欧盟委员会关于GDPR实施两周年的函件



自《统一数据保护条例》实施以来距今已有两年时间,欧盟委员会于2020年6月24日向欧洲议会及欧盟理事会致以函件。在世界各国逐渐效仿欧盟而关注于个人数据保护的背景之下,该函件作为欧盟委员会对GDPR实施状况进行评估和审查的首次报告,肯定了GDPR在数据保护方面所发挥的重要作用,包括其能够成功实现个人对数据保护权利的行使以及个人数据于欧盟范围内自由流通的目标,并从七个方面探讨了其主要发现,以及从完善各成员国法律框架、鼓励创新、利用新的治理体系等角度进行了展望,以便充分发挥GDPR的作用,建立统一路径与欧洲共同数据保护文化,从而促进对跨境案件更加高效、统一的处理。


一、数据保护规则是增强公民赋权和欧盟实现数字化转型的基础


本报告是对《统一数据保护条例》  (以下简称“ GDPR”)进行评估和审查的首份报告,特别是依据GDPR第97条,涉及向第三国和国际组织传输个人数据的规则以及涉及合作与一致性规则的实施。

自2018年5月25日起实施的GDPR,正如《欧盟基本权利宪章》(第8条)和条约(《欧洲联盟运行条约》(TFEU)第16条)所述,乃保障数据基本权利的欧盟框架的核心。GDPR加强了对数据保护的保障,为个人提供了更多和更充分的权利,提高了数据处理透明度,并确保所有在其适用范围内处理个人数据的主体都能更加负责与可靠。它使独立的数据保护机构拥有更强大,更统一的执法权,并建立了新的治理体系。  也为所有在欧盟市场运营的企业(无论其建立在何处)创造了一个公平的竞争环境,并且确保欧盟内部数据的自由流通以强化其内部市场。

GDPR是以人为中心的技术方法的重要组成部分,也是欧盟政策制定过程中绿色化和数字化转型的技术指南。2020年2月的《人工智能白皮书》  和《欧洲数据战略》(以下简称“数据战略”)对此均进行了重点介绍。

在日益依赖数据(包括个人数据)处理的经济体中,GDPR是确保个人更好地控制其个人数据,确保出于合法目的并以合法,公正,透明之方式处理这些数据的必要工具。与此同时,GDPR有助于培育可信赖的创新,尤其是通过其基于风险的方法和原则,如经设计和默认的隐私保护。委员会提议通过《电子隐私条例》来补充数据保护和隐私立法框架以取代当前的《电子隐私指引》。  这项提案目前正在由共同立法者进行审查,确保其能迅速通过该提案是至关重要的。

作为委员会“欧洲顺应数字时代”和“欧洲绿色交易”重点工作的一部分,可以通过制定新的举措,使公民能够在数字化转型和利用数字化工具中发挥更积极的作用,以实现气候中性社会和更加可持续的发展。GDPR为这些举措设定了框架,并确保其旨在有效地赋权于个人。

该数据战略要求建立一个“单一欧洲数据空间”,一个真正的数据单一市场,以及十个与绿色化和数字化转型相关的欧洲行业通用数据空间。对于所有这些优先事项,关键是要建立一个清晰可行的框架,以确保数据安全共享并提高数据可用性。数据战略还宣布,欧盟委员会打算在未来的立法中探讨如何以符合GDPR的方式,将公共数据库中保存的数据用于科研目的。欧洲云联盟支持数据空间,提供符合GDPR的数据处理和云基础设施服务。GDPR确保了高水平对个人数据进行保护,在数据空间中的个人保护方面发挥着重要作用,同时提供必要的灵活性以适应不同的方法。

当然不仅是欧盟需要确保信任和保护个人数据。世界各地都越来越重视隐私和数据安全。最近一项全球调查显示,隐私与数据安全是影响购买决策和网上行为的重要因素。越来越多的企业响应了这种对隐私与数据安全的需求,特别是主动将GDPR中规定的一些权利和保障措施扩展到非欧盟客户。许多企业通过提供具有新颖性的隐私或数据安全解决方案的创新产品和服务,促进了对个人数据的尊重,以此作为竞争优势和全球市场上的卖点。此外,民事主体和公共部门大规模收集和处理数据的能力增强,引发了重要而复杂的问题,这些问题日益使隐私成为世界各地公开辩论的中心。

