据采集和处理实践。 对于付费产品,进一步承诺不使用目标定向 cookie,以增强隐私保障。
- 对后续数据转移的责任:Esri 作为 DPF 认可的“合格实体”,承担后续数据转移的责任,并对次级处理方实施尽职调查程序。
- 安全性:Esri 已实施并维护适当的技术、组织和物理安全措施,以保护个人数据。 这些措施包括数据最小化、数据保留以及定期安全评估,旨在确保从欧盟传输至美国的数据的安全。
- 数据完整性与目的限制:ArcGIS 仅出于允许的功能性目的处理数据,并将数据采集范围限定在相关需求的范围内。 我们采用数据质量管理措施,以确保数据的准确性和完整性。 。
- 访问:ArcGIS 提供自助服务和客户支持渠道,使个人能够行使其数据访问、更正和删除的权利,以符合 DPF 的要求。
- 数据最小化:我们的产品设计遵循最小化个人数据需求的原则。 Esri 解决方案的功能不需要广泛的个人信息。
资源
Esri 的 DPF 认证公告(商务部公共站点)
DPF 概述(美国商务部公共站点)
Esri 法律隐私声明(公开)