译者序

《通用数据保护条例》(GDPR)于2018年5月25日正式生效。作为全球最严的数据保护条例，GDPR大幅提高了欧洲数据保护的合规要求，加强了欧盟范围内的数据保护力度，也为全球数据保护立法带来了深远影响。然而，欧盟各成员国对于GDPR的适用仍存在分歧，其整体实效还有待提升和优化。

GDPR实施至今已满两周年。2020年4月16日，信息技术产业委员会（Information Technology Industry Council）发布了对GDPR实施两周年的评论，从八个方面提出关于加强GDPR在欧盟范围内进一步协调适用的建议。

信息技术产业委员会（ITI）是代表科技行业的全球领先行业协会。我们倡导促进创新、开放市场、以及能使我们的企业在欧洲和其他地区的转型机会得以实现的政策。我们的成员代表整个科技行业：从互联网公司，到硬件和网络设备制造商，再到软件开发者等，我们的多元化成员和职员为全球政策活动提供了广阔的视野和深入的洞察。

我们行业和我们的成员有着保护隐私的共同目标，我们正在与欧盟委员会以及世界各地的数据保护部门（DPAs）合作，共同研究关键数据保护和隐私问题，包括GDPR。在此背景下，我们最近发布了《2020—2024欧洲科技进程的政策建议》，概述了欧盟为推进21世纪引人注目的欧洲科技进程可以采取的具体措施，其中包括对未来隐私政策的一些具体建议。GDPR促进了对各级数据保护的重新思考，从而引发了从工程和产品设计阶段、到风险评估与合规工作的内部文件编制等行业标准的广泛实施。企业正通过提高全球范围内的数据保护意识来适应与客户的对话。另一个积极影响是，在过去两年中，美国越来越多的人呼吁建立一个全面的联邦隐私制度。尽管国会进展缓慢，但我们仍然为美国国家标准与技术协会（NIST）为发布隐私框架作出的努力而感到欣慰，该框架为企业如何遵守隐私监管要求提供了指导。GDPR还进一步成为新隐私制度的全球基准，并对加拿大、日本、加利福尼亚、印度和巴西的立法起到了借鉴作用。

然而，大多数欧盟成员国的数据保护部门指出，资源的缺乏和系统性瓶颈对在成员国内部及时有效地进行执法以及耗费巨大资源进行跨境调查提出了严重的挑战。而与此同时，欧洲数据保护委员会（EDPB）认识到，GDPR赋予监管机构的权力以及职能能否有效实现取决于监管机构可利用的资源。

这些进展表明，有必要对如何加强GDPR在欧洲范围内的协调实施作出评估。在今年欧盟委员会(European Commission)发布GDPR报告前，我们通过此文件概述我们的成员所发现的挑战。希望我们的反馈能促进建设性的交流，并为决策者提供见解。

本行业发现的主要挑战

1.加强成员国之间数据保护部门（DPA）的合作。 成员国之间的数据保护部门缺乏一致做法，这仍是一项挑战。一些成员国的数据保护规则尚未完全与GDPR保持一致；各国对规定（包括对调查/决定某一事项的职权）的解释不尽相同，导致了矛盾和不确定性。数据保护部门可以通过达成以下认识来减少这种情况：在调查跨境数据处理活动时，考虑牵头机构的要求和准则，并遵循GDPR第56条中规定的程序。各成员国数据保护部门之间真正的、强有力的合作，对于在整个欧洲统一适用和执行GDPR至关重要。因此，我们希望进一步明晰和加强各成员国数据保护部门之间的一致性与合作程序。而且，即使不适用一站式（OSS）机制，欧盟数据保护部门也需要在正式合作程序之外与其他数据保护部门合作。此外，一旦成员国之间出现观点分歧时，欧洲数据保护委员会应当在确保其采取协调一致的方法方面发挥重要作用；在缺少这样的机制时，应当制定统一的指南。

2.坚持一站式（OSS）机制。一站式机制是GDPR的基础。GDPR的核心作用不仅是协调整个欧盟范围内的数据保护，还在于协调职责履行的机制。这将减轻行政负担，并为企业和个人提供法律确定性。然而，一些数据保护部门提出他们存在瓶颈和缺乏资源，并据此质疑一站式机制，导致这一机制正面临着被削弱的风险。尤其是一些数据保护部门持续在主营业地或营业所在地提起诉讼（不考虑其主管机构）。而与此同时，企业基于对一站式机制与欧洲数据保护委员会一致性机制的预期，已经投入了大量资源来建立自己的欧洲总部和合规计划。GDPR评审应借此机会敦促数据保护部门更彻底地遵守一站式机制，确保以最有效的方式实施GDPR。为了支持数据保护部门与加强一站式机制，各国政府必须确保为数据保护部门提供适当的资金，以使其能以最佳方式开展工作。