GDPR的通过促使世界范围内许多国家考虑效仿。从智利到韩国,从巴西到日本,从肯尼亚到印度,从加利福尼亚到印度尼西亚,这已成为了全球的趋势。欧盟在数据保护方面的领导地位表明,它可以充当数字经济监管的全球标准制定者,并受到了国际社会重要声音的好评,例如联合国秘书长安东尼奥·古特雷斯(Antononio Guterres)指出了GDPR如何“......鼓舞其他地方采取类似措施的例子”,“呼吁欧盟及其成员国继续引领数字时代,并站在技术创新和监管的最前沿”

当前COVID-19大流行危机形象地说明了在危机期间以及在全世界寻求摆脱危机之际关于隐私辩论的全球化。在欧盟,很多成员国为积极保护公众健康采取了紧急措施。GDPR明确指出,任何限制都必须尊重基本权利和自由的本质,并且在民主社会中其是作为维护公共利益(如公共卫生)必要的和相称的措施。随着遏制措施逐步取消,决策者需要满足公民的期望,即向他们提供可靠的、尊重隐私权和个人数据保护的数字化解决方案。

许多国家、地区认为,内置的隐私保护措施(例如用户自愿注册,数据最小化和安全性以及排除地理位置)对于确保数据驱动解决方案的可靠性和社会接受度是至关重要的,这些解决方案旨在监视和遏制病毒的传播,校准公共政策对策,帮助患者或实施退出策略。在欧盟,数据保护和隐私立法框架已被证明是足够灵活的手段,可以在确保对个人数据进行高水平的保护同时,开发实用的解决方案(例如跟踪应用程序)。  在此背景之下,委员会于2020年4月16日发布了有关抗击疫情APP的数据保护指南。

保护个人数据也有助于防止操纵公民的选择(特别是通过非法处理个人数据对选民进行精准投放,即“微目标”),避免干预民主进程并保持公开辩论及民主国家所必需的公正性和透明度。因此,委员会于2018年9月发布了其在选举中适用联盟数据保护法的指南。

在对此进行评估和审核时,委员会考虑了理事会、欧洲议会、欧洲数据保护委员会(以下简称“委员会”。译者注:此处的“委员会”为board,区别于“commission”,本文简称为EDPB)和成员国个人数据保护机构,多个利益相关方专家组以及其他利益相关方的贡献,包括通过对所提供的路线图的反馈。

现普遍认为,GDPR在开始适用后的两年内就成功实现了其加强对个人数据保护权的保障以及使个人数据能在欧盟范围内自由流通的目标。但是,的确仍有许多需要改进的地方。与大多数利益相关者和成员国数据保护机构一样,委员会认为在现阶段就GDPR的适用得出明确的结论还为时过早。在GDPR继续施行的过程中会积累更多经验,成员国和利益相关者目前面临的大多数问题,或许都会被这些经验所解决。尽管如此,本报告还是罗列了迄今为止在适用GDPR方面遇到的挑战,并提出了应对这些挑战的可能途径。

尽管评估的重点是GDPR第97条第2款中强调的两个问题,即数据跨境传输及合作与一致性机制,但此评估和审查采用了更广泛的范围,包括过去两年各方关切的问题。


二、主要发现

(一)GDPR的执行以及合作及一致性机制的运作

GDPR根据成员国的独立数据保护机构及其在跨境案件中的合作,以及在欧洲数据保护委员会(“EDPB”)内的合作,建立了创新的治理体系。  普遍认为,数据保护机构平衡地运用了被强化的纠正权力,包括警告、训诫、罚款以及临时或最终处理限制。欧盟委员会指出,当局使用的行政罚款从几千欧元到几百万欧元不等,具体数额取决于违法行为的严重程度。其他制裁,例如禁止处理,可能具有与罚款同等甚至更高的威慑作用。GDPR的最终目标是为了个人的利益而改变所有参与主体的文化和行为。随附的《工作人员工作文件》中提供了有关数据保护机构使用纠正权力的更详细的资料。

虽然对新的合作和一致性机制的运行进行全面评估还为时过早,但数据保护机构通过“一站式”机制和大量使用互助机制来开展合作。“一站式”机制是内部市场的重要资产,可以用来决定许多跨境案件。跨境层面的重要决策将受制于一站式服务机制,目前尚待决定。这些往往涉及大型跨国高科技公司的决定并将对许多成员国的个人权利产生重大影响。

但是,在数据保护机构之间建立一种真正通用的欧洲数据保护文化仍然是一个持续的过程。  数据保护机构尚未充分利用GDPR,例如可能导致联合调查的联合行动。有时,找到一种通用方法意味着要转向最低的通用标准,因此,错过了促进更多协调的机会。

需要通过进一步取得进展,以使跨欧盟案件的处理更加高效和统一,包括从程序的角度,例如以下问题,在投诉处理程序,投诉的可受理性标准,诉讼期限即包括针对不同的时间范围或国家行政程序法中没有规定最后期限,在程序中何时有权授予发表意见的权利,或程序中投诉人的信息和参与。EDPB就这一问题发起的反思过程被欣然接受,委员会正参与其中进行讨论。

EDPB的活动和指导对于进一步促进其与利益相关者之间的交流是至关重要的。截至2019年底,EDPB通过了67份文件,其中包括10份新的指南和43份意见。其提出的指南通常会受到利益相关者的欢迎,并要求就GDPR中的重要概念提出其他指导性意见,同时还会指出国家制定的指南与EDPB制定的指南之间存在的不一致之处。他们强调需要更多实用性建议,尤其是需要更多的具体案例。为了有效地执行其任务,他们还强调其数据保护部门对配备必要的人力、技术和财政资源的需求。

欧盟委员会一贯强调成员国有义务向其国家的数据保护部门(Data protection authorities)分配足够的人力、财力和技术资源。从2016年至2019年间,多数的数据保护部门受益于增加的人员和财政预算,尤其是爱尔兰、荷兰、冰岛、卢森堡和芬兰的部门已经因其相对最大的人员增量而受益。鉴于最大的大型跨国技术公司在爱尔兰和卢森堡成立,这些国家的数据保护部门在许多重要的跨境案例中扮演了牵头部门的角色,可能需要比其人口数量更多的资源。但是,数据保护部门的情况在各个成员国之间仍有差异,总体上还不能令人满意。数据保护部门确保在国家层面对GDPR的执行、EDPB内部的合作与一致性机制的有效运作,尤其是在跨境案例的“一站式机制”方面,发挥着至关重要的作用。因此,要求成员国根据GDPR的规定为数据保护部门提供足够的资源。

(二)统一但仍有部分零散与存在差异的规则

欧盟委员会正在监督GDPR在国家立法中的执行情况。在撰写本报告时,除斯洛文尼亚外,所有成员国均通过了新的立法或对本国的数据保护法进行了修改。斯洛文尼亚已被要求就该进程的完成向委员会作出澄清。

GDPR为整个欧盟的数据保护规则提供了一套统一的解决方案。但是,它也需要成员国在某些领域进行立法,并提供给成员国们在其他有关领域进一步明确GDPR的可能性。但结果是,由于兼用规范条款(facultative specification clauses)的广泛使用,欧盟的数据保护仍然存在一定程度的碎片化。例如,在信息社会服务方面,各个成员国对儿童表示同意的年龄的规定各不相同,而这种不同给儿童及其父母在单一市场中行使其数据保护权利带来了不确定性。这种碎片化也给开展跨境业务与创新方面带来挑战,尤其是在新技术发展和网络安全解决方案方面。为了有效地发挥内部市场的作用并避免给公司造成不必要的负担,同样重要的一点是,国家立法也不得超出GDPR所设定的范围,或在没有范围限制时设定额外的要求。国家立法面临的具体挑战在于协调个人数据保护的权利与表达自由、信息自由的利益,并找寻这些权利间合适的平衡点。一些国家的立法规定了表达自由优先原则,而另一些国家的立法则优先保护个人数据,并且仅在特定情况下(例如对于具有公共身份的人)才可排除数据保护规则的适用。最后,其他成员国就GDPR减损某些条款,规定立法者在某种程度上进行平衡或个案评估。

欧盟委员会将继续对国家立法进行评估。有关利益协调的内容必须由法律来规定,并尊重那些基本权利的实质,且其规定的内容是相称的和必要的。数据保护规则(以及对它们的解释和适用)不应影响言论自由、信息自由权利的行使,例如通过令记者恐惧或向记者施加压力的方式要求其披露消息来源。国家法律对这两者的平衡应以法院和欧洲人权法院的判例法为框架。