3.确保人工智能（AI）应用的高标准。鉴于欧洲即将对AI和数据治理采取的监管措施，我们认为关键是个人数据的可获取性和安全保障责任及其道德标准，因为许多有前景的AI应用都依赖于个人数据。通过利用大型和多样化的数据集，提高计算能力和创造力，AI开发者和其他参与者可以进行跨行业创新，找到前所未有的解决方案以满足个人和社会需求。因此，我们警告不要采取过度限制的方法，因为数据保护的局限性可能会导致偏差和扼杀创新，从而有可能使AI系统只能在非常有限的数据集上学习。同时，GDPR以技术中立为目标，它通过提供适当的监管框架来管理AI环境下的个人数据处理，可以作为一个强有力的基础来规制AI。在AI环境下尤其重要的是确保公正和合法处理个人数据，透明度原则，赋予个人拒绝权，并鼓励机构在这些应用中采取匿名化措施。

4.鼓励发布更多的指导意见。虽然我们赞赏欧洲数据保护委员会过去两年中发布了若干指导文件，但在具体情况下如何适用GDPR方面仍存在不确定性。因此，我们鼓励其就某些主题（如数据主体权利、隐私影响评估和基于风险的方法）发布更多指导意见，以增强法律的确定性，确保公司的成长和创新。

5.通过行为准则提高效率、效力和清晰度。如前所述，欧盟成员国的法律、各国数据保护部门的做法与欧洲数据保护委员会的指导意见持续存在分歧。批准行为准则，特别是提供通行机制和证书机制、认证印章和标志，将有助于解决这些问题，并给消费者、企业和监管机构带来重大利益。行为准则有助于明确控制者/处理者的义务，并在总体合规和执行方面提高效率和效力。这种机制将减轻大型和小型企业的合规负担。

6.促进全球数据流动。鉴于全球数据传输越来越重要，我们赞同欧盟委员会在隐私充分性决定方面的工作，并鼓励继续努力促进完善全球法律框架，以实现数据传输。根据GDPR第46条采用传输机制，包括行为守则、有约束力的公司规则（BCRs）和证书机制，有利于提高国际数据传输的效率，同时确保遵守GDPR的标准。我们赞同正在进行的标准合同条款（SCCs，包括处理者之间条款）的修订。以一个模块化的机制取代现有版本的标准合同条款，需要给企业充分的过渡期。国家数据保护部门需要配备足够的资源，以确保对有约束力的公司规则的及时审查和批准，使数据传输更加确定，减轻行政负担。

7.明确人力资源（HR）目的的数据处理。雇主处理各种各样的雇员和求职者个人数据。当面对员工或求职者数据主体的请求时，GDPR（包括文章和序言）仅提供了有限指导。例如，第15条第4款规定，在会“对他人的权利和自由产生不利影响”的情况下，访问权可能受到限制，但这种权利和自由的范围过于模糊。序言仅明确规定了商业秘密、知识产权和保护软件的版权等权利。一些欧盟成员国进一步列出了需要考虑的权利和自由（如保护他人的隐私权），但缺乏统一性。我们建议在这一领域更加明确和统一实施标准。

8.为研究目的处理个人数据。鉴于GDPR基于风险的方法，我们认为有必要进一步探讨第89条所述的可能性，即GDPR如何适用于私主体为研究目的处理个人数据。GDPR提出了一个广泛的研究概念，包括科技发展、基础和应用研究以及私人资助的研究，学术研究人员、非营利组织、政府机构和商业公司都可以进行科学研究。然而，国家层面对于第89条的实施存在一些差异。欧洲数据保护监督机构（EDPS）在其关于数据保护和科学研究的初步意见中建议，数据保护部门与伦理审查委员会加强对话，以就哪些研究活动属于GDPR规定的科学研究这一特别数据保护制度达成共识。我们鼓励在整个欧盟范围内对这一领域进行广泛的解释并加强协调适用。

责任编辑：郑通