成员国立法在规定特殊类别个人数据的处理中适用一般禁止性规定的例外情形时,根据不同水平的明细规范和保障措施采取了不同的路径,包括出于健康和研究目的。为了解决这个问题,欧盟委员会第一步是归纳总结成员国中采用的不同路径,并在随后的步骤中对针对特定行为法规的建立提供支持,这些法规将有助于在特定领域采取更一致的做法,并使个人数据的跨境处理更加容易。此外,EDPB在日后科学研究领域中有关个人数据使用的指南将有助于路径的统一。欧盟委员会将会就健康研究领域对EDPB提供意见,意见内容包括从研究界收到的具体问题及具体场景的分析。

(三)赋权于个人对数据的控制

一项基本权利调查显示,16岁以上的欧盟人口中有69%的人听说过GDPR,71%的欧盟人口知道其国家数据保护部门。

个人越来越意识到自己拥有这样的权利:对个人数据的访问(access)、更正(rectification)、删除(erasure)和可携带(portability)的权利,反对处理以及要求提高信息处理的透明度的权利。GDPR加强了对程序性权利的保障,包括向数据保护部门投诉的权利,也包括以代表诉讼和行使其他司法救济的权利。随着行使这些权利的个人逐渐增多,因而我们仍有必要促进这种权利的行使和保障其能充分实现。欧洲数据保护委员会所引发的思考将阐明并进一步促进个人权利的行使,而拟议的代表诉讼指令一旦获得通过,则有望使个人能够在所有成员国采取集体诉讼,并能降低跨国诉讼的成本。

数据可携权具有明显的潜力,但尚未得到充分利用。它可以使个人在不同的服务提供商之间切换选择,能够结合不同的服务,使用其他创新式服务并选择最佳的数据保护友好型的服务,从而使他们成为数据经济的中心。这将间接地加强竞争与促进创新。释放这种潜力是欧盟委员会的优先任务之一,尤其是随着对“物联网”设备加倍频繁地使用,消费者生产了越来越多的数据并可能面临不公平待遇和“锁定”效应(‘lock-in’ effects)。可携带性可以在健康和保健领域、减少环境足迹以及在获得公共及私人服务、提高制造业生产率和提高产品质量与安全性方面均产生极大的收益。

数据战略强调解需要决各种困难,包括缺乏相应的标准导致无法以机器可读的格式提供数据。数据战略也强调要提高对数据可携权的有效行使。目前对其权利的行使仅限于少数几个领域(例如银行业和电信业)。这一点可以通过设计适当的工具、标准化格式和界面而取得显著实现。这种提高对数据可携权的行使也可以通过强制性的技术接口和机器可读格式来实现,从而实现数据移植的及时性。除此之外,如果有人愿意做些“数据利他主义”的行为,提高对数据可携权的行使可以使这些个人更容易实现其数据在公共利益方面的使用(例如促进卫生领域的研究)。在准备《数字服务法》的一揽子计划时,欧盟委员会将更广泛地探讨数据和数据相关实践在平台生态系统中的作用。

(四)组织,尤其是中小企业所面临的机遇与挑战

GDPR以及《非个人数据自由流动条例》(the Free Flow of Non-Personal Data Regulation)通过鼓励竞争与创新、保障数据在欧盟内的自由流动、为与欧盟以外的公司建立公平的竞争环境,从而为企业的发展提供了机会。数据可携权以及追求隐私友好型方案人数的增多有可能降低企业的准入门槛,并基于信任与创新而创造发展的可能性。一些利益相关者报告说,GDPR的适用面临挑战,特别是对于中小型企业而言。从风险控制的角度来看,根据经营者的规模大小的不同而区别适用规则是不合适的,因为经营者的规模大小本身并不能反映其处理数据的过程中可能给个人带来的风险的大小。一些数据保护部门提供了一些实用性工具,以推动从事低风险数据处理活动的中小企业对GDPR的实施。这些工作应当得到加强并广泛地开展,为了避免对单一市场造成不必要的阻碍,这些措施最好成为欧盟范围内的通行做法。

数据保护部门制定多项措施以协助中小企业依据GDPR的规定开展业务,例如针对处理合同提供范本,以及对处理活动、研讨会以及热线咨询进行记录。这其中的许多举措受益于欧盟的资助。我们也应当考虑为促进GDPR于中小企业中实施而制定更多措施。

GDPR为所有类型的公司和组织提供了一个工具箱,帮助其证明是否符合诸如行为规范,认证机制和标准合同条款的内容,因而应充分地利用该工具箱。中小企业特别重视行为规范以及其实用性,即这些行为规范是否是根据其状况量身定做的同时不会带来过高的成本。关于认证方案、安全性(包括网络安全性)和设计上的数据保护是GDPR所要考虑的关键因素,并会因其在整个欧盟范围内普遍且有力的实施而受益。欧盟委员会目前以正在进行中的国际数据传输合同条款范本的现代化进程为基础,着手进行信息控制者与处理者间标准合同条款的有关工作。

(五)GDPR在新技术中的适用

GDPR是基于原则以技术中立方式而构想出的规范,同时其也是被设计成能够规制新技术发展的规范。

它被视为确保新技术开发符合基本权利必要且灵活的工具。这种数据保护和隐私立法框架证明了其在新冠肺炎疫情危机(COVID-19)期间的重要性和灵活性,特别是针对追踪程序的设计以及为抗击疫情利用其他技术手段方面而言。GDPR未来的挑战在于明确:如何将公认的原则应用于特定技术,例如需要持续性监控的人工智能、区块链、物联网及面部识别技术。例如,委员会关于人工智能的白皮书就特定情形(如果有的话)的技术使用展开了公开辩论。这些情形可能使我们有理由在公共场所和普遍性的保障措施中使用人工智能进行远程生物识别(例如面部识别)。从这个角度来看,数据保护部门应尽早介入对技术设计过程的监管。

此外,对于大型数字平台与综合性公司而言,GDPR的有效实施是保障个人权益的重要因素,包括在“网络广告投放”和“微目标”等领域。

(六)开发现代的国际数据传输工具箱

GDPR提供了一个现代化的工具箱。它不仅可以促进个人数据从欧盟到第三方国家或国际组织的传输,同时还能确保数据仍能享有高水平的保护。在过去的两年中,欧盟委员会加大了工作力度,以充分发挥GDPR下工具的潜力。

其中包括积极与主要合作伙伴互动,以期达成“充分决策”(adequacy decision)。这项决定的结果是使个人数据能够安全、自由地流向有关第三方国家,而无需数据出口商提供进一步保障或获取任何授权。特别是于2019年2月生效的欧盟-日本充分互利决定(the EU-Japan mutual adequacy decisions)创造了全球最大的数据自由安全流动区域。此外,与韩国的充分决策谈判进程已进入后期,与亚洲和拉丁美洲其他重要伙伴的试探性会谈也正在进行中。

只要符合适用条件,充分性决定也将在英国发挥着重要作用。其能保障贸易(包含数字贸易)的顺利开展;如果缺乏充分性决定,在执法和安全领域开展密切且有野心的合作也无从谈起。  此外,数据保护方面的高度一致性是确保两个紧密联系的经济体之间开展公平竞争的重要因素。为符合《关于欧盟与英国未来关系的政治宣言》(the Political Declaration on the Future Relationship between the EU and the UK),欧盟委员会目前正在依据GDPR和“数据保护执法指令”对其进行充分性评估。

作为GDPR的首次评估的一部分,欧盟委员会还需要审查根据前述规则通过的充分性决定。欧盟委员会各部门已与11个有关的第三国和地区进行了密切对话,来评估其数据保护系统自充分性决定通过以来的发展情况,以及评估其是否符合GDPR设定的标准。  这些充分性决定(the adequacy decisions)是开展贸易和国际合作的关键工具,确保这些充分性决定的连续性是促使其中一些国家和地区加强其隐私法并实现隐私法的现代化的因素之一。  为了解决保护系统方面的相关差异,欧盟委员会正与其中一些国家和地区讨论其他额外的保障措施。然而,鉴于(欧洲)法院(the Court of Justice)可能将在7月16日作出澄清充分性标准中某些要素的判决,欧盟委员会将在法院就该案件作出判决之后单独对现有充分性裁决的评估情况作出报告。

除了与充分性有关的工作外,欧盟委员会还在全面更新标准合同条款以满足GDPR的新要求。这样做的目的是为了更好地反映现代数字经济中处理业务的现实情况,并考虑到可能的需要(包括考虑即将出台的法院判例)来进一步澄清某些保障措施。这些条款代表了迄今为止使用最广泛的数据传输机制,成千上万的欧盟公司依靠这些条款为其客户、供应商、合作伙伴和雇员提供多方面的服务  。

EDPB在GDPR的国际化发展方面也发挥了积极作用。这些作用包括更新关于现有数据传输机制的指南(例如具有约束力的公司规则和所谓的“减损”),以及制定GDPR与新要求有关的法律基础设施(如行为守则和认证)。

为了使利益相关者能够充分利用GDPR的数据传输工具箱, EDPB必须加强其目前在各种传输机制方面的工作,这些工作包括:进一步对具有约束力的公司规则审批程序的简化,最终审定作为数据传输工具的行为守则和认证指南,以及明确数据跨境传输规则(第五章)与GDPR地域适用范围(第3条)之间的相互关系。

  欧盟数据保护规则在国际层面的另一个重要方面是GDPR地域效力范围的扩大。扩大后的效力范围涵盖了在欧盟市场活动的外国运营商的处理活动。为了确保GDPR的有效实施和营造真正的公平竞争环境,数据保护机构的执法行动中应适当反映这一扩展。他们尤其应在必要时让控制者或处理者在欧盟的代表参与进来,这些代表可以在欧盟以外的公司之外接受保护机构的指导。应更加积极地采取这一做法,以便发出一个明确的信息,即在欧盟没有设立机构并不能免除外国经营者依据GDPR承担的责任。

(七)促进数据保护领域的统一和国际合作

GDPR已经成为各个国家的参考范本,也推动了世界上许多国家考虑引入现代隐私规则。这一全球趋势预示着未来的积极发展,这为更好保护欧盟境内的个人数据向国外传输提供了新的机会,同时也促进了数据流动。

为了在全球弘扬尊重隐私的文化并发展不同隐私制度之间的趋同元素,在这一趋势基础上,欧盟委员会加强了在一些双边、区域和多边论坛上的对话。欧盟委员会致力已经并将继续依赖欧洲对外行动局、欧盟驻第三国代表团网络和国际组织的积极支持。  这也使得欧盟政策外部层面——从贸易到新的欧盟-非洲伙伴关系——的不同方面之间有了更大的一致性和互补性。G20和G7最近也认识到数据保护对数字经济与数据流动中信任建设的贡献,特别是通过最初由作为G20轮值主席国的日本提出的“数据自由流动与信任”(Data Free Flow with Trust)的概念。“数据战略”强调,欧盟委员会打算继续促进与可信任合作伙伴的数据共享,同时打击(外国)公共行政部门过度获取个人数据等滥用权力的行为。

在促进国际层面数据保护标准趋同,以此来促进数据流动,从而促进贸易的同时,欧盟委员会还决心解决数字保护主义(digital protectionism)的问题。在最近的“数据战略”中强调了这一点。  为此,欧盟委员会在贸易协定中制定了关于数据流动和数据保护的具体规定,并在双边(例如最近与澳大利亚、新西兰和英国的谈判)和多边谈判(如目前的世贸组织电子商务谈判)中系统地列出了这些规定。这些横向规定排除了不合理的限制条款,例如强制数据本地化要求,但同时出于保障数据保护的基本权利而保留各方监管自主权。

  因此,为了确保国际数据流动的自由和安全,对贸易和数据保护工具之间的协同作用需进一步探讨。这对在日益数字化的经济中的商业运作、竞争力和欧洲公司,包括中小企业成长至关重要。

  同样,当活跃在欧洲市场的各公司被依法要求基于执法为目的而共享数据时,确保他们这样的做法不会面临法律冲突且充分尊重欧盟基本权利是十分重要的。为了改进这种数据传输,欧盟委员会致力于与其国际伙伴一起建立适当的法律框架以避免法律冲突,并支持建立行之有效的合作模式。尤其包括:通过提供必要的数据保护保障措施,从而促使能更有效地打击犯罪。 

最后,当隐私合规问题或数据安全事件可能同时影响到多个司法管辖区的群体时,欧洲和国际监管机构之间的“实地”(on the ground)合作应进一步得到加强。这尤其需要制定适当的法律文书以促进更为密切的合作与互助,包括允许在调查过程中进行必要的信息交流。也正是本着这种精神,欧盟委员会正在建立一个“数据保护学会”(Data Protection Academy)。这是一个欧盟和外国数据保护部门未来分享知识、经验和最优方法的平台,从而促进和支持隐私执法者之间的合作。


三、前进的道路


为了充分发挥GDPR的潜力,建立一种统一的路径和欧洲共同的数据保护文化、促进对跨境案件更加有效、统一的处理是十分重要的。这是人们和企业所共同期望的,也是欧盟数据保护规则更新的一个基本目标。确保对GDPR中所有工具的充分利用也同样重要,这可以确保GDPR在个人和企业中能得以充分适用。

欧盟委员会将继续与成员国就GDPR的执行情况进行双边交流,并在必要时继续使用其拥有的工具,促使成员国遵守其在GDPR中的义务。

鉴于目前正在对国家立法进行评估,自GDPR生效以来的实践经验较少,而且许多成员国仍在修订具体部门法,现要对法律碎片化的问题得出明确结论还为时过早。关于成员国执行具体条款中可能造成的法律冲突问题,首先需要更好地理解数据控制者和处理者的影响。

在对这些问题采取后续行动时,成员国法院和欧洲法院的相关判例法有助于对数据保护规则做出统一解释。有成员国法院最近作出判决,宣布本成员国立法中与GDPR相违背的条款无效。

在国际层面,欧盟委员会将继续注重促进数据保护规则的统一,以此确保数据的安全流动。  这包括各种形式的“上游”工作,例如在正在进行的新的或更新的数据保护法改革的背景下,或者在多边论坛上普及“数据自由流动与信任”(Data Free Flow with Trust)的概念。这其中也包括各种充分性对话,以及通过更新标准合同条款和为认证机制奠定基础来更新和扩大我们的数据跨境传输工具箱。  这项工作还包括国际谈判(例如在跨境获取电子证据领域的谈判),以确保数据传输在适当的数据保护保障措施下进行。最后,通过参与数据保护执行者之间的国际合作和互助的谈判,欧盟委员会将努力实现“从理论到实践”(from the books to the ground)的统一。

根据对2018年5月以来GDPR应用情况的评估,以下行动被确定为支持GDPR实施所必需的条件。  欧盟委员会还将根据2024年即将提出的评价报告,监测其执行情况。

 

(一)执行和补充法律框架

成员国应

-    完成其部门法律与GDPR的统一;

-    考虑限制使用可能会造成分裂并危害欧盟内部数据自由流动的规范条款;

-    评估实施GDPR的国家法律是否在任何情况下都在成员国立法规定的范围内。

 

委员会将

-  就国家法律与GDPR的相符情况,包括国家数据保护机构的独立性和资源问题,与成员国进行双边交流;利用其掌握的所有工具,包括侵权程序,确保成员国遵守GDPR;

-    支持成员国之间就需要在国家层面有待进一步具体说明的专题进一步交换意见和国家做法,以减少单一市场的分散程度,如与健康和研究有关的个人数据处理,或须与言论自由等其他权利平衡;

-  支持与新技术相关的数据保护框架的一致适用,以支持创新和技术发展;

-  发挥GDPR成员国专家组(设立于GDPR实施之前的过渡阶段)的作用,促进成员国之间和成员国与欧盟委员会之间的讨论和经验交流;

-  根据进一步的经验和相关的案例,探讨是否适宜在日后就GDPR的某些条文提出针对性的修订,特别是关于不以处理个人数据为核心业务(低风险)的中小企业的处理记录,以及是否可以协调与信息社会服务有关的儿童同意年龄。

 

(二)  使新的治理体系充分发挥潜力

请欧洲数据保护委员会与数据保护机构

-  利用其成员的专业知识,加强其秘书处的参与,在数据保护机构之间就合作和一致性机制的运作,包括程序方面的运作作出有效的安排;

-    利用所掌握的所有工具,支持GDPR的统一适用与执行,包括进一步澄清GDPR的关键概念,并确保成员国指南完全符合EDPB通过的准则;

-  鼓励使用GDPR中规定的所有工具,以确保其得到一致的适用;

-  加强数据保护机构之间的合作,例如进行联合调查;

委员会将 

-继续密切监测国家数据保护机构的有效性和充分独立

-鼓励监管机构之间的合作(特别是在竞争,电子通信,网络和信息系统的安全以及消费者政策等领域);

-支持EDPB对成员国数据保护机构所适用的程序进行反思,以促进跨境案件的合作。

 

成员国应

-向数据保护机构分配足以执行其任务的资源。

(三)支持利益相关者

请欧洲数据保护委员会和数据保护机构

-批准通过进一步的、实用的、易于理解的指南,这些指南在与GDPR应用相关的问题上应提供明确的答案并避免产生歧义,例如在处理儿童数据和数据主体权利(包括行使访问权和删除权)方面问题的过程中咨询利益相关者;

-在有必要进一步澄清时,根据经验和发展状况以及法院的判例法,审查指南;

-开发实用工具,例如统一的数据泄露表格和处理行为的简化记录,以帮助低风险中小企业履行其义务。

 

委员会将

-为国际数据传输和控制者/处理者关系提供标准化合同条款;

-为阐明/支持对儿童数据保护规则的适用提供工具;

-根据数据战略,探索切实可行的手段,以促进个人对数据的持续控制权的行使,例如,让个人更好地控制谁可以访问和使用机器生成的数据;

-通过欧盟网络安全局(ENISA)、成员国数据保护机构和EDPB之间的合作,支持标准化/认证,尤其是网络安全方面的标准化/认证;

-在必要时,利用其权利要求EDPB就利益相关者提出的重要特定问题提供指南和意见;

-在必要时提供指南,同时充分尊重EDPB的作用;

-通过财政支持来支持成员国数据保护部门的活动,尤其是制定实用指南和开发数字工具等可以被其他成员国效仿的活动,以促进中小企业履行GDPR规定的义务。

 

(四)鼓励创新

委员会将

-监测GDPR在新技术中的适用,同时考虑在人工智能领域和数据战略下未来可能采取的举措;

-以财政支持等方式鼓励起草有关卫生和研究领域的欧盟行为守则;

-密切关注COVID-19大流行情况下应用程序的开发和使用。

请欧洲数据保护委员会

-发布科学研究,人工智能,区块链以及可能的其他技术发展领域中适用GDPR的指南;

-根据技术的发展,在需要进一步澄清时审查指南。

(五)进一步开发数据传输工具箱

委员会将

-按照2017年《在全球化的世界中交换和保护个人数据》中提出的战略,与利益相关的第三国进行充分地对话,包括在可能的情况下将数据传输到刑事执法部门(根据《数据保护执法指令》)和其他公共部门 这包括尽快与韩国敲定适当的程序

-完成正在进行的对现有充分性决定的评估,并向欧洲议会和理事会报告;

-完成标准合同条款现代化的工作,以期根据GDPR对其进行更新,涵盖所有相关的传输方案并更好地反映现代商业惯例。

 

请欧洲数据保护委员会

-进一步阐明国际数据传输规则(第五章)与GDPR的适用范围(第3条)之间的相互关系;

-确保能对在第三国设立并属于GDPR适用范围内的经营者进行有效执法,同时也适用于其指定的代表(第27条);

-简化对公司约束规则的评估和最终审批,以加快流程;

-完成作为数据传输工具的行为准则和认证机制的体系结构、程序和评估标准的工作。

 

(六)促进趋同和发展国际合作

委员会将

通过分享经验和最优方法,支持第三国根据新的或现代化的数据保护规则进行的改革;

-与非洲伙伴合作,促进监管趋同,并支持以监管机构能力建设作为开启新欧盟—非洲伙伴关系的数据篇章的组成部分;

-评估如何促进私人经营者与执法机构之间的合作,包括在外国刑事执法机构获取电子证据的背景下,就双边和多边数据传输框架进行谈判,以避免法律冲突,同时确保适当的数据保护保障措施;

-与经合组织(OECD),东盟(ASEAN)或二十国集团(G20)等国际和区域组织合作,在“信任数据流”倡议的背景下,以严格的数据保护标准,促进可信赖的数据流通;

-设立“数据保护学会”,以促进和支持欧洲和国际监管机构之间的交流;

-通过包括合作和互助协议谈判的方式促进监管机构之间的国际执法合作。


责任编辑:郑